Am 11.04.2020 um 14:35 schrieb Christian:
Hallo Alex,
danke für die schnelle Antwort. smtp_tls_CAfile ist bei mir auf mein ca-certificate file gesetzt. So wie ich die Doku verstanden habe, sollte es reichen und CApath is eine Performance Alternative?! Dies würde auch erklären, warum andere Verbindungen (z.B. web.de) als "Trusted" eingestuft werden.
Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle spielt. Es soll ja nun die Validität des Zertifikats durch den DNSSEC gesicherten TLSA Eintrag geprüft werden. Und das scheint irgendwie nicht zu funktionieren?
Habe mit DANE leider selbst keine Erfahrungen gesammelt, deshalb kann ich dir nur Hilfe leisten. Aber soweit ich gelesen habe, sollte Postfix bei DANE ein "Verified" anstatt "Trusted" loggen. Und da web.de meines Wissens DANE unterstützt dürfte da wirklich was nicht funktionieren.
Hast Du überprüft, dass dein DNS Resolver DNSSEC unterstützt? Welche Version von Postfix verwendest du?