OpenCVE平台邮件通知功能故障排查与解决方案

背景概述

OpenCVE作为漏洞情报订阅平台，其邮件通知功能是核心组件之一。近期部分用户反馈在Docker环境中部署的OpenCVE V2版本出现邮件通知失效问题，具体表现为：

1. 订阅的厂商/产品漏洞更新无法触发邮件通知
2. 系统日志显示SMTP连接异常
3. 密码重置邮件却能正常发送

问题现象分析

从系统日志可见典型错误信息：

SMTPException: Error connecting to smtp.office365.com on port 587: 
[SSL: WRONG_VERSION_NUMBER] wrong version number (_ssl.c:1006)

该错误表明系统在与Office365 SMTP服务器建立TLS加密连接时出现协议版本不匹配的情况。值得注意的是：

• 使用相同配置的密码重置功能正常
• 仅通知类邮件发送失败
• 测试修改端口和TLS设置均无效

根本原因

经技术团队分析，问题根源在于：

1. 异步SMTP库兼容性问题：OpenCVE的通知服务使用aiosmtplib异步库，而密码重置使用同步库
2. TLS握手协议差异：不同SMTP库对TLS协议版本的支持存在差异
3. 配置参数缺失：原配置缺少关键start_tls参数

解决方案

配置修改方案

在OpenCVE的配置文件中需要添加关键参数：

kwargs = {
    "hostname": "smtp.office365.com",
    "port": 587,
    "start_tls": True,  # 新增关键参数
    "validate_certs": True,
    "timeout": 30
}

完整配置建议

建议同时检查以下配置项：

1. airflow.cfg：

[opencve]
notification_smtp_host = smtp.office365.com
notification_smtp_user = your_email@domain.com
notification_smtp_password = your_password
notification_smtp_mail_from = your_email@domain.com
notification_smtp_port = 587
notification_smtp_use_tls = True
notification_smtp_validate_certs = True
notification_smtp_timeout = 30

2. settings.py：

EMAIL_BACKEND = "django.core.mail.backends.smtp.EmailBackend"
EMAIL_HOST = "smtp.office365.com"
EMAIL_HOST_USER = "your_email@domain.com"
EMAIL_HOST_PASSWORD = "your_password"
EMAIL_PORT = 587
EMAIL_USE_TLS = True
DEFAULT_FROM_EMAIL = "OpenCVE <your_email@domain.com>"

注意事项

1. 服务重启要求：配置修改后需要重启OpenCVE服务
2. 链接显示问题：确保web_base_url配置为正确的访问地址（IP或域名）
3. 安全建议：Office365账户需开启Legacy Authentication支持

技术原理补充

该问题的本质在于现代SMTP服务的加密握手过程：

1. STARTTLS：明文连接后升级加密的标准方式
2. SMTPS：直接建立加密连接的旧式方法
3. 协议协商：客户端和服务端需要就TLS版本达成一致

OpenCVE使用的aiosmtplib库需要显式声明start_tls参数才能正确完成协议协商，这是与传统同步库的重要区别。

总结

通过添加start_tls参数并确保完整配置，可以解决OpenCVE平台邮件通知失效问题。该案例也提醒开发者需要注意不同SMTP实现库的差异，特别是在混合使用同步和异步组件时。建议在部署后通过测试订阅验证通知功能是否恢复正常。