Um den MTA exim4 mit einem Zertifikat von letsencrypt zu nutzen bin ich so vorgegangen.

In der Konfigurationsdatei /etc/exim4/conf.d/main/03_exim4-config_tlsoptions wird der Pfad zum Zertifikat eingetragen.

...
MAIN_TLS_CERTIFICATE = /etc/letsencrypt/live/whiskykult.ddnss.de/fullchain.pem
...
MAIN_TLS_PRIVATEKEY = /etc/letsencrypt/live/whiskykult.ddnss.de/privkey.pem
...

Zwei weitere Änderungen sind dann noch notwendig:

 adduser Debian-exim root 

und

chmod g+x /etc/letsencrypt/archive /etc/letsencrypt/live 

Der User Debian-exim wird der Gruppe root zugeordnet und die Gruppe bekommt das Recht die Verzeichnisse mit den Schlüsseln zu öffnen.

Das war es schon fast.

Damit nach einer Erneuerung des Zertifikats auch der Exim dieses mitbekommt muss ein Eintrag in dem entsprechenden CronJob gemacht werden.

--post-hook "service exim4 reload"