Недавно просматривая логи заметил ошибку верификации сертификата при соединении своего smtp сервера с серверами gmail,yandex.ru и mail.ru. В принципе эта проверка лишь дополнительное звено при авторизации и на доставку писем пока не влияет. Вот содержимое лога /var/log/mail.err:

Feb 6 13:57:24 xxxxxx postfix/smtp[nnnnn]: certificate verification failed for gmail-smtp-in.l.google.com[173.194.70.27]:25: untrusted issuer /C=US/O=Equifax/OU=Equifax Secure Certificate Authority

Я пробовал генерировать новые сертификаты, но проблема не уходила. Решение оказалось очень простым, проверяем наличие вот этого сертификата /etc/ssl/certs/ca-certificates.crt (путь актуален для Debian систем) в этой паке лежат сертификаты от корневых служб авторизации (CA) и промежуточные сертификаты. Все что нам нужно это указать службе postfix загружать этот сертификат для проверки, для этого добавляем строку в файл конфигурации /etc/postfix/main.cf

smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

И перезапускаем службу postfix

# service postfix restart
Stopping Postfix Mail Transport Agent: postfix.
Starting Postfix Mail Transport Agent: postfix.

И теперь при отправке писем на сервера gmail, yandex.ru, mail.ru ошибка в лог файле не появляется.

Добавить комментарий