AW: Bindestriche im MX Hostanteil und Wildcard-Zertifikate für TLS [solved]

Ronny Seffner r.seffner at seffner-schlesier.de
Mi Sep 17 17:19:18 CEST 2025 

Da ist doch was verhext. Ich habe zwei Server deren postfix identisch konfiguriert ist (bis auf ein paar IPs und Hostnamen; habs eben mit diff geprüft).

NS2 -> stb.rauschert.de -> OK

Sep 17 15:28:34 ns2 postfix/pickup[3964074]: 0778A44025C: uid=0 from=<root>
Sep 17 15:28:34 ns2 postfix/cleanup[4031267]: 0778A44025C: message-id=<aMq3ghkwxo4d7bm_ at ns2.seffner-schlesier.de>
Sep 17 15:28:34 ns2 postfix/qmgr[3765]: 0778A44025C: from=<technik at seffner-schlesier.de>, size=458, nrcpt=1 (queue active)
Sep 17 15:28:35 ns2 postfix/smtp[4058155]: 0778A44025C: to=<foo at stb.rauschert.de>, relay=stb-rauschert-de.mail.protection.outlook.com[52.101.73.15]:25, delay=1.8, delays=0.12/0/0.53/1.1, dsn=2.6.0, status=sent (250 2.6.0 <aMq3ghkwxo4d7bm_ at ns2.seffner-schlesier.de> [InternalId=3736621559604, Hostname=FR3PPF73E5878C3.DEUP281.PROD.OUTLOOK.COM] 12211 bytes in 0.409, 29.105 KB/sec Queued mail for delivery)
Sep 17 15:28:35 ns2 postfix/qmgr[3765]: 0778A44025C: removed

NS1 -> stb.rauschert.de -> nOK

Sep 17 16:01:46 ns1 postfix/pickup[70288]: 407D480A56A: uid=0 from=<root>
Sep 17 16:01:46 ns1 postfix/cleanup[261428]: 407D480A56A: message-id=<aMq_SglHmAXdMd3J at ns1.seffner-schlesier.de>
Sep 17 16:01:46 ns1 postfix/qmgr[4807]: 407D480A56A: from=<technik at seffner-schlesier.de>, size=458, nrcpt=1 (queue active)
Sep 17 16:01:46 ns1 postfix/smtp[361054]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[52.101.68.3]:25: num=62:hostname mismatch
Sep 17 16:01:46 ns1 postfix/smtp[361054]: 407D480A56A: Server certificate not verified
Sep 17 16:01:46 ns1 postfix/smtp[361054]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[2a01:111:f403:ca04::5]:25: num=62:hostname mismatch
Sep 17 16:01:46 ns1 postfix/smtp[361054]: 407D480A56A: Server certificate not verified
Sep 17 16:01:47 ns1 postfix/smtp[361054]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[52.101.68.15]:25: num=62:hostname mismatch
Sep 17 16:01:47 ns1 postfix/smtp[361054]: 407D480A56A: Server certificate not verified
Sep 17 16:01:47 ns1 postfix/smtp[361054]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[2a01:111:f403:ca04::d]:25: num=62:hostname mismatch
Sep 17 16:01:47 ns1 postfix/smtp[361054]: 407D480A56A: Server certificate not verified
Sep 17 16:01:47 ns1 postfix/smtp[361054]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[52.101.73.11]:25: num=62:hostname mismatch
Sep 17 16:01:47 ns1 postfix/smtp[361054]: 407D480A56A: to=<foo at stb.rauschert.de>, relay=stb-rauschert-de.mail.protection.outlook.com[52.101.73.11]:25, delay=1, delays=0.1/0.01/0.93/0, dsn=4.7.5, status=deferred (Server certificate not verified)

NS2 spricht mit IP 52.101.73.15   ./.   NS1 spricht mit 5 anderen IPs   -   sollte das der Grund sein

retry auf NS1

Sep 17 16:38:35 ns1 postfix/smtp[528412]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[52.101.68.25]:25: num=62:hostname mismatch
Sep 17 16:38:35 ns1 postfix/smtp[528412]: 407D480A56A: Server certificate not verified
Sep 17 16:38:35 ns1 postfix/smtp[528412]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[52.101.73.16]:25: num=62:hostname mismatch
Sep 17 16:38:35 ns1 postfix/smtp[528412]: 407D480A56A: Server certificate not verified
Sep 17 16:38:36 ns1 postfix/smtp[528412]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[52.101.68.27]:25: num=62:hostname mismatch
Sep 17 16:38:36 ns1 postfix/smtp[528412]: 407D480A56A: Server certificate not verified
Sep 17 16:38:36 ns1 postfix/smtp[528412]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[2a01:111:f403:ca09::9]:25: num=62:hostname mismatch
Sep 17 16:38:36 ns1 postfix/smtp[528412]: 407D480A56A: Server certificate not verified
Sep 17 16:38:36 ns1 postfix/smtp[528412]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[2a01:111:f403:ca09::3]:25: num=62:hostname mismatch
Sep 17 16:38:36 ns1 postfix/smtp[528412]: 407D480A56A: to=<foo at stb.rauschert.de>, relay=stb-rauschert-de.mail.protection.outlook.com[2a01:111:f403:ca09::3]:25, delay=2210, delays=2209/0/0.61/0, dsn=4.7.5, status=deferred (Server certificate not verified)

wieder keine 52.101.73.15 dabei
retry ...

Sep 17 16:40:10 ns1 postfix/smtp[528412]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[2a01:111:f403:ca09::e]:25: num=62:hostname mismatch
Sep 17 16:40:10 ns1 postfix/smtp[528412]: 407D480A56A: Server certificate not verified
Sep 17 16:40:10 ns1 postfix/smtp[528412]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[2a01:111:f403:ca09::d]:25: num=62:hostname mismatch
Sep 17 16:40:10 ns1 postfix/smtp[528412]: 407D480A56A: Server certificate not verified
Sep 17 16:40:10 ns1 postfix/smtp[528412]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[2a01:111:f403:ca04::8]:25: num=62:hostname mismatch
Sep 17 16:40:10 ns1 postfix/smtp[528412]: 407D480A56A: Server certificate not verified
Sep 17 16:40:10 ns1 postfix/smtp[528412]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[52.101.73.28]:25: num=62:hostname mismatch
Sep 17 16:40:10 ns1 postfix/smtp[528412]: 407D480A56A: Server certificate not verified
Sep 17 16:40:11 ns1 postfix/smtp[528412]: server certificate verification failed for stb-rauschert-de.mail.protection.outlook.com[52.101.68.29]:25: num=62:hostname mismatch
Sep 17 16:40:11 ns1 postfix/smtp[528412]: 407D480A56A: to=<foo at stb.rauschert.de>, relay=stb-rauschert-de.mail.protection.outlook.com[52.101.68.29]:25, delay=2305, delays=2304/0/0.66/0, dsn=4.7.5, status=deferred (Server certificate not verified)

So komme ich wohl nicht weiter.

Du lenkst die Spur auf
> Was ich bei mir statt smtp_tls_CApath konfiguriert habe:
>
Auch hier habe ich ein md5sum diff gefahren, es unterscheiden sich nur die *snakeoil* und links darauf.

> smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
> 
Auch damit keine Zustellung.

> Und: Könntest Du smtp_tls_policy_maps auskommentieren und auch damit dann eine Testmail schicken, um das als Ursache ausschließen zu können?
> 
Sep 17 16:56:00 ns1 postfix/smtp[672694]: 407D480A56A: to=<foo at stb.rauschert.de>, relay=stb-rauschert-de.mail.protection.outlook.com[52.101.68.36]:25, delay=3255, delays=3253/0.01/0.26/0.96, dsn=2.6.0, status=sent (250 2.6.0 <aMq_SglHmAXdMd3J at ns1.seffner-schlesier.de> [InternalId=58050777994728, Hostname=FR6P281MB4107.DEUP281.PROD.OUTLOOK.COM] 12229 bytes in 0.164, 72.384 KB/sec Queued mail for delivery)

Also habe ich das zerlegt. An der hash:map liegt es nicht - aber am "postfix-mta-sts-resolver" (der aber auch auf NS2 läuft).

Das Paket ist auf beiden Servern identisch, die config auch, der cache nicht.
Die "mta-sts-query" liefert auf beiden Servern das gleiche Ergebnis, im Grunde ja aus dem DNS.

Aber:

root at ns2:/var/lib/mta-sts# postmap -q stb.rauschert.de socketmap:inet:127.0.0.1:8461:postfix
secure match=stb-rauschert-de.mail.protection.outlook.com servername=hostname
   ./.
root at ns1:/var/lib/mta-sts# postmap -q stb.rauschert.de socketmap:inet:127.0.0.1:8461:postfix
secure match=mail2.stb.rauschert.de:mail3.stb.rauschert.de servername=hostname

Auf NS1 den cache gelöscht und:

root at ns1:/var/lib/mta-sts# postmap -q stb.rauschert.de socketmap:inet:127.0.0.1:8461:postfix
secure match=stb-rauschert-de.mail.protection.outlook.com servername=hostname

Ich verfolge das mal in github weiter ...


Mit freundlichen Grüßen

Ronny Seffner

Mehr Informationen über die Mailingliste postfix-users