Keila邮件发送失败问题：TLS握手故障分析与解决方案

问题背景

在使用自托管版Keila邮件营销平台时，用户遇到了SMTP发送失败的问题，错误信息显示为"TLS :client: In state :hello received SERVER ALERT: Fatal - Handshake Failure"。这个问题在Keila 0.14和0.12.8版本中均存在，但有趣的是，使用Python邮件客户端却可以通过STARTTLS端口25成功连接。

技术分析

TLS握手失败的根本原因

经过深入调查，发现问题出在Keila处理TLS证书验证的方式上。具体来说：

1. Keila原本使用:tls_certificate_check.options/1来指定SMTP Swoosh配置中的:tls_options
2. Swoosh默认的:tls_options包含重要参数versions: [:"tlsv1", :"tlsv1.1", :"tlsv1.2"]
3. :tls_certificate_check.options/1生成的配置中缺少了这个关键的:versions参数
4. 这导致了TLS握手过程中出现"unsupported_record_type"错误

端口选择的影响

值得注意的是，这个问题在不同端口上表现不同：

• 端口587（STARTTLS）更容易出现此问题
• 端口465（隐式TLS）通常能正常工作

这是因为两种端口使用TLS的方式不同：

• 端口465在连接建立后立即启动TLS加密
• 端口587先建立明文连接，然后通过STARTTLS命令升级到加密连接

解决方案

开发团队在Keila 0.14.1版本中修复了这个问题，具体改进包括：

1. 将:tls_certificate_check:options/1的结果放入sockopts而非tls_options
2. 保持默认tls_options中的versions参数不变
3. 确保两种配置在Swoosh/gen_smtp中正确合并

最佳实践建议

对于遇到类似问题的用户，可以考虑以下解决方案：

1. 升级到Keila 0.14.1或更高版本
2. 如果无法立即升级，可以尝试使用端口465代替587
3. 检查邮件服务器的TLS配置，确保支持现代TLS协议版本
4. 验证服务器证书是否有效且受信任

总结

TLS握手失败是邮件系统中常见的问题，通常与协议版本不匹配或证书配置不当有关。Keila通过调整TLS选项的处理方式解决了这个问题，为用户提供了更稳定的邮件发送体验。理解不同端口（465 vs 587）的工作方式差异也有助于管理员更好地配置邮件系统。