Como enviar e-mails usando o servidor SMTP no Linux sem erro

Parece que faltam certificados no seu sistema local. Over on Server Fault é uma resposta para essa mesma pergunta.

smtp.gmail.com do bash dá "Erro no certificado: o emissor do certificado do par não é reconhecido."

De acordo com sua certutil -L -d /etc/pki/nssdbsaída, seu nssdb está vazio!

Com openssl s_client -showcerts -connect smtp.gmail.com:465 </dev/nullvocê pode despejar a parte pública do certificado do servidor de correio e de quaisquer certificados emissores que ele possa oferecer. A saída será bastante longa, mas primeiro você deve prestar atenção a estas linhas:

Server certificate
subject=/C=US/ST=California/L=Mountain View/O=Google LLC/CN=smtp.gmail.com
issuer=/C=US/O=Google Trust Services/CN=Google Internet Authority G3

e

Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=smtp.gmail.com
   i:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
[...]
 1 s:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
   i:/OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign

Portanto, o servidor ( subject=linha se a parte do certificado do servidor e o certificado 0na Certificate chainparte) for smtp.gmail.com, e seu certificado foi emitido por "Google Internet Authority G3". Que, por sua vez, tem seu certificado de GlobalSign Root CA - R2.

Uma rápida pesquisa no Google com as palavras-chave "globalsign root ca R2" indica que é um certificado bastante antigo que expirará em 2021. Se você confia nele, pode baixá-lo aqui ... mas exportando uma cópia do certificado "Google Internet Authority G3" do armazenamento de certificados padrão integrado do seu navegador da Web pode ser uma ideia melhor.

Qualquer que seja o certificado que você escolher, depois de tê-lo em um arquivo, você pode importá-lo para o seu nssdb com extensão certutil -A -d /etc/pki/nssdb -i <certificate file>. (Se o certificado for exportado no formato PEM, pode ser necessário adicionar a -aopção.)