Zuerstmal: SSL und S2S in Mail ist kaputt.
Stellst du smtp_tls_security_level=encrypt Kannst du mit der hälfte der Kontakte nicht mehr Mailen, weil die kein TLS unterstützen.
Stellst du smtp_tls_security_level=may kann ein MITM einfach die Verschlüsslung abstellen.
Entsprechend ist es auch sinnlos smtp_tls_CApath zu setzen. Was btw. nochmal ärger macht, weil auch da die meisten Anbieter schlampen. Reagierst du auf ein nicht validierbares Cert mit senden kannst du die Validierung auch sein lassen. Reagierst du anders kannst du Web oder GMX nicht mehr verschicken.)
Positivlisten kennt postfix meines Wissens nicht.
Abhilfe würde DNSSEC und smtp_tls_security_level=dane schaffen.
Leider gibt es keine größeren Anbieter, die das unterstützen. (Schaden kann's aber nichts, wenn dein postfix aktuell genug ist.) Such mal nach dane. Du willst das auch für den smtpd unterstützen.
Bleibt als einfach auf gut glück zu verschlüsseln. Anfällig gegen MITM aber passiver Mitschnorchler, wie die typischen Geheimdienstaktionen sind dann erstmal außen vor.
Überprüfen kannst du das indem du das setzt:
smtp_tls_loglevel = 1
Und dann mal eine Mail an Googlemail verschickst. (Muss keine Adresse sein, die es wirklich gibt.)
Dann sollte im Syslog sowas auftauchen:
Code: Alles auswählen
Untrusted TLS connection established to gmail-smtp-in.l.google.com[2a00:1450:4013:c01::1b]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
