Postfix als ausgehender Mailserver mit zentraler Signaturlogik — klingt komplex, ist aber in unter 30 Minuten konfiguriert.
Konzept
Postfix bekommt einen Relayhost. Statt Mails direkt ans Internet zu schicken, gehen sie über SMTP-Submission an smtp.signaturehub.de:587. Dort werden sie authentifiziert, identifiziert, mit Signatur versehen und weitergeleitet. Loop wird über einen Marker-Header verhindert.
Schritt 1: SASL-Credentials in /etc/postfix/sasl_passwd
[smtp.signaturehub.de]:587 tenant-abc123:s3cr3tP4ssw0rd!Datei mit chmod 600 absichern und mit postmap /etc/postfix/sasl_passwd ins Postfix-Hash-Format bringen.
Schritt 2: main.cf erweitern
relayhost = [smtp.signaturehub.de]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_sasl_mechanism_filter = login,plain
smtp_tls_security_level = encrypt
smtp_tls_loglevel = 1
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crtDanach postfix reload. Testen mit einer Test-Mail.
Plesk-Besonderheit
Plesk verwaltet die Postfix-Konfiguration teilweise selbst. Statt main.cf manuell zu editieren, geht der Weg über „Tools & Settings → Mail Server Settings → Mail relay". Smart-Host eintragen, SMTP-AUTH aktivieren. Auf Plesk-Servern mit mehreren Hosting-Kunden empfehlen wir, pro Kunden-Domain einen eigenen SignatureHub-Tenant zu nutzen (über das Reseller-Programm).
DKIM-Strategie
- Pass-Through (Default): SignatureHub modifiziert die Mail und leitet sie an deinen Outbound-MTA zurück. DKIM-Signierung passiert dort.
- Sign-at-Hub: SignatureHub signiert die Mail mit deinem DKIM-Private-Key.
- No-DKIM: für interne Routen ohne DKIM-Anforderung.
Häufige Fehler
- postmap vergessen — Postfix liest nur die .db-Datei.
- Permissions — sasl_passwd muss 600 sein.
- SPF kaputt — include:_spf.signaturehub.de in den TXT-Record deiner Absenderdomain.
Verifikation
Test-Mail an Gmail oder mail-tester.com. Prüfe Authentication-Results: dkim=pass, spf=pass, dmarc=pass.