Grundproblem an der SASL-Authentifizierung ist wieder mal das übertragen von Klartext-Passwörtern seufz
Also will man zusätzlich zur Authentifizierung die Kommunikation per SSL verschlüsseln. Für Postfix existiert dazu ein Patch, Teil von Postfix selber ist es noch nicht.
Da ich ja nur meinen Rechner zu Hause mit meinem Mailrelay sprechen lassen will, brauche ich kein offizielles Zertifikat, sondern kann mit einem selbstunterschriebenen leben. In Postfix’ main.cf ist es dann aber wichtig, dass man die Zeilen für CA-Zertifikate nicht weglässt, sondern ebenfalls auf das eigentliche Zertifikat weisen lässt – das Zertifikat ist ja sozusagen seine eigene CA. Dann noch den fingerprint in die relay_clientcerts, und für die Relay-Erlaubnis die Zeile:
smtpd_recipient_restrictions = permit_sasl_authenticated permit_tls_clientcerts reject_unauth_destination
Auf dem Client, also dem Rechner zu Hause, muss man auch die /etc/postfix/saslpass pflegen und auf smtpd_use_tls = yes bestehen, dann sollte es funktionieren.