Comment 1 Sönke Schwardt-Krummrich 2011-12-08 18:49:55 CET

Es sollte besser smtp_tls_security_level gesetzt werden. Dies ist die Nachfolgeoption für smtp_use_tls und deutlich flexibler.

Comment 2 Felix Botner 2012-01-05 14:57:42 CET

smtp_tls_security_level wurde in das main.cf Template des Postfix aufgenommen und kann über "mail/postfix/ssl/client/level"  konfiguriert werden. Standardmäßig wird hier "none" (kein TLS beim SMTP Client) verwendet. 

Damit authentifiziertes Relaying funktioniert, muss mindestens mail/postfix/ssl/client/level=may gesetzt werden.

Comment 3 Felix Botner 2012-01-05 15:15:03 CET

Die Variable heißt mail/postfix/tls/client/level

Comment 4 Sönke Schwardt-Krummrich 2012-02-23 12:40:45 CET

Wird "mail/postfix/tls/client/level=may" gesetzt, kann man Relaying gegen Mailserver durchführen, die eine Authentifizierung nur mit TLS zulassen (fast alle).

# ucr set mail/postfix/tls/client/level=may
# ucr set mail/relayauth=yes mail/relayhost=10.200.18.33
# echo "10.200.18.33   foomail@example.com:iwillrelay" > /etc/postfix/smtp_auth
# postmap /etc/postfix/smtp_auth
# postfix reload

Feb 21 22:55:25 sysrole postfix/smtpd[16849]: 150A421C1E2: client=localhost[127.0.0.1]
Feb 21 22:55:25 sysrole postfix/cleanup[17036]: 150A421C1E2: message-id=<20120221215524.C067521C22F@master.example.com>
Feb 21 22:55:25 sysrole postfix/smtpd[16849]: disconnect from localhost[127.0.0.1]
Feb 21 22:55:25 sysrole postfix/qmgr[16906]: 150A421C1E2: from=<root@master.example.com>, size=962, nrcpt=1 (queue active)
Feb 21 22:55:25 sysrole amavis[7474]: (07474-02) Passed, <root@master.example.com> -> <support@univention.de>, quarantine zkSh2B1MIOVe, Message-ID: <20120221215524.C067521C22F@master.example.com>, Hits: 1.766
Feb 21 22:55:25 sysrole postfix/smtp[17037]: C067521C22F: to=<support@univention.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.34, delays=0.04/0.01/0/0.29, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=07474-02, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 150A421C1E2)
Feb 21 22:55:25 sysrole postfix/qmgr[16906]: C067521C22F: removed
Feb 21 22:55:25 sysrole postfix/smtp[17040]: 150A421C1E2: to=<support@univention.de>, relay=10.200.18.33[10.200.18.33]:25, delay=0.16, delays=0.02/0.01/0.04/0.09, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 1C7FF2C430C)
Feb 21 22:55:25 sysrole postfix/qmgr[16906]: 150A421C1E2: removed

Changelogeintrag ist vorhanden. 
Getestet mit univention-mail-postfix 6.0.35-1.182.201202091630

Comment 5 Sönke Schwardt-Krummrich 2012-02-28 09:54:06 CET

Bitte den Default via "?" auf "may" setzen, so dass Neuinstallationen und Updates die neue Einstellung sofort bekommen und Postfix immer versucht, sofort eine TLS-Verbindung aufzubauen (sofern möglich). 
Bitte im Changelog kurz darauf hinweisen, wie man das alte Verhalten wieder herstellen kann (Moritz setzt in die Releasenotes einen weiteren Hinweis).

Comment 6 Sönke Schwardt-Krummrich 2012-02-28 09:54:53 CET

Der Default sollte in univention-mail-postfix (nicht u-m-server!) gesetzt werden, da das alle ausgehenden Verbindungen betrifft und somit auch für den 
"small-stack" gilt.

Comment 7 Felix Botner 2012-02-28 10:42:10 CET

univention-mail-postfix.postinst setzt mail/postfix/tls/client/level?may

Changelog ergänzt.

Comment 8 Sönke Schwardt-Krummrich 2012-02-28 17:45:09 CET

Variable wird auf may gesetzt; Changelogeintrag wurde angepasst;
getestet mit univention-mail-postfix 6.0.36-1.184.201202281030

Comment 9 Sönke Schwardt-Krummrich 2012-03-04 14:34:10 CET

UCS 3.0-1 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert
werden: "Clone This Bug"