自 4 月 30 日以來,我在郵件日誌中看到類似的錯誤:
May 1 02:27:27 afaron postfix/smtpd[2644268]: connect from r137.info.hofer.at[66.117.17.137]
May 1 02:27:27 afaron postfix/smtpd[2644268]: SSL_accept error from r137.info.hofer.at[66.117.17.137]: -1
May 1 02:27:27 afaron postfix/smtpd[2644268]: warning: TLS library problem: error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired:../ssl/record/rec_layer_s3.c:1543:SSL alert number 45:
May 1 02:27:27 afaron postfix/smtpd[2644268]: lost connection after STARTTLS from r137.info.hofer.at[66.117.17.137]
May 1 02:27:27 afaron postfix/smtpd[2644268]: disconnect from r137.info.hofer.at[66.117.17.137] ehlo=1 starttls=0/1 commands=1/2
據我所知,r137.info.hofer.at[66.117.17.137] 拒絕向我的伺服器發送郵件,因為它聲稱我的 SSL 憑證將過期。
我使用 LetsEncrypt 憑證。我仔細檢查了 postfix 是否確實使用了最新的版本,確實如此。還沒過期。我什至嘗試強制更新證書,但錯誤再次出現。當我運行時openssl s_client -starttls smtp -showcerts -connect mail.l3u.de:25 -servername mail.l3u.de,我獲得了有效的 TLS 會話票證。
到目前為止,r137.info.hofer.at[66.117.17.137] 是唯一抱怨的郵件伺服器。我嘗試在 gmx.de、web.de、t-online.de、gmail.com、yahoo.com 和 Outlook.de 之間發送郵件。發送和接收都沒有問題。
我怎樣才能追蹤到這個?這可能是由於我的伺服器上的憑證信任鏈中的一些過時的憑證導致的一些本地問題嗎?我怎麼才能找到它?或者這是一個遠端問題?
答案1
我不太確定,但我想我知道現在發生了什麼。
遠端似乎使用過時版本的 OpenSSL,該版本會因(過期的)DST Root CA X3 憑證的 LetsEncrypt 交叉簽章而阻塞。
我使用帶有 set 的 certbot 請求了一個新證書--preferred-chain "ISRG Root X1"(當然也重新啟動了 postfix ;-),之後,有問題的伺服器再次與我的伺服器通訊。