CentOS消息推送失败的原因及解决方法

CentOS消息推送失败的原因与解决方案

一 常见原因概览

• 邮件类推送（SMTP）：云厂商常默认封禁25端口出站；未开启或不正确的TLS/SSL；认证信息错误（如将邮箱密码当授权码）；本地**MTA（Postfix/Sendmail）**未运行或配置不当；防火墙/SELinux拦截；证书信任链缺失导致握手失败。
• Apple APNs 推送：要求HTTP/2 + TLS 1.2+；旧系统自带的curl不支持 HTTP/2，导致握手或请求被拒。
• 消息队列/应用层：队列或共享内存资源耗尽、进程阻塞；系统CPU/内存/磁盘瓶颈；应用日志报错或网络质量差。
• 系统资源与日志：磁盘100%引发队列/进程异常；未查看/var/log/maillog等关键日志导致问题定位困难。

二 邮件推送 SMTP 失败排查与修复

• 服务与日志
  • 确认本地 MTA 运行状态：systemctl status postfix 或 systemctl status sendmail；查看日志：/var/log/maillog 或 /var/log/mail.log，关注关键字 error/warning/fail。
• 云厂商端口策略
  • 多数公有云默认封禁25端口出站，改用465/587（SMTPS/Submission）；如使用云函数/托管服务，需在控制台开启对应端口策略。
• 使用 mailx + 外部 SMTP 的正确姿势
  • 安装：yum install mailx -y
  • 配置（以 QQ 邮箱为例，注意使用授权码）：

    set from=xxx@qq.com
    set smtp=smtps://smtp.qq.com:465
    set smtp-auth-user=xxx@qq.com
    set smtp-auth-password=你的授权码
    set smtp-auth=login
    set ssl-verify=ignore
    set nss-config-dir=/root/.certs
    

  • 导入证书并建立信任链：

    mkdir -p /root/.certs
    echo -n | openssl s_client -connect smtp.qq.com:465 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > ~/.certs/qq.crt
    certutil -A -n "GeoTrust SSL CA" -t "C,," -d ~/.certs -i ~/.certs/qq.crt
    certutil -A -n "GeoTrust Global CA" -t "C,," -d ~/.certs -i ~/.certs/qq.crt
    certutil -A -n "GeoTrust CA - G3" -t "Pu,Pu,Pu" -d ~/.certs -i qq.crt
    cd /root/.certs && certutil -L -d /root/.certs
    

  • 测试：echo "test" | mail -s "title" target@example.com
• Postfix 作为客户端/服务器
  • 启用 SASL 与 TLS（示例）：

    myhostname = mail.example.com
    mydomain   = example.com
    inet_interfaces = all
    inet_protocols = ipv4
    home_mailbox = Maildir/
    smtpd_sasl_auth_enable = yes
    smtpd_tls_cert_file = /etc/pki/tls/certs/localhost.crt
    smtpd_tls_key_file  = /etc/pki/tls/private/localhost.key
    smtpd_use_tls = yes
    

  • 端口连通性测试：telnet smtp.qq.com 465 或 openssl s_client -connect smtp.qq.com:465。

三 Apple APNs 推送失败排查与修复

• 协议与端口要求：与 api.sandbox.push.apple.com:443（开发）或 api.push.apple.com:443（生产）通信必须使用HTTP/2且TLS 1.2+。
• 升级 curl 支持 HTTP/2（CentOS 7 常见）：
  • 编译安装新版 curl（启用 HTTP/2 与 nghttp2），或使用已支持 HTTP/2 的发行版/镜像。
  • 验证：curl --http2 https://http2.pro 应显示 **HTTP/2` 支持。
• 代码/工具建议：使用 apns2（Python）或 node-apn 等库，确保请求为 HTTP/2、正确的 p8 密钥/证书与 topic/bundle-id。

四 消息队列与应用层推送排查与修复

• 资源与队列
  • 查看队列/共享内存：ipcs -q、ipcs -m；定位是否有阻塞/满队列与进程卡死。
  • 系统瓶颈：top/vmstat/iostat 检查 CPU/内存/磁盘 IO；磁盘满会导致队列/进程异常。
• 快速恢复与预防
  • 释放空间（如 yum clean all）、重启队列服务（如 RabbitMQ），必要时重启应用；建立监控与告警（队列长度、消费延迟、磁盘使用率）。

五 快速排查清单

• 明确通道：是邮件（SMTP）、APNs还是MQ/WebSocket/HTTP推送。
• 看日志：邮件看 /var/log/maillog；应用看各自日志与返回码。
• 测连通：对目标地址做 ping/telnet/openssl s_client；云上优先尝试 465/587。
• 查资源：df -h、free -m、ipcs -q/m、systemctl status postfix/sendmail/rabbitmq。
• 校配置：SMTP 的授权码、TLS/证书链；APNs 的HTTP/2与TLS 1.2+；队列的确认/重试/限流策略。