У меня есть сервер Ubuntu 14.04, на котором работает Postfix, который отправляет почту через внешний хост (Mandrill).
У меня нет проблем с отправкой электронной почты, но (до отключения TLS - что, похоже, не вызвало проблем) - при каждом отправленном электронном письме я получал ошибку -
postfix / postfix-script [4557]: предупреждение: /var/spool/postfix/etc/ssl/certs/ca-certificates.crt и /etc/ssl/certs/ca-certificates.crt отличаются
После отключения TLS я больше не получаю предупреждение при отправке электронной почты (не подавление), однако это видно при запуске службы (и при запланированных проверках службы cron).
На сервере размещено несколько доменов, но электронная почта отправляется только с одного.
Кажется очевидным решением было бы скопировать файлы сертификатов в каталог Postfix (хотелось бы напомнить, какие файлы, кроме .crt, мне нужно переместить!)?
Или это предупреждение, о котором мне не нужно беспокоиться?
Любая помощь очень ценится.
Ричард.
Вам не стоит об этом беспокоиться по нескольким причинам.
Ближайшая причина сообщения журнала заключается в том, что различные части Postfix работают в chrooot под /var/spool/postfix
, и поэтому эти части будут выглядеть в /var/spool/postfix/etc/ssl/certs/ca-certificates.crt
чтобы получить список якорей доверия TLS, используемых для проверки представленных сертификатов. Теоретически устаревший ca-certificates.crt
может означать, что эти chroot-части Postfix могут не распознавать «действительный» сертификат как таковой или не доверять сертификату, выпущенному ЦС, которому с тех пор не доверяют. На практике список доверенных корней меняется так редко, что это вряд ли станет проблемой.
SMTP-over-TLS отличается от HTTPS с точки зрения надежности сертификатов. Практически ни один SMTP-сервер, работающий в Интернете, сегодня не проверяет, что представленные сертификаты заслуживают доверия, потому что очень много сертификатов не проходят проверку - либо из-за несоответствия имен, либо из-за истечения срока действия, либо из-за выдачи ненадежным центром сертификации (обычно самозаверяющим, но не всегда ). Операторы SMTP в целом придерживаются мнения, что пассивные злоумышленники вызывают большее беспокойство, чем активные злоумышленники, поэтому шифрование для ненадежной конечной точки лучше, чем не шифрование (что произойдет автоматически, если соединение, защищенное TLS, было отклонено).
Да, очевидное решение - скопировать файл, на который подана жалоба, в chroot. Других файлов для копирования нет, потому что вы копируете не собственную пару ключ / сертификат Postfix, а только список якорей доверия, которые все содержатся в одном файле.