いままで順調に動いていた Postfix が、急に調子悪くなりました。正確にいうと、今月の 13日くらいまで正常に動いていた Gmail への配送なのですが、TLS による SMTP が跳ねられるようになってしまったのです。具体的には、ログにこんなエラーが残ります。

Aug 14 03:20:23 server postfix/smtp[25451]: xxxxxxxxxx: to=, orig_to=, relay=smtp.gmail.com[209.85.147.109]:587, delay=1, delays=0.09/0.12/0.81/0, dsn=4.7.5, status=deferred (Cannot start TLS: handshake failure)
Aug 14 03:20:23 server postfix/smtp[23337]: certificate verification failed for smtp.gmail.com: num=20:unable to get local issuer certificate
Aug 14 03:20:23 server postfix/smtp[23337]: SSL_connect error to smtp.gmail.com: -1

実は、同じころに Gmail の設定を変更したので、そいつが原因ではないかと思い、sasl_passwd とかいじっていたのですが、解決しません。
しばらく悩んだ後、openssl コマンドで TLS を張ったときに表示されるログをよーく見てみたところ、どうも、Gmail サーバーの TLS 証明書の CA が変更になっているのが原因のように思えてきました。Postfix をアップデートしたりして*1、いろいろ苦労してしまいましたが、結論としては main.cf の smtp_tls_CAfile で指定しているファイルに、新しい CA の PEM をコピーします。
詳細は、以下を参照して頂きたいのですが、具体的にはここからダウンロードできる、Equifax Secure の CA をコピーします。これで Postfix を再起動したら、無事に配送されるようになりました。ほっとしました。