[FreeBSD-users-jp 95143] Re: sendmail TLS handshake fail

丸山直昌 maruyama at ism.ac.jp
Thu Feb 13 00:55:39 UTC 2014 

鈴木 様

統計数理研究所の丸山です。

>これなんですが、SSLがおかしいのは送信先の @freebsd.org のサーバーで丸
>山さんのところのFreeBSDではないんではないでしょうか??

そうなんでしょうか?自分のマシンの証明書の設定はさぼっているものの、私
は特別のことをやってつもりはなく、ただデフォルトの sendmail.cf を
Solaris 10 とFreeBSDで使っているので、最初は相手の方の設定を疑ったので
すが、証明書の設定をさぼっている負い目と、 freebsd.org にまで拒否され
たので、「証明書の設定はさぼった私の責任」思い直したところです。

事の経緯を説明しますと、

1.私が管理する Solaris10(SPARC)のマシン(OS付属のsendmail.cfをそのまま
  使用)から某国立大学理学部のメールサーバーに出そうとすると

	403 4.7.0 TLS handshake failed.

  で送れないことが判明した。

2.更に調べると、 FreeBSDの標準のsendmail.cf でも同じように送れないこと
  が判明した。

3.相手のメールサーバーの管理者に問い合わせると、設定には自身満々の様子
  で、私の方のメールの設定が悪いのだろう、という口ぶり。以下がその時の
  やりとりです。「私」とはその某国立大学理学部のメールサーバー管理者、
  「我々」はそのメールサーバー、「統数研のサーバ」とは、私丸山のマシン
  です。

: 私は sendmail に関してはほとんど経験が無いので, 詳細は良くわかりません.
: こちらへのログを見る限り, 統数研のサーバが
: 
:   1. SMTP 送信時に STARTTLS での送信を希望している
:   2. TLS handshake 時に, 我々(=====) の提示したサーバ証明書を検証できない
:   3. 結果として handshake failed なので, 我々のサーバは, 統数研のサーバか
:      らの接続を切断し「plain での reconnect を待つ」
: 
: という状況になっています.
: 
: > Sun Solaris 10のデフォルトの /usr/lib/sendmailと /etc/mail/sendmail を
: > 使っていて、確かにSSL/TLSの証明書は設定していません。そのような使い方は
: > 世の中の非常に多くのサイトで行われていると思いますが、
: 
: 日本では SMTPD で STARTTLS を運用しているところは少ないかもしれませんね.
: ただ, 我々は TLS を enforce しているわけではないので, 上記 1 がそもそも挙
: 動としては変だと思います.
: 
: 実際, こちらで保管しているここ 1 年半のログを見てみると SSL/TLS
: handshake error は, 今年 5 月からの統数研のメールサーバからのみでした.

4.その後他にもう一台、統計学会の会員MLのサーバー jss.gr.jp が同じように
  TLS handshake failed. で私のマシンからのメールを拒否することを発見。

5.暫くの間私のマシンからのメール発信は Solaris 9のマシン
  (/usr/lib/sendmailがそもそもTLSをサポートしていないらしい)を経由して
  出していた。

6./etc/mail/access に Try_TLS: NO を設定。

という状況です。

以上、何かお気付きの点がありましたら、お教えください。

>Date: Wed, 12 Feb 2014 16:09:25 +0900 (JST)
>From: zen-freebsd-users at suzuki.que.ne.jp

>鈴木@葛飾区です。
>
>From: maruyama at ism.ac.jp (丸山直昌)
>Subject: [FreeBSD-users-jp 95140] Re: sendmail TLS handshake fail
>Date: Tue, 11 Feb 2014 01:11:20 +0900 (JST)
>Message-ID: <201402101611.s1AGBKpk080206 at paksa.ism.ac.jp>
>
>> かなかなか見つからなくて、それでお尋ねした次第ですが、結局
>> /usr/share/sendmail/cf/README をちゃんと読んだら書いてありました。
>> Disableing STARTTLSというところにあります。/etc/mail/access に
>> 
>> 	Try_TLS: NO
>> 
>> と書き込んで cd /etc/mail; make で access.db を作り直せば良いのでした。
>> 特定のホスト/ドメインに対してだけ TLS を止めるには
>> 
>> 	Try_TLS:freebsd.org	NO
>
>すみません、これ私実際に設定してたのでお返事しようと思っていたのですが
>忙しくて・・・
>
>> でも実に不思議。こんな簡単な質問にはすぐお答え頂けるものと思っていたの
>> ですが、そうでなかったところを見ると、この ML の読者の方々は
>> 
>> 1. 皆真面目に SSL証明書の設定をすべての FreeBSDマシンでやっている
>> あるいは
>> 2. sendmail は気に入らないから qmail か Postfix を使っている
>> 
>> ってことなのでしょか?ちょっと信じられない気がしています。
>
>これなんですが、SSLがおかしいのは送信先の @freebsd.org のサーバーで丸
>山さんのところのFreeBSDではないんではないでしょうか??
>
>ごく稀にSSLでの接続を受け入れるのに、証明書が正しく設定されていないサー
>バーがあり、その場合には上記のaccessでの設定が必要でしたが10年以上仕事
>で使っていてこれを設定したドメインは2つだけでした。もっとも、送り先か
>ら届いていないという指摘をもらうまで気づきませんでしたが。
>
>ですので、この設定自体やったことのある方が少ないのではないでしょうか??
>
>ただ、そうすると、@freebsd.orgに送信できなかったのはたまたまか?それと
>も@freebsd.orgのメールサーバが何台かあってそのうちの1台が駄目なのか??
>は謎ですが。。。
>
>(このメール送れていれば、、、ですが)
>---
>すずき
>_______________________________________________
>freebsd-users-jp at freebsd.org mailing list
>https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp
>To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe at freebsd.org"

--------
丸山直昌@統計数理研究所

More information about the freebsd-users-jp mailing list