Corriger le “Postfix untrusted TLS certificate”

Avant, sur un serveur où tout fonctionne bien, j’avais tout de même ça qui me pourrissait les logs:

Jan 16 09:40:22 MX postfix/smtp[1825]: Untrusted TLS connection established to mx-eu.mail.am0.yahoodns.net[188.125.69.79]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)

En fait, malgré l’installation du package ca-certificates, Postfix ne sait pas vérifier les signatures: le bundle avec les certificats des principales autorités de certification n’est pas copié dans son chroot.

La solution (en considérant que le package ca-certificates est installé):

  • copier le bazar dans le chroot:
[root@MX: ~]# mkdir -p -m 0755 /var/spool/postfix/etc/ssl/certs
[root@MX: ~]# cp -L /etc/ssl/certs/ca-certificates.crt /var/spool/postfix/etc/ssl/certs
  • ajouter ce qui va bien dans le /etc/postfix/main.cf:
smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
  • reloader postfix
[root@MX: ~]# postfix reload

Et du coup, dans les logs, on se retrouve avec ce genre de choses:

Jan 16 09:47:50 MX postfix/smtp[3182]: Trusted TLS connection established to mx-eu.mail.am0.yahoodns.net[188.125.69.79]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)

Les messages “Untrusted TLS” ne subsistent que pour les certificats auto-signés ou les certificats signés par une autorité non reconnue.