[Postfixbuch-users] tls_policy wird durch transport nicht beachtet

[Christian Bricart]

Tobias Luithardt wrote:
>>> Hallo zusammen,
>>>
>>> durch einen Test bin ich auf folgendes gestossen.
>>>
>>> Wenn man in einer tls_policy zum Beispiel folgendes einträgt
>>> example.com                        secure ciphers=high
>>> und zusätzlich einen transport hat:
>>> example.com                        :[10.1.1.1]
>>>
>>> dann wird die tls_policy ausser Kraft gesetzt und man müsste
>>> eigentlich nur eine tls_policy fuer das Transport-Ziel angeben(und
>>> nicht für die Domain):
>>> [10.1.1.1]                         secure ciphers=high
>>>
>>>
>>> Könnt Ihr dieses Verhalten bestätigen und wenn ja mir evtl. die
>>> Augen öffnen, warum dies so sein muss/soll/darf....
>
>>Weil nach dem nächsten Hop gesucht wird:
>>http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps
>
> Ja, und der ist in meinem Beispiel 10.1.1.1 durch ein transport
> festgelegt.
> Warum unterscheidet der Postfix zwischen einem manuellen Transport und des
> selbstgefunden Hosts
> ueber MX-Aufloesung?
> Dies verstehe ich leider an Hand des Links noch nicht ganz.
> Mir scheint es dort eher um die Vertrauenswürdigkeit der MX Auflösung zu
> gehen. Bei secure wird diese verneint.

öh - wird das denn *überhaupt* gehen..? Weil dann müsste sich ja die
10.1.1.1 mit einem Zertifikat ausgestellt auf exakt genau
CommonName=10.1.1.1 melden, und weil der Postfix ja eigentlich mit
"example.com" sprechen wollte direkt aus Sicherheitsgründen
weggeschmissen, oder?

Christian