postfix-tlspol
Andreas Pothe
mailinglisten at pothe.de
Mi Okt 1 15:36:09 CEST 2025
Hi,
hat jemand schon länger Erfahrung mit postfix-tlspol? Ziel ist es, dass
Postfix ausgehend zunächst versucht, die Mailserver über DANE zu
verifizieren. Klappt das nicht, wird geschaut, ob das Zielsystem MTA-STS
besitzt. Nur, wenn das auch nicht existiert, soll einfach jede
x-beliebige Verschlüsselung genommen werden.
Wenn ich die Dokumentation richtig verstehe, ist die Rückfallebene aber
immer "encrypt" und nicht "may", oder verstehe ich das falsch?
Da Mailserver, die keine Transportverschlüsselung anbieten* mittlerweile
(zum Glück) rar geworden sind, würde ich da entweder gern auf
Erfahrungen zurückgreifen oder selber testen. Gibt es einen
Mailservertest, an dem man ausgehend Mails senden kann, die dann aber
ausschließlich unverschlüsselt angenommen werden?
Viele Grüße
Andreas
* Eine große, international tätige und in Deutschland viel genutzte Bank
versendet E-Mail-Benachrichtigungen über neue Poststücke im
Online-Banking tatsächlich ausschließlich unverschlüsselt. Diese Server
nehmen aber keine E-Mails an; die eingehenden Server bieten TLSv1.2
(aber nicht TLSv1.3) mit Forward Secrecy an. Ich habe die entsprechenden
Stellen der Bank mal angeschrieben mit der Bitte, das dringend zu ändern.
Mehr Informationen über die Mailingliste Postfixbuch-users