Postfix TLS für spezifische MXe deaktivieren

Chris-HN

New Member
Guten Morgen Gemeinde,

ich habe seit geraumer Zeit ein Problem, an der ich echt am Verzweifeln bin. :mad:

Mein Ziel ist es, alle Mails, die einem bestimmten MX zugestellt werden sollen (nennen wir ihn mal mx.server.com), ohne TLS zuzustellen. Das Problem ist, dass besagter MX mehrere hundert Domains bedient, die ich natürlich nicht alle einzeln in meine TLS-Policy aufnehmen will ;)

In meiner TLS-Policy habe ich schon alle möglichen Varianten mit führendem Punkt, in eckiger Klammer, mit Angabe des Ports 25 etc. versucht.

mx.server.com none
.mx.server.com none
.server.com none
[mx.server.com] none
[.mx.server.com] none
[.server.com] none
mx.server.com:25 none
.mx.server.com:25 none
.server.com:25 none
[mx.server.com]:25 none
[.mx.server.com]:25 none
[.server.com]:25 none
[12.23.34.45] none
[12.23.34.45]:25 none
12.23.34.45 none
12.23.34.45:25 none

entgegen der Postfix-Doku habe ich auch noch jeweils "none match=nexthop" versucht, allerdings auch mit dem Ergebnis, dass Postfix eine TLS-Verbindung zu mx.server.com aufbauen will.

Postmap -q mx.server.com tls-policy liefert ganz artig "none" zurück :(

Hintergrund der Aktion ist, dass der "Anti-Spam-Provider" irgendwelche Probleme mit unseren self-signed TLS-Zertifikaten hat und deshalb immer die Verbindung kappt.

In meinen Protokollen sehe ich folgende Einträge:

2013-07-29T10:30:19.278686+02:00 mail1 postfix/smtp[15307]: Trusted TLS connection established to mx.
server.com[12.23.34.45]:25: TLSv1 with cipher AES256-SHA (256/256 bits)

2013-07-29T10:30:19.353929+02:00 mail1 postfix/smtp[15308]: 0A4692007A: to=<xxxxx@xxx.xxx.de>, relay=mx.server.com[12.23.34.45]:25, delay=256425, delays=256424/0.02/1.8/0, dsn=4.4.2, status=deferred (lost connection with mx.server.com[12.23.34.45] while performing the HELO handshake)

Falls jemand einen Tipp hat, ich wäre dafür offen ;)

Ach ja: Die TLS-Policy ist definitiv korrekt in Postfix eingebunden. Trage ich eine Empfängerdomain ein, die sich hinter besagtem MX versteckt, wird keine TLS-Verbindung aufgebaut.

Beste Grüße
Christian
 

Chris-HN

New Member
Hi Till,

klar, wäre eine Möglichkeit, wobei es beim "echten" Zertifikat weniger auf die Kosten ankommt. Die 100 Tacken im Jahr sollte mein Chef locker machen können :)

Das Problem ist, dass einige Kunden (namhafte Konzerne, keine "Keller- und Briefkastenfirmen") den Fingerprint unserer Zertifikate vergleichen und bei Nicht-Übereinstimmung eben nichts annehmen bzw. rausschicken. Der Aufwand, alle Kunden da zu einem bestimmten Stichtag unter einen Hut zu bekommen, dass unsere Zertifikate getauscht werden ist nicht gerade klein, daher würde ich natürlich eine Beibehaltung der Zertifikate bevorzugen :)

Beste Grüße
Christian
 

Werbung

Top