TLS-Richtlinienüberschreibung
Diese Anleitung sollte nur von erfahrenen Administratoren verwendet werden
Diese Anleitung richtet sich an erfahrene Administratorinnen und Administratoren, die gezielt TLS-Richtlinien für bestimmte Domains oder IP-Adressen anpassen müssen.
Unsachgemäße Änderungen an den TLS-Einstellungen können zu Zustellungsproblemen oder unsicheren Verbindungen führen.
Hintergrund¶
Seit dem mailcow-Update im September 2025 überprüft mailcow auch für ausgehende SMTP-Verbindungen die TLS-Richtlinien des Empfängers.
Zuvor galt diese Prüfung ausschließlich für eingehende E-Mails oder für Domains, bei denen die Funktion ausdrücklich aktiviert war.
In seltenen Fällen kann dies dazu führen, dass E-Mails nicht mehr zugestellt werden – etwa wenn eine Empfänger-Domain fehlerhafte oder ungültige TLSA-Records (DANE) veröffentlicht hat.
Da Postfix (und damit auch mailcow) diese Einträge gemäß RFC 7672 als verbindlich betrachtet, wird die Zustellung in solchen Fällen verweigert.
Wenn Sie E-Mails an derart betroffene Empfänger dennoch zustellen möchten – beispielsweise als Workaround bei fehlerhaften TLSA-Records – können Sie über die TLS-Richtlinienverwaltung eine abweichende Policy für die jeweilige Domain festlegen.
Beachten Sie, dass dies bewusst Sicherheitsprüfungen umgeht und nur temporär oder mit entsprechender Dokumentation eingesetzt werden sollte.
Vorgehensweise¶
-
Anmelden:
Melden Sie sich in der mailcow-Weboberfläche als Administrator an. -
Navigation:
Öffnen Sie E-Mail > Konfiguration. -
TLS-Richtlinien öffnen:
Wechseln Sie auf den Reiter TLS-Richtlinien. -
Eintrag hinzufügen:
Klicken Sie auf TLS-Richtlinieneintrag hinzufügen. -
Ziel festlegen:
Geben Sie im Feld Ziel die betroffene Domain oder IP-Adresse ein, für die die Richtlinie gelten soll (z. B.example.com). -
Richtlinie auswählen:
Wählen Sie im Dropdown-Menü Richtlinie eine der folgenden Optionen aus:none– TLS wird nicht verwendet, auch wenn der Zielserver es anbietet.may– TLS wird genutzt, wenn verfügbar, ist aber nicht verpflichtend.encrypt– TLS ist Pflicht, Zertifikate werden jedoch nicht geprüft.verify– TLS ist Pflicht und das Serverzertifikat wird überprüft.secure– TLS ist Pflicht, Zertifikat und Hostname müssen gültig sein.dane– TLS nach DANE-Richtlinien, fällt ohne TLSA-Record auf opportunistisches TLS zurück.dane-only– TLS ausschließlich über gültige DANE/TLSA-Records, kein Fallback.fingerprint– TLS ist Pflicht, das Zertifikat muss einem hinterlegten Fingerabdruck entsprechen.
Beispiel:
Wenn eine Domain fehlerhafte TLSA-Einträge hat, können Sie vorübergehendmayoderencryptwählen, um die Zustellung dennoch zu ermöglichen. -
Optionale Parameter:
Im Feld Parameter können Sie zusätzliche Postfix-Optionen angeben, z. B.:protocols=!SSLv2,!SSLv3um veraltete Protokolle zu deaktivieren.Trennen Sie die Parameter voneinander mit einer Leerzeile.
-
Richtlinie aktivieren:
Aktivieren Sie die Option Aktiv, damit die Richtlinie angewendet wird. -
Speichern:
Klicken Sie auf Hinzufügen, um die Richtlinie zu erstellen und zu aktivieren.
Die Richtlinie ist nun aktiv.
Ein Neustart von mailcow oder Postfix ist nicht erforderlich – die Änderung wird sofort wirksam.
Beispielanwendungen¶
| Situation | Empfohlene Richtlinie | Beschreibung |
|---|---|---|
| Ziel-Domain hat ungültige TLSA-Records | may |
Opportunistisches TLS, um die Zustellung trotz fehlerhafter DANE-Einträge zu ermöglichen. |
| Interne Testsysteme ohne gültige Zertifikate | encrypt |
Erzwingt Verschlüsselung, ohne Zertifikatsprüfung. |
| Partner-Domain mit korrekt konfiguriertem DANE | dane |
Sichere Zustellung über DNSSEC-verifizierte TLSA-Records. (mailcow Standard, wenn empfänger Domain kompatibel) |
| Hochsicherheitsumgebung mit bekannten Zertifikaten | fingerprint |
Explizite Zertifikatsbindung für maximale Kontrolle. |
Hinweis
Sobald fehlerhafte TLSA-Records oder Zertifikatsprobleme auf Empfängerseite behoben wurden, sollten Sie die temporär gesetzte Richtlinie wieder entfernen oder auf den Standardwert zurücksetzen, um die Integrität des TLS-Sicherheitsmodells zu gewährleisten.