4월 30일부터 메일 로그에 다음과 같은 오류가 표시됩니다.
May 1 02:27:27 afaron postfix/smtpd[2644268]: connect from r137.info.hofer.at[66.117.17.137]
May 1 02:27:27 afaron postfix/smtpd[2644268]: SSL_accept error from r137.info.hofer.at[66.117.17.137]: -1
May 1 02:27:27 afaron postfix/smtpd[2644268]: warning: TLS library problem: error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired:../ssl/record/rec_layer_s3.c:1543:SSL alert number 45:
May 1 02:27:27 afaron postfix/smtpd[2644268]: lost connection after STARTTLS from r137.info.hofer.at[66.117.17.137]
May 1 02:27:27 afaron postfix/smtpd[2644268]: disconnect from r137.info.hofer.at[66.117.17.137] ehlo=1 starttls=0/1 commands=1/2
내가 이해할 수 있는 한, r137.info.hofer.at[66.117.17.137]은 내 SSL 인증서가 만료될 것이라고 주장하기 때문에 내 서버로 메일 보내기를 거부합니다.
Letsencrypt 인증서를 사용합니다. 최신 버전이 실제로 postfix에서 사용되는지 다시 확인했는데, 그렇습니다. 만료되지 않았습니다. 인증서를 강제 업데이트하려고 시도했지만 오류가 다시 나타났습니다. 을 실행하면 openssl s_client -starttls smtp -showcerts -connect mail.l3u.de:25 -servername mail.l3u.de
유효한 TLS 세션 티켓을 받습니다.
지금까지는 r137.info.hofer.at[66.117.17.137]이 불만을 제기하는 유일한 메일 서버였습니다. 나는 gmx.de, web.de, t-online.de, gmail.com, yahoo.com 및 outlook.de에서 메일을 보내려고 했습니다. 보내기, 받기 모두 문제없이 가능합니다.
어떻게 추적할 수 있나요? 내 서버의 인증서에 대한 신뢰 체인의 일부 오래된 인증서로 인해 로컬 문제가 될 수 있습니까? 어떻게 찾을 수 있나요? 아니면 원격 문제인가요?
답변1
완벽하게 확신할 수는 없지만 지금 무슨 일이 일어나고 있는지 알 것 같아요.
원격 측에서는 (만료된) DST 루트 CA X3 인증서에 대한 letsencrypt의 교차 서명을 차단하는 오래된 버전의 OpenSSL을 사용하는 것 같습니다.
나는 set이 있는 certbot을 사용하여 새 인증서를 요청했고 --preferred-chain "ISRG Root X1"
(물론 postfix도 다시 시작했습니다 ;-) 그 후 문제의 서버가 내 서버와 다시 통신했습니다.