Ric*_*sby 3 postfix ssl-certificate
我有一个运行 Postfix 的 Ubuntu 14.04 服务器 - 它通过外部主机(Mandrill)发送邮件。
我在发送电子邮件时没有遇到任何问题 - 但是(在禁用 TLS 之前 - 这似乎没有引起任何问题) - 在发送的每封电子邮件中我都会收到错误 -
postfix/postfix-script[4557]:警告:/var/spool/postfix/etc/ssl/certs/ca-certificates.crt 和 /etc/ssl/certs/ca-certificates.crt 不同
由于禁用 TLS,我在发送电子邮件时不再收到警告(不奇怪) - 但是在启动服务(以及计划的 cron 服务检查)时可以看到它。
服务器托管多个域 - 但只从一个域发送电子邮件。
显而易见的解决方案似乎是将证书文件复制到 Postfix 目录(希望提醒我需要移动除 .crt 之外的哪些文件!)?
或者这是一个我真的不需要担心的警告?
非常感谢任何帮助。
理查德.
出于多种原因,您实际上不必担心它。
日志消息的最直接原因是 Postfix 的各个部分在 chroot 下运行/var/spool/postfix,因此这些部分将查看/var/spool/postfix/etc/ssl/certs/ca-certificates.crt以获取用于验证提供的证书的 TLS 信任锚列表。从理论上讲,过时ca-certificates.crt可能意味着 Postfix 的那些 chroot 部分可能无法识别“有效”证书,或者无法不信任由已解除信任的 CA 颁发的证书。在实践中,受信任的根列表很少更改,因此不太可能成为问题。
就证书的可信度而言,SMTP-over-TLS 与 HTTPS 不同。现在几乎没有在 Internet 上运行的 SMTP 服务器检查所提供的证书是否可信,因为许多证书无法通过验证——要么是因为名称不匹配、过期,要么是由不受信任的 CA(通常是自签名,但并非总是)。SMTP 运营商一般认为,被动攻击者比主动攻击者更受关注,因此对不受信任的端点进行加密比不加密要好(如果 TLS 保护的连接被拒绝,则会自动发生这种情况)。
是的,显而易见的解决方案是将被投诉的文件复制到 chroot 中。没有要复制的其他文件,因为它不是您要复制的 Postfix 自己的密钥/证书对,它只是信任锚列表,它们都包含在一个文件中。
| 归档时间: |
|
| 查看次数: |
3186 次 |
| 最近记录: |