Re: Outgoing DANE ignoriert fehlerhafte DANE Einträge

Alex JOST jost+lists at dimejo.at
Sa Apr 11 14:10:30 CEST 2020 

Am 10.04.2020 um 20:34 schrieb Christian:
> Hallo zusammen,
> 
> bisher hatte ich mich bei meinem privaten E-Mail Server immer auf
> eingehende E-Mails bei DANE konzentriert. Allerlei Testtools bestätigen
> auch, dass dies funktioniert.
> 
> Nun habe ich mal geschaut, ob es auch ausgehend funktioniert und
> folgendes bei havedane.net herausbekommen:
> 
> Email to non-DANE domain delivered.
> 
> 
> 
>          Email to DANE domain delivered.
> 
> 
> 
> 
> 
>          Email to domain with invalid DANE delivered.
> 
> Letzteres ist ja ehr bedenklich, da es bedeutet, dass mein Server auch
> an falsche DANE Einträge die E-Mails zustellt. Nun habe ich alle
> möglichen Seiten zur DANE Einrichtung abgeklappert und alle sind sich
> einig, dass DANE folgendermaßen konfiguriert werden soll:
> 
> smtp_dns_support_level = dnssec
> smtp_tls_security_level = dane
> smtp_host_lookup = dns
> 
> Dem ist auch bei mir so. Die Logs zeigen eigentlich nichts
> verdächtiges, dass einzige was mir aufgefallen ist:
> 
> Apr 10 19:58:37 server docker/postfix/smtp[143]: Untrusted TLS
> connection established to
> do.havedane.net[2001:1af8:4700:a118:90::7c0]:25: TLSv1.2 with cipher
> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> Apr 10 19:58:37 server docker/postfix/smtp[144]: Untrusted TLS
> connection established to
> dont.havedane.net[2001:1af8:4700:a118:90::7c0]:25: TLSv1.2 with cipher
> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> Apr 10 19:58:37 server docker/postfix/smtp[145]: Untrusted TLS
> connection established to wrong.havedane.net[5.79.70.105]:25: TLSv1.2
> with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> 
> Alle Verbindungen sind untrusted, entsprechend scheint etwas
> grundlegendes falsch zu sein? Ich habe andere TLS Verbindungen geprüft
> und diese werden als Trusted angezeigt. Ehrlicherweise weiß ich nicht
> mehr wie ich nun den Fehler finden kann.
> 
> Kann mir jemand hier weiter helfen? Wenn ja, welche Infos werden
> benötigt?

Postfix weiß von sich aus nicht welche Zertifikate du als 
vertrauenswürdig erachtest. Deshalb musst du mit smtp_tls_CAfile bzw. 
smtp_tls_CApath angeben, wo sich die vertrauenswürdigen Zertifikate 
befinden.

-- 
Alex JOST

Mehr Informationen über die Mailingliste postfix-users