He estado ejecutando postfix mail.myserver.comdurante los últimos 15 años y he recibido y enviado correo con éxito. Todos los certificados son totalmente válidos con Let's Encrypt. Puedo verificar que están bien usando openssl s_client -connect mail.myserver.com:25 -starttls smtppara validar STARTTLS y pruebas similares para SSL en el puerto 465.
Digo todo esto para establecer que esta no es una configuración nueva y, excepto por este caso singular, todo parece estar configurado correctamente y funcionando sin problemas.
Teniendo en cuenta todo eso, no puedo recibir correos electrónicos de un proveedor específico (¡mi proveedor de atención médica!). Al revisar los registros de postfix, veo líneas como esta:
postfix/smtpd[2016]: connect from mail1.static.mydoctor.com[xxx.xx.xx.xxx]
postfix/smtpd[2016]: SSL_accept error from mail1.static.mydoctor.com[xxx.xx.xx.xxx]: 0
postfix/smtpd[2016]: warning: TLS library problem: 2016:error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate:s3_pkt.c:1493:SSL alert number 42:
postfix/smtpd[2016]: lost connection after STARTTLS from mail1.static.mydoctor.com[xxx.xx.xx.xxx]
postfix/smtpd[2016]: disconnect from mail1.static.mydoctor.com[xxx.xx.xx.xxx]
Esto me dice que el mail1.static.mydoctor.comservidor de correo está intentando conectarse mail.myserver.coma través de STARTTLS pero ofrece un certificado incorrecto y, por lo tanto, mi postfix rechaza la conexión. ¡Avíseme si mi interpretación de eso es incorrecta!
Realmente necesito recibir esos correos electrónicos específicos, incluso si el remitente lo está haciendo mal. ¿Qué tipo de solución podría funcionar en este caso? ¿Hay alguna manera de relajar la verificación de certificados para permitir el certificado incorrecto de todos modos? ¿O tal vez incluir en la lista blanca ese servidor remoto específico de modo que se acepte todo lo que envíe? ¿Algo más?
Respuesta1
... sslv3 alert bad certificate:s3_pkt.c:1493:SSL alert number 42:Esto me dice que el servidor de correo mail1.static.mydoctor.com está intentando conectarse a mi mail.myserver.com a través de STARTTLS pero ofrece un certificado incorrecto y, por lo tanto, mi postfix rechaza la conexión.
Ésta es la interpretación equivocada. La "alerta de certificado incorrecto" en su registro significa que su servidor recibió esta alerta del MTA del remitente, porque el MTA del remitente no pudo validar su certificado. Es decir, no se trata de que el remitente proporcione el certificado incorrecto, sino que el servidor proporcione un certificado que el remitente no aceptará.
No está claro por qué el MTA del remitente no pudo verificar su certificado. Podría ser un problema de configuración de su parte o un problema de configuración del remitente.