postfix 的 SNI 支持与 gmail 的兼容问题
💡
原文中文,约9400字,阅读约需23分钟。
📝
内容提要
这篇文章讨论了Postfix的SNI支持与Gmail的兼容性问题。作者在修改票务系统时观察到邮件服务器日志中出现了一些奇怪的现象。通过分析日志,作者发现问题出在没有正确告知对方自己尝试连接的SNI名字。解决方法是让Postfix在verify的时候提供一个SNI名字,并重建tls_policy的hash db。这样就能正常发送邮件到Gmail了。作者还提到Gmail在部署新变动时会在TLS握手时送出一个自签名证书,但作者暂时还不理解这么做的好处是什么。
🎯
关键要点
- 文章讨论了Postfix的SNI支持与Gmail的兼容性问题。
- 作者在修改票务系统时观察到邮件服务器日志中的奇怪现象。
- 日志显示Gmail的TLS连接出现自签名证书验证失败的问题。
- 作者配置了Postfix强制使用TLS,并设置了tls_policy以确保邮件安全发送。
- 邮件发送失败的原因是未正确提供SNI名称,导致Gmail返回自签名证书。
- 解决方案是让Postfix在验证时提供SNI名称,并重建tls_policy的hash db。
- 修改后,邮件成功发送到Gmail。
- Gmail在TLS握手时返回自签名证书,作者不理解其好处。
➡️
