鈴木 様 統計数理研究所の丸山です。
>これなんですが、SSLがおかしいのは送信先の @freebsd.org のサーバーで丸 >山さんのところのFreeBSDではないんではないでしょうか?? そうなんでしょうか?自分のマシンの証明書の設定はさぼっているものの、私 は特別のことをやってつもりはなく、ただデフォルトの sendmail.cf を Solaris 10 とFreeBSDで使っているので、最初は相手の方の設定を疑ったので すが、証明書の設定をさぼっている負い目と、 freebsd.org にまで拒否され たので、「証明書の設定はさぼった私の責任」思い直したところです。 事の経緯を説明しますと、 1.私が管理する Solaris10(SPARC)のマシン(OS付属のsendmail.cfをそのまま 使用)から某国立大学理学部のメールサーバーに出そうとすると 403 4.7.0 TLS handshake failed. で送れないことが判明した。 2.更に調べると、 FreeBSDの標準のsendmail.cf でも同じように送れないこと が判明した。 3.相手のメールサーバーの管理者に問い合わせると、設定には自身満々の様子 で、私の方のメールの設定が悪いのだろう、という口ぶり。以下がその時の やりとりです。「私」とはその某国立大学理学部のメールサーバー管理者、 「我々」はそのメールサーバー、「統数研のサーバ」とは、私丸山のマシン です。 : 私は sendmail に関してはほとんど経験が無いので, 詳細は良くわかりません. : こちらへのログを見る限り, 統数研のサーバが : : 1. SMTP 送信時に STARTTLS での送信を希望している : 2. TLS handshake 時に, 我々(=====) の提示したサーバ証明書を検証できない : 3. 結果として handshake failed なので, 我々のサーバは, 統数研のサーバか : らの接続を切断し「plain での reconnect を待つ」 : : という状況になっています. : : > Sun Solaris 10のデフォルトの /usr/lib/sendmailと /etc/mail/sendmail を : > 使っていて、確かにSSL/TLSの証明書は設定していません。そのような使い方は : > 世の中の非常に多くのサイトで行われていると思いますが、 : : 日本では SMTPD で STARTTLS を運用しているところは少ないかもしれませんね. : ただ, 我々は TLS を enforce しているわけではないので, 上記 1 がそもそも挙 : 動としては変だと思います. : : 実際, こちらで保管しているここ 1 年半のログを見てみると SSL/TLS : handshake error は, 今年 5 月からの統数研のメールサーバからのみでした. 4.その後他にもう一台、統計学会の会員MLのサーバー jss.gr.jp が同じように TLS handshake failed. で私のマシンからのメールを拒否することを発見。 5.暫くの間私のマシンからのメール発信は Solaris 9のマシン (/usr/lib/sendmailがそもそもTLSをサポートしていないらしい)を経由して 出していた。 6./etc/mail/access に Try_TLS: NO を設定。 という状況です。 以上、何かお気付きの点がありましたら、お教えください。 >Date: Wed, 12 Feb 2014 16:09:25 +0900 (JST) >From: zen-freebsd-us...@suzuki.que.ne.jp >鈴木@葛飾区です。 > >From: maruy...@ism.ac.jp (丸山直昌) >Subject: [FreeBSD-users-jp 95140] Re: sendmail TLS handshake fail >Date: Tue, 11 Feb 2014 01:11:20 +0900 (JST) >Message-ID: <201402101611.s1agbkpk080...@paksa.ism.ac.jp> > >> かなかなか見つからなくて、それでお尋ねした次第ですが、結局 >> /usr/share/sendmail/cf/README をちゃんと読んだら書いてありました。 >> Disableing STARTTLSというところにあります。/etc/mail/access に >> >> Try_TLS: NO >> >> と書き込んで cd /etc/mail; make で access.db を作り直せば良いのでした。 >> 特定のホスト/ドメインに対してだけ TLS を止めるには >> >> Try_TLS:freebsd.org NO > >すみません、これ私実際に設定してたのでお返事しようと思っていたのですが >忙しくて・・・ > >> でも実に不思議。こんな簡単な質問にはすぐお答え頂けるものと思っていたの >> ですが、そうでなかったところを見ると、この ML の読者の方々は >> >> 1. 皆真面目に SSL証明書の設定をすべての FreeBSDマシンでやっている >> あるいは >> 2. sendmail は気に入らないから qmail か Postfix を使っている >> >> ってことなのでしょか?ちょっと信じられない気がしています。 > >これなんですが、SSLがおかしいのは送信先の @freebsd.org のサーバーで丸 >山さんのところのFreeBSDではないんではないでしょうか?? > >ごく稀にSSLでの接続を受け入れるのに、証明書が正しく設定されていないサー >バーがあり、その場合には上記のaccessでの設定が必要でしたが10年以上仕事 >で使っていてこれを設定したドメインは2つだけでした。もっとも、送り先か >ら届いていないという指摘をもらうまで気づきませんでしたが。 > >ですので、この設定自体やったことのある方が少ないのではないでしょうか?? > >ただ、そうすると、@freebsd.orgに送信できなかったのはたまたまか?それと >も@freebsd.orgのメールサーバが何台かあってそのうちの1台が駄目なのか?? >は謎ですが。。。 > >(このメール送れていれば、、、ですが) >--- >すずき >_______________________________________________ >freebsd-users-jp@freebsd.org mailing list >https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp >To unsubscribe, send any mail to "freebsd-users-jp-unsubscr...@freebsd.org" -------- 丸山直昌@統計数理研究所 _______________________________________________ freebsd-users-jp@freebsd.org mailing list https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp To unsubscribe, send any mail to "freebsd-users-jp-unsubscr...@freebsd.org"