TLS-Richtlinienüberschreibung

Diese Anleitung sollte nur von erfahrenen Administratoren verwendet werden

Diese Anleitung richtet sich an erfahrene Administratorinnen und Administratoren, die gezielt TLS-Richtlinien für bestimmte Domains oder IP-Adressen anpassen müssen.
Unsachgemäße Änderungen an den TLS-Einstellungen können zu Zustellungsproblemen oder unsicheren Verbindungen führen.

Hintergrund¶

Seit dem mailcow-Update im September 2025 überprüft mailcow auch für ausgehende SMTP-Verbindungen die TLS-Richtlinien des Empfängers.
Zuvor galt diese Prüfung ausschließlich für eingehende E-Mails oder für Domains, bei denen die Funktion ausdrücklich aktiviert war.

In seltenen Fällen kann dies dazu führen, dass E-Mails nicht mehr zugestellt werden – etwa wenn eine Empfänger-Domain fehlerhafte oder ungültige TLSA-Records (DANE) veröffentlicht hat.
Da Postfix (und damit auch mailcow) diese Einträge gemäß RFC 7672 als verbindlich betrachtet, wird die Zustellung in solchen Fällen verweigert.

Wenn Sie E-Mails an derart betroffene Empfänger dennoch zustellen möchten – beispielsweise als Workaround bei fehlerhaften TLSA-Records – können Sie über die TLS-Richtlinienverwaltung eine abweichende Policy für die jeweilige Domain festlegen.
Beachten Sie, dass dies bewusst Sicherheitsprüfungen umgeht und nur temporär oder mit entsprechender Dokumentation eingesetzt werden sollte.

Vorgehensweise¶

Anmelden:
Melden Sie sich in der mailcow-Weboberfläche als Administrator an.
Navigation:
Öffnen Sie E-Mail > Konfiguration.
TLS-Richtlinien öffnen:
Wechseln Sie auf den Reiter TLS-Richtlinien.
Eintrag hinzufügen:
Klicken Sie auf TLS-Richtlinieneintrag hinzufügen.
Ziel festlegen:
Geben Sie im Feld Ziel die betroffene Domain oder IP-Adresse ein, für die die Richtlinie gelten soll (z. B. example.com).
Richtlinie auswählen:
Wählen Sie im Dropdown-Menü Richtlinie eine der folgenden Optionen aus:
- none – TLS wird nicht verwendet, auch wenn der Zielserver es anbietet.
- may – TLS wird genutzt, wenn verfügbar, ist aber nicht verpflichtend.
- encrypt – TLS ist Pflicht, Zertifikate werden jedoch nicht geprüft.
- verify – TLS ist Pflicht und das Serverzertifikat wird überprüft.
- secure – TLS ist Pflicht, Zertifikat und Hostname müssen gültig sein.
- dane – TLS nach DANE-Richtlinien, fällt ohne TLSA-Record auf opportunistisches TLS zurück.
- dane-only – TLS ausschließlich über gültige DANE/TLSA-Records, kein Fallback.
- fingerprint – TLS ist Pflicht, das Zertifikat muss einem hinterlegten Fingerabdruck entsprechen.
Beispiel:
Wenn eine Domain fehlerhafte TLSA-Einträge hat, können Sie vorübergehend may oder encrypt wählen, um die Zustellung dennoch zu ermöglichen.
Optionale Parameter:
Im Feld Parameter können Sie zusätzliche Postfix-Optionen angeben, z. B.: protocols=!SSLv2,!SSLv3 um veraltete Protokolle zu deaktivieren.

Trennen Sie die Parameter voneinander mit einer Leerzeile.
Richtlinie aktivieren:
Aktivieren Sie die Option Aktiv, damit die Richtlinie angewendet wird.
Speichern:
Klicken Sie auf Hinzufügen, um die Richtlinie zu erstellen und zu aktivieren.

Die Richtlinie ist nun aktiv.
Ein Neustart von mailcow oder Postfix ist nicht erforderlich – die Änderung wird sofort wirksam.

Beispielanwendungen¶

Situation	Empfohlene Richtlinie	Beschreibung
Ziel-Domain hat ungültige TLSA-Records	`may`	Opportunistisches TLS, um die Zustellung trotz fehlerhafter DANE-Einträge zu ermöglichen.
Interne Testsysteme ohne gültige Zertifikate	`encrypt`	Erzwingt Verschlüsselung, ohne Zertifikatsprüfung.
Partner-Domain mit korrekt konfiguriertem DANE	`dane`	Sichere Zustellung über DNSSEC-verifizierte TLSA-Records. (mailcow Standard, wenn empfänger Domain kompatibel)
Hochsicherheitsumgebung mit bekannten Zertifikaten	`fingerprint`	Explizite Zertifikatsbindung für maximale Kontrolle.

Hinweis

Sobald fehlerhafte TLSA-Records oder Zertifikatsprobleme auf Empfängerseite behoben wurden, sollten Sie die temporär gesetzte Richtlinie wieder entfernen oder auf den Standardwert zurücksetzen, um die Integrität des TLS-Sicherheitsmodells zu gewährleisten.