Dovecot은 사이트 인증서와 메일 인증서를 혼동합니다.

인증서의 목적을 경험하게 됩니다. 즉, 예상한 서버가 아닌 서버에 실수로 연결하는 것을 방지하는 것입니다( mail.example.com대신 beta.example.com). 연결하는 도메인에 대해 발급된 인증서를 구성해야 합니다. 메일 클라이언트가 에 연결하는 경우 beta.example.com에 대한 인증서가 필요합니다 beta.example.com.

에 대한 다른 인증서를 얻거나 beta.example.com이를 주체 대체 이름으로 포함하거나 mail.example.com의 IP를 가리 킵니다 beta.example.com.

클라이언트가 에 연결하도록 구성되었습니다 mail.example.com.

인증서에서 클레임에 연결하는 서버는 입니다 beta.example.com.

mail.example.com와 동일하지 않기 때문에 beta.example.com클라이언트가 불일치에 대해 불평합니다.이것은 전적으로 의도적으로 설계된 것입니다.

이 작업을 수행하려면클라이언트가 가리키는 호스트 이름과 일치하는 주체 대체 이름을 포함하는 인증서를 제공하도록 메일 서버를 구성해야 합니다.해당 호스트 이름이 어떻게 IP 주소로 확인되는지는 중요하지 않습니다.

예전에는 인증서의 일반 이름 필드에 호스트 이름을 입력했지만 이 방식은 더 이상 사용되지 않습니다. 원하는 경우 호스트 이름을 인증서의 CN으로 넣을 수 있지만 최상의 호환성을 위해서는 다음을 수행해야 합니다.또한SAN으로 넣어보세요. 대부분의 CA는 CSR에서 직접 수행하지 않는 경우 CN을 SAN 서비스로 제공할 것이라고 생각하지만 일부 CA에서는 그렇지 않을 위험이 있습니다. 인증서를 확인하세요.

반드시 사용해야 하는 경우동일한 인증서Postfix 및 Dovecot의 경우에는 어떤 이유로든다른 호스트 이름두 가지(예: smtp.example.com및 pop.example.com)에 대해 게시된 경우 관련된 두 호스트 이름 모두에 유효한 인증서가 필요합니다. 이는 다중 호스트 이름 인증서 또는 와일드카드( *.example.com) 인증서를 사용하여 수행할 수 있습니다.

---

또한,MX(메일 교환기) DNS RR은 실제로 원격 메일 서버가 처음에 수신자 도메인만 알고 있는 특정 도메인의 메일을 처리하는 메일 서버에 대한 수신 SMTP 연결에만 관련됩니다.예를 들어 다음과 같은 것이 완벽하게 유효합니다.

example.com. MX 0 mail.example.com.
mail.example.com. CNAME beta.example.com.
beta.example.com. A 192.0.2.123

하지만 비정규 RR에서 RR을 가리키면 일부 확인자가 질식할 수 있으므로 실제로는 권장되지 않습니다. 그러나 원격 시스템의 확인자가 이를 수락하면(대부분의 경우) 위의 내용은 실제로

example.com. MX 0 mail.example.com.
mail.example.com. A 192.0.2.123

두 경우 모두 원격 MTA(메일 전송 에이전트, 현대에는 다른 메일 서버에 SMTP를 전달하는 메일 서버)가 mail.example.com에 연결됩니다(이것이 MX에 지정된 MX의 호스트 이름이기 때문입니다). RR), 따라서 mail.example.com에 유효한 인증서를 기대하게 됩니다.

MUA는 MX 레코드를 참조하지 않습니다.어느 쪽이든 알지 못할 것입니다. 수신(POP/IMAP) 또는 발신(SMTP)으로 제공하는 호스트 이름의 주소 A( AAAA및 드문 경우일 수도 있습니다 A6. A6 RR은 더 이상 사용되지 않지만 한동안 IPv6에 사용됨) 레코드를 참조합니다. 메일 서버.