Inspecionar o certificado mostra que o certificado expirou.
Como o servidor da Web fornece um certificado válido, parece que o serviço de e-mail não foi reiniciado após a renovação do certificado e ainda está atendendo ao certificado antigo.
Um reinício do serviço de e-mail deve corrigir o problema.
Para evitar esses problemas no futuro, você pode usar o gancho de renovação do certbot com um script de shell simples.
Este é um script que estou usando:
#!/bin/bash
for domain in $RENEWED_DOMAINS
do
if [ "$domain" = mail.example.com ]
then
/etc/init.d/dovecot reload >/dev/null
elif [ "$domain" = intern.example.com ]
then
cp /etc/letsencrypt/live/$domain/* /etc/ldap/ssl/
chown -R openldap:openldap /etc/ldap/ssl/
chmod 640 /etc/ldap/ssl/*
/etc/init.d/slapd force-reload >/dev/null
else
/etc/init.d/apache2 reload >/dev/null
fi
done
O script é fornecido ao certbot com o parâmetro --renew-hook na tarefa cron:
/opt/certbot-auto --renew-hook /opt/certbot-renew renew --quiet --no-self-upgrade