Как в postfix запретить авторизацию если был Anonymous TLS connection?

Question

[mib]

Здравствуйте
Я настроил связку dovecot + postfix (по этому гайду) и хочу чтобы отправлять почту можно было только в том случае, если почтовый клиент знает не только логин и пароль, но и обладает сертификатом, который был подписан на сервере с постфиксом.

В dovecot это работает - я не могу забрать почту, если у меня нет сертификата или он не был подписан на моём сервере
А в постфиксе я перебрал кучу настроек - игнорируется остутствие сертификата и почта отправляется.

master.cfg:
submission inet n - n - - smtpd
-o syslog_name=postfix/submission
-o smtpd_enforce_tls=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_tls_security_level=encrypt
-o smtpd_tls_ask_ccert=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_recipient_restrictions=permit_tls_clientcerts,permit_sasl_authenticated,reject
-o smtpd_relay_restrictions=permit_tls_clientcerts,permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING

Я снял отпечаток (fingerprint) с клиентского сертификата, захешировал

вот конфиг (отрывок) main.cf

smtpd_recipient_restrictions = reject_unknown_recipient_domain, permit_mynetworks, reject_non_fqdn_recipient, permit_tls_clientcerts, permit_sasl_authenticated, reject_unauth_destination, reject_unverified_recipient, permit

smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot

smtpd_tls_cert_file = /etc/ssl/certs/mail.crt
smtpd_tls_key_file = /etc/ssl/private/mail.key
smtpd_tls_CAfile = /etc/ssl/ca.crt

smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
strict_rfc821_envelopes = yes

relay_clientcerts = hash:/etc/postfix/fingerprints
smtpd_tls_fingerprint_digest = sha1

smtpd_relay_restrictions =
check_recipient_access hash:$config_directory/access,
permit_tls_clientcerts,
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination

Постфикс, когда логинюсь с сертификатом - пишет
postfix/submission/smtpd[7765]: Trusted TLS connection established from ...
dovecot: auth: Debug: auth client connected (pid=0) и дальше корректный логин и отправка почты

без сертификата -
postfix/submission/smtpd[7836]: Anonymous TLS connection established from ...
dovecot: auth: Debug: auth client connected (pid=0) и дальше тоже корреткный логин и отправка почты

, но в обоих случаях разрешает дальше sasl авторизацию. Как запретить авторизацию если был Anonymous TLS connection?
Спасибо