Den Resolver habe ich mit dig vom Postfix host aus geprüft und er gibt mir ein "ad" Flag zurück. Also müsste DNSSEC grundsätzlich funktionieren.
Wenn ich wenigstens irgendwelche debugging tools finden würde, mit denen ich den Käse nachvollziehen kann. Irgendwie ist das sehr Black Boxig was Postfix da macht.
Am 11.04.2020 um 14:35 schrieb Christian:
Hallo Alex,
danke für die schnelle Antwort.
smtp_tls_CAfile ist bei mir auf mein ca-certificate file gesetzt. So
wie ich die Doku verstanden habe, sollte es reichen und CApath is eine
Performance Alternative?!
Dies würde auch erklären, warum andere Verbindungen (z.B. web.de) als
"Trusted" eingestuft werden.
Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle
spielt. Es soll ja nun die Validität des Zertifikats durch den DNSSEC
gesicherten TLSA Eintrag geprüft werden. Und das scheint irgendwie
nicht zu funktionieren?
Habe mit DANE leider selbst keine Erfahrungen gesammelt, deshalb kann
ich dir nur Hilfe leisten. Aber soweit ich gelesen habe, sollte Postfix
bei DANE ein "Verified" anstatt "Trusted" loggen. Und da web.de meines
Wissens DANE unterstützt dürfte da wirklich was nicht funktionieren.
Hast Du überprüft, dass dein DNS Resolver DNSSEC unterstützt? Welche
Version von Postfix verwendest du?