Keila项目中处理自签名证书SMTP服务器的配置指南

在使用Keila邮件营销平台时，配置SMTP服务器是发送新闻简报的关键步骤。当遇到使用自签名证书的SMTP服务器时，许多用户会遇到证书验证失败的问题。本文将详细介绍如何解决Keila与自签名证书SMTP服务器的兼容性问题。

常见错误现象分析

在Keila 0.14.4版本中，当尝试连接使用自签名证书的SMTP服务器时，通常会遇到两类错误：

1. SSL/TLS连接错误：表现为"TLS client: In state hello... generated CLIENT ALERT: Fatal - Unexpected Message"错误，通常发生在使用端口587的SSL/TLS连接时。

2. STARTTLS连接错误：表现为"TLS :client: In state :certify... generated CLIENT ALERT: Fatal - Bad Certificate"错误，发生在使用STARTTLS方式连接时。

根本原因

这些错误的核心原因是Keila使用的Erlang/OTP TLS实现严格验证服务器证书，而自签名证书不被默认信任。即使操作系统已信任该证书，Erlang运行时可能仍会拒绝连接。

解决方案

方案一：添加证书到系统信任库

1. 将自签名证书文件复制到Docker容器中的标准证书位置：

COPY my-cert.pem /usr/local/share/ca-certificates/my-cert.crt

2. 更新证书存储：

RUN cat /usr/local/share/ca-certificates/my-cert.crt >> /etc/ssl/certs/ca-certificates.crt

注意：此方法在某些情况下可能仍无法解决问题，因为Erlang/OTP可能不完全依赖系统证书存储。

方案二：使用SMTP中继服务器

更可靠的解决方案是设置一个中间SMTP中继服务器：

1. 部署一个简单的SMTP中继服务（如Postfix或Exim）
2. 配置该中继服务器与您的自签名证书SMTP服务器通信
3. 配置Keila使用"无连接安全"选项连接到中继服务器

这种架构的优点是：

• 避免了Keila直接与自签名证书服务器通信
• 中继服务器可以处理证书验证问题
• 提供了额外的缓冲和重试机制

方案三：修改Keila配置（理想方案）

虽然当前版本不支持，但理想的解决方案应包括：

1. 添加配置选项以禁用证书验证
2. 支持无认证SMTP连接
3. 允许指定自定义CA证书包

最佳实践建议

1. 对于生产环境，建议使用受信任的CA签发证书
2. 如果必须使用自签名证书，考虑使用方案二的中继架构
3. 定期检查Keila更新，未来版本可能会改善自签名证书支持

总结

处理Keila与自签名证书SMTP服务器的集成需要理解TLS验证机制和系统证书存储的工作原理。虽然目前没有完美的内置解决方案，但通过SMTP中继架构可以有效地解决这一问题。希望未来版本的Keila能够提供更灵活的安全连接选项，简化这类配置场景。