Closed nicolas-rdgs closed 6 years ago
Oui tu as raison c'est une erreur de ma part. Je pense qu'on peut utiliser au choix :
smtp_tls_CApath = /etc/ssl/certs
smtpd_tls_CApath = /etc/ssl/certs
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
Mais je me demande si c'est réellement utile, autant virer ces directives vu qu'elles semblent inutiles. OpenSSL doit par défaut aller voir dans les répertoires de l'OS. Ça fait 6 ans que j'ai cette configuration avec Postfix, j'ai jamais eu de soucis de vérification de certificat.
Je pense aussi que retirer ces directives ne poseront aucun problème puisque oui comme tu dis, y'a aussi ça d'écrit : "Specify "tls_append_default_CA = no" to prevent Postfix from appending the system-supplied default CAs and trusting third-party certificates.".
Après je pense qu'il faut configurer des restrictions assez fines pour que ces directives soient prises en comptes mais j'y vois pas l'intérêt à moins de faire un serveur mail limité ^^
Je vais laisser cette option positionnée comme ça, parce que si je retire smtp_tls_CAfile = {{ .CAFILE }}
, mes tests échouent, parce que le certificat de test ne peut pas être vérifié, ce qui est normal parce que sa chaine de certification est complètement obsolète. La prochaine fois que j'arriverais à avoir un certificat Let's Encrypt qui ne peut plus être utilisé et qui aura un chaine valide, je modifierai tout ça.
I was looking the same thing a few days ago and I had the same interpretation as @Body4.
If set, smtp_tls_CAfile
should point to a bundle of CA Root certificates.
Something like this: https://curl.haxx.se/ca/cacert.pem
Also smtpd_tls_cert_file
probably should point to fullchain.pem
not cert.pem
.
http://www.postfix.org/postconf.5.html#smtpd_tls_cert_file
Example: the certificate for "server.example.com" was issued by "intermediate CA" which itself has a certificate of "root CA". Create the server.pem file with "cat server_cert.pem intermediate_CA.pem root_CA.pem > server.pem".
I may have missed something on the conversation (google translator ;D)
Classification
Description
Hello, j'aimerais comprendre l'utilisation de l'option 'smtp_tls_CAfile' du main.cf qui contient '/etc/letsencrypt/live/domain/chain.pem'.
Dans la documentation de postfix, http://www.postfix.org/postconf.5.html#smtp_tls_CAfile, il est écrit :
Etant donné qu'il s'agit du daemon smtp, ce paramètre n'est pas utilisé pour vérifier le certificat serveur distant ? Car de ce que je comprends, lorsque le mail est envoyé au serveur distant, postfix récupère et vérifie l'authenticité du certificat serveur distant (si TLS) et dans ce cas là, ne faut-il pas définir 'smtp_tls_CApath' à la place avec '/usr/share/ca-certificates' par exemple ?