01.10.2018 21:14, Alex Korchmar пишет: > Dmitry Dolzenko <dol@mig.phys.msu.ru> wrote: > > >> Разбираюсь как прикрутить TLS к postfix 3.3 >> Добавил в main.conf > во-первых, зачем тебе понадобилось летсшиткриптовское дерьмо для почты? > Она у нас пока еще гвоздем к единственно-верным авторити не прибита, > вполне можно и нужно использовать self-signed сертификаты с нормальным > сроком валидности, а не автообновляемые раз в две недели.
А что за проблем с привязкой к CA, можно поподробней?
>> Hо смущает - по мануалу от postfix - не установил smtp_tls_cert_file = >> и smtp_tls_key_file >> (для smtp а не smtpd) в мануале не рекомендуется это делать. Hепонятно, >> как устанавливается TLS hanshake без сертификата. > у *тебя*, когда ты лезешь на https://google.com, спрашивают какой-то сертификат? > Вот так и устанавливается - сертификат предъявляет сервер.
Ясно. Пример отличный.
>> Смущает еще в логах - "Untrusted TLS connection" что то подсказывает, >> что он должен быть "Trusted" > для этого тебе понадобится связать поцфикс с CA-store или вручную собирать > fingerprint'ы всех серверов с которыми ты имеешь дело (а они будут меняться, > ибо не ты один дурак с летсшиткриптой)
А с CA store сильно сложно связать? Hаверное порт с корневыми сертификатами скачать, и указать в конфиге postfix?
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)