Vou tentar ser breve. Quero que beta.example.com use meu servidor como servidor de email. Vejo que o pombal e o postfix têm apenas uma linha para um certificado. Então fiz um certificado para mail.example.com que é totalmente válido. Tentei usar o Thunderbird para conectar-me ao meu servidor de e-mail (beta.example.com) e recebi um aviso de domínio incorreto informando que o certificado pertence a mail.example.com. Onde eu errei? O registro mx diz mail.example.com, então ele não deveria saber que o certificado é para mail.example.com? Adicionei uma exceção, mas ela ainda falha (depois de solicitar minha senha). Olhei para o meu servidor e parece que o dovecot está rejeitando a conexão porque o Thunderbird está fornecendo dados de certificado incorretos.
Responder1
Você experimenta o propósito dos certificados: impedir a conexão acidental com um servidor que não é o que você espera ( mail.example.comem vez de beta.example.com). Você deve configurar um certificado emitido para o domínio ao qual você se conecta, ou seja. se o cliente de e-mail se conectar a beta.example.com, você precisará de um certificado para beta.example.com.
Obtenha outro certificado para beta.example.com(ou inclua-o como nome alternativo da entidade) ou aponte mail.example.compara o IP de beta.example.com.
Responder2
O cliente está configurado para se conectar ao mail.example.com.
O servidor ao qual ele se conecta afirma (no certificado) ser beta.example.com.
Como mail.example.comnão é a mesma coisa beta.example.com, o cliente reclama do desencontro.Isso ocorre inteiramente por design.
Para fazer isso funcionar,você precisa configurar seu servidor de e-mail para apresentar um certificado que inclua um Nome Alternativo de Assunto que corresponda ao nome do host para o qual o cliente está apontado.Como esse nome de host acaba sendo resolvido para um endereço IP não vem ao caso.
Antigamente você colocava o nome do host no campo Nome comum do certificado, mas essa prática está sendo obsoleta. Você ainda pode colocar o nome do host como o CN do certificado se desejar, mas para melhor compatibilidade você precisatambémcoloque-o como uma SAN. Acredito que a maioria das CAs colocará o CN como SAN como um serviço para você se você não fizer isso em seu CSR, mas há o risco de que alguns não o façam; verifique seu certificado.
Se você deve usar omesmo certificadopara Postfix e Dovecot, mas por algum motivo você deseja ternomes de host diferentespublicado para os dois (digamos smtp.example.come pop.example.com), então você precisará de um certificado válido para ambos os nomes de host envolvidos. Isso pode ser feito com um certificado de vários nomes de host ou um *.example.comcertificado curinga ( ).
Também,Os RRs DNS MX (mail exchanger) são realmente relevantes apenas para conexões SMTP de entrada para um servidor de correio que manipula mensagens para um domínio específico, onde o servidor de correio remoto inicialmente conhece apenas o domínio do destinatário.É perfeitamente válido ter, por exemplo
example.com. MX 0 mail.example.com.
mail.example.com. CNAME beta.example.com.
beta.example.com. A 192.0.2.123
embora não seja realmente recomendado porque apontar um RR para um RR não canônico pode fazer com que alguns resolvedores engasguem. No entanto, se o resolvedor do sistema remoto aceitar (a maioria aceita), o procedimento acima será efetivamente o mesmo como se você tivesse
example.com. MX 0 mail.example.com.
mail.example.com. A 192.0.2.123
Em ambos os casos, o MTA remoto (agente de transferência de correio; nos dias modernos, um servidor de correio que fala SMTP com outros servidores de correio) se conectará a mail.example.com (porque esse é o nome do host do MX conforme fornecido no MX RR) e, portanto, esperaremos um certificado válido para mail.example.com.
Seu MUA não consultará os registros MXe não saberá de qualquer maneira; ele consultará o endereço ( e A, AAAAem casos raros, talvez também A6; os RRs A6 estão obsoletos, mas foram usados por algum tempo para IPv6) registros de qualquer nome de host que você fornecer como entrada (POP/IMAP) ou saída (SMTP) servidor de e-mail.