[Postfixbuch-users] TLS für localhost Verbindungen unterbinden

[Jan P. Kessler]

Moin,

bei einem Kunden setzen wir postfix und eine etwas ältere Version der
Trendmicro Viruswall for UNIX im üblichen Sandwich-Verfahren ein.
Letztere mag allerdings kein STARTTLS (lost connection to 127.0.0.1
after STARTTLS, heul).

Da wir TLS optional jedem anbieten, hatte ich unter postfix 2.2 daher
eine tls_per_site Map eingesetzt, die folgendes enthielt:

 # TLS für localhost unterbinden
 127.0.0.1	none
 localhost	none
 # Rest
 <dummy>	MUST_NOPEERMATCH
 ...

was auch blendend funktionierte.

Nun wollte ich das ganze kürzlich auf pf >= 2.3 kompatible Syntax
umstellen und habe die Map daher in Richtung smtp_tls_policy_maps
umgestellt. Doch egal, wie ich es eintrage, für die Verbindung zur Trend
wird weiterhin TLS versucht, was natürlich scheitert. Ich habe folgende
Kombinationen ausprobiert:

 127.0.0.1		none
 [127.0.0.1]:10025	none
 [127.0.0.1]:virusscan	none

Half nix - es wurde immer wieder TLS versucht. Letztendlich habe ich mir
nun via master.cf beholfen:

# Eingang, tcp 25
smtp      inet  n       -       y       -       -       smtpd
  -o smtp_use_tls=no -o smtpd_use_tls=yes

# reinjection, tcp 10026
smtp-out  inet  n       -       y       -       -       smtpd
  -o smtp_use_tls=yes -o smtpd_use_tls=no

was auch klappt. Dennoch frage ich mich, ob ich das ganze nicht via Map
steuern könnte. Was übersehe ich hier nur?

Gruesse, Jan