Postfix + Gmail. Falha na verificação de certificado

6

Configurei meu sistema para enviar e-mails pelo Gmail.

O sistema funciona na medida em que eu posso enviar e-mails, no entanto eu estou recebendo um erro relativo ao certificado seguro.

Este é um exemplo de entrada no mail.log:

    Oct 29 12:17:27 durban postfix/smtp[20742]: setting up TLS connection
    to smtp.gmail.com[209.85.143.108]:587

    Oct 29 12:17:27 durban postfix/smtp[20742]: certificate verification
    failed for smtp.gmail.com[209.85.143.108]:587: untrusted issuer
    /C=US/O=Equifax/OU=Equifax Secure Certificate Authority

    Oct 29 12:17:27 durban postfix/smtp[20742]: Untrusted TLS connection
    established to smtp.gmail.com[209.85.143.108]:587: TLSv1 with cipher
    RC4-SHA (128/128 bits)

    Oct 29 12:17:29 durban postfix/smtp[20742]: BA4852A1BFA:
    to=<[email protected]>, relay=smtp.gmail.com[209.85.143.108]:587,
    delay=2.9, delays=0.1/0.1/1.3/1.4, dsn=2.0.0, status=sent (250 2.0.0
    OK 1319887049 l20sm20686943wbo.6)

Eu pesquisei esta questão e encontrei outras pessoas com o problema que estavam capaz de resolvê-lo, atualizando um arquivo chamado cacert.pem no diretório / etc / postfix.

No meu main.cf eu tenho a seguinte linha (entre outras):

smtpd_tls_CAfile=/etc/postfix/cacert.pem

Eu tenho este arquivo:

-rw-r--r-- 1 root root 2298 2011-10-29 12:16 cacert.pem

Eu preenchi este arquivo com os comandos:

# cat /usr/lib/ssl/certs/Equifax_Secure_CA.pem >> /etc/postfix/cacert.pem
# cat /usr/lib/ssl/certs/Thawte_Premium_Server_CA.pem >>
      /etc/postfix/cacert.pem

Eu acredito que a primeira linha deve ser suficiente e a segunda linha (certificado) é um certificado antigo que não é mais usado (pelo google).

Eu não sei o que mais posso mudar e não faço ideia do que mais para procurar ou quais arquivos de log devem ser verificados.

Quaisquer sugestões apreciadas.

    
por BWi 30.10.2011 / 20:18

4 respostas

9

Eu tive o mesmo problema e quando eu publiquei "postconf | grep smtp | grep CA" todas as variáveis estavam vazias: smtp_tls_CAfile = smtp_tls_CApath = smtpd_tls_CAfile = smtpd_tls_CApath =

Veja como eu consertei;

Eu assumo que sua instalação do Ubuntu criou o caminho da AC que contém todas as CAs conhecidas na Internet: / etc / ssl / certs, e a Equifax está lá.

Tudo o que está faltando na sua configuração do Postfix é o caminho da câmera : smtp_tls_CApath = / etc / ssl / certs

Depois, o Postfix poderá verificar o certificado do smtp.gmail.com como CA legítimo, porque ele está no diretório / etc / ssl / certs.

    
por Edmond Baroud 07.03.2012 / 03:45
4

Acho que seu problema é que você está definindo smtpd_tls_CAfile em vez de smtp_tls_CAfile .

Você pode usar um certificado autoassinado para a configuração TLS do postfix.

    
por Mike Partridge 23.12.2011 / 05:07
2

Eu tenho a mesma configuração que você. Mas além de

smtpd_tls_CAfile=/etc/postfix/cacert.pem

Eu também tenho em main.cf :

do meu postfix
smtp_tls_CAfile=/etc/postfix/cacert.pem

Tente adicionar essa linha extra. Pode ser necessário adicioná-lo como parte deste bloco:

smtp_tls_CAfile = /etc/postfix/cacert.pem
smtp_tls_cert_file = /etc/postfix/FOO-cert.pem
smtp_tls_key_file = /etc/postfix/FOO-key.pem
smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_tls_session_cache
smtp_use_tls = yes
    
por David Xia 16.02.2012 / 23:45
0

Eu tive um problema semelhante, que corrigi com a ajuda de esta postagem do blog .

O remédio parecia ser que eu só precisava de um certificado SSL válido (não um autoassinado) e concatenei os bundles StartSSL e Equifax CA juntos.

    
por Jonathon Hill 16.12.2011 / 23:10