Hallo Alex,

danke für die schnelle Antwort.
smtp_tls_CAfile ist bei mir auf mein ca-certificate file gesetzt. So wie ich die Doku verstanden habe, sollte es reichen und CApath is eine Performance Alternative?!
Dies würde auch erklären, warum andere Verbindungen (z.B. web.de) als "Trusted" eingestuft werden.

Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle spielt. Es soll ja nun die Validität des Zertifikats durch den DNSSEC gesicherten TLSA Eintrag geprüft werden. Und das scheint irgendwie nicht zu funktionieren?


Am Samstag, den 11.04.2020, 14:10 +0200 schrieb Alex JOST:
Am 10.04.2020 um 20:34 schrieb Christian:
Hallo zusammen,

bisher hatte ich mich bei meinem privaten E-Mail Server immer auf
eingehende E-Mails bei DANE konzentriert. Allerlei Testtools bestätigen
auch, dass dies funktioniert.

Nun habe ich mal geschaut, ob es auch ausgehend funktioniert und
folgendes bei havedane.net herausbekommen:

Email to non-DANE domain delivered.



         Email to DANE domain delivered.





         Email to domain with invalid DANE delivered.

Letzteres ist ja ehr bedenklich, da es bedeutet, dass mein Server auch
an falsche DANE Einträge die E-Mails zustellt. Nun habe ich alle
möglichen Seiten zur DANE Einrichtung abgeklappert und alle sind sich
einig, dass DANE folgendermaßen konfiguriert werden soll:

smtp_dns_support_level = dnssec
smtp_tls_security_level = dane
smtp_host_lookup = dns

Dem ist auch bei mir so. Die Logs zeigen eigentlich nichts
verdächtiges, dass einzige was mir aufgefallen ist:

Apr 10 19:58:37 server docker/postfix/smtp[143]: Untrusted TLS
connection established to
do.havedane.net[2001:1af8:4700:a118:90::7c0]:25: TLSv1.2 with cipher
ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Apr 10 19:58:37 server docker/postfix/smtp[144]: Untrusted TLS
connection established to
dont.havedane.net[2001:1af8:4700:a118:90::7c0]:25: TLSv1.2 with cipher
ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Apr 10 19:58:37 server docker/postfix/smtp[145]: Untrusted TLS
connection established to wrong.havedane.net[5.79.70.105]:25: TLSv1.2
with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Alle Verbindungen sind untrusted, entsprechend scheint etwas
grundlegendes falsch zu sein? Ich habe andere TLS Verbindungen geprüft
und diese werden als Trusted angezeigt. Ehrlicherweise weiß ich nicht
mehr wie ich nun den Fehler finden kann.

Kann mir jemand hier weiter helfen? Wenn ja, welche Infos werden
benötigt?

Postfix weiß von sich aus nicht welche Zertifikate du als 
vertrauenswürdig erachtest. Deshalb musst du mit smtp_tls_CAfile bzw. 
smtp_tls_CApath angeben, wo sich die vertrauenswürdigen Zertifikate 
befinden.