Страница 1 из 2

Сертификат почты

Добавлено: Сб мар 16, 2024 7:10 am
joni_m
Добрый день.
Подскажите как решить проблему , или где включить правильно.
Есть сертификат панели YYYYYY.com(тоже используеться для почты YYYYYY.com ) и есть сертификат хост акаунта NNNNN.edu в сертификате хост акаунта тоже указано использовать для почты.
При тестировании через сервис https://www.checktls.com/ выдает следующее
[000.683] Connection converted to SSL
SSLVersion in use: TLSv1_3
Cipher in use: TLS_AES_256_GCM_SHA384
Perfect Forward Secrecy: yes
Session Algorithm in use: Curve X25519 DHE(253 bits)
Certificate #1 of 3 (sent by MX):
Cert VALIDATED: ok
Cert Hostname DOES NOT VERIFY (mail.NNNNN.edu(сертификат хост акаунта ) != YYYYYY.com(сертификат панели) | DNS:YYYYYY.com)
So email is encrypted but the host is not verified
Not Valid Before: Mar 15 00:15:13 2024 GMT
Not Valid After: Jun 13 00:15:12 2024 GMT
subject: /CN=YYYYYY.com
issuer: /C=US/O=Let's Encrypt/CN=R3
Certificate #2 of 3 (sent by MX):

Cert VALIDATED: ok
Not Valid Before: Sep 4 00:00:00 2020 GMT
Not Valid After: Sep 15 16:00:00 2025 GMT
subject: /C=US/O=Let's Encrypt/CN=R3
issuer: /C=US/O=Internet Security Research Group/CN=ISRG Root X1
Certificate #3 of 3 (added from CA Root Store):
Cert VALIDATED: ok
Not Valid Before: Jun 4 11:04:38 2015 GMT
Not Valid After: Jun 4 11:04:38 2035 GMT
subject: /C=US/O=Internet Security Research Group/CN=ISRG Root X1
issuer: /C=US/O=Internet Security Research Group/CN=ISRG Root X1
[000.761] ~~> EHLO www12-azure.checktls.com


Тоесть при проверки , выдаеться сертификат не хост акаунта а сертификат панели.

Re: Сертификат почты

Добавлено: Пн мар 18, 2024 8:33 am
alenka
При генерации сертификата, указывайте галочку для почты.

Re: Сертификат почты

Добавлено: Пн мар 18, 2024 8:42 am
joni_m
Так галочка установленна
В списке сертификатов также видно галочку ( использовать для почты )

sni.conf dovecot
} #YYYYYY.com(сертификат панели)
local_name YYYYYY.com(сертификат панели) {
ssl_cert = </etc/certs/YYYYYY.com(сертификат панели)/YYYYYY.com(сертификат панели)_autorenew_letsen.crt_v2
ssl_key = </etc/certs/YYYYYY.com(сертификат панели)/YYYYYY.com(сертификат панели)_autorenew_letsen.key
} #mail.NNNNN.edu(сертификат хост акаунта
local_nam email.NNNNN.edu(сертификат хост акаунта {
ssl_cert = </etc/certs/mail.NNNNN.edu(сертификат хост акаунта/mail.NNNNN.edu(сертификат хост акаунта_1710506909.crt_v2
ssl_key = </etc/certs/mail.NNNNN.edu(сертификат хост акаунта/mail.NNNNN.edu(сертификат хост акаунта_1710506909.key

Re: Сертификат почты

Добавлено: Пн мар 18, 2024 10:17 am
alenka
В письмах указываете отправителя, без указания отправителя, письмо отправляется с заголовком, в которой вписан qualify_domain в котором по умолчанию прописал hostname вашего сервера.

Re: Сертификат почты

Добавлено: Пн мар 18, 2024 10:25 am
joni_m
Вопрос в том , что при подключении к IMAP через SSL ( используя почтовый клиент ) , сам клиент ругаеться что сертивфикат не совпадает с хост именем.
Относительно указывать отправителя не сильно понятно , весь вопрос сводиться к обычному Outlook

Возможно так будет понятно что я имею виду
openssl s_client -showcerts -connect mail.домен акаунта.com:993 -servername mail.домен акаунта.com.com
Результат
CONNECTED(00000003)
depth=0 CN = сертификат панели ( не mail.домен акаунта.com.com)
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN =сертификат панели ( не mail.домен акаунта.com.com)
verify error:num=21:unable to verify the first certificate
verify return:1

При подключение выдаеться не сертификат домен акаунта , а сертификат который использует сама панель. Соотведствено верификация не проходит.
Веть на панеле может быть n-количество почтовых доменов , соотведствено и сертификатов. Но при проверке подключения выдаеться всегда только сертификат панели а не почтового домена ( который в акаунте )

Re: Сертификат почты

Добавлено: Пн мар 18, 2024 10:39 am
alenka
Относительно указывать отправителя не сильно понятно , весь вопрос сводиться к обычному Outlook
Ответ был дан с учетом, то что вы отправляете через скрипты вашейcms.

Re: Сертификат почты

Добавлено: Пн мар 18, 2024 10:40 am
joni_m
А как быть с банальними клиентами ( Thunderbird,Outlook ) и т п

Re: Сертификат почты

Добавлено: Пн мар 18, 2024 10:51 am
alenka
Какая ос?

Re: Сертификат почты

Добавлено: Пн мар 18, 2024 10:54 am
joni_m
Панель на
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=20.04
DISTRIB_CODENAME=focal
DISTRIB_DESCRIPTION="Ubuntu 20.04.5 LTS"

Клиенты Windows 7/10/11

И на SMTP при SSL тоже отдаеться сертификат только панели , так-же проверил
openssl s_client -starttls smtp -showcerts -connect почтовый домен:25 -servername почтовый домен

Re: Сертификат почты

Добавлено: Пн мар 18, 2024 11:01 am
alenka
Мы проверим данный нюанс.