松元です。
sendmailな情報は持ってませんが、一般的な話として、
昨年は送る事はできたが今年になって送る事ができなくなったという事でしたら、昨
年末よりSSLのキーの
長さが1024bitの場合は無効になりました。詳細は「ssl 1024bit 問題」とかでグ
グってください
(それ以前から送る事ができないなら、以下は読まないでください。)
私は昨年10月ぐらいに2048ビットに差し替え作業を行いました。
あと、古いアプリの一部に2048bitの証明書は長すぎてエラーになる場合があるよう
です。
聞いた範囲ではとあるグループウエアのとても古いバージョンで1024bitから2048bit
に
更新しようとしたらエラーになって困ったと聞いてます。
あとおそらく関係ないとは思いますが、SSLのサーバ証明書の有効期限が切れて
たりしませんかね。ときどきあります。ただ私が管理してたLinuxのpostfixでは
ログに警告が出ますがそのまま送信できてました。
あと、FreeBSD.orgのメールサーバは確認したら4096bitみたいですね。
-----Original Message-----
Sent: Sunday, February 9, 2014 12:33 PM
Subject: [FreeBSD-users-jp 95138] sendmail TLS handshake fail
統計数理研究所の丸山です。
あらー、以下のようなメールを書いて freebsd-users-jp@freebsd.org 宛に出
そうとしたら、
s193DHD8025316 2612 Sun Feb 9 12:13 <maruy...@paksa.ism.ac.jp>
(Deferred: 403 4.7.0 TLS handshake failed.)
<freebsd-users-jp@freebsd.org>
で拒否されるじゃないの。仕方ないので、このメールはSolaris 9 のマシン経
由で出すことにしますが、FreeBSD のマシンで sendmail を使っていて、
freebsd-users-jp@freebsd.org宛に最近出した事ある人、どういう設定をして
いるか教えてください。
----------------------------------------------------------------
統計数理研究所の丸山です。
困っているのでお尋ねします。
私が管理している FreeBSD 6.4 と FreeBSD 7.4(古い、と笑わないで)の
sendmail(8.14.3 と 8.14.4) で、標準の sendmail.cf を使っているのですが、
あるホストに対しては
dsn=4.0.0, stat=Deferred: 403 4.7.0 TLS handshake failed.
となって、結局のところメールを送れません。そのホストの管理者に問い合わ
せたところ
OS: Debian GNU/Linux 6.0.7
MTA: Postfix 2.7.1
をお使いだということで、特別なことをしているわけではなくて「標準の設定」
で使っていらっしゃる、ということらしく、「送信側のsendmail を TLS無効
の設定にすれば解決するだろう」と仰っています。私はどうすれば良いのでしょ
うか?
実は、同じ現象は Solaris 10でも起こっています。 Solaris 10(Sparc)の標
準の sendmail(8.14) に標準の sendmail.cf(8.14.4) で、全く同じ結果にな
ります。ところが、 Solaris 9 や Solaris 8では問題なく送ることができま
す。Solaris 8,9 の標準の sendmail に FreeBSD 6.4 や 7.4 の sendmail.cf
を使った場合でも問題は起きません。これは多分 Solaris 8,9 の
/usr/sbin/sendmail がそもそも TLS に対応していないために sendmail.cfに
TLS関係の設定がどう書かれていようと無視されるのだろうと解釈しています。
一方 Solaris 10, FreeBSD の 6.4/7.4(そして多分それ以降の版も)の
/usr/sbin/sendmail が TLS に対応していながら、私が使っている
sendmail.cf の設定では何か不完全なところがあって、それでDebian
GNU/Linux 6.0.7/Postfix 2.7.1 の「お気に召さない」のかな?と推理してお
ります。そうであれば、 TLS を完全に無効にするか、あるいはTLS の設定を
完全にして問題を解決する方法を知りたいと考えておりますが、どこを調べた
ら良いか、ちょっとてこずっています。
なお、Debian GNU/Linux 6.0.7/Postfix 2.7.1 で、特定のホストからの接続
に対しては「EHLO で 250-STARTTLS を返さない」設定はできるそうで、それ
をやって頂くと、こちらから送ることはできます。まあそういうことができる
なら、すべてのホストからの接続に対して同様の設定をすることもできるのだ
ろうと思いますが、多分その管理者の方の主義として、それはやりたくないの
でしょう。
私に今ある選択肢は、私の側の sendmail.cf の設定を変更してこの問題を回
避することだろうと思います。(sendmail をソースからコンパイルして TLS
が全く使えない sendmail を作って /usr/sbin/sendmail と入れ換えろ、とい
うのはご勘弁願いたいです。)
--------
丸山直昌@統計数理研究所
_______________________________________________
freebsd-users-jp@freebsd.org mailing list
https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp
To unsubscribe, send any mail to "freebsd-users-jp-unsubscr...@freebsd.org"
_______________________________________________
freebsd-users-jp@freebsd.org mailing list
https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp
To unsubscribe, send any mail to "freebsd-users-jp-unsubscr...@freebsd.org"
