<html dir="ltr"><head></head><body style="text-align:left; direction:ltr;"><div>Meine Postfix Version ist 3.4.9</div><div>Den Resolver habe ich mit dig vom Postfix host aus geprüft und er gibt mir ein "ad" Flag zurück. Also müsste DNSSEC grundsätzlich funktionieren.</div><div><br></div><div>Wenn ich wenigstens irgendwelche debugging tools finden würde, mit denen ich den Käse nachvollziehen kann. Irgendwie ist das sehr Black Boxig was Postfix da macht.</div><div><br></div><div><br></div><div>Am Samstag, den 11.04.2020, 14:59 +0200 schrieb Alex JOST:</div><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><pre>Am 11.04.2020 um 14:35 schrieb Christian:</pre><pre></pre><pre>Hallo Alex,</pre><pre><br></pre><pre>danke für die schnelle Antwort.</pre><pre>smtp_tls_CAfile   ist bei mir auf mein ca-certificate file gesetzt. So</pre><pre>wie ich die Doku verstanden habe, sollte es reichen und CApath is eine</pre><pre>Performance Alternative?!</pre><pre>Dies würde auch erklären, warum andere Verbindungen (z.B. web.de) als</pre><pre>"Trusted" eingestuft werden.</pre><pre><br></pre><pre>Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle</pre><pre>spielt. Es soll ja nun die Validität des Zertifikats durch den DNSSEC</pre><pre>gesicherten TLSA Eintrag geprüft werden. Und das scheint irgendwie</pre><pre>nicht zu funktionieren?</pre><pre><br></pre><pre>Habe mit DANE leider selbst keine Erfahrungen gesammelt, deshalb kann </pre><pre>ich dir nur Hilfe leisten. Aber soweit ich gelesen habe, sollte Postfix </pre><pre>bei DANE ein "Verified" anstatt "Trusted" loggen. Und da web.de meines </pre><pre>Wissens DANE unterstützt dürfte da wirklich was nicht funktionieren.</pre><pre><br></pre><pre>Hast Du überprüft, dass dein DNS Resolver DNSSEC unterstützt? Welche </pre><pre>Version von Postfix verwendest du?</pre><pre><br></pre><pre><br></pre></blockquote></body></html>