Bindestriche im MX Hostanteil und Wildcard-Zertifikate für TLS

[Markus Winkler]

Hallo Ronny,

vielen Dank für die Config.

On Mon, 15 Sep 2025 at 12:10:19PM +0000, Ronny Seffner wrote:

>Und seit Neuestem, damit es erstmal weitergeht auch:
>
>stb.rauschert.de                                may
>stb-rauschert-de.mail.protection.outlook.com    may

Das ist aber komisch ...

Ich hatte bei mir mal noch diese beiden Parameter analog zu Deinen angepasst:

smtp_dns_support_level = dnssec (bei mir sonst gar nicht gesetzt)
smtp_tls_security_level = dane (bei mir sonst 'may')

Eine Testmail ging trotzdem ganz normal raus:

Sep 14 15:06:00 mx1 postfix/smtp[2864901]: Trusted TLS connection established to 
stb-rauschert-de.mail.protection.outlook.com[2a01:111:f403:ca09::6]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange 
ECDHE (secp384r1) server-signature RSA-PSS (2048 bits) server-digest SHA256

Sep 14 15:06:01 mx1 postfix/smtp[2864901]: 8C5351EE4A4C: 
to=<foo at stb.rauschert.de>,relay=stb-rauschert-de.mail.protection.outlook.com[2a01:111:f403:ca09::6]:25, delay=1.5, delays=0.39/0.04/0.17/0.94, 
dsn=2.6.0, status=sent (250 2.6.0 [...] Hostname=FR5P281MB5079.DEUP281.PROD.OUTLOOK.COM] 11563 bytes in 0.153, 73.594 KB/sec Queued mail for 
delivery)

D. h., der automatische Fallback auf 'may' funktioniert, auch ohne eine extra Policy-Map.


Was ich bei mir statt smtp_tls_CApath konfiguriert habe:

smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

Das sollte hier eigentlich keinen Unterschied machen, aber vielleicht könntest Du ja mal fix testen, ob es sich evtl. doch auswirkt?

Und: Könntest Du smtp_tls_policy_maps auskommentieren und auch damit dann eine Testmail schicken, um das als Ursache ausschließen zu können?

Falls das nix bringt: Schicke bitte noch mal das komplette Log dieses Sendeversuchs, nicht nur die Zeile mir dem Fehler. Danke!

Viele Grüße
Markus