Q&A
> No server certs available.
なので、サーバー証明書の設定が必要と言うことかと思います。
> 証明書に関しては、リレーするだけの場合はサーバに用意されている/etc/pki/tls/certs/ca-bundle.crtでいい
どこに書いてあったのでしょうか?前提が異なるのでは?
実現したいこと
Postfixにてgmail宛のリレー送信時にTLS送信を出来るようにしたい
発生している問題・分からないこと
社内から社外へのメールをリレーする専用サーバをCentos7にて運用しています。(Fromアドレスは複数ドメイン)
2月からgmailへのTLS送信が必須になるとの事で設定をしてみましたが、TLSの送信になりません。
送信時のログと設定内容は以下の内容になります。
実装済みの方、アドバイスをお願い致します。
Postfixバージョン:2.10.1
設定変更時reload実施
エラーメッセージ
error
1gmailへのリレー送信時ログ 22024/01/30 11:15:45 373446 5B159E853B: client=**********.jp[***.***.***.3] 32024/01/30 11:15:45 389185 5B159E853B: message-id=<20240130111545.BCA5.100742BE@***.co.jp> 42024/01/30 11:15:45 424326 5B159E853B: *********.jp [***.***.***.3] not internal 52024/01/30 11:15:45 424588 5B159E853B: not authenticated 62024/01/30 11:15:45 426365 5B159E853B: from=<****@*****.co.jp>, size=427, nrcpt=1 (queue active) 72024/01/30 11:15:45 452353 6E4D8E853C: uid=1001 from=<****@*****.co.jp> 82024/01/30 11:15:45 453729 5B159E853B: to=<*****@gmail.com>, relay=filter, delay=0.1, delays=0.07/0.01/0/0.02, dsn=2.0.0, status=sent (delivered via filter service) 92024/01/30 11:15:45 455080 6E4D8E853C: message-id=<20240130111545.BCA5.100742BE@***.co.jp> 102024/01/30 11:15:45 456697 6E4D8E853C: DKIM-Signature field added (s=240130, d=****.co.jp) 112024/01/30 11:15:45 497869 6E4D8E853C: from=<****@*****.co.jp>, size=427, nrcpt=1 (queue active) 122024/01/30 11:15:45 513768 6E4D8E853C: to=<*****@gmail.com>, relay=none, delay=0.06, delays=0.05/0.01/0/0.01, dsn=4.3.2, status=deferred (deferred transport) 132024/01/30 11:15:50 411046 6E4D8E853C: from=<****@*****.co.jp>, size=427, nrcpt=1 (queue active) 142024/01/30 11:15:50 426266 initializing the client-side TLS engine 152024/01/30 11:15:51 733383 warning: No server certs available. TLS won't be enabled 162024/01/30 11:15:52 303460 6E4D8E853C: to=<****@gmail.com>, relay=gmail-smtp-in.l.google.com[108.177.125.27]:25, delay=6.9, delays=5/0.03/0.63/1.2, dsn=2.0.0, status=sent (250 2.0.0 OK 1706580952 t4-20020a170902bc4400b001d8e5f986a9si2367446plz.260 - gsmtp)
該当のソースコード
main.cf
1## tlsに関連して追加した設定 2smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt 3smtp_tls_loglevel = 4 4smtp_tls_security_level = may 5smtpd_tls_security_level = may 6inet_protocols = ipv4
試したこと・調べたこと
- teratailやGoogle等で検索した
- ソースコードを自分なりに変更した
- 知人に聞いた
- その他
上記の詳細・結果
証明書に関しては、リレーするだけの場合はサーバに用意されている
/etc/pki/tls/certs/ca-bundle.crtでいいとあったので、そのままのファイルを指定
補足
特になし
>どこに書いてあったのでしょうか?前提が異なるのでは?
かなりのサイトを読み漁ったのでどれだったか探しておきます。
前提というのは具体的にどういう内容のことですか?
>サーバー証明書の設定が必要
これは、例えば自己証明書でもとりあえずはTLS送信にできるのでしょうか。
管理上、検証段階では正式な証明書を利用できないためそこまで検証出来ずにいます。
> 前提というのは具体的にどういう内容のことですか?
「リレーとは具体的にどういう転送のことを言ってるのか」とかですね。
・送り先をDNSで引いてMXレコードのホストにSMTP/SMTPSで普通に転送
・送り先に寄らず、固定した1つのSMTPサーバーのサブミッションポートに送る
のどっちでしょう?後者だとサーバー証明書不要なのは明らかですが、前者だと必須な気がしますが。
> これは、例えば自己証明書でもとりあえずはTLS送信にできるのでしょうか。
相手の設定によるかも知れません。とりあえずやってみれば良いのでは?
>・送り先をDNSで引いてMXレコードのホストにSMTP/SMTPSで普通に転送
になります。
自己証明書でも既にやってみていましたが同様でした。証明書のミスも考えて検証してみましたが、問題ないようです。
同環境の代替機を用意してpostfixをクリーンインストールしてからやってみたところ、
smtp_tls_CAfile = /etc/pki/tls/certs/ca.crt
smtp_tls_loglevel = 1
smtp_tls_security_level = may
のみですんなり出来てしまいました。
長い運用で余計な設定が入ってしまっていて邪魔していたのかもしれないので、良い機会としてこちらに移行させることにしました。
アドバイスありがとうございました。
なるほど。Gmailも証明書必須ではなかったんですね。
証明書必須じゃないのにTLS必須にする意図がちょっと私にはわかりませんが。
ホントそうですよね。
段階的にそうしていく過程で送信者側へのハードルを下げた措置なのかもと思いますが、googleの利用者泣かせには毎度時間を浪費させられます。
今回はありがとうございました。
回答1件
0
自己解決
Postfixをクリーンインストール後
smtp_tls_CAfile = /etc/pki/tls/certs/ca.crt
smtp_tls_loglevel = 1
smtp_tls_security_level = may
のみを追加し、正常にTLS送信が成功することを確認後
元のサーバの各種設定を一つずつ追加して動作確認。
投稿2024/01/31 04:21
総合スコア1
あなたの回答
tips
プレビュー
