Guillaume Vaillant : Corriger le “Postfix untrusted TLS certificate”
vendredi 16 janvier 2015 à 10:58Avant, sur un serveur où tout fonctionne bien, j’avais tout de même ça qui me pourrissait les logs:
Jan 16 09:40:22 MX postfix/smtp[1825]: Untrusted TLS connection established to mx-eu.mail.am0.yahoodns.net[188.125.69.79]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
En fait, malgré l’installation du package ca-certificates, Postfix ne sait pas vérifier les signatures: le bundle avec les certificats des principales autorités de certification n’est pas copié dans son chroot.
La solution (en considérant que le package ca-certificates est installé):
- copier le bazar dans le chroot:
[root@MX: ~]# mkdir -p -m 0755 /var/spool/postfix/etc/ssl/certs [root@MX: ~]# cp -L /etc/ssl/certs/ca-certificates.crt /var/spool/postfix/etc/ssl/certs
- ajouter ce qui va bien dans le /etc/postfix/main.cf:
smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
- reloader postfix
[root@MX: ~]# postfix reload
Et du coup, dans les logs, on se retrouve avec ce genre de choses:
Jan 16 09:47:50 MX postfix/smtp[3182]: Trusted TLS connection established to mx-eu.mail.am0.yahoodns.net[188.125.69.79]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Les messages “Untrusted TLS” ne subsistent que pour les certificats auto-signés ou les certificats signés par une autorité non reconnue.
Original post of Guillaume Vaillant.Votez pour ce billet sur Planet Libre.
Articles similaires
- Guillaume Vaillant : postfix, spf, dkim, dmarc avec plusieurs domaines (13/01/2015)
- Guillaume Vaillant : utilisation d’un serveur LDAP comme source d’authentification pour des utilisateurs virtuels (04/10/2012)
- Guillaume Vaillant : Appliquer automatiquement les mises à jour de sécurité de Debian (05/12/2012)
- Guillaume Vaillant : Faire rapidement une clef d’install Debian (07/10/2011)
- Guillaume Vaillant : Cryptage de partitions sous Linux (04/07/2012)