dovecot がサイト証明書とメール証明書を混同している

証明書の本来の目的である、予期しないサーバー (mail.example.comではなくbeta.example.com) に誤って接続するのを防ぐことを体験します。接続先のドメインに対して発行された証明書を構成する必要があります。つまり、メール クライアントが に接続する場合はbeta.example.com、 の証明書が必要ですbeta.example.com。

の別の証明書を取得するかbeta.example.com(またはサブジェクトの別名として含めるか)、mail.example.comの IP を指すようにしてくださいbeta.example.com。

クライアントは に接続するように構成されていますmail.example.com。

接続先のサーバーは（証明書内で） であると主張しますbeta.example.com。

mail.example.comは と同じではないためbeta.example.com、クライアントは不一致について苦情を言います。これは完全に意図的なものです。

これを機能させるには、クライアントが指しているホスト名と一致するサブジェクト代替名を含む証明書を提示するようにメール サーバーを構成する必要があります。そのホスト名がどのようにして IP アドレスに解決されるかは重要ではありません。

以前は証明書の共通名フィールドにホスト名を入れていましたが、この方法は廃止されています。証明書のCNとしてホスト名を入れることもできますが、互換性を保つためにまたそれを SAN として設定します。ほとんどの CA は、CSR で自分で設定していない場合、サービスとして CN を SAN として設定すると思いますが、設定しない CA もあるというリスクがあります。証明書を確認してください。

使用する必要がある場合は同じ証明書PostfixとDovecot用に、しかし何らかの理由で異なるホスト名2 つのホスト名 (smtp.example.comとpop.example.com) に対して公開されている場合は、関係する両方のホスト名に対して有効な証明書が必要です。これは、複数ホスト名証明書またはワイルドカード ( ) 証明書を使用して実行できます*.example.com。

---

また、MX (メール エクスチェンジャー) DNS RR は、実際には、特定のドメインのメールを処理するメール サーバーへの受信 SMTP 接続にのみ関連します。この場合、リモート メール サーバーは最初は受信者のドメインのみを認識します。例えば、

example.com. MX 0 mail.example.com.
mail.example.com. CNAME beta.example.com.
beta.example.com. A 192.0.2.123

ただし、非正規のRRをRRに指定すると、一部のリゾルバが動作しなくなる可能性があるため、あまりお勧めできません。ただし、リモートシステムのリゾルバがそれを受け入れる場合（ほとんどの場合は受け入れます）、上記の方法は、

example.com. MX 0 mail.example.com.
mail.example.com. A 192.0.2.123

どちらの場合も、リモート MTA (メール転送エージェント。現代では、他のメール サーバーに SMTP で通信するメール サーバー) は mail.example.com に接続します (これは MX RR で指定されている MX のホスト名であるため)。そのため、mail.example.com に対して有効な証明書を期待します。

MUAはMXレコードを参照しませんどちらの方法もわかりません。受信 (POP/IMAP) または送信 (SMTP) メール サーバーとして指定したホスト名のアドレス ( A、AAAAまれに もA6。A6 RR は非推奨ですが、IPv6 ではしばらく使用されていました) レコードを参照します。