【问题标题】:Untrusted TLS connection established已建立不受信任的 TLS 连接
【发布时间】:2015-04-04 09:00:44
【问题描述】:

我不知道如何在我的主邮件服务器 (mail.sfnet.it) 和邮件交换器 (mx.sfnet.it) 之间建立受信任的 TLS 连接 他们都使用 Postfix 作为 MTA,并且都安装了 PositiveSSL 证书,并且一切似乎都运行良好,除了受信任的握手。 我已经设置了 CA 路径,重新配置了包,但无事可做。有什么想法吗?

后缀日志说:

postfix/smtp[20689]: Untrusted TLS connection established to mail.sfnet.it[94.23.65.191]:25: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)

【问题讨论】:

    标签: ssl certificate postfix-mta


    【解决方案1】:

    你能检查证书是否正确安装在 smtp 端口上的 mail.sfnet.it 吗? SSL Labs (https://www.ssllabs.com/ssltest/analyze.html?d=mail.sfnet.it&hideResults=on) 表明服务器的证书在 443 上不受信任(自签名),我怀疑它在 smtp 端口上也可能相同。

    【讨论】:

    • 我已将 mail.sfnet.it 设置为具有正确证书的虚拟主机,现在 ssllabs.com 测试按预期工作。您可以使用 openssl 检查 smtp ssl:codeopenssl s_client -connect mail.sfnet.it:587 -starttls smtpcode 缩短的输出为: SSL-Session: Protocol : TLSv1 Cipher : DHE-RSA-AES256-SHA Session -ID:1E41A176E0D9AB6A7C912AE5FD78A9173F761C8E7303776EC98937E7E813CB5C Session-ID-ctx:Key-Arg:无开始时间:1423132333 超时:300(秒)验证返回码:0(正常)
    【解决方案2】:

    连接不受信任,因为发件人 MTA 无法识别签署收件人 MTA 证书的 CA。要使 MTA 信任彼此的证书,您必须在两个 MTA 上安装 CA 证书。安装过程取决于您使用的发行版。 Here is an example for centOS

    您可以从官方 positivessl 站点获取 CA 证书。 Here is what I found.

    【讨论】:

      【解决方案3】:

      可能必须用smtp_tls_CApath 指定可信证书的路径:

      smtp_tls_security_level = may
      smtp_tls_loglevel = 1
      smtp_tls_CApath = /etc/ssl/certs
      

      【讨论】:

        猜你喜欢
        • 2018-12-01
        • 1970-01-01
        • 2022-07-08
        • 2011-01-06
        • 2017-05-22
        • 1970-01-01
        相关资源
        最近更新 更多