[Postfixbuch-users] TLS hostbasiert erzwingen

[Ronny Seffner]

Hallo Werner,

> ich denke du magst dir
> http://www.postfix.org/TLS_README.html#client_tls_policy
> ansehen :)
>
Das habe ich wiederholt getan. Und da steht doch, dass der Index der
tls_policy_table entweder die recipient domain oder den, in einer transport
table definierten, nexthop enthalten darf. In meinem Fall des secondary MX
gibt es doch aber keine transport table für den Weg zum primary MX, da diese
Aufgabe doch ein DNS request und dessen Antwort löst. Also ist es mir nicht
möglich die tls_policy_table einzusetzen ohne die Domains zu benennen oder
den nexthop in einem transport zu definieren.

Meine Frage bleibt also: gibt es eine Möglichkeit, unabhängig von
Empfängerdomain oder transport die Verbindung zu einem speziellen Server
(IP/FQDN) im TLS Verhalten zu beeinflussen (und auch nur diese eine
Verbindung)? Um die Mühe nun alle Domains gesondert aufzuführen, möchte ich
mich u.a. der Flexibilität wegen gern drücken.

Ich führe in relay_domains des secondary MX z.B. "domain.tld    OK". Einen
weiteren Verweis auf domain.tld gibt es in dieser postfix Konfiguration
nicht. Kippt nun irgendwer an diesem Server ein mail an "user at domain.tld"
ab, nimmt er wegen des relay_domains Eintrages entgegen, weiß aber auch,
dass er kein lokales Ziel für die Post hat und prüft im DNS wohin mit der
Mail. Dabei stößt dieser Server auf den primary MX und queued dieses Mail
dahin. Mein Wunsch wäre nun ein Eintrag in der tls_policy_map wie dieser:
"[primary.isp.tld]    secure match=primary.isp.tld" - nur dass genau das aus
o.g. Gründen nicht funktioniert. Wie also kann ich mein Anliegen
realisieren?


Mit freundlichen Grüßen / Kind regards
     Ronny Seffner
-- 
Ronny Seffner  |  Alter Viehweg 1  |  01665 Klipphausen

www.seffner.de  |  ronny at seffner.de  |  +49 35245 72950