Ich richte gerade Postfix ein und es sollte als reine Sendelösung laufen – es werden keine E-Mails empfangen. Aber TLS sollte trotzdem für ausgehende E-Mails unterstützt werden, also habe ich es mit aktiviert smtp_tls_security_level = may. Postfix hat die smtpd_tls_cert_fileund smtpd_tls_key_fileund soweit ich weiß, betreffen sie nur eingehende E-Mails. Daher habe ich mich nur gefragt: Ist es notwendig, dass ich für ausgehende TLS-Verbindungen mein eigenes separates SSL/TLS-Zertifikat einrichte?
Soweit ich weiß, versucht Postfix, eine Verbindung zum empfangenden Server herzustellen und erhält einen öffentlichen Schlüssel. Dann verschlüsselt OpenSSL auf meinem Computer die E-Mail mit dem öffentlichen Schlüssel des Empfängers, sodass von dieser Seite kein SSL/TLS-Zertifikat erforderlich ist, oder?
Ich möchte nur sichergehen, denn ich möchte nicht, dass meine E-Mails als SPAM behandelt werden, nur weil ich kein gültiges SSL/TLS-Zertifikat habe.
Antwort1
Möglicherweise benötigen Sie ein Zertifikat für einen anderen Zweck. Ihre internen Clients können bei der Verbindung über TLS dieses Zertifikat überprüfen, wenn sie E-Mails an Postfix senden (sofern der Client so konfiguriert ist, dass ein Zertifikat erforderlich ist).
EntsprechendPostfix-Dokumentation:
Konfigurieren Sie keine Postfix SMTP-Clientzertifikate, es sei denn, Sie müssen Client-TLS-Zertifikate einem oder mehreren Servern vorlegen. Clientzertifikate werden normalerweise nicht benötigt und können in Konfigurationen, die ohne sie gut funktionieren, Probleme verursachen.
Das bedeutet, dass Sie diese Zertifikatszeilen leer lassen können (Standard). Falls Ihr Client wirklich eine Überprüfung der Zertifikatsgültigkeit verlangt, verwenden Sie besser
smtp_tls_chain_files =
um solche Zertifikate bereitzustellen. Dies ist eine empfohlene Option für Postfix-Versionen ≥ 3.4.
Wenn Postfix eine E-Mail an einen externen SMTP-Server sendet, hängt die Verhandlung zwischen diesen Servern nicht von dem genannten Zertifikat ab, da Postfix nur das öffentliche Zertifikat des externen Servers überprüft.