我已经设置了一个带有 postfix 的服务器来发送邮件。但是,当我尝试向 Gmail 帐户发送电子邮件时,出现以下错误:
May 16 23:41:47 vps4195 postfix/smtp[15949]: certificate verification failed for gmail-smtp-in.l.google.com: num=20:unable to get local issuer certificate
May 16 23:41:47 vps4195 postfix/smtp[15949]: certificate verification failed for gmail-smtp-in.l.google.com: num=27:certificate not trusted
出现这些错误后,邮件会被发送到 gmail 帐户,但即使 gmail 内部没有使用邮件过滤器,邮件也几乎总是会进入垃圾邮件目录。
那么我怎样才能摆脱这些错误?
附言:这些信息可能不足以帮助您修复此问题,但我并不是此主题的专家,因此如果我需要发布更多信息,请告诉我。
编辑:postfix 运行的系统是 CentOS 5.5 (VPS)
答案1
这两个错误毫无关联。
- 第一种情况表明您没有安装必要的根证书来可靠地检查 Google 服务器的身份,但仍试图使用 SSL 加密的 SMTP。您有两个选择,第一个是停用 SSL 进行邮件传递,如果您不使用 Google 服务器作为邮件中继,我认为这是可以接受的解决方案。第二个是安装 Google 服务器的证书链,或者更好的是安装完整的 SSL 根证书堆栈并告诉 Postfix 在哪里找到它们。如何做到这一点有点取决于您使用 Postfix 的系统,您没有命名。
- 第二个错误表明您的邮件系统配置不当,Google 的垃圾邮件过滤器只会将来自您系统的邮件视为垃圾邮件。这可能有多种原因,其中包括您可能是开放中继,您的 DNS 条目不正确,或者您可能被列在某些 DNSBL 列表中(因为是开放中继或发送垃圾邮件)。您会在 ServerFault 上找到大量与这些主题相关的问题。
答案2
Google 将证书转换至 Equifax。
您可以从以下位置下载证书:https://www.geotrust.com/resources/root-certificates/index.html(下载根 1 - Equifax 安全证书颁发机构DER 编码的 X.509)
下载后你必须将其转换为 pem:
openssl x509 -inform der -in Equifax_Secure_Certificate_Authority_DER.cer -out Equifax_Secure_Certificate_Authority_DER.pem
现在您可以验证证书:
openssl verify Equifax_Secure_Certificate_Authority_DER.pem
最后,您必须将 pem 添加到证书文件夹中。在 Debian 中,这是/etc/ssl/certs
我还将其添加到/etc/ssl/certs/ca-certificates.crt和
cat Equifac_Secure_Certificate_Authority_DER.pem >> /etc/ssl/certs/ca-certificates.crt
并将此 crt 包含在我的 postfix 配置中:
smtpd_tls_CAfile=/etc/ssl/certs/ca-certificates.crt
smtp_tls_CAfile=/etc/ssl/certs/ca-certificates.crt