Postfix, Dovecot и самоподписанные сертификаты

Это дело клиента, верить или нет. Если добавили в корневое доверенное хранилище,то все - можно верить.

А почта продолжает получаться.. - был только стандартный вопрос о том что клиентская машина просит добавить в исключения этот сертификат...

Не имел опыта с девкотом, но ты же добавил в исключение сертификат, сказав, что тебе все-равно, что не так с этим сертификатом. Так чему удивляться?

Аноним все правильно ответил. И сразу в копилку, если нужно будет использовать разные сертификаты под разные домены,то готовь по IP на каждый домен. У SMTP протокола нет распознавания к какому домену обратились как у https.

Так же не имеет значения с какого почтового домена клиент забирает почту. Имеет значение только имя сервера, к которому он обращается. Те два сертификата необходимы только в том случае, если имеется потребность делать что-то типа smtp-ssl/imap-ssl mail.domain1.com и mail.domain2.com

И сразу в копилку, если нужно будет использовать разные сертификаты под разные домены,то готовь по IP на каждый домен.

Нет. см. SNI

Ого, интересно, никогда не слышал. Правда быстрый гуглеж показал, что по какой-то причине это не имплементировано в postfix, есть в dovecot и практически не поддерживается клиентами. Мертвая штука..

никогда не слышал
Мертвая штука..

Яснопонятно. :/

те не мертвая? мне прямо сейчас оно не нужно. Но вы бы пояснили , мертва она или нет.

Но вы бы пояснили , мертва она или нет.

Живее все живых. Без SNI сейчас очень тяжко, есть софт которые его не поддерживает, но его все меньше и меньше.

Подписался. Интересная тема.

Пользую постфикс с 2003 года. В последнюю установку свежего прописал по мануалу самоподписанный. Долпаные оутглюки у узеров замучили своими вопросами несведущих пользователей. Пришлось заменить у узеров клиенты на Thunderbird (он меньше вопросов задает). Обьясните чайнику как без лишних телодвижений решить проблему.

Let's Encrypt, не?

Что-то мне кажется, что его тоже закроют, как startssl, потому что он мешает стричь бабло. Если нет денег, то можно дать имя почтовику домена второго уровня, тогда ssl будет стоить 5 баксов в год. Или купить wildcard от комодо за 50 в год.

Что-то мне кажется, что его тоже закроют

Если это очередной хитрый зонд от АНБ, вряд ли.

В противном случае — все может быть.

Долпаные оутглюки у узеров замучили своими вопросами несведущих пользователей.

Просто интересно. Это новые аутглюки так себя ведут? А то у нас хоть и немного пользователей на аутглюках но есть, вроде никто не жалуется. Так же пользую самоподписные только на сэндмыле.

Да все они оутглюки такие ... В мозилле нажал кнопульку =считать доверенным= и все. Больше никаких вопросов о левом сертификате в следующем сеансе.

Да все они оутглюки такие

Да вроде раньше такого не было, или я запамятовал, но и сейчас же как-то юзверы работают правда не на новых аутглюках. Хотяя может им объяснили что жмякать и они привыкли, надо будет у наших парней поинтересоваться.
ЗЫ Не, точно раньше такого не было. Вспомнил, была тетка которая всем мозг выносила по любому поводу и работала на аутлюке. Я бы подобный вынос мозга запомнил.

В мозилле нажал кнопульку =считать доверенным= и все.

У tb есть еще плюс в работе с большими объемами. За долгое время не раз сталкивался что база глюка не выдерживает. Последний раз это меньше года назад было, ящик гмыла больше 20Гб (насколько больше не помню, но точно >20), все кабздец, уходит в крэш. И это хорошо когда imap, а то были случаи пролюбливания на pop3, вот где печаль для юзверей.
Но так же есть и минус для пользователей пишущих на разных языках, в части проверки орфографии.

поднять свой простенький CA (пара часов с чтением инструкций), на клиентов распространить корневый сертификаты. Тандерберд в этом плане гораздо тупее, т.к. под виндой не умеет в системное хранилище сертификатов сам лазить

Тандерберд в этом плане гораздо тупее, т.к. под виндой не умеет в системное хранилище сертификатов сам лазить

Конкретно про мазилу я бы не назвал это минусом. Наоборот плюс, т.к. можно разные серты в разные хранилища и распределить в зависимости от профиля. И пожалуй это последнии кто такую возможность оставил, ранее удобно было на престо в опере. Вобщем это не тупость а зачастую и удобство, не забываем об этом.

У мозиллы тож есть глюки как впрочем у всего бесплатно-открытого :) Недавно поржал. Узер сильно ругался на меня (дык я ему поставил клиента) Накарябал он большое сообщение.. А отправить не смог. Пропала кнопуля =Послать=. Зашел удаленкой- точно кнопки НЕТ! Гугль родимый помог найти решение- F10

Нафик очередной забор. Городить чего то что через полгода сам не разберешь. И так на почтовике навалом «своего».