Ssl

郵件伺服器:/etc/mailname 是否必須匹配 SSL 證書 CN?

  • May 3, 2018

我在 VPS 上設置了一個 Web 和電子郵件伺服器,它使用 apache2 和多個虛擬主機以及用於電子郵件伺服器的 postfix、dovecot 和 roundcube。我在嘗試使用 roundcube 發送郵件時遇到身份驗證失敗,我認為這可能與 /etc/mailname (host.vpshoster.com) 和為其中一個虛擬設​​備註冊的 SSL 證書不匹配有關主機(www.example.com)。他們必須匹配嗎?

驗證錯誤不是 /etc/mailname 與 SSL 證書上的通用名稱 (CN) 不匹配的直接結果,而是由於郵件伺服器配置錯誤;但是,一旦我讓郵件伺服器正常工作,當我向 gmail 帳戶發送電子郵件時,CN 不匹配確實會導致安全警告。我創建了一個新的 SSL 證書,因此 CN 匹配 /etc/mailname 並且與此問題相關的安全警告消失了(儘管我仍然收到與未加密的消息相關的安全警告)。

經驗教訓:電子郵件伺服器使用的 SSL 證書上的 CN 應該匹配電子郵件伺服器的名稱,而不是與電子郵件伺服器託管在同一台機器上的虛擬主機的名稱(我包括了電子郵件伺服器和我的所有同一 SSL 證書上的虛擬主機,但首先列出電子郵件伺服器以正確設置 CN)。

編輯:

除了原來問題的教訓外,我在設置我的郵件伺服器的過程中還學到了以下內容:

  1. “此外,對於 gmail 等一些郵件服務 - 您需要在郵件伺服器的 IP 上設置反向 DNS,並且該名稱還需要與郵件名稱匹配”-ivanivan
  2. 我的 IPv4 地址有一條反向 DNS PTR 記錄,但我的 IPv6 PTR 記錄錯誤,我必須更新它。事實上,如果沒有正確的 PTR 記錄,我發送給 gmail 的電子郵件根本不會送達。他們向發件人返回有關 IPv6 發送指南的資訊。
  3. 郵件仍未加密。請參閱未加密的外發電子郵件以了解我的 postfix 配置以及我如何解決加密問題。

引用自:https://serverfault.com/questions/909408