Hallo,
ich ärgere mich gerade gewaltig mit o.g. Thematik und postfix 2.7.x rum.
Es gibt zwei postfix die sowohl für smtp als auch smtpd TLS aktiviert und default auf 'may' haben. Beide besitzen je ein Zertifikat, welche mit Zwischenzertifikat von einer offiziellen CA signiert sind. Der Test gegen die jeweilig gegenüberliegende Partei mittels 'openssl s_client -starttls smtp -CAfile /etc/postfix/ca-bundle.pem -connect $server_ip:25' meldet keine Fehler. Ich möchte nicht ausschließlich TLS einsetzen und auch nicht ausschließlich die Zertifikate verifizieren sondern nur für bestimmte zu definierende Verbindungen Zertifikasvalidierendes TLS nutzen.
Dazu sehe ich 2 Möglichkeiten : 1) smtp_tls_policy_maps für den transport: "[transport] secure" 2) smtp_tls_policy_maps für die empfängerdomain: "domain.tld secure"
Schön wäre noch, das Ganze auch für den 'relayhost' umsetzen zu können (jeweils unterschiedliche Einsatzszenarien). Und wie sichert man so den Traffic zwischen primary und secondary MX?
Auch wenn ich hinter "secure" noch "match=.domain.tld" hänge bekomme ich immer "Server certificate not trusted". Einzig mittels "fingerprint" statt "secure" ist mit die Verbindung gelungen.
Was mache ich falsch, welche Infos braucht Ihr noch?
Mit freundlichen Grüßen / Kind regards Ronny Seffner