Estoy configurando Postfix ahora mismo y debería ejecutarse como una solución de solo envío; no se recibirán correos electrónicos. Pero aun así, TLS debería ser compatible con los correos electrónicos salientes, así que lo habilité usando smtp_tls_security_level = may. Postfix tiene smtpd_tls_cert_filey smtpd_tls_key_file, hasta donde yo sé, se refieren únicamente a los correos electrónicos entrantes. Entonces me preguntaba: ¿Es necesario configurar mi propio certificado SSL/TLS independiente para las conexiones TLS salientes?
Hasta donde tengo entendido, Postfix intentará conectarse al servidor receptor y se le proporcionará una clave pública. Luego, OpenSSL de mi máquina cifrará el correo electrónico utilizando la clave pública del receptor, por lo que no se necesita ningún certificado SSL/TLS, ¿verdad?
Solo quiero asegurarme, porque no quiero que mis correos electrónicos sean tratados como SPAM solo porque no tengo un certificado SSL/TLS válido.
Respuesta1
Es posible que necesite tener un certificado para diferentes propósitos. Sus clientes internos, cuando se conecten a través de TLS, podrán verificar este certificado cuando envíen un correo electrónico a postfix (si el cliente está configurado para requerir un certificado).
De acuerdo adocumentación de sufijo:
No configure certificados de cliente SMTP de Postfix a menos que deba presentar certificados TLS de cliente a uno o más servidores. Los certificados de cliente normalmente no son necesarios y pueden causar problemas en configuraciones que funcionan bien sin ellos.
Esto significa que puede dejar estas líneas de certificado vacías (predeterminado). En caso de que su cliente realmente requiera verificar la validez del certificado, será mejor que utilice
smtp_tls_chain_files =
para proporcionar dichos certificados. Esta es una opción recomendada para la versión Postfix ≥ 3.4.
Cuando postfix envía un correo electrónico a un servidor SMTP externo, la negociación entre estos servidores no depende del certificado mencionado porque postfix verificará únicamente el certificado público del servidor externo.