Просто пара вопросов и ответов, чтобы поделиться тем, что я узнал сегодня утром.
Gmail помечает самозаверяющие сертификаты для TLS как незашифрованные в своем интерфейсе. Это явно неверно. Как еще кто-то смог это обойти?
Оказывается, есть быстрое решение, если вы запустите свой собственный почтовый сервер и, возможно, вместе с ним веб-сервер - используйте свои сертификаты letsencrypt. В /etc/postfix/main.cf:
smtpd_tls_cert_file = /etc/letsencrypt/live/domain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/domain.com/privkey.pem
smtp_tls_cert_file = /etc/letsencrypt/live/domain.com/fullchain.pem
smtp_tls_key_file = /etc/letsencrypt/live/domain.com/privkey.pem
Не уверен в разнице между включением его только для smtpd (это относится к отправке / получению? Тема для другого вопроса ...), но в любом случае должны быть оба.
Я также обновил сценарий LE, чтобы перезагружать постфикс при обновлении сертификатов:
web_service2='postfix'
/usr/sbin/service $web_service2 reload
Добавил эти строки в /usr/local/sbin/le-renew-webroot-SITE который работает с заданием cron.