Corriger le “Postfix untrusted TLS certificate”

Avant, sur un serveur où tout fonctionne bien, j’avais tout de même ça qui me pourrissait les logs:

Jan 16 09:40:22 MX postfix/smtp[1825]: Untrusted TLS connection established to mx-eu.mail.am0.yahoodns.net[188.125.69.79]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)

En fait, malgré l’installation du package ca-certificates, Postfix ne sait pas vérifier les signatures: le bundle avec les certificats des principales autorités de certification n’est pas copié dans son chroot.

La solution (en considérant que le package ca-certificates est installé):

copier le bazar dans le chroot:

[root@MX: ~]# mkdir -p -m 0755 /var/spool/postfix/etc/ssl/certs
[root@MX: ~]# cp -L /etc/ssl/certs/ca-certificates.crt /var/spool/postfix/etc/ssl/certs

ajouter ce qui va bien dans le /etc/postfix/main.cf:

smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

reloader postfix

[root@MX: ~]# postfix reload

Et du coup, dans les logs, on se retrouve avec ce genre de choses:

Jan 16 09:47:50 MX postfix/smtp[3182]: Trusted TLS connection established to mx-eu.mail.am0.yahoodns.net[188.125.69.79]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)

Les messages “Untrusted TLS” ne subsistent que pour les certificats auto-signés ou les certificats signés par une autorité non reconnue.

tags : conf doc mail pl-fr postfix ssl/tls tech tip tips tls

0 vote

16/01/2015 10:58

Ecrit par Guillaume Vaillant - Afficher l'article originel

Vus : 1029
Publié par Guillaume Vaillant : 52

Statut de la page

Corriger le “Postfix untrusted TLS certificate”

Login into Planet Libre