我想通过第三方服务器(outbound.mailhop.org)转发来自我的MTA的外发电子邮件,以便最终交付。 我想知道如何使机器之间的安全连接“值得信赖”。 这是我目前的Postfixconfiguration的相关部分:
smtp_use_tls = yes smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_security_level = may smtp_tls_loglevel = 1 smtp_sasl_auth_enable = yes smtp_sasl_security_options = noanonymous smtp_sasl_password_maps = hash:/etc/postfix/relay relayhost = [outbound.mailhop.org] 当我发送testing消息时,从邮件日志中,
Untrusted TLS connection established to outbound.mailhop.org[54.186.218.12]:25: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)
我怎样才能使这个连接“可信”?
好吧,从评论中,我推断你想要一个“可信”的连接,即使你不知道“可信”是什么意思。 那么保持简单就意味着你要求你知道你在和谁说话 。
你可以看看他们的证书和链。 你不需要问他们,因为他们的证书是公开的信息。 最佳做法是build议您询问他们在连接时获得的证书是否是真正的证书,方法是通过电话或类似方式validation指纹。 欲了解更多详情,请阅读这个主题。
如果其证书签发的根CA来自公共CA,则将该根CA放入该文件意味着您信任具有由该CA签名的证书的每个人。 如果这不是你想要的,你真的只想相信他们,没有其他人,那么你可以使用smtp_tls_trust_anchor_file选项。
如果你只跟这个中继进行通信,你可以/应该使用smtp_tls_security_level=encrypt因为它不会回退到纯文本连接,连接将被encryption或连接失败。
如注释中所述,如果使用Postfix 2.3及更高版本,则应该避免使用smtp_use_tls ,因为该命令已被弃用。 如上所述,简单地使用smtp_tls_security_level 。