Last Updated:

TLS-Zertifikate für Mail- und Webdienste mit Zabbix überwachen – flexibel, zuverlässig, Open Source

Ralf Kirchner
Ralf Kirchner Zabbix

Zabbix-Plugin zur TLS-Zertifikatsüberwachung für Mailserver & Webmailer - mit SMTP, IMAP, HTTPS, STARTTLS und flexibler Konfiguration direkt im Template.

Dieses Zabbix-Template ermöglicht eine umfassende Überwachung von TLS-Zertifikaten, die für Webserver (HTTPS) sowie E-Mail-Dienste wie SMTP und IMAP verwendet werden. Es überprüft automatisch die Gültigkeit der Zertifikate, erkennt abgelaufene oder ungültige Zertifikate und gibt rechtzeitig Warnungen aus, bevor ein Zertifikat abläuft.

Warum ein eigenes Plugin?

Es gibt zahlreiche Zabbix-Plugins zur Überwachung von TLS-Zertifikaten – doch keines davon hat mir das umfassende Monitoring meiner Mailserver wirklich abgenommen. Die meisten Tools fokussieren sich ausschließlich auf HTTPS und vernachlässigen dabei Protokolle wie SMTP, IMAP oder Webmailer. STARTTLS, SNI-Unterstützung oder anpassbare Timeouts? Meist Fehlanzeige.

Aus diesem Grund habe ich ein eigenes Template entwickelt – inspiriert vom Skript-Code von Pavel Selivanov. Ideal für Admins, die mehr wollen als nur ein simples „läuft“ oder „läuft nicht“.

Was das Plugin leistet

Mein Template prüft TLS-Zertifikate für Web- und Maildienste. Es erkennt ungültige oder bald ablaufende Zertifikate und schlägt rechtzeitig Alarm. Egal ob HTTPS, SMTP oder IMAP – inklusive STARTTLS-Unterstützung und Server Name Indication.

Alles ist per Host-Makros konfigurierbar: Domains, Ports, Prüfintervalle und Warnschwellen. Ohne das Skript anfassen zu müssen.

Das Ergebnis: mehr Transparenz, weniger böse Überraschungen, volle Kontrolle über deine Zertifikatslaufzeiten – direkt im Zabbix-Frontend.

Für wen ist das gedacht?

Für Admins und DevOps, die TLS-Zertifikate nicht nur für Webseiten, sondern auch im Mailumfeld überwachen wollen – zentral, automatisiert und flexibel.

Installation in 5 Schritten

1. Download und Entpacken

wget https://dev.ksite.de/ralf.kirchner/zabbix-mailcert-check/archive/main.zip
unzig main.zip

Der Quellcode ist im Git-Repository unter https://dev.ksite.de/ralf.kirchner/zabbix-mailcert-check verfügbar und kann dort eingesehen oder heruntergeladen werden.

2. Skript installieren

sudo cp zabbix-mailcert-check/mailcert_check.sh /usr/local/bin/
sudo chmod +x /usr/local/bin/mailcert_check.sh`

3. Zabbix-Agent konfigurieren

sudo cp zabbix-mailcert-check/userparameters_mailcert_check.conf /etc/zabbix/zabbix_agentd.d/ sudo systemctl restart zabbix-agent`

4. Template importieren

Im Zabbix-Frontend: Configuration → Templates → Import → Datei template_mail_cert_check.xml auswählen und importieren

5. Template einem Host zuweisen

Unter dem Reiter Templates beim gewünschten Host einfach das Template “Template Mail Certificate Monitoring” hinzufügen.

Flexible Konfiguration per Makros

Ein großer Vorteil ist die Konfigurierbarkeit über Host-Makros. Beispielhafte SMTP-Konfiguration:

{$TLS_SMTP_DOMAIN}         = mail.example.com
{$TLS_SMTP_PORT}           = 587
{$TLS_SMTP_STARTTLS}       = smtp
{$TLS_SMTP_SNI}            = mail.example.com
{$TLS_SMTP_TIMEOUT}        = 10
{$TLS_SMTP_UPDATEINTERVAL} = 3600
{$TLS_SMTP_EXPIRESWITHIN}  = 14

Diese Parameter erlauben es, den Prüfintervall, den Timeout sowie benutzerdefinierte Schwellen für Warnungen pro Host individuell festzulegen.

Visualisierung in Zabbix

Nach dem Import und der Zuweisung des Templates generiert Zabbix automatisch:

  • Items zur Restlaufzeit des TLS-Zertifikats in Tagen
  • Trigger bei abgelaufenen oder bald ablaufenden Zertifikaten
  • Statuswerte für gültig/ungültig

Fazit

Wer TLS-Zertifikate nicht nur auf Websites, sondern auch im Bereich E-Mail ernsthaft überwachen will, findet in diesem Plugin eine flexible und produktionsreife Lösung. Es schließt eine Lücke, die einige Plugins offenlassen - speziell im Bereich SMTP, IMAP und Webmail-Interfaces mit Zertifikatsbindung.

Featured

Follow us

Authors

Tags