[Postfixbuch-users] Log-Informationen Postausgang

Andreas Pothe mailingliste-postfixbuch+spamtrap at pothe.de
Fr Jul 10 11:20:47 CEST 2015


Servus,

da ich mich seit geraumer Zeit mit DNSSEC und DANE beschäftige, habe ich
das inzwischen natürlich auch für meinen Mailserver aktiviert und das
Logging entsprechend hochgedreht, sodass ich sehen kann, welche
ausgehenden Verbindungen Verified, Trusted oder Untrusted sind. Nun habe
ich keinen High-Traffic-Server, vielmehr laufen nur meine kleine
Nebenerwerbs-Ein-Personen-Firma sowie meine private Korrespondenz
darüber, entsprechend klein sind auch die Postausgangsraten.

Erfreulicherweise habe ich aber bereits festgestellt, dass mit Kabel
Deutschland inzwischen auch ein größerer (E-Mail-) Provider DANE
einsetzt (kabelmail.de), es also nicht mehr nur ein Thema für kleine,
nahezu unbekannte Anbieter wie Posteo, mail.de oder mailbox.org ist.

Was mir aber auch aufgefallen ist: Ich habe im Maillog bislang nur
Verified und Untrusted TLS-Verbindungen drin, bislang kein einziges mal
einen Trusted Postausgang - selbst die "großen" Anbieter wie T-Online,
Gmail, GMX & Co. aber auch Bankinstitute (einschließlich der Postbank,
die zwar DNSSEC hat, aber kein DANE) sind nur Untrusted. Ist es wirklich
so, dass praktisch alle nicht von einer CA unterschriebene Zertifikate
benutzen? Oder fehlt da nur etwas in meinem Postfix?
Ok, ich gebe zu, bei mir ist das Zertifikat auch nur von einer CA
unterschrieben, weil es identisch ist mit dem des Webservers und ein
Einsatz auf verschiedenen Servern vom Anbieter her auch erlaubt ist.

Was mir aber noch aufgefallen ist: Eine nicht verschlüsselte Verbindung
wird bei mir nicht weiter im Logfile markiert.
Bei einem verschlüsselten Postausgang steht im Logfile z. B. soetwas
(gekürzt):

postfix/smtp[4613]: Untrusted TLS connection established to
smtp.rzone.de[2a01:238:20a:202:50f0::2097]:25: TLSv1.2 with cipher
ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
postfix/smtp[4613]: 8AF6C280002: to=<SNIP>,
relay=smtp.rzone.de[2a01:238:20a:202:50f0::2097]:25, [SNIP]


Bei einer unverschlüsselten Verbindung dagegen nur:
postfix/smtp[4671]: 79C93280002: to=<SNIP>,
relay=smtp.tin.it[62.211.72.32]:25, [SNIP]


Gibt es die Möglichkeit, hier auch eine weitere Info einzubringen, dass
es sich um eine nicht-verschlüsselte Verbindung handelt?

TIA!
Andreas



Mehr Informationen über die Mailingliste Postfixbuch-users