<html>
<head>
<meta content="text/html; charset=windows-1252"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
Am 10.07.2015 um 11:37 schrieb Patrick Ben Koetter:<br>
<blockquote cite="mid:20150710093745.GE5253@sys4.de" type="cite">
<pre wrap="">* Andreas Pothe <a class="moz-txt-link-rfc2396E" href="mailto:postfixbuch-users@listen.jpberlin.de"><postfixbuch-users@listen.jpberlin.de></a>:
</pre>
<blockquote type="cite">
<pre wrap="">Was mir aber auch aufgefallen ist: Ich habe im Maillog bislang nur
Verified und Untrusted TLS-Verbindungen drin, bislang kein einziges mal
einen Trusted Postausgang - selbst die "großen" Anbieter wie T-Online,
Gmail, GMX & Co. aber auch Bankinstitute (einschließlich der Postbank,
die zwar DNSSEC hat, aber kein DANE) sind nur Untrusted. Ist es wirklich
Kann es sein, dass Du dem smtp-Client keine CA, in der er nachprüfen kann ob
das Cert von einer ihm bekannten CA signiert (ca-chain) wurde, an die Seite
gegeben hast?
Der Klassiker wäre Folgendes einzutragen:
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
</pre>
</blockquote>
</blockquote>
So ähnlich, dank Deines Hinweises bin ich dem Mysterium auf die Spur
gekommen. Ich habe ein smtp_tls_CAfile in der main.cf angegeben, ja.
Aber Postfix hängt das standardmäßig nicht an die System-CAs an,
sondern nimmt nur diese Liste.<br>
<br>
Kaum habe ich die main.cf um "<a
href="http://www.postfix.org/postconf.5.html#tls_append_default_CA">tls_append_default_CA</a>
= yes" ergänzt, sind Verbindungen zu t-online.de & Co auch schon
Trusted...<br>
<br>
Manchmal sind es Kleinigkeiten.<br>
<br>
CU<br>
Andreas<br>
</body>
</html>