Постфикс: я должен использовать snakeoil сертификат или мой https сертификат?
Я выполняю сайт и установил действительный Wildcard-сертификат для обслуживания страниц HTTPS. Я просто настроил постфикс на своем хосте Ubuntu, и по умолчанию его конфигурация включает:
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
Я могу изменить их snakeoil сертификаты к сертификатам я купил? Если я могу, не так ли?
Это зависит от того, что вы хотите, и ваших настроек.
smtpd service: сертификат имеет общее имя (CN), как вы знаете, и содержит действительный домен за. Назовите это example.com и *. Example.com , как типичный случай для сертификатов, предназначенных для Интернета.
Если имя хоста почтового сервера - mail. example.com (здесь имеет значение домен в MX-записи), сертификат, предоставленный почтовым сервером, действителен для example.com , включая поддомены, и проверка (если таковая) прошла успешно. Если имя хоста почтового сервера (тот, что в MX-записи) не совпадает (например, externalservice.example.net ), он завершится ошибкой.
В случае самозаверяющего сертификата CN надеюсь, соответствует полному доменному имени, но определенно не подписано доверенным сертификатом.
Таким образом, оба варианта могут дать сбой. Убедитесь, что полное доменное имя почтового сервера соответствует CN сертификата (или наоборот). Кроме того, предоставьте цепочку сертификатов корневым центрам сертификации. См. Документацию по этому поводу.
Но, к сожалению, очень распространено использование неподписанных и ненадежных самоподписанных, устаревших сертификатов или вообще без сертификатов для почтовых серверов. Лишь небольшая часть работающих почтовых серверов имеет действительные сертификаты. Недавно я видел опрос, который показывает, что только около 5% или меньше действительно имеют действующий сертификат, но я не могу его найти в данный момент. Свяжу его позже, когда найду.
В случае службы отправки проверка имеет большее значение, так как реальные пользователи подключаются к службе и могут получить предупреждение о сертификате. MUA сравнивают настроенный домен для входящей и исходящей почты с используемым CommonName. Здесь применяется то же, что и для smtp , но пользователи будут жаловаться, если получат предупреждения trust или соединение не будет установлено. Поскольку у вас есть подстановочный сертификат, вы можете безопасно использовать smtp.example.com в качестве имени хоста для такого рода задач. Без подстановочного знака это не так просто.
Вы можете и должны (если вы не хотите использовать сертификат для конкретного хоста).
Технически можно использовать любой сертификат, в том числе snakoil. Это просто еще один самозаверяющий сертификат с несоответствующим идентификатором. Однако лучше всего использовать сертификат, который соответствует тому, что законный клиент будет использовать для связи с хостом. Это зависит от ваших настроек. Если люди пытаются достичь mail.example.com , сертификат должен соответствовать mail.example.com . Если они пытаются достичь example.com , он должен соответствовать этому. *. Example.com соответствует mail.example.com , но не example.com . Не то чтобы я рекомендовал использовать чистый домен для такого рода вещей.
Кроме того, вы можете не быть уязвимыми для POODLE.
smtpd_tls_protocols =! SSLv2,! SSLv3
Это имеет большее значение, если вы делаете авторизация, но в любом случае это хорошая идея.