郵件服務器的 SSL 證書無效

Question

雖然這個問題是在特定軟件（Discourse 論壇軟件）的上下文中，但它實際上是關於郵件服務器的 SSL 證書。

這是我的設置：

主網站： mydomain.com （托管在 Hostgator 上）

論壇網站（Discourse 論壇軟件）： forum.mydomain.com （托管於 DigitalOcean）

郵件服務器（由 Discourse 用於向成員發送電子郵件）： mail.mydomain.com （托管在 Hostgator 上）

SMTP 的話語設置：

DISCOURSE_SMTP_ADDRESS: mail.mydomain.com
DISCOURSE_SMTP_PORT: 587
DISCOURSE_SMTP_USER_NAME: forum-no-reply@mydomain.com
DISCOURSE_SMTP_PASSWORD: "mypassword"
DISCOURSE_SMTP_ENABLE_START_TLS: true           # (optional, default true)

我在 Hostgator 上為mydomain.com和mail.mydomain.com設置了 SSL 證書（ mydomain.com以及多個子域（如mail.mydomain.com 、 webmail.mydomain.com等）的單個 SSL 證書）。

當我嘗試使用上述設置從 Discourse 管理界面發送測試電子郵件時，它給我一個“無效證書”錯誤。

因此，我嘗試使用以下命令通過 openssl s_client 進行調試：

openssl s_client -servername mail.mydomain.com -starttls smtp -crlf -connect mail.mydomain.com:587

它使用 CN 發送mydomain.com的 SSL 證書，如下所示

subject=CN = mydomain.com

並使用 TLS v1.2 建立 SSL 會話

以下是 EHLO 之后的奇怪結果：

EHLO mail.mydomain.com
250-xx-xx-xx.webhostbox.net Hello forum.mydomain.com [xx.xx.xx.xx]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250 HELP

正如您在上面代碼中的第二行所看到的，它從xx-xx-xx.webhostbox.net而不是mail.mydomain.com或mydomain.com響應

我認為這就是我收到“無效證書”錯誤的原因。

如果我更改 Discourse SMTP 設置如下（只更改第一行）

DISCOURSE_SMTP_ADDRESS: xx-xx-xx.webhostbox.net
DISCOURSE_SMTP_PORT: 587
DISCOURSE_SMTP_USER_NAME: forum-no-reply@mydomain.com
DISCOURSE_SMTP_PASSWORD: "mypassword"
DISCOURSE_SMTP_ENABLE_START_TLS: true           # (optional, default true)

然后一切正常，所有電子郵件都被發送。

有人可以讓我知道這個工作解決方案是否安全嗎？ 我認為它不安全，因為我使用xx-xx-xx.webhostbox.net作為 SMTP 地址（這可能會使電子郵件面臨風險）而不是mail.mydomain.com 。 如果這不安全，我應該如何繼續獲得此問題的安全解決方案？

Answer 1

正如Hostgator所記錄的那樣，使用 hostgator 服務器的名稱full.servername.com而不是您自己的域名example.com作為郵件服務器實際上是正確的設置。 這是因為郵件服務器不是特定於您的域，而是多個域的公共郵件服務器。

請注意，這與無法通過 Atom 編輯器遠程 FTP 連接到 FTPS但僅適用於 SMTP 而不是 FTP 非常相似。 我的解釋也適用於 SMTP。