[Postfixbuch-users] Erfahrungen mit "Mandatory SMTP Client TLS"?

Christian Bricart christian at bricart.de
Do Jul 26 14:30:57 CEST 2012


Servus zusammen,

ich müsste für einige Ziele die Transport-Verschlüsselung als "zwingend"
aktivieren...

das sollte doch (quoting the manual) folgendermassen funktionieren:

global gesetzt ertmal nur "opportunistic":

smtp_tls_security_level=may

und zusätzlich dann über policy table

smtp_tls_policy_maps = hash:/etc/postfix/tls_policy

/etc/postfix/tls_policy:
    example.com       encrypt
    .example.com      encrypt

Jetzt stellte sich mir die Frage:
wenn die Gegenseite bei example.com bspw. drei MXer hat, wovon zwei ein
STARTTLS annoncieren und der dritte nicht (lies: aus gutem Grund, weil der
gar kein Zertifikat installiert hat und überhaupt gar nicht TLS kann -
"dummer ungepflegter Backup-MX"..)
Was passiert, wenn ich diesen dritten MXer mit meiner Mail erwische..?
Geht die dann direkt als unzustellbar zurück..? Immerhin antwortet der
Server mit 5xx:

> STARTTLS
< 502 5.5.1 Error: command not implemented

In der Postfix-Doku dazu steht:
"At the "encrypt" TLS security level, messages are sent only over TLS
encrypted sessions. The SMTP transaction is aborted unless the STARTTLS
ESMTP feature is supported by the remote SMTP server. If no suitable
servers are found, the message will be deferred."

Das würde doch eher nur bei 4xx Sinn machen.. ich bin verwirrt ;-)

Zusätzliche Frage: Wie verhalten sich diesbezüglich andere
Mailserver-Softwaren..? Jemand Erfahrungen damit?

 Grüsse
   Christian






Mehr Informationen über die Mailingliste Postfixbuch-users