Đôi khi bạn có thể gặp phải lỗi SSL tự ký trên Outlook, Thunderbird do ứng dụng email không tin tưởng chứng chỉ SSL mặc định. Bài viết này sẽ hướng dẫn bạn cách khắc phục lỗi này để có thể kết nối email một cách suôn sẻ và an toàn trên các ứng dụng này.
Những điểm chính
- Hướng dẫn chi tiết cách khắc phục lỗi SSL tự ký trên Outlook, Thunderbird bằng phương pháp tự động cho CyberPanel v1.9.4 trở lên và sửa lỗi thủ công cho các phiên bản cũ hơn.
- Biết đến Vietnix là nhà cung cấp VPS hiệu suất vượt trội.
- Giải đáp một số câu hỏi thường gặp liên quan đến lỗi SSL tự ký trên Outlook Thunderbird.
Nguyên nhân gây lỗi SSL tự ký trên Outlook và Thunderbird
Lỗi SSL tự ký trên Outlook Thunderbird xảy ra khi máy chủ email sử dụng chứng chỉ SSL chưa được cấp phát bởi một Tổ chức Chứng thực (CA) đáng tin cậy. Thay vào đó, chứng chỉ này được tạo ra và ký bởi chính máy chủ (hoặc người quản trị máy chủ).
Khi gặp lỗi này, các ứng dụng email như Outlook và Thunderbird sẽ không tin tưởng chứng chỉ đó vì không có bên thứ ba đáng tin cậy nào xác nhận tính hợp lệ của nó. Điều này dẫn đến việc hiển thị cảnh báo bảo mật, hỏi bạn có muốn tiếp tục kết nối hay không.

Với hạ tầng được trang bị ổ cứng NVMe Enterprise và CPU Intel Xeon Platinum, dịch vụ VPS NVme của Vietnix mang lại tốc độ xử lý vượt trội, giúp các dịch vụ email như Postfix và Dovecot hoạt động mượt mà. Đội ngũ kỹ thuật chuyên môn cao của Vietnix luôn sẵn sàng hỗ trợ 24/7, giúp bạn cấu hình và khắc phục mọi vấn đề liên quan đến email và bảo mật.

VPS NVME – Ổ CỨNG VÀ CPU THẾ HỆ MỚI
Khả năng xử lý siêu khủng với ổ cứng NVMe và CPU Platinum
Cách khắc phục lỗi SSL tự ký trên Outlook, Thunderbird
Cách 1: Sửa lỗi tự động (Từ CyberPanel v1.9.4 trở lên)
Từ phiên bản CyberPanel v1.9.4, khi bạn tạo một website, CyberPanel sẽ tự động tạo mail.domain.com
như một tên miền con và cấp phát chứng chỉ SSL (thường là Let’s Encrypt) cho tên miền này. Sau đó, CyberPanel sẽ tự động chỉnh sửa tập tin /etc/dovecot/dovecot.conf
và thêm nội dung như sau:
local_name mail.domain.com {
ssl_cert = </etc/letsencrypt/live/mail.domain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.domain.com/privkey.pem
}
Sau khi thêm, CyberPanel sẽ tự động khởi động lại dịch vụ dovecot. Cách làm này sẽ giúp loại bỏ lỗi SSL trên cả Outlook và Thunderbird cho các cài đặt mới.
Cách 2: Setup thủ công
Nếu đang sử dụng một số phiên bản CyberPanel cũ hơn hoặc đã tạo trang web trước khi nâng cấp lên v1.9.4, bạn có thể cần thực hiện cấu hình thủ công. Trước tiên, hãy đảm bảo bạn đã tạo mail.domain.com
làm tên miền con cho tên miền chính của mình và đã cấp SSL cho tên miền này (thường bằng Let’s Encrypt thông qua CyberPanel). Sau đó, thực hiện các bước sau:
Bước 1: Vô hiệu hóa chứng chỉ SSL tự ký mặc định của Postfix
Đầu tiên bạn sử dụng lệnh vi
(hoặc trình soạn thảo tùy chọn) để mở file cấu hình chính của Postfix:
sudo vi /etc/postfix/main.cf
Sau đó bạn tìm và comment (thêm #
vào đầu dòng) ở hai dòng sau để vô hiệu hóa chứng chỉ SSL tự ký mặc định của Postfix:
# smtpd_tls_cert_file = /etc/pki/dovecot/certs/dovecot.pem
# smtpd_tls_key_file = /etc/pki/dovecot/private/dovecot.pem
Bước 2: Thêm chứng chỉ Let’s Encrypt vào Postfix
Sau khi comment các dòng trên, bạn thêm các dòng sau vào cuối file, đảm bảo thay thế YourPrimaryMailServerDomain
bằng tên miền mail chính của bạn (ví dụ: mail.yourdomain.com
):
smtpd_tls_chain_files = /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem,
/etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem
Bước 3: Thêm hỗ trợ SNI cho Postfix
Để hỗ trợ SNI (Server Name Indication) và cho phép nhiều chứng chỉ SSL trên một địa chỉ IP, bạn cần thêm các dòng sau vào cuối file /etc/postfix/main.cf
:
# cung cấp map sẽ được sử dụng khi hỗ trợ SNI được bật
tls_server_sni_maps = hash:/etc/postfix/vmail_ssl.map
Sau tất cả các bước trên, phần liên quan đến SSL trong file /etc/postfix/main.cf
của bạn sẽ trông giống như sau:
# smtpd_tls_cert_file = /etc/pki/dovecot/certs/dovecot.pem
# smtpd_tls_key_file = /etc/pki/dovecot/private/dovecot.pem
# cung cấp chứng chỉ chính cho máy chủ, được sử dụng cho các kết nối đi
smtpd_tls_chain_files =
/etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem,
/etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem
# provide the map to be used when SNI support is enabled
tls_server_sni_maps = hash:/etc/postfix/vmail_ssl.map
Bước 4: Tạo file /etc/postfix/vmail_ssl.map mới
Bạn tạo một file mới có tên vmail_ssl.map
trong thư mục /etc/postfix
:
sudo vi /etc/postfix/vmail_ssl.map
Chỉnh sửa file này để thêm thông tin chứng chỉ SSL của tên miền mail chính của bạn vào danh sách (nhớ thay thế mail.yourprimarymailserverdomain.com
bằng tên miền mail thực tế):
mail.yourprimarymailserverdomain.com /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem
Nếu bạn có nhiều tên miền mail cần hỗ trợ SNI SSL, hãy thêm chúng vào mỗi dòng trong tệp vmail_ssl.map
theo cấu trúc tương tự:
mail.yourprimarymailserverdomain.com /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem
mail.yoursecondarymailserverdomain.com /etc/letsencrypt/live/mail.yoursecondarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yoursecondarymailserverdomain.com/fullchain.pem
Bước 5: Thêm cấu hình SSL vào Dovecot
Bạn sử dụng vi
để mở file cấu hình của Dovecot:
sudo vi /etc/dovecot/dovecot.conf
Thêm đoạn code sau vào cuối tệp, thay thế mail.domain.com
bằng tên miền mail của bạn:
local_name mail.domain.com {
ssl_cert = </etc/letsencrypt/live/mail.domain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.domain.com/privkey.pem
}
Bước 6: Biên dịch lại postmap với SNI
Bạn thực hiện lệnh sau để biên dịch lại map cho Postfix và áp dụng cấu hình SNI mới:
postmap -F hash:/etc/postfix/vmail_ssl.map
Bước 7: Khởi động lại Postfix và Dovecot
Cuối cùng, bạn khởi động lại dịch vụ Postfix để các thay đổi có hiệu lực:
systemctl restart postfix
Đồng thời khởi động lại dịch vụ Dovecot để đảm bảo chứng chỉ SSL mới được tải:
systemctl restart dovecot
Sau khi hoàn tất tất cả các bước trên, hãy thử kết nối lại bằng ứng dụng email (Outlook/Thunderbird) và bạn sẽ không còn thấy lỗi SSL tự ký nữa.
Trải nghiệm hiệu suất vượt trội với VPS Vietnix
Vietnix mang đến giải pháp VPS hiệu suất cao, là nền tảng vững chắc cho sự thành công của doanh nghiệp tại Việt Nam. Với hơn 13 năm kinh nghiệm, Vietnix đã phục vụ hơn 100.000 khách hàng. Hệ thống của Vietnix được đầu tư mạnh mẽ với 100% ổ cứng SSD NVMe tốc độ cao và công nghệ ảo hóa hiện đại, giúp tăng tốc độ xử lý và truy xuất dữ liệu vượt trội. Đặc biệt, đội ngũ kỹ thuật chuyên môn cao của Vietnix luôn túc trực 24/7, sẵn sàng giải quyết mọi vấn đề của khách hàng
Thông tin liên hệ:
- Hotline: 18001093.
- Email: sales@vietnix.com.vn.
- Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh.
- Website: https://vietnix.vn/.
Câu hỏi thường gặp
Lỗi SSL tự ký là gì và tại sao nó xảy ra?
Lỗi SSL tự ký xảy ra khi một ứng dụng (trong trường hợp này là Outlook/Thunderbird) không thể xác minh tính hợp lệ của chứng chỉ SSL được trình bày bởi máy chủ email. Điều này thường do chứng chỉ được tạo ra và ký bởi chính máy chủ (tự ký), chứ không phải bởi một cơ quan cấp chứng chỉ (CA) đáng tin cậy như Let’s Encrypt. Các ứng dụng email hiện đại sẽ cảnh báo hoặc từ chối kết nối nếu chứng chỉ không được tin cậy, nhằm bảo vệ người dùng khỏi các cuộc tấn công trung gian (Man-in-the-Middle).
Tại sao cần phải cấu hình cho cả Postfix và Dovecot?
Postfix là Mail Transfer Agent (MTA), chịu trách nhiệm gửi và nhận email giữa các máy chủ. Dovecot là Mail Delivery Agent (MDA) và IMAP/POP3 server, chịu trách nhiệm lưu trữ và cho phép người dùng truy cập email. Để đảm bảo kết nối SSL end-to-end (từ ứng dụng email của bạn đến máy chủ, và giữa các máy chủ mail), cả Postfix (cho SMTP) và Dovecot (cho IMAP/POP3) đều cần được cấu hình để sử dụng cùng một chứng chỉ SSL hợp lệ và được tin cậy.
Hy vọng với những hướng dẫn chi tiết trên, bạn đã khắc phục thành công lỗi SSL tự ký trên Outlook Thunderbird khi sử dụng email với CyberPanel. Việc đảm bảo kết nối email an toàn bằng SSL/TLS là cực kỳ quan trọng trong thời đại số hiện nay. Để tìm hiểu thêm các tính năng khác trên CyberPanel, bạn có thể xem một số bài sau:
Mọi người cũng xem
Hướng dẫn kiểm tra hạn mức người dùng trên CyberPanel nhanh chóng
Hướng dẫn cách cấu hình Proxy OpenLiteSpeed trên CyberPanel chi tiết
Hướng dẫn cách bật Open_basedir trên CyberPanel nhanh chóng
Hướng dẫn thay đổi theme trên CyberPanel nhanh chóng
Hướng dẫn cách nâng cấp MariaDB 11. 7 trên CyberPanel chi tiết