我有一个运行Postfix的Ubuntu 14.04服务器 – 通过外部主机(Mandrill)发送邮件。
我没有发送电子邮件的问题 – 但(在禁用TLS之前 – 这似乎没有引起任何问题) – 每发送一封邮件我会得到错误 –
postfix / postfix脚本[4557]:警告:/var/spool/postfix/etc/ssl/certs/ca-certificates.crt和/etc/ssl/certs/ca-certificates.crt不同
由于禁用TLS,发送电子邮件时不再发出警告(不是提示),而是在启动服务(以及计划的cron服务检查)时看到。
服务器托pipe多个域 – 但仅从一个发送电子邮件。
看起来很明显的解决办法是将证书文件复制到Postfix目录(除了需要移动的.crt之外,还会喜欢提醒哪些文件!)?
或者这是一个警告,我真的不必担心?
任何帮助非常感谢。
理查德。
你不需要担心,有几个原因。
日志消息的最近原因是Postfix的各个部分在/var/spool/postfix下运行chrooted,所以这些部分将在/var/spool/postfix/etc/ssl/certs/ca-certificates.crt查找以获得用于validation提供的证书的TLS信任锚的列表。 理论上,过时的ca-certificates.crt可能意味着Postfix的chroot部分可能不会识别“有效的”证书,或者不信任自信任的CA颁发的证书。 实际上,受信任的根目录变化很less,所以不太可能成为问题。
SMTP-over-TLS不像HTTPS,关于证书的可信性。 实际上,今天在因特网上运行的SMTP服务器检查提供的证书是否可信,因为如此多的证书未通过validation – 或者由于名称不匹配,到期或由不可信CA发布(通常是自签名的,但并不总是)。 一般来说,SMTP运营商认为,被动攻击者比主动攻击者更为担心,因此对不可信端点的encryption优于不encryption(如果TLS保护的连接被拒绝,会自动发生)。
是的,显而易见的解决scheme是将被投诉的文件复制到chroot中。 没有其他文件需要复制,因为它不是Postfix自己的复制密钥/证书对,它只是信任锚的列表,它们都包含在单个文件中。