Hallo basstscho,
hast Du bereits eine Lösung gefunden? Ich stehe nämlich vor genau demselben Problem: Unser Kunde wollte seine Linux-Infrastruktur gegen Windows tauschen, kann aber wegen seiner wechselnden IP-Adresse (DynDNS) nicht auf den Smarthost verzichten.
Auf dem Smarthost läuft ein Postfix, der als Anmeldemethode verschlüsseltes SMTP-Auth (STARTTLS) erwartet und mit dem alten Zarafa-Mailserver tadellos funktioniert. Nur Exchange weigert sich beharrlich, sich am Relay anzumelden und gibt stattdessen die Meldung aus: >>Primary target IP address responded with: "454 4.7.5 Certificate validation failure." (...)<<
Ich bin auf einen Kommentar im Netz gestoßen, der darauf hindeutet, dass Exchange 2013 für die SMTP-Authentifizierung keine selbstsignierten Zertifikate akzeptiert. Kann das jemand bestätigen?
Insbesondere zertifikatseitig habe ich schon einiges probiert: Ich habe im DC die Zertifikatsdienste installiert und dem Relay ein Zertifikat mitgegeben, das von der Root-CA der Domäne signiert wurde, hat aber nichts geholfen: Das Problem blieb.
Kann es wirklich sein, dass nur für die STARTTLS-Authentifizierung ein Zertifikat gekauft werden muss?
P.S.:
Für den Sendekonnektor des Exchange Servers habe ich unter Zustellung folgendes eingestellt:
E-Mail über Smarthosts weiterleiten aktiviert,
Unter SMARTHOST den Smarthost eingegeben,
Standardauthentifizierung gewählt und Standardauthentifizierung erst nach dem Start von TLS anbieten aktiviert,
Benutzername und Kennwort sind korrekt.
Hier die relevanten Teile der Postfix-Konfiguration:
# (...)
mynetworks = 127.0.0.0/8
relay_domains = xxxxxxxxxxxxxxxxxx.de, yyyyyyyyyyyyyyyyyy.de
parent_domain_matches_subdomains = debug_peer_list, smtpd_access_maps
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
transport_maps = hash:/etc/postfix/transport
# (...)
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
# (...)
smtpd_tls_auth_only = yes
smtp_tls_security_level = may
smtpd_tls_security_level = may
smtp_tls_note_starttls_offer = yes
smtpd_tls_cert_file=/etc/ssl/certs/xxxxxxxxxxxxxxxxxx.pem
smtpd_tls_key_file=/etc/ssl/private/xxxxxxxxxxxxxxxxxx.key
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
und hier die smtpd.conf:
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
saslauthd_path: /var/run/saslauthd/mux