Verifikation des einliefernden Servers pro Absender-Domain

[Alex JOST]

Am 31.08.2016 um 00:34 schrieb Richard Rafalski:
> Hallo,
>
> ich möchte für eine vorgegebene Domain (mydomain.tld) einen
> Verschlüsselten und über SSL-Zertifikate verifizierten Mailaustausch
> zwischen 2 Servern sicherstellen. Wobei ich nur Zugriff auf einen Server
> (A) hab.
>
> 1. Server A soll bei herausgehenden Mails für die Empfänger-Domain
> mydomain.tld die Mail an Server B verschlüsselt übermitteln und dessen
> Zertifikat überprüfen.
>
> 2. Server A soll bei reinkommenden Mails für die Absender-Domain
> mydomain.tld nur verschlüsselte Verbindungen von Server B akzeptieren.
> Server B wird wieder anhand seines Zertifikats identifiziert.
>
> 1. ist bereits mit einer transport-table und einer tls_policy eingerichtet:
>
> main.cf enthält
>
> smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
>
> transport_maps = hash:/etc/postfix/transport
>
> und /etc/postfix/tls_policy
>
> [serverb.mydomain.tld]  secure match=serverb.mydomain.tld
>
> und /etc/postfix/transport
>
> mydomain.tld         smtp:[serverb.mydomain.tld]
>
> Wie geht man am besten bei 2. vor?
>
> Bin für Hinweise und Anregungen dankbar
>
> Richard

Du kannst den Absender z.B. mit check_client_access oder 
check_sender_access in den smtpd_*_restrictions überprüfen, und dort 
eine Klartext-Verbindung verhindern.

/etc/postfix/main.cf:
     smtpd_recipient_restrictions =
         [...]
         check_client_access cidr:/etc/postfix/kein_klartext.cidr,
         [...]

/etc/postfix/kein_klartext.cidr:
     1.2.3.4        reject_plaintext_session


Mir ist leider abgesehen von DANE keine Möglichkeit bekannt das 
Zertifikat von eingehenden Verbindungen genauer zu überprüfen.

-- 
Alex JOST