Dovecot / Submission sendet kein TLS Client-Zertifikat

[Johannes Hartmann]

Hallo Liste!

Ich habe folgendes Setup:

Auf einem internen Server läuft Dovecot einschließlich Submission-Dienst. Submission ist so konfiguriert, dass es die Mails über ein VPN auf einen externen Postfix-Server weiterleitet. Das funktioniert auch, sofert ich das VPN in mynetworks und

  smtpd_relay_restrictions = permit_mynetworks, …

in main.cf eintrage.

Was ich aber eigentlich gerne hätte ist

  smtpd_relay_restrictions = permit_tls_all_clientcerts, …

oder

  smtpd_relay_restrictions = permit_tls_clientcerts, …

da ich eine interne CA aufgezogen habe.

Leider bekomme ich Dovecot nicht dazu, ein Client-Zertifikat zu senden. Ich habe in main.cf

  smtpd_tls_ask_ccert = y
  smtpd_tls_req_ccert = y

eingetragen. Im ersten Fall kommt sofort „Relay Access Denied“, im zweiten hängt der Sendeprozess. Im Postfix-Log sehe ich:

Anonymous TLS connection established from [...]
NOQUEUE: abort: TLS from unknown[10.0.0.10]: No client certificate presented

Ich weiß nicht mehr weiter. Googlen hilft auch nicht wirklich, da sich alle Ergebnisse auf Dovecot bzw. Postfix als Server und z.B. Thunderbird als Client beziehen, und nie Dovecot als Client.

Könnt Ihr mir da weiterhelfen?

Vielen Dank
Johannes