Postfix kann mit den tls_policy_maps mitgeteilt werden, in welchem Authentifizierungsmodus eine Verbindung zu einem anderen Mailserver hergestellt werden soll. Die Policy „secure“ ist neben „verify“ dabei besonders attraktiv: Statt sich bei der Verifizierung der TLS-Zertifikate auf MX-Records aus dem DNS zu verlassen, muss ein im Zertifikat vorhandener Hostname mit „secure“ standardmäßig genauso heißen, wie die Domain der E-Mail-Adressen (oder wie eine Subdomain davon).
Wenn eine E-Mail an „user1@domain.tld“ geschickt werden soll, muss der dazugehörige Mailserver in seinem Zertifikat entweder ein „domain.tld“ vorweisen können, oder eine Subdomain davon, z.B. mx.domain.tld. Wenn das Zertifikat dann auch noch von einer CA stammt, die auf dem eigenen Mailserver registriert ist, kann eine sichere Verbindung zustande kommen.
In meinen Tests zur „secure“ Policy ist mir jedoch aufgefallen, dass Verbindungen zu GMX scheiterten:
"Server Certificate not verified"
lautete die Fehlermeldung im Postfix-Log. Eine Authentifizierung der TLS-Verbindung schlug fehl und die E-Mail an ein GMX-Konto konnte nicht zugestellt werden. Der Grund dafür ist einfach, aber nicht gleich ersichtlich: Wenn man sich die MX-Einträge zur Domain „gmx.de“ ansieht, fällt auf, dass die Hostnamen der zuständigen Mailserver z.B. „mx01.emig.gmx.net“ oder „mx00.emig.gmx.net“ heißen: Die Hostnamen enden nicht auf .de, sondern auf .net und stimmen daher nicht mit der Domain der Empfängeradresse (gmx.de) überein. Das akzeptiert Postfix in der „secure“ Einstellung nicht und verweigert daher die Zustellung.
Gut, dass man die Default-Einstellung „Hostname muss zur Mail-Domain passen“ ändern kann: Das standardmäßig gesetzte „match=.domain.tld:domain.tld“ wird im Fall von GMX einfach überschrieben. Eine TLS Policy für GMX lautet also wie folgt:
gmx.de secure match=.gmx.net
GMX ist übrigens nicht der einzige Anbieter, für den die Policy mit einem passenden „match“ erweitert werden muss. Yahoo nutzt für die Hostnamen seiner Mailserver nämlich auch nicht yahoo.com, sondern yahoodns.net:
yahoo.com secure match=.yahoodns.net