Problem mit TLS-Fehlern bei Postfix / Rspamd nach Umstellung auf verify
Posted: Sat 7. Feb 2026, 15:58
Hallo Community,
ich nutze auf einem Server mit Ubuntu Server 24.04 KeyHelp in der aktuellen Version. Die Mailserver-Konfiguration basiert auf Postfix.
Die Parameter in /etc/postfix/main.cf hatten bisher den Wert:
Nun möchte ich die Sicherheit für ausgehende E-Mails erhöhen, sodass Mails an SMTP-Server mit abgelaufenen Zertifikaten nicht mehr zugestellt werden. Dazu habe ich smtpd_tls_security_level=verify gesetzt und Postfix mit sudo postfix reload neu eingelesen.
Anschließend eine Test-Mail verschickt. Im Log erscheint jedoch folgender Eintrag:
Daraufhin habe ich überprüft, welcher Service auf Port 10027 lauscht:
In der Datei /etc/postfix/master.cf bin ich auf diesen Abschnitt gestoßen:
Ich vermute, dass die Ursache für den Fehler im Log die Zeile mit smtpd_tls_security_level=none ist.
Daraufhin habe ich den Wert auf may geändert, Postfix reload ausgeführt und erneut eine Test-Mail verschickt.
Jetzt erhalte ich folgenden Fehler:
Das ist für mich nachvollziehbar, da das verwendete Let’s Encrypt Zertifikat nur den FQDN des Servers enthält, nicht jedoch 127.0.0.1.
Meines Wissens kann man bei Let’s Encrypt kein SAN wie 127.0.0.1 oder localhost hinterlegen.
Mein aktueller Ansatz wäre, ein selbstsigniertes Zertifikat zu erstellen und dieses in den Zertifikatsspeicher von Ubuntu (/usr/local/share/ca-certificates/) einzubinden. Allerdings ist mir noch nicht klar, wie ich Postfix bzw. den Service auf 127.0.0.1:10027 dazu bringe, dieses Zertifikat zu nutzen.
Abgesehen davon würde mich interessieren, ob es alternative Ansätze gibt, um mein Ziel zu erreichen?
Vielen Dank für eure Ideen und Hinweise!ünschte Ziel erreichen kann?
ich nutze auf einem Server mit Ubuntu Server 24.04 KeyHelp in der aktuellen Version. Die Mailserver-Konfiguration basiert auf Postfix.
Die Parameter in /etc/postfix/main.cf hatten bisher den Wert:
Code: Select all
smtp_tls_security_level = may
smtpd_tls_security_level = may
Anschließend eine Test-Mail verschickt. Im Log erscheint jedoch folgender Eintrag:
Code: Select all
2026-02-07 15:24:09 postfix/smtp 7AC6A81596: to=<alias@mailbox.org>, relay=127.0.0.1[127.0.0.1]:10027, delay=0.44, delays=0.4/0.02/0.02/0, dsn=4.7.4, status=deferred (TLS is required, but was not offered by host 127.0.0.1[127.0.0.1])
Code: Select all
ss -tulpen | grep ":10027"
tcp LISTEN 0 100 127.0.0.1:10027 0.0.0.0:* users:(("master",pid=1687,fd=122)) ino:11934 sk:26 cgroup:/system.slice/system-postfix.slice/postfix@-.service <-
Code: Select all
127.0.0.1:10027 inet n - - - - smtpd
-o cleanup_service_name=cleanup-srs
-o smtpd_milters=
-o smtpd_tls_security_level=none
-o content_filter=smtp:
-o smtpd_recipient_restrictions=permit_mynetworks,reject
Daraufhin habe ich den Wert auf may geändert, Postfix reload ausgeführt und erneut eine Test-Mail verschickt.
Jetzt erhalte ich folgenden Fehler:
Code: Select all
2026-02-07 15:38:12 postfix/smtp 2A3AD7FDAF: to=<alias@mailbox.org>, relay=127.0.0.1[127.0.0.1]:10027, delay=580, delays=580/0.04/0.04/0, dsn=4.7.5, status=deferred (Server certificate not verified)
2026-02-07 15:38:12 postfix/smtp server certificate verification failed for 127.0.0.1[127.0.0.1]:10027: num=64:IP address mismatch
Meines Wissens kann man bei Let’s Encrypt kein SAN wie 127.0.0.1 oder localhost hinterlegen.
Mein aktueller Ansatz wäre, ein selbstsigniertes Zertifikat zu erstellen und dieses in den Zertifikatsspeicher von Ubuntu (/usr/local/share/ca-certificates/) einzubinden. Allerdings ist mir noch nicht klar, wie ich Postfix bzw. den Service auf 127.0.0.1:10027 dazu bringe, dieses Zertifikat zu nutzen.
Abgesehen davon würde mich interessieren, ob es alternative Ansätze gibt, um mein Ziel zu erreichen?
Vielen Dank für eure Ideen und Hinweise!ünschte Ziel erreichen kann?