После обновления до Ubuntu20.04: проблема с сертификацией электронной почты: установлено ненадежное соединение TLS
Я обновил ubuntu18 до ubuntu20.04 на apache2 и больше не запускался, эта электронная почта снова будет отправлена через SMTP-Mailbox с сертификатом. Без SMTP работает. Fot that I'm using postfix für EMail und certbot für encryption.
apache2 ubuntu20.04.2 LTS
Проблема: в Mail-Log есть
postfix / smtp [3042]: Установлено ненадежное соединение TLS с mx1.domain.org [.....]: 25: TLSv1.3 с шифром TLS_AES_256_GCM_SHA384 (256/256 бит) сервер ECDHE (P-384) обмена ключами- подпись RSA-PSS (4096 бит) postfix / smtp [3041]: Установлено ненадежное TLS-соединение с mail.domain.de [....]: 25: TLSv1.2 с шифром DHE-RSA-AES256-GCM-SHA384 (256/256 бит)
Я сделал:
Я многое изменил в процессе обновления, но теперь все работает:
Я думал, что имя хоста было проблемой (потому что новый сервер с новым IP-адресом) Итак, я изменил / контролировал множество файлов с новым именем хоста:
- и т. д. / хосты
- и т.д. / имя хоста
- и т.д. / msmtprc
- и т.д. / постфикс / main.cf
- и т. д. / mailname
- и т.д. / псевдонимы
- вар / катушка / постфикс / и т. д. / хосты
После этого я создал новый Certbot для Postfix: Из всех сайтов, которые я нашел в Интернете для установки в ubuntu20, это описание лучшее, что я получил без сообщений об ошибках. Но в описании есть одна проблема, которую я определил: если вы используете его после обновления, вы не должны забывать эту строку:
sudo ufw allow Postfix
после этого следует:
sudo certbot certonly --standalone --rsa-key-size 4096 --agree-tos --preferred-challenges http -d your_domain
Я тестировал Сервер после намёка на этот форум здесь: Все функции работают правильно (но я не уверен):
- TLS 1.3
- Ключ RSA 2048 бит (e 65537)
- Слабый ключ (Debian) Нет
- Эмитент R3
- Алгоритм подписи SHA256 с RSA Extended Validation Нет
- Прозрачность сертификата Да (сертификат)
- OCSP должен сшивать Нет
- Информация об отзыве OCSP
- Статус отзыва Хорошее (не отозвано)
- DNS CAA Нет (подробнее) - >> Что это значит? это проблема?
- Доверенное Да
- OpenSSL CCS vuln. (CVE-2014-0224) Нет (подробнее)
- OpenSSL Padding Oracle уязвимость. (CVE-2016-2107) Нет (подробнее)
- Непереносимость расширения TLS Нет
- Непереносимость версии TLS Нет
Много тестировал с файлом main.cf, но он не работает :( Любые идеи? Не знаю, почему smtp не используется для отправки. Спасибо за помощь!!!
etc / postfix / main.cf аналогичен старому серверу с ubuntu18, где он работает (новый только ssl-сертификат с шифрованием):
# See /usr/share/postfix/main.cf.dist for a commented, more complete version
# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h
readme_directory = no
# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2
# TLS parameters
#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
#smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_cert_file=/etc/letsencrypt/live/domainname.de-0001/fullchain.pem
smtpd_tls_key_file=/etc/letsencrypt/live/domainname.de-0001/privkey.pem
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
#smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = serverhostname
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
# mydestination = $myhostname, localhost.$mydomain, $mydomain
mydestination = domainname1.de,domainname2.de
relayhost =
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 5120000000
recipient_delimiter =
inet_interfaces = all
#inet_interfaces = loopback-only
inet_protocols = ipv4
mynetworks = 127.0.0.1/32
/ etc / msmtprc аналогичен ubuntu18, но тоже работает:
account default
host smtp.mailboxserver.de
port 587
auto_from on
maildomain servername
Какие именно файлы Server / Postfix и т. д. Вам нужны? Спасибо за помощь!
Файлы, в которых находится конфигурация, связанная с TLS, см. postfix.org/TLS_README.html. И соответствующие сертификаты, потому что они могут быть неправильными. Вы также можете попробовать использовать такие инструменты, как testssl.sh, для проверки поддержки TLS вашим SMTP-сервером (порт 25).
etc / postfix / main.cf - это то же самое, что и старый сервер с ubuntu18, где он работает (новый только ssl-сертификат с шифрованием) .msmtprc тоже такой же. я обновляю его в тексте выше.
Я не уверен, как интерпретировать журналы из Postfix, поскольку вы изменили домены. Это действительно предупреждения о ненадежных соединениях при подключении к доменам, которые вы настроили с помощью собственного сертификата? Или это предупреждения о подключениях к внешним сайтам?
Спасибо, это работает! Мне пришлось изменить эти 2 папки: etc / msmtprc -> tls on -> tls_starttls on -> tls_trust_file /etc/ssl/certs/ca-certificates.crt -> user -> from -> password etc / php / 8.0 / apache2 /php.ini -> sendmail_from = [email protected] Важно: testmail через Shell не работает, поставил через PHP он работает корректно с SSL
Вы предоставляете только информацию о безопасности TLS веб-сервера. Почтовый сервер имеет другую настройку, и нет никакой информации о его безопасности, нет никакой информации о том, как именно настроен почтовый сервер, и нет никакого способа воспроизвести то, что вы видите другими. Кроме того, здесь вопрос не по теме, а больше по теме на serverfault.com.