<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Am 10.07.2015 um 11:37 schrieb Patrick Ben Koetter:<br>
    <blockquote cite="mid:20150710093745.GE5253@sys4.de" type="cite">
      <pre wrap="">* Andreas Pothe <a class="moz-txt-link-rfc2396E" href="mailto:postfixbuch-users@listen.jpberlin.de"><postfixbuch-users@listen.jpberlin.de></a>:
</pre>
      <blockquote type="cite">
        <pre wrap="">Was mir aber auch aufgefallen ist: Ich habe im Maillog bislang nur
Verified und Untrusted TLS-Verbindungen drin, bislang kein einziges mal
einen Trusted Postausgang - selbst die "großen" Anbieter wie T-Online,
Gmail, GMX & Co. aber auch Bankinstitute (einschließlich der Postbank,
die zwar DNSSEC hat, aber kein DANE) sind nur Untrusted. Ist es wirklich

Kann es sein, dass Du dem smtp-Client keine CA, in der er nachprüfen kann ob
das Cert von einer ihm bekannten CA signiert (ca-chain) wurde, an die Seite
gegeben hast? 

Der Klassiker wäre Folgendes einzutragen:

    smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt


</pre>
      </blockquote>
    </blockquote>
    So ähnlich, dank Deines Hinweises bin ich dem Mysterium auf die Spur
    gekommen. Ich habe ein smtp_tls_CAfile in der main.cf angegeben, ja.
    Aber Postfix hängt das standardmäßig nicht an die System-CAs an,
    sondern nimmt nur diese Liste.<br>
    <br>
    Kaum habe ich die main.cf um "<a
      href="http://www.postfix.org/postconf.5.html#tls_append_default_CA">tls_append_default_CA</a>
    = yes" ergänzt, sind Verbindungen zu t-online.de & Co auch schon
    Trusted...<br>
    <br>
    Manchmal sind es Kleinigkeiten.<br>
    <br>
    CU<br>
    Andreas<br>
  </body>
</html>