Hallo Alex,
danke für die schnelle Antwort. smtp_tls_CAfile ist bei mir auf mein ca-certificate file gesetzt. So wie ich die Doku verstanden habe, sollte es reichen und CApath is eine Performance Alternative?! Dies würde auch erklären, warum andere Verbindungen (z.B. web.de) als "Trusted" eingestuft werden.
Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle spielt. Es soll ja nun die Validität des Zertifikats durch den DNSSEC gesicherten TLSA Eintrag geprüft werden. Und das scheint irgendwie nicht zu funktionieren?
Am Samstag, den 11.04.2020, 14:10 +0200 schrieb Alex JOST:
Am 10.04.2020 um 20:34 schrieb Christian: Hallo zusammen,
bisher hatte ich mich bei meinem privaten E-Mail Server immer auf eingehende E-Mails bei DANE konzentriert. Allerlei Testtools bestätigen auch, dass dies funktioniert.
Nun habe ich mal geschaut, ob es auch ausgehend funktioniert und folgendes bei havedane.net herausbekommen:
Email to non-DANE domain delivered.
Email to DANE domain delivered. Email to domain with invalid DANE delivered.
Letzteres ist ja ehr bedenklich, da es bedeutet, dass mein Server auch an falsche DANE Einträge die E-Mails zustellt. Nun habe ich alle möglichen Seiten zur DANE Einrichtung abgeklappert und alle sind sich einig, dass DANE folgendermaßen konfiguriert werden soll:
smtp_dns_support_level = dnssec smtp_tls_security_level = dane smtp_host_lookup = dns
Dem ist auch bei mir so. Die Logs zeigen eigentlich nichts verdächtiges, dass einzige was mir aufgefallen ist:
Apr 10 19:58:37 server docker/postfix/smtp[143]: Untrusted TLS connection established to do.havedane.net[2001:1af8:4700:a118:90::7c0]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Apr 10 19:58:37 server docker/postfix/smtp[144]: Untrusted TLS connection established to dont.havedane.net[2001:1af8:4700:a118:90::7c0]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Apr 10 19:58:37 server docker/postfix/smtp[145]: Untrusted TLS connection established to wrong.havedane.net[5.79.70.105]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Alle Verbindungen sind untrusted, entsprechend scheint etwas grundlegendes falsch zu sein? Ich habe andere TLS Verbindungen geprüft und diese werden als Trusted angezeigt. Ehrlicherweise weiß ich nicht mehr wie ich nun den Fehler finden kann.
Kann mir jemand hier weiter helfen? Wenn ja, welche Infos werden benötigt?
Postfix weiß von sich aus nicht welche Zertifikate du als vertrauenswürdig erachtest. Deshalb musst du mit smtp_tls_CAfile bzw. smtp_tls_CApath angeben, wo sich die vertrauenswürdigen Zertifikate befinden.