postscreen oder reject_rbl_client für smtps

[Hajo Locke]

Hallo Liste,

ich suche Eure Hilfe zu einem Konfigurationsproblem.

Wir setzen eine eigene RBL ein, in der wir die IPs von 
smtp-bruteforcenden Clients oder auch KundenIPs nach einem erkannten 
Hack speichern und per postcreen direkt abweisen können. Wir machen das 
bewusst per postscreen_dnsbl_sites vor jeglichem 
permit_sasl_authenticated. Das läuft gut auf Port 25 und 587.

Neuerdings probieren einige IPs aber smtp-auths auf Port 465 durch, dort 
haben wir bisher keinen postscreen.
Ich versuche nun auf Port 465 ebenfalls postscreen analog zu meinen 
Einstellungen für port 25/587 zu aktivieren.  Scheinbar ist das aber 
nicht vorgesehen, trotz -o smtpd_tls_wrappermode=yes ist der Zugriff 
ausschließlich unverschlüsselt möglich. Hier greifen sicherlich nur 
postscreeneigene Optionen, für die es offenbar kein Pendant zu 
smtpd_tls_wrappermode gibt.

Als Alternative probierte ich die smtpd_client_restrictions des 
bisherigen smtpd auf Port 465 um reject_rbl_client zu erweitern, auch 
das würde mir genügen. Das scheitert aber am Whitespace, den ich 
zwingend bei reject_rbl_client verwenden muss.
Ich kann es in der master.cf hin und herdrehen, irgendwelche Fehler gibt 
es immer:

Gibt es denn eine Möglichkeit sowas in der master.cf zu verwenden?
  -o smtpd_client_restrictions=reject_rbl_client myrbl.example.com

Ich will eigentlich nicht auf postscreen verzichten und extra wegen 
smtps einen reject_rbl_client in die Standard 
smtpd_recipient_restrictions aufnehmen.

Danke für Eure Tipps,
Hajo