即使在"smtp_tls_security_level =指纹“时，后缀仍然抱怨”证书验证失败“

Question

我试图使用Postfix (RHEL6上的2.6.6版本)通过我们内部网络上的邮件中继连接和发送邮件。我想连接到端口25上的STARTTLS (此服务器上没有端口465 )。邮件中继使用自签名的SSL/TLS证书，因此我需要跳过使用证书颁发机构的证书验证。我发现了smtp_tls_security_level = fingerprint，它不检查信任链、过期日期等，而是使用证书指纹进行验证。

我认为这是一个完美的解决方案，但当我试图发送电子邮件时，我仍然会在/var/log/maillog中发现错误，比如postfix/smtp[15182]: certificate verification failed for xxxxxxxxxxxx[zz.zz.zz.zz]:25: untrusted issuer。

我认为fingerprint安全级别的全部目的是跳过证书验证。我是否误解了这个选择的意义？我还有什么需要配置的吗？

下面是来自main.cf的相关行：

relayhost = [xxx.xxx.xxx]
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl-passwords
smtp_sasl_security_options=
smtp_generic_maps = hash:/etc/postfix/generic
smtp_use_tls = yes
smtp_tls_security_level = fingerprint
smtp_tls_fingerprint_digest = sha1
# fingerprint changed for ServerFault. just an example.
smtp_tls_fingerprint_cert_match = c1:d3:54:12:00:r0:ef:fa:42:48:10:ff:ac:1e:75:13:dd:ad:af:3e
smtp_tls_note_starttls_offer = yes

编辑:添加粗体

Answer 1

在这里回答我自己的问题。我没有设法使fingerprint验证工作，但我确实发现了如何在没有证书验证的情况下获得TLS。来自手册：

可以通过设置"smtp_tls_security_level = encrypt“来配置强制TLS加密。即使总是使用TLS加密，即使服务器证书不受信任或使用错误的名称，邮件传递也会继续。

我曾尝试过这一点，但肯定没有使所有正确的选择。但是使用上面的设置，我只需将smtp_tls_security_level更改为encrypt，它就能正常工作。

Answer 2

因为后缀已经启用chroot (默认情况下在Debian中)“/etc/ Postfix /master.cf.cf”：

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      unix  -       -       -       -       -       smtp

变量smtp的默认值为空，解决方案通过在default内设置证书文件的位置来设置它：

在“/etc/postfix/main.cf”中：

smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt