openssl_options = +dont_insert_empty_fragments - это решило проблему, письмо ушло без ошибок. Спасибо.
On Tue, Nov 12, 2013 at 02:17:26PM +0200, [email protected] wrote: > > Появилась проблема с доставкой писем серверам с Mdaemon разных версий. > > Система 8.4-RELEASE-p4, exim - exim-4.80.1_2, openssl-1.0.1_8. > > Exim собран с поддержкой TLS (правда он был изначально версии 4.63, > > portupgarde-ом обновлялся). При достаки проблемным серверам, ошибка одной > > строкой: > > Remote host XXXXXX [XXXX] closed connection in response to EHLO XXXXXXX > > > > В лог Mdaemon, обрывается соединение после строчки STARTTLS. > > В архиве /usr/ports/distfiles/exim/exim-4.80.1.tar.bz2 > файл exim-4.80.1/README.UPDATING , в нем: > > COMPATIBILITY WARNING: The default value of "openssl_options" is no longer > "+dont_insert_empty_fragments". We default to "+no_sslv2". > That old default was grandfathered in from before openssl_options became a > configuration option. > Empty fragments are inserted by default through TLS1.0, to partially defend > against certain attacks; TLS1.1+ change the protocol so that this is not > needed. The DIEF SSL option was required for some old releases of mail > clients which did not gracefully handle the empty fragments, and was > initially set in Exim release 4.31 (see ChangeLog, item 37). > > If you still have affected mail-clients, and you see SSL protocol failures > with this release of Exim, set: > openssl_options = +dont_insert_empty_fragments > in the main section of your Exim configuration file. You're trading off > security for compatibility. Exim is now defaulting to higher security and > rewarding more modern clients. > > Попробуйте: > > openssl_options = +dont_insert_empty_fragments > > Вот еще что писал разработчик Exim: > > Next, a value of +all might help, which turns on all bug compatibility > fixes (with the combined security costs of all of them together). > > The +tls_rollback_bug setting looks like it *might* apply here. > > If +legacy_server_connect fixes it, then we're doing something wrong > with options setting, since OpenSSL should have that on by default and > we'd be clearing it inadvertently. > > Ну и отлаживать нужно, диагностику включить: запустить передачу > тестового письма проблемному серверу-получателю, дав команду exim > с опцией d и перенаправив stdin с файла с письмом. Кажется, вот тут есть > пример отладки: > https://lists.exim.org/lurker/thread/20131110.124110.fba444f0.en.html > > Еще попробуйте соединиться с проблемным сервером-получателем командой > > openssl s_client -starttls smtp -connect 1.2.3.4:25 > > _______________________________________________ > Exim-users mailing list > [email protected] > http://mailground.net/mailman/listinfo/exim-users > _______________________________________________ Exim-users mailing list [email protected] http://mailground.net/mailman/listinfo/exim-users
