<html dir="ltr"><head></head><body style="text-align:left; direction:ltr;"><div>Hallo Alex,</div><div><br></div><div>danke für die schnelle Antwort.</div><div>smtp_tls_CAfile   ist bei mir auf mein ca-certificate file gesetzt. So wie ich die Doku verstanden habe, sollte es reichen und CApath is eine Performance Alternative?!</div><div>Dies würde auch erklären, warum andere Verbindungen (z.B. web.de) als "Trusted" eingestuft werden.</div><div><br></div><div>Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle spielt. Es soll ja nun die Validität des Zertifikats durch den DNSSEC gesicherten TLSA Eintrag geprüft werden. Und das scheint irgendwie nicht zu funktionieren?</div><div><br></div><div><br></div><div>Am Samstag, den 11.04.2020, 14:10 +0200 schrieb Alex JOST:</div><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><pre>Am 10.04.2020 um 20:34 schrieb Christian:</pre><pre>Hallo zusammen,</pre><pre><br></pre><pre>bisher hatte ich mich bei meinem privaten E-Mail Server immer auf</pre><pre>eingehende E-Mails bei DANE konzentriert. Allerlei Testtools bestätigen</pre><pre>auch, dass dies funktioniert.</pre><pre><br></pre><pre>Nun habe ich mal geschaut, ob es auch ausgehend funktioniert und</pre><pre>folgendes bei havedane.net herausbekommen:</pre><pre><br></pre><pre>Email to non-DANE domain delivered.</pre><pre><br></pre><pre><br></pre><pre><br></pre><pre>         Email to DANE domain delivered.</pre><pre><br></pre><pre><br></pre><pre><br></pre><pre><br></pre><pre><br></pre><pre>         Email to domain with invalid DANE delivered.</pre><pre><br></pre><pre>Letzteres ist ja ehr bedenklich, da es bedeutet, dass mein Server auch</pre><pre>an falsche DANE Einträge die E-Mails zustellt. Nun habe ich alle</pre><pre>möglichen Seiten zur DANE Einrichtung abgeklappert und alle sind sich</pre><pre>einig, dass DANE folgendermaßen konfiguriert werden soll:</pre><pre><br></pre><pre>smtp_dns_support_level = dnssec</pre><pre>smtp_tls_security_level = dane</pre><pre>smtp_host_lookup = dns</pre><pre><br></pre><pre>Dem ist auch bei mir so. Die Logs zeigen eigentlich nichts</pre><pre>verdächtiges, dass einzige was mir aufgefallen ist:</pre><pre><br></pre><pre>Apr 10 19:58:37 server docker/postfix/smtp[143]: Untrusted TLS</pre><pre>connection established to</pre><pre>do.havedane.net[2001:1af8:4700:a118:90::7c0]:25: TLSv1.2 with cipher</pre><pre>ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)</pre><pre>Apr 10 19:58:37 server docker/postfix/smtp[144]: Untrusted TLS</pre><pre>connection established to</pre><pre>dont.havedane.net[2001:1af8:4700:a118:90::7c0]:25: TLSv1.2 with cipher</pre><pre>ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)</pre><pre>Apr 10 19:58:37 server docker/postfix/smtp[145]: Untrusted TLS</pre><pre>connection established to wrong.havedane.net[5.79.70.105]:25: TLSv1.2</pre><pre>with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)</pre><pre><br></pre><pre>Alle Verbindungen sind untrusted, entsprechend scheint etwas</pre><pre>grundlegendes falsch zu sein? Ich habe andere TLS Verbindungen geprüft</pre><pre>und diese werden als Trusted angezeigt. Ehrlicherweise weiß ich nicht</pre><pre>mehr wie ich nun den Fehler finden kann.</pre><pre><br></pre><pre>Kann mir jemand hier weiter helfen? Wenn ja, welche Infos werden</pre><pre>benötigt?</pre><pre><br></pre><pre>Postfix weiß von sich aus nicht welche Zertifikate du als </pre><pre>vertrauenswürdig erachtest. Deshalb musst du mit smtp_tls_CAfile bzw. </pre><pre>smtp_tls_CApath angeben, wo sich die vertrauenswürdigen Zertifikate </pre><pre>befinden.</pre><pre><br></pre><pre><br></pre></blockquote></body></html>