我正准备在 Postfix 服务器上启用 TLS。我之所以这样做是因为有人告诉我,如果 TLS 不可用,有些发送服务器会拒绝发送消息。由于我有很多服务器需要启用此功能,因此我将使用通配符 SSL 证书。我想如果我直接使用 Verisign,发送服务器可能不会识别我们的证书。但是,我很想尝试更便宜的选项,例如 RapidSSL 或 cacert.org(据我所知,它们提供免费证书)。有人有使用过这些更便宜的选项吗?他们的证书是否被大多数邮件服务器识别?
当我尝试寻找有关此主题的答案时,似乎每个人都只担心电子邮件客户端识别......然而,这与我完全无关,因为我们的服务器仅用于入站电子邮件......没有电子邮件客户端连接到它们。
答案1
根据我的经验,大多数邮件服务器不会验证证书。多年来,我一直在邮件服务器上使用自签名证书进行 TLS 传输,并且没有发现任何投递问题。所以我会先尝试一下,看看您与之通信有问题的系统是否仍然无法正常工作。
Postfix 在这里有关于 TLS 不同安全级别的指南:http://www.postfix.org/postconf.5.html#smtp_tls_security_level
他们可能使用的相关安全级别是“加密”、“验证”和“安全”。他们都说“对于向互联网发送邮件的系统来说,此安全级别不是合适的默认级别。”基本上,发送服务器做错了。互联网电子邮件系统不应该要求使用 TLS。但我认为你无法控制这一点。
如果他们使用加密级别,自签名证书就可以正常工作。