Bindestriche im MX Hostanteil und Wildcard-Zertifikate für TLS

[Ronny Seffner]

Hallo Gruppe,

komisches Phänomen habe ich hier.
- es soll Post an @stb.rauschert.de geschickt werden
- ich habe postfix 3.7.11-0+deb12u1 unter Debian bookworm
- die Mail geht nicht durch mit: "postfix/smtp[3331573]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[52.101.73.1]:25: num=62:hostname mismatch"
- der MX von stb.rauschert.de lautet: stb-rauschert-de.mail.protection.outlook.com -> es werden seitens MS also die "." zu "-" gewandelt um den MX FQDN zu würfeln
- der MX von z.b. taff-haus.de hat ja einen "-", gucken wir mal, was da passiert: taffhaus-de01b.mail.protection.outlook.com -> das sieht nach IDN für den eigentlichen "-"; da hat sich doch wer was dabei gedacht, oder?
- ich ziehe mir mit openssl von beiden MX an Port 25 das Zertifikat, es hat als alternativen CN "*. mail.protection.outlook.com" und ist für beide Server/Anfrage gleich (md5sum)

Wieso fliegt mir jetzt die eine Zustellung mit "hostname mismatch" um die Ohren und die andere nicht. In RFC wurde ich nicht fündig. Die KI orakelt, dass wäre ein nicht unbekanntes Phänomen mit verschiedenster Software, biegt dann aber zu Bindestrichen am Anfang oder Ende ab.

Ist das hier Stoff für einen Bugreport? Mails von Subdomains sind nun nicht üblich, aber doch technisch nicht "verboten". Aber das den "bug" vor mir noch keiner hatte will ich auch nicht glauben.


Mit freundlichen Grüßen / Kind regards
     Ronny Seffner