Ich verwende Postfix mail.myserver.comseit über 15 Jahren und kann damit erfolgreich E-Mails empfangen und senden. Alle Zertifikate sind mit Let’s Encrypt vollständig gültig. Ich kann bestätigen, dass sie einwandfrei funktionieren, wenn ich openssl s_client -connect mail.myserver.com:25 -starttls smtpSTARTTLS und ähnliche Tests für SSL auf Port 465 validiere.
Ich sage das alles, um klarzustellen, dass es sich hier nicht um eine neue Konfiguration handelt und dass bis auf diesen einen Einzelfall alles richtig eingerichtet und reibungslos laufend zu sein scheint.
Angesichts all dessen kann ich keine E-Mails von einem bestimmten Anbieter (meinem Gesundheitsdienstleister!) empfangen. Wenn ich die Postfix-Protokolle durchsehe, sehe ich Zeilen wie diese:
postfix/smtpd[2016]: connect from mail1.static.mydoctor.com[xxx.xx.xx.xxx]
postfix/smtpd[2016]: SSL_accept error from mail1.static.mydoctor.com[xxx.xx.xx.xxx]: 0
postfix/smtpd[2016]: warning: TLS library problem: 2016:error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate:s3_pkt.c:1493:SSL alert number 42:
postfix/smtpd[2016]: lost connection after STARTTLS from mail1.static.mydoctor.com[xxx.xx.xx.xxx]
postfix/smtpd[2016]: disconnect from mail1.static.mydoctor.com[xxx.xx.xx.xxx]
Dies bedeutet, dass der mail1.static.mydoctor.comMailserver versucht, mail.myserver.comüber STARTTLS eine Verbindung zu mir herzustellen, aber ein ungültiges Zertifikat anbietet, sodass mein Postfix die Verbindung ablehnt. Lassen Sie mich wissen, wenn meine Interpretation falsch ist!
Ich muss diese speziellen E-Mails wirklich empfangen, auch wenn der Absender es falsch macht. Welche Art von Workaround könnte in diesem Fall funktionieren? Gibt es eine Möglichkeit, die Zertifikatsprüfung zu lockern, um das fehlerhafte Zertifikat trotzdem zuzulassen? Oder vielleicht diesen speziellen Remote-Server auf die Whitelist zu setzen, sodass alles, was er sendet, akzeptiert wird? Etwas anderes?
Antwort1
... sslv3 alert bad certificate:s3_pkt.c:1493:SSL alert number 42:Dies sagt mir, dass der Mailserver mail1.static.mydoctor.com versucht, über STARTTLS eine Verbindung zu meinem Mail.myserver.com herzustellen, aber ein ungültiges Zertifikat anbietet, sodass mein Postfix die Verbindung ablehnt.
Das ist die falsche Interpretation. Die Meldung „Alert Bad Certificate“ in Ihrem Protokoll bedeutet, dass Ihr Server diese Meldung vom Absender-MTA erhalten hat, weil der Absender-MTA Ihr Zertifikat nicht validieren konnte. Es geht also nicht darum, dass der Absender das falsche Zertifikat bereitstellt, sondern darum, dass Ihr Server ein Zertifikat bereitstellt, das der Absender nicht akzeptiert.
Es ist unklar, warum der MTA des Absenders Ihr Zertifikat nicht verifizieren konnte. Möglicherweise liegt ein Setup-Problem bei Ihnen oder beim Absender vor.