Outgoing DANE ignoriert fehlerhafte DANE Einträge

Christian list-christian at web.de
Fr Apr 10 20:34:17 CEST 2020 

Hallo zusammen,

bisher hatte ich mich bei meinem privaten E-Mail Server immer auf
eingehende E-Mails bei DANE konzentriert. Allerlei Testtools bestätigen
auch, dass dies funktioniert.

Nun habe ich mal geschaut, ob es auch ausgehend funktioniert und
folgendes bei havedane.net herausbekommen:

Email to non-DANE domain delivered.



        Email to DANE domain delivered.





        Email to domain with invalid DANE delivered.

Letzteres ist ja ehr bedenklich, da es bedeutet, dass mein Server auch
an falsche DANE Einträge die E-Mails zustellt. Nun habe ich alle
möglichen Seiten zur DANE Einrichtung abgeklappert und alle sind sich
einig, dass DANE folgendermaßen konfiguriert werden soll:

smtp_dns_support_level = dnssec
smtp_tls_security_level = dane
smtp_host_lookup = dns

Dem ist auch bei mir so. Die Logs zeigen eigentlich nichts
verdächtiges, dass einzige was mir aufgefallen ist:

Apr 10 19:58:37 server docker/postfix/smtp[143]: Untrusted TLS
connection established to
do.havedane.net[2001:1af8:4700:a118:90::7c0]:25: TLSv1.2 with cipher
ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Apr 10 19:58:37 server docker/postfix/smtp[144]: Untrusted TLS
connection established to
dont.havedane.net[2001:1af8:4700:a118:90::7c0]:25: TLSv1.2 with cipher
ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Apr 10 19:58:37 server docker/postfix/smtp[145]: Untrusted TLS
connection established to wrong.havedane.net[5.79.70.105]:25: TLSv1.2
with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Alle Verbindungen sind untrusted, entsprechend scheint etwas
grundlegendes falsch zu sein? Ich habe andere TLS Verbindungen geprüft
und diese werden als Trusted angezeigt. Ehrlicherweise weiß ich nicht
mehr wie ich nun den Fehler finden kann.

Kann mir jemand hier weiter helfen? Wenn ja, welche Infos werden
benötigt?

Lieben Gruß
  Christian
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://de.postfix.org/pipermail/postfix-users/attachments/20200410/14100265/attachment.htm>

Mehr Informationen über die Mailingliste postfix-users