[FreeBSD-users-jp 95157] Re: sendmail TLS handshake fail

zen-freebsd-users at suzuki.que.ne.jp zen-freebsd-users at suzuki.que.ne.jp
Tue Feb 25 14:08:23 UTC 2014 

丸山 様

鈴木@葛飾区です。

またまた遅いレスですみません。
ちなみに、この元メールはCcにML入っていましたがMLには配送されていなかっ
たようです。

> そうなんでしょうか?自分のマシンの証明書の設定はさぼっているものの、私
> は特別のことをやってつもりはなく、ただデフォルトの sendmail.cf を
> Solaris 10 とFreeBSDで使っているので、最初は相手の方の設定を疑ったので
> すが、証明書の設定をさぼっている負い目と、 freebsd.org にまで拒否され
> たので、「証明書の設定はさぼった私の責任」思い直したところです。

丸山さんのほうはあくまでも送信元ですよね?
で、あれば証明書は基本的には送信先サーバのものになります。送信元はクラ
イアントですので、ルート証明書だけなので通常は更新などはあまり(※)必要
ないはずです。
※ルート証明書は認証局自体の証明書なので頻繁には変わりませんが、つい最
  近Redhat Enterprise Linux5/CentOS5でGlobalSignのルート証明書が切れて
  トラブルが発生してます。

で、ここまで書いていてFreeBSDってルート証明書ってどこにあるんでしょう
か?? 実は調べたことありませんでした。。

こちらにもsendmail関連がインストールしたそのままのFreeBSD-7.4があった
ので@freebsd.orgの存在しないアドレス宛に送信を試させて頂いたのですが、
初回の1通を除き無事全部すぐにエラーで戻ってきました。
(1通目も時間を置いてエラーになりましたので初回の1通はグレイリストにで
もひっかかったのでしょうか??)

こちらのログでは
sm-mta[82878]: STARTTLS=client, relay=mx1.freebsd.org.,
 version=TLSv1/SSLv3, verify=FAIL, cipher=DHE-RSA-AES256-SHA, bits=256/256
となっていましたので証明書の確認自体は失敗している(サーバー、クライア
ントのどちらが悪いのかは不明)ですが通信自体は成功しています。

ちょっとサーバー側が分からないので詳細は推測するしかないのですが、丸山
さんのところからは違うサーバーに接続していたりしないのかな??と、いっ
たくらいですかね。。。
たとえばこちらではIPv6は使えませんが、丸山さんのところのマシンはIPv6対
応で私のところで繋がったサーバとは実は違うサーバーがお相手していると
か。。。

sendmailからの接続と全く同じではないかも知れませんが、opensslコマンド
で接続試してみてください。参考までにこちらで試した結果をファイルとして
添付しました。
---
すずき

-------------- next part --------------
CONNECTED(00000003)
depth=3 /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/OU=Gandi Standard SSL/CN=mx1.freebsd.org
   i:/C=FR/O=GANDI SAS/CN=Gandi Standard SSL CA
 1 s:/C=FR/O=GANDI SAS/CN=Gandi Standard SSL CA
   i:/C=US/ST=UT/L=Salt Lake City/O=The USERTRUST Network/OU=http://www.usertrust.com/CN=UTN-USERFirst-Hardware
 2 s:/C=US/ST=UT/L=Salt Lake City/O=The USERTRUST Network/OU=http://www.usertrust.com/CN=UTN-USERFirst-Hardware
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
 3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/OU=Gandi Standard SSL/CN=mx1.freebsd.org
issuer=/C=FR/O=GANDI SAS/CN=Gandi Standard SSL CA
---
No client certificate CA names sent
---
SSL handshake has read 6131 bytes and written 372 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 9C07E3F32CFDF650622726FBC2979163DE42138B5250416DC0036B01F1B3BDC7
    Session-ID-ctx:
    Master-Key: A7F4C4623F279DCA024DB23D7281E484633FB1D78A173448FF9683F4A84893ABDA31838AC4DC82CE95F0A8D4B13E7E4B
    Key-Arg   : None
    Start Time: 1393337139
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)
---
250 DSN
quit
221 2.0.0 Bye
closed

More information about the freebsd-users-jp mailing list