Lorqu'on utilise fetchmail pour récupérer des mails en POP3S , avec SSL, on a droit à ça:

fetchmail: Erreur de vérification du certificat du serveur : self signed certificate
fetchmail: Cela signifie que le certificat racine (fourni pour /C=FR/ST=Some-State/L=Paris/O=Thierry JAOUEN/OU=mail/CN=pop.thierry-jaouen.fr/emailAddress=postmaster@tjaouen.fr) n'est pas dans la liste des certificats des CA de confiance ou que c_rehash doit être exécuté sur le répertoire des certificats. Pour plus de détails, consultez la documentation de --sslcertpath et --sslcertfile dans la page de manuel.
fetchmail: Attention: la connexion n'est pas sûre mais on continue quand même (il vaut mieux utiliser --sslcertck !).

Comment rendre fetchmail happy avec les certificats auto-signés ?

~~READMORE~~

Pour nous, on stockera les informations dans la HOME du compte courant.

$ cd ~
$ mkdir -p fetchmail/ssl
$ cd fetchmail/ssl

Une première incantation pour extraire le certificat du serveur:

$ POP_NAME=pop.local.eez.fr
$ echo | openssl s_client -connect ${POP_NAME}:995 -showcerts 2>/dev/null | sed -ne '/BEGIN CERT/,/END CERT/p' > ${POP_NAME}.pem

Nouvelle incantation:

$ c_rehash .
Doing .
pop.local.eez.fr.pem => xxxx.0

Modifier la conf du fetchmail dans le fichier .fetchmailrc :

defaults
  sslcertck sslcertpath "/var/lib/spamassassin/fetchmail/ssl"
  sslcommonname "pop.thierry-jaouen.fr"

Le “sslcommonname”, c'est parce qu'il y avait encore ça comme erreur

fetchmail: Pas de concordance du nom commun du serveur: pop.thierry-jaouen.fr != pop.local.eez.fr

Voila.

• http://grox.net/sysadm/net/fetchmail.ssl
• http://geekmush.wordpress.com/2007/06/29/how-to-make-fetchmail-happy-with-the-servers-ssl-cert/