TLS-Richtlinienüberschreibung
Diese Anleitung sollte nur von erfahrenen Administratoren verwendet werden
Diese Anleitung richtet sich an erfahrene Administratorinnen und Administratoren, die gezielt TLS-Richtlinien für bestimmte Domains oder IP-Adressen anpassen müssen.
Unsachgemäße Änderungen an den TLS-Einstellungen können zu Zustellungsproblemen oder unsicheren Verbindungen führen.
Hintergrund¶
Seit dem mailcow-Update im September 2025 überprüft mailcow auch für ausgehende SMTP-Verbindungen die TLS-Richtlinien des Empfängers.
Zuvor galt diese Prüfung ausschließlich für eingehende E-Mails oder für Domains, bei denen die Funktion ausdrücklich aktiviert war.
In seltenen Fällen kann dies dazu führen, dass E-Mails nicht mehr zugestellt werden – etwa wenn eine Empfänger-Domain fehlerhafte oder ungültige TLSA-Records (DANE) veröffentlicht hat.
Da Postfix (und damit auch mailcow) diese Einträge gemäß RFC 7672 als verbindlich betrachtet, wird die Zustellung in solchen Fällen verweigert.
Wenn Sie E-Mails an derart betroffene Empfänger dennoch zustellen möchten – beispielsweise als Workaround bei fehlerhaften TLSA-Records – können Sie über die TLS-Richtlinienverwaltung eine abweichende Policy für die jeweilige Domain festlegen.
Beachten Sie, dass dies bewusst Sicherheitsprüfungen umgeht und nur temporär oder mit entsprechender Dokumentation eingesetzt werden sollte.
Vorgehensweise¶
-
Anmelden:
Melden Sie sich in der mailcow-Weboberfläche als Administrator an. -
Navigation:
Öffnen Sie E-Mail > Konfiguration. -
TLS-Richtlinien öffnen:
Wechseln Sie auf den Reiter TLS-Richtlinien. -
Eintrag hinzufügen:
Klicken Sie auf TLS-Richtlinieneintrag hinzufügen. -
Ziel festlegen:
Geben Sie im Feld Ziel die betroffene Domain oder IP-Adresse ein, für die die Richtlinie gelten soll (z. B.example.com
). -
Richtlinie auswählen:
Wählen Sie im Dropdown-Menü Richtlinie eine der folgenden Optionen aus:none
– TLS wird nicht verwendet, auch wenn der Zielserver es anbietet.may
– TLS wird genutzt, wenn verfügbar, ist aber nicht verpflichtend.encrypt
– TLS ist Pflicht, Zertifikate werden jedoch nicht geprüft.verify
– TLS ist Pflicht und das Serverzertifikat wird überprüft.secure
– TLS ist Pflicht, Zertifikat und Hostname müssen gültig sein.dane
– TLS nach DANE-Richtlinien, fällt ohne TLSA-Record auf opportunistisches TLS zurück.dane-only
– TLS ausschließlich über gültige DANE/TLSA-Records, kein Fallback.fingerprint
– TLS ist Pflicht, das Zertifikat muss einem hinterlegten Fingerabdruck entsprechen.
Beispiel:
Wenn eine Domain fehlerhafte TLSA-Einträge hat, können Sie vorübergehendmay
oderencrypt
wählen, um die Zustellung dennoch zu ermöglichen. -
Optionale Parameter:
Im Feld Parameter können Sie zusätzliche Postfix-Optionen angeben, z. B.:protocols=!SSLv2,!SSLv3
um veraltete Protokolle zu deaktivieren.Trennen Sie die Parameter voneinander mit einer Leerzeile.
-
Richtlinie aktivieren:
Aktivieren Sie die Option Aktiv, damit die Richtlinie angewendet wird. -
Speichern:
Klicken Sie auf Hinzufügen, um die Richtlinie zu erstellen und zu aktivieren.
Die Richtlinie ist nun aktiv.
Ein Neustart von mailcow oder Postfix ist nicht erforderlich – die Änderung wird sofort wirksam.
Beispielanwendungen¶
Situation | Empfohlene Richtlinie | Beschreibung |
---|---|---|
Ziel-Domain hat ungültige TLSA-Records | may |
Opportunistisches TLS, um die Zustellung trotz fehlerhafter DANE-Einträge zu ermöglichen. |
Interne Testsysteme ohne gültige Zertifikate | encrypt |
Erzwingt Verschlüsselung, ohne Zertifikatsprüfung. |
Partner-Domain mit korrekt konfiguriertem DANE | dane |
Sichere Zustellung über DNSSEC-verifizierte TLSA-Records. (mailcow Standard, wenn empfänger Domain kompatibel) |
Hochsicherheitsumgebung mit bekannten Zertifikaten | fingerprint |
Explizite Zertifikatsbindung für maximale Kontrolle. |
Hinweis
Sobald fehlerhafte TLSA-Records oder Zertifikatsprobleme auf Empfängerseite behoben wurden, sollten Sie die temporär gesetzte Richtlinie wieder entfernen oder auf den Standardwert zurücksetzen, um die Integrität des TLS-Sicherheitsmodells zu gewährleisten.