Desde 30 de abril, estou vendo erros como esse no meu registro de e-mail:
May 1 02:27:27 afaron postfix/smtpd[2644268]: connect from r137.info.hofer.at[66.117.17.137]
May 1 02:27:27 afaron postfix/smtpd[2644268]: SSL_accept error from r137.info.hofer.at[66.117.17.137]: -1
May 1 02:27:27 afaron postfix/smtpd[2644268]: warning: TLS library problem: error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired:../ssl/record/rec_layer_s3.c:1543:SSL alert number 45:
May 1 02:27:27 afaron postfix/smtpd[2644268]: lost connection after STARTTLS from r137.info.hofer.at[66.117.17.137]
May 1 02:27:27 afaron postfix/smtpd[2644268]: disconnect from r137.info.hofer.at[66.117.17.137] ehlo=1 starttls=0/1 commands=1/2
Pelo que entendi, r137.info.hofer.at[66.117.17.137] se recusa a enviar e-mails para meu servidor, porque afirma que meu certificado SSL expirou.
Eu uso um certificado letsencrypt. Verifiquei novamente se o mais recente é realmente usado pelo postfix, e é. Não expirou. Até tentei forçar a atualização do certificado, mas os erros reapareceram. Quando executo openssl s_client -starttls smtp -showcerts -connect mail.l3u.de:25 -servername mail.l3u.de
, recebo um ticket de sessão TLS válido.
Até agora, r137.info.hofer.at[66.117.17.137] é o único servidor de e-mail reclamando. Tentei enviar e-mails de e para gmx.de, web.de, t-online.de, gmail.com, yahoo.com e outlook.de. Tudo sem problemas, tanto no envio quanto no recebimento.
Como posso rastrear isso? Isso pode ser algum problema local devido a algum certificado desatualizado na cadeia de confiança do meu sertificado no meu servidor? E como posso encontrá-lo? Ou este é um problema remoto?
Responder1
Não tenho certeza absoluta, mas acho que sei o que está acontecendo agora.
O lado remoto parece usar uma versão desatualizada do OpenSSL, que engasga com a assinatura cruzada do letsencrypt do certificado DST Root CA X3 (expirado).
Solicitei um novo certificado usando certbot com --preferred-chain "ISRG Root X1"
set (é claro que também reiniciei o postfix ;-) e depois disso, o servidor em questão conversou com meu servidor novamente.