我現在正在設定 Postfix,它應該作為僅發送解決方案運行 - 不會收到任何電子郵件。但是,傳出電子郵件仍應支援 TLS,因此我使用 啟用了它smtp_tls_security_level = may。 Postfix 有smtpd_tls_cert_file和smtpd_tls_key_file據我所知,它們只涉及傳入的電子郵件。所以我只是想知道:我是否有必要為傳出 TLS 連線設定自己單獨的 SSL/TLS 憑證?
據我了解,Postfix 將嘗試連接到接收伺服器並提供公鑰。然後我的機器的 OpenSSL 將使用接收者的公鑰加密電子郵件,因此不需要從側面提供 SSL/TLS 證書,對嗎?
只是想確定一下,因為我不希望因為我沒有有效的 SSL/TLS 憑證而將我的電子郵件視為垃圾郵件。
答案1
您可能需要擁有用於不同目的的憑證。透過 TLS 連線時的內部用戶端將可以在向 postfix 提交電子郵件時檢查此憑證(如果用戶端已設定為需要憑證)。
根據後綴文檔:
不要設定 Postfix SMTP 用戶端證書,除非您必須向一台或多台伺服器提供用戶端 TLS 憑證。通常不需要客戶端證書,並且可能會導致在沒有客戶端證書的情況下正常工作的配置出現問題。
這意味著您可以將這些證書行留空(預設)。如果您的客戶確實需要檢查證書的有效性,您最好使用
smtp_tls_chain_files =
提供此類證書。這是 Postfix 版本 ≥ 3.4 的建議選項。
當 postfix 向外部 SMTP 伺服器發送電子郵件時,這些伺服器之間的協商不依賴所提到的證書,因為 postfix 將僅檢查外部伺服器的公共證書。