Die Mails meines Mailservers gehen zum Teil über eine gesicherte TLS-Verbindung. Für einige Mailserver habe ich in Postfix eine Art „Zertifikat-Pinning“ aktivert. Das geht mit einer Policy Map (Option smtp_tls_policy_maps in der main.cfg). Dort wird dann für die gewünschten Mailhosts der Fingerprint des Zertifikates hinterlegt mit der Option „match“.
Den passenden Fingerprint generiert man sich mit dem folgenden OpenSSL-Befehl:
openssl x509 -noout -fingerprint -sha1 -in cert.pem
Wobei dann das Zertifikat des Mailservers in der Datei cert.pem liegen muss und der eingestellte Hash-Algorithmus zu stimmen hat. Das Zertifikat sollte man sich auf sicherem Wege holen. Beispielsweise auf dem Zielserver einloggen und den folgenden OpenSSL-Befehl nutzen und dann das Zertifikat herauskopieren:
openssl s_client -connect mail.zielserver.com:25 -starttls smtp