Gmail hiba: TLS Negotiation failed, the certificate doesn't match the host., code: 0

Sziasztok,

Adott egy CentOS 6.10, 4.4.219-1.el6 kernel, postfix 2.6.6., dovecot 2.0.9. amavisd-new-2.9.1, ClamAV 0.100.3/25790/Wed Apr 22.

Minden jól működött, majd egyszer csak az ingyenes Gmail fiók, amiből az akarmi.hu-s email cím volt használva, ezzel a hibával nem küldi a levelet ezen a szerveren keresztül, a 465-ös porton csatlakozva:

"TLS Negotiation failed, the certificate doesn't match the host., code: 0"

Érdekes, hogy a 2 fiókból csak az egyiknél mondja ezt, a másiknál jó. A fióknév csak a különbség. Vettem fel új fiókokat, egyik új esetén sem működik, ugyanez a hiba.

Úgy van használva, hogy a gmail.com -on leveleznek, mert azt szeretik, nem a szerveren lévő webmailt, majd a nev@akarmi.hu továbbítódik az ingyenes nev@gmail.com email címre, továbbá be volt állítva, hogy a gmail-ből a küldésnél a nev@akarmi.hu -ról küldi. Most azonban mióta ez van, nem lehet gmailről küldeni. Természetesen webmailből küldve tökéletesen működik, csak gmailből nem.

Ahogy néztem, ez a 2.6.x postfix nem támogatja, hogy több, különböző cert-et lehessen használni. Ha jól látom, csak a 3.4-től támogatott ez:

http://www.postfix.org/TLS_README.html

"

Example: Postfix ≥ 3.4 all-in-one chain file(s). One or more chain files that start with a key that is immediately followed by the corresponding certificate and any additional issuer certificates. A single file can hold multiple (key, cert, [chain]) sequences, one per algorithm. It is typically simpler to keep the chain for each algorithm in its own file. Most users are likely to deploy just a single RSA chain, but with OpenSSL 1.1.1, it is possible to deploy up to five chains, one each for RSA, ECDSA, ED25519, ED448 and even the obsolete DSA.

    # Postfix ≥ 3.4.  Preferred configuration interface.  Each file
    # starts with the private key, followed by the corresponding
    # certificate, and any intermediate issuer certificates. The root CA
    # cert may also be needed when published as a DANE trust anchor.
    #
    smtpd_tls_chain_files =
        /etc/postfix/rsa.pem,
        /etc/postfix/ecdsa.pem,
        /etc/postfix/ed25519.pem,
        /etc/postfix/ed448.pem

You can also store the keys separately from their certificates, again provided each is listed before the corresponding certificate chain. Storing a key and its associated certificate chain in separate files is not recommended, because this is prone to race conditions during key rollover, as there is no way to update multiple files atomically.

    # Postfix ≥ 3.4.
    # Storing keys separately from the associated certificates is not
    # recommended.
    smtpd_tls_chain_files =
        /etc/postfix/rsakey.pem,
        /etc/postfix/rsacerts.pem,
        /etc/postfix/ecdsakey.pem,
        /etc/postfix/ecdsacerts.pem

"

Tehát ez kellene.

Ez az egész bonyolítás csak 1 darab domain név miatt kell. Szerintetek megoldás lenne, hogy egy másik levelező szervert felraknék, aminek ugyanúgy van adatbázis alapú account, alias kezelése, hogy webes adminon lehessen használni, és kezel több cert-et, ha szükség lenne rá később? Az akarmi.hu -nak jelenleg van Lets encrypt-es wildcard cert-je, de csak a honlapnál van használva.

Docker-es levelező megoldást javasoltok? Bár ahogy ránéztem, a Docker nem támogatja a CentOS 6-ot már, csomagból nem is lehet felrakni.

Simán, csomagból telepíthető, milyen levelező szervert vagy megoldást javasoltok, ami nem akad össze a postfix-szel? Vagy mi lehet a megoldás? Postfix 3.5.x-et fordítani? Ahogy néztem nincs kész ilyen csomag CentOS 6-hoz. A levelek jelenleg maildir-os módon vannak tárolva.

Köszönöm.