<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">Hallo Roland,<br>
      <br>
      vielen Dank für die ausführlichen Tipps.<br>
      <br>
      Vermutlich liegt mein Problem an der Reverse-DNS-Auflösung
      (sprich: dig -x 10.100.120.251).<br>
      Es gibt in diesem Umfeld kein DNS/Reverse-DNS  und ich kenne
      keinen Weg, meinen Host hier zu überlisten, da die /etc/hosts
      Datei ja nur vorwärts-Auflösung macht.<br>
      Dann kann ich da vermutlich nichts tun oder hat noch jemand ne
      Idee?<br>
      <br>
      Die Zertifikatskette ist soweit schlüssig und alle Zertifikate
      sind eingebunden, daher ergibt der manuelle Test mit "openssl
      s_client" auch keine Fehler. ("Verify return code: 0 (ok)"),<br>
      aber vermutlich wird hier nicht reverse-DNS geprüft.<br>
      <br>
      Postfix läuft nicht im chroot...<br>
      <br>
      Schöne Grüße, Ralf<br>
      <br>
      <br>
      <br>
      Am 15.05.2015 um 18:52 schrieb Roland Schnabel:<br>
    </div>
    <blockquote cite="mid:5556243B.6090408@rolandschnabel.de"
      type="cite">
      <meta content="text/html; charset=windows-1252"
        http-equiv="Content-Type">
      Hallo Ralf,<br>
      <br>
      ich würde mal folgende Punkte prüfen:<br>
      <br>
      1.<br>
      "tls_append_default_CA = yes" beim SMTP-Client setzen. Das hatte
      bei mir mal ähnliche Probleme verursacht.<br>
      <br>
      2.<br>
      Ist der DNS-Name im Server-Zertifikat (ggf. unter Alternate
      DNS-Names) auch derjenige, den der SMTP-Client per DNS auflösen
      kann? (sprich: dig -x 10.100.120.251)<br>
      <br>
      3.<br>
      Bei der Ausgabe von "openssl s_client ..." auf dem SMTP-Client
      nochmal GENAU die gesamte Zertifikatskette prüfen. Die wird gleich
      am Anfang ausgegeben. Falls dort Fehler auftreten, gibt das
      ähnliche Probleme.<br>
      <br>
      4. <br>
      Sicherstellen dass das Zertifikatsverzeichnis auch wirklich vom
      Postfix gelesen werden kann (s. Chroot-Umgebung von Postfix,
      selinux, Apparmor, etc.).<br>
      <br>
      Viele Grüße,<br>
      Roland<br>
      <br>
      <br>
      <div class="moz-cite-prefix"><br>
      </div>
    </blockquote>
  </body>
</html>