我发送电子邮件没有问题 – 但(在禁用TLS之前 – 这似乎没有引起任何问题) – 在发送的每封电子邮件中我都会收到错误 –
postfix/postfix-script[4557]: warning:
/var/spool/postfix/etc/ssl/certs/ca-certificates.crt and
/etc/ssl/certs/ca-certificates.crt differ
由于禁用TLS,我在发送电子邮件时不再收到警告(而不是取消) – 但是在启动服务时(以及在预定的cron服务检查中)会看到它.
看起来很明显的解决方案是将证书文件复制到Postfix目录(希望提醒我除了.crt以外哪些文件需要移动!)?
或者这是一个我真的不需要担心的警告?
任何帮助非常感谢.
理查德.
>日志消息的最直接原因是Postfix的各个部分在/ var / spool / postfix下运行chroot,因此这些部分将在/var/spool/postfix/etc/ssl/certs/ca-certificates.crt中查找获取用于验证所提供证书的TLS信任锚列表.理论上,过时的ca-certificates.crt可能意味着Postfix的那些chrooted部分可能无法识别“有效”证书本身,或者不能不信任由自我委托的CA颁发的证书.在实践中,可信根的列表变化很少,因此不太可能成为问题.
>关于证书的可信赖性,SMTP-over-TLS与HTTPS不同.实际上,今天在Internet上运行的SMTP服务器都没有检查所提供的证书是否值得信任,因为许多证书无法通过验证 – 由于名称不匹配,过期或由不受信任的CA颁发(通常是自签名的,但并非总是如此) ).一般而言,SMTP操作符认为被动攻击者比主动攻击者更受关注,因此对不受信任的端点的加密优于不加密(如果受TLS保护的连接被拒绝,则会自动发生这种加密).
是的,显而易见的解决方案是将正在被抱怨的文件复制到chroot中.没有其他文件可以复制,因为它不是您正在复制的Postfix自己的密钥/证书对,它只是信任锚列表,它们都包含在一个文件中.
