Postfix SMTP-relay: client kein TLS-client-Zertifikat für den server?

Ich habe zwei Rechner, einer mit Ubuntu und einer Tarantel Debian, läuft Postfix. Die Absicht ist, die Maschine#2 wird ein SMTP relay/smarthost für Maschine#1. Habe ich einen CA ausgestellten Zertifikate für beide Maschinen: ein server Zertifikat für die #2 und ein client-Zertifikat für die #1.

Beim senden von e-mail aus #1 (durch den MUA sprechen Postfix auf localhost:25 mit der Absicht, dass es leitet e-mail an #2), die grundlegenden Dinge funktionieren: die Maschinen können miteinander reden und den Versuch einer Staffel besteht tatsächlich aus. Die Idee ist es, die Weiterleitung auf #2, wenn ein gültiges client-side-SSL - /TLS-Zertifikat wird präsentiert von #1.

Der entsprechenden Konfiguration für die #2 ist:

smtpd_tls_received_header = yes
smtpd_tls_loglevel = 2
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/ssl/private/cert2.pem
smtpd_tls_key_file = /etc/ssl/private/key2-d.pem
smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_mandatory_protocols = SSLv3, TLSv1
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_auth_only = yes
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination permit_tls_all_clientcerts

Die Konfiguration auf #1 ist:

smtp_tls_CAfile = /etc/ssl/certs/cacert.pem
smtp_tls_cert_file = /etc/ssl/private/cert1.pem
smtp_tls_key_file = /etc/ssl/private/key1-d.pem
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_security_level = verify
smtp_tls_loglevel = 2

Maschine#1 verbindet, #2, ermöglicht STARTTLS, die log-Dateien zeigen, dass es erfolgreich überprüft, ob das Zertifikat von #2, und versucht, relay die Nachricht. Jedoch, scheint es nicht zu senden, die client-Zertifikat #2, und #2 sich weigert, relay die Nachricht.

Log-Einträge aus #1:

Apr 17 01:18:14 mail1 postfix/smtp[30250]: Verified TLS connection established to mail2[x.x.x.x]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Apr 17 01:18:14 mail1 postfix/smtp[30244]: 8A2328BDB4: to=<[email protected]>, relay=mail2[x.x.x.x]:25, delay=3488, delays=3486/0.41/0.85/0.19, dsn=4.7.1, status=deferred (host mail2[x.x.x.x] said: 454 4.7.1 <[email protected]>: Relay access denied (in reply to RCPT TO command))

Log-Einträge von #2:

Apr 17 01:18:13 mail2 postfix/smtpd[28798]: Anonymous TLS connection established from unknown[y.y.y.y]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Apr 17 01:18:13 mail2 postfix/smtpd[28798]: NOQUEUE: reject: RCPT from unknown[y.y.y.y]: 454 4.7.1 <[email protected]>: Relay access denied; from=<addr@mail1> to=<[email protected]> proto=ESMTP helo=<mail1>

Irgendwelche Ideen? Ich bin stützen meine Annahme, dass #1 nicht senden Sie Ihre client-cert auf die "Anonymous TLS connection established" - Teil in den logs von mail2.