Hallo,

Angenommen ich möchte eine E-Mail mit der Absenderadresse helmut.kohl@bundestag.de an eine @gmx.de Adresse über meinen Postfix verschicken.

Vermutlich wird der Mailserver von GMX die E-Mail nicht weiterleiten, da kein Smarthost (in diesem Fall der Smarthost Anbieter den der Bundestag nutzt) zwischengeschaltet ist.

vergiss mal für einen Moment den Begriff Smarthost. Du willst also (nein, willst du nicht, aber mal angenommen) von deinem Server aus eine e-Mail mit helmut.kohl@bundestag.de als Absender an ein GMX-Postfach schicken.
Wichtig ist zunächst mal, zwischen dem Mailserver des Absenders (hier also deine Maschine mit dem Postfix) und dem empfangenden Mailserver (hier GMX) zu unterscheiden. Deine Büchse wird eine solche Nachricht wohl klaglos annehmen und weiterreichen; notfalls musst du die Konfiguration so anpassen, dass es geht. Der GMX-Mailserver erkennt nun eine Absenderadresse mit dem Host bundestag.de, aber die Nachricht wird ihm von einem ganz anderen Host überreicht. Also prüft GMX anhand der SPF-Records von bundestag.de, ob dort eingetragen ist, dass deine Domain Mails im Namen von bundestag.de versenden darf. Wenn ja, nimmt er die Nachricht an; wenn nein, weist er sie ab.

Interessant ist in diesem Zusammenhang die Beobachtung von woodfighter, bundestag.de habe gar keine SPF-Einträge. Er schreibt, der GMX-Server würde deshalb die Mail ohne Murren annehmen; ich bin im Gegenteil der Meinung, dass er das aus eben diesem Grund nicht tun wird.

Gehen wir einfach mal davon aus, der Mail-Server von GMX würde E-Mails auch dann akzeptieren, wenn diese nicht über einen Smarthost kommen, sondern direkt von meinem eigenen Postfix.

Diese Annahme ist illusorisch.

Gäbe es dann noch eine weitere Hürde um eine E-Mail mit dem Absender helmut.kohl@bundestag.de an eine @gmx Adresse zu verschicken, oder würde das Verschicken von helmut.kohl@bundestag.de an die GMX Adresse dann funktionieren?

Dann würde es vermutlich hinhauen.

https://forum.selfhtml.org/self/2016/jan/17/frage-zu-datensicherung-back-in-time/1659465#m1659465

Woodfigther schreibt etwas von SPF-Records. Hier verstehe ich den Zusammenhang nicht so richtig.

Angenommen ein Mail-Server akzeptiert nur Mails von Smarthosts, heißt das dann automatisch, dass der Mail-Server mit SPF-Recoders arbeitet?

Nein, das sind zwei ganz verschiedene Paar Stiefel. Bei SPF geht es hauptsächlich darum, wer sich für jemand anderen ausgeben darf.

Angenommen ein Mail-Server akzeptiert Mails auch ohne Smarthost, z.B. direkt vom eigenen Postfix, heißt das dann automatisch, dass der Mail-Server ohne SPF-Records arbeitet?

Nicht automatisch, aber sehr wahrscheinlich.

So long,
 Martin

Eigentlich würde ich vermuten, dass die neuere Methode (STARTTLS) die bessere ist und gleich am Anfang verschlüsselt, laut Wikipedia-Artikel ist es aber genau umgekehrt.

Habe ich da etwas falsch verstanden?

Kurze Antwort: Ja.

Lange Antwort:

Hier ist ein Beispiel für die unverschlüsselte Anwendung des SMTP-Protokolls via Telnet/NetCat

Nach dem Verbindungsaufbau aber vor der Authentifizierung sendet der Server dem Client eine Zeile

STARTTLS

Darauf hin antwortet der Client, wie er verschlüsseln kann, es wird also die Verschlüsselungsmethode ausgehandelt und dann auch zu dieser gewechselt. Nachfolgend werden ohne Protokollwechsel also brav Zeilen ausgetauscht, die aber verschlüsselt sind. Darunter auch die USER-Zeile und die PASS-Zeile.

Ich zitiere mal:

"Ein essentieller Vorteil hierbei ist die Tatsache, dass die Peers, also die Verbindungspartner, die technischen Fähigkeiten beiderseits aushandeln können. Wird auf einem dedizierten SSL-Port eine Klartextverbindung aufgebaut, kommt es zwangsläufig zum Abbruch, in umgekehrter Kombination ebenso. Der Nutzer oder ein Admin muss nun eingreifen. Dank STARTTLS kann zum Beispiel der Client (ohne Nutzereingriff) wahrnehmen, dass der Server die Erweiterung bietet und automatisch Gebrauch davon machen. Im Alternativfall müsste der Client erst den dedizierten Port kontaktieren, auf den Fristablauf warten und danach den Port für unverschlüsselte Kommunikation testen."