我现在正在设置 Postfix,它应该作为仅发送解决方案运行 - 不会收到任何电子邮件。但是,TLS 仍然应该支持外发电子邮件,所以我使用 启用了它smtp_tls_security_level = may。Postfix 有smtpd_tls_cert_file和smtpd_tls_key_file,据我所知,它们只涉及传入电子邮件。所以我只是想知道:我是否有必要为传出 TLS 连接设置自己的单独 SSL/TLS 证书?
据我所知,Postfix 将尝试连接到接收服务器,并将获得一个公钥。然后我的机器的 OpenSSL 将使用接收方的公钥加密电子邮件,因此不需要 SSL/TLS 证书,对吗?
只是想确定一下,因为我不想因为我没有有效的 SSL/TLS 证书而让我的电子邮件被视为垃圾邮件。
答案1
您可能需要证书用于其他目的。通过 TLS 连接时,您的内部客户端可以在向 postfix 提交电子邮件时检查此证书(如果客户端配置为需要证书)。
根据Postfix 文档:
除非必须向一台或多台服务器提供客户端 TLS 证书,否则请勿配置 Postfix SMTP 客户端证书。客户端证书通常不是必需的,并且可能会导致在没有它们的情况下正常运行的配置出现问题。
这意味着您可以将这些证书行留空(默认)。如果您的客户端确实需要检查证书有效性,您最好使用
smtp_tls_chain_files =
提供此类证书。这是 Postfix 版本 ≥ 3.4 的推荐选项。
当 postfix 向外部 SMTP 服务器发送电子邮件时,这些服务器之间的协商不依赖于提到的证书,因为 postfix 只会检查外部服务器的公共证书。