解决Pangolin项目中SMTP自签名证书错误问题

在使用Pangolin项目配置SMTP邮件发送功能时，开发者可能会遇到自签名证书(self-signed certificate)导致的错误。本文将深入分析这一问题并提供解决方案。

问题现象

当用户尝试通过Pangolin发送邮件时，系统日志中会出现如下错误信息：

self-signed certificate
Error: self-signed certificate
    at TLSSocket.onConnectSecure

这种情况通常发生在使用本地SMTP服务器(如ProtonMail Bridge)时，因为这些服务往往使用自签名证书而非受信任的CA颁发的证书。

技术背景

Pangolin项目底层使用Nodemailer库处理邮件发送功能。Nodemailer默认会验证SMTP服务器的TLS证书，如果证书是自签名的或不受信任的，就会抛出上述错误。

解决方案

Pangolin项目的最新版本已经增加了配置选项来解决这个问题。在config/config.yml文件中，可以添加以下配置：

email:
    smtp_host: "your_smtp_host"
    smtp_port: 1025
    smtp_user: "your_username"
    smtp_pass: "your_password"
    no_reply: "your_email"
    smtp_secure: false
    smtp_tls_reject_unauthorized: false

关键配置项smtp_tls_reject_unauthorized: false告诉Nodemailer不要验证服务器的TLS证书，从而绕过自签名证书的错误。

安全考虑

虽然这个解决方案可以快速解决问题，但需要注意以下几点安全风险：

1. 禁用证书验证会使连接容易受到中间人攻击
2. 仅建议在受控的内部网络环境中使用此方案
3. 对于生产环境，建议使用正规CA颁发的证书

实现原理

这个配置最终会传递给Nodemailer的tls选项，相当于在代码中设置：

{
  tls: {
    rejectUnauthorized: false
  }
}

验证方法

开发者可以通过以下步骤验证解决方案是否生效：

1. 更新到包含此功能的最新版Pangolin
2. 修改配置文件添加上述选项
3. 尝试发送测试邮件
4. 检查日志确认没有证书错误

总结

通过合理配置Pangolin的SMTP选项，开发者可以灵活处理各种邮件服务器环境，包括使用自签名证书的情况。但务必权衡便利性与安全性，在可能的情况下尽量使用正规证书。