Einen Tag hab ich gesucht, dann aber endlich wieder neu herausgefunden was die richtige Einstellung für K9 Mail ist. K9 unterstützt die Anmeldung mit Zertifikaten, die auf Serverseite von Postfix und Dovecot bereitgestellt werden kann.

Für den Abruf per IMAP muss dazu in K9 unter Sicherheit SSL/TLS ausgewählt werden, der Port ist dann 993 (muss natürlich so auch von Dovecot bereitgestellt werden) Dann muss Anmeldung per Client-Zertifikat ausgewählt werden, im Benutzername-Feld der Anmeldename für das Emailkonto und als Client-Zertifikat das bereits installierte Zertifikat ausgewählt werden.

Für den Versand sieht es etwas anders aus, hier wieder SSL/TLS auf Port 465 (so natürlich auch in Postfix einrichten) und Authentifizierung Keine und darunter wieder das Client-Zertifikat auswählen. Natürlich muss hierfür in Postfix, wohl typischerweise in der master.cf smtpd_client_restrictions=permit_tls_clientcerts gesetzt werden.

Besondere Anforderungen stellen anscheinend weder K9 noch Dovecot und Postfix an die Client-Zertifikate, anderslautende Hinweise im Netz beziehen sich wohl auf andere Produkte. Natürlich muss das schon korrekt eingerichtet sein, ein CA-Zertifikat welches auf allen Geräten für alle Programme erreichbar eingerichtet ist, mit diesem signierte Zertifikate für Server und Client, die Serverzertifikate sollten/müssen aber wohl schon den Namen, über den sie aufgerufen werden, im SubjectAltName und CN haben.