From owner-freebsd-users-jp@FreeBSD.ORG Mon Feb 10 16:23:25 2014 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id B9AF7626 for ; Mon, 10 Feb 2014 16:23:25 +0000 (UTC) Received: from amogha.ism.ac.jp (amogha.ism.ac.jp [133.58.120.10]) by mx1.freebsd.org (Postfix) with ESMTP id 240961CCD for ; Mon, 10 Feb 2014 16:23:24 +0000 (UTC) Received: from paksa.ism.ac.jp (amogha-b.ism.ac.jp [133.58.15.1]) by amogha.ism.ac.jp (8.14.3/8.14.3) with ESMTP id s1AGBK21046180; Tue, 11 Feb 2014 01:11:20 +0900 (JST) (envelope-from maruyama@paksa.ism.ac.jp) Received: (from maruyama@localhost) by paksa.ism.ac.jp (8.13.6/Maru1.2/Submit-local) id s1AGBKpk080206; Tue, 11 Feb 2014 01:11:20 +0900 (JST) (envelope-from maruyama) Date: Tue, 11 Feb 2014 01:11:20 +0900 (JST) Message-Id: <201402101611.s1AGBKpk080206@paksa.ism.ac.jp> To: matumoto@pluto.ai.kyutech.ac.jp In-reply-to: <001d01cf254f$68f478d0$3add6a70$@pluto.ai.kyutech.ac.jp> (matumoto@pluto.ai.kyutech.ac.jp) From: maruyama@ism.ac.jp (=?ISO-2022-JP?B?GyRANF07M0Q+PjsbKEo=?=) Organization: =?ISO-2022-JP?B?GyRCRX03Vz90TX04JjVmPWobKEI=?= Mime-Version: 1.0 Content-Type: Text/Plain; charset=iso-2022-jp Cc: freebsd-users-jp@freebsd.org Subject: [FreeBSD-users-jp 95140] Re: sendmail TLS handshake fail X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.17 Precedence: list Reply-To: maruyama@ism.ac.jp List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 10 Feb 2014 16:23:25 -0000 松元 様、皆様 統計数理研究所の丸山です。 私の書き方が多分不十分だったのでしょう。そのために私が何をやりたいのか が伝わらなかったようですね。申し訳ない。 私は要するに SSL 証明書の設定を一切さぼっているのです。認証や暗号化無 しのsmtp で良いから、ともかくメールを支障なく出したい、それにはFreeBSD 付属の sendmail 関係の設定をどういじったら良いか、という質問なのです。 この程度のこと簡単にできるはず、と思っていたのですが、どこに書いてある かなかなか見つからなくて、それでお尋ねした次第ですが、結局 /usr/share/sendmail/cf/README をちゃんと読んだら書いてありました。 Disableing STARTTLSというところにあります。/etc/mail/access に Try_TLS: NO と書き込んで cd /etc/mail; make で access.db を作り直せば良いのでした。 特定のホスト/ドメインに対してだけ TLS を止めるには Try_TLS:freebsd.org NO のようにするようです。 でも実に不思議。こんな簡単な質問にはすぐお答え頂けるものと思っていたの ですが、そうでなかったところを見ると、この ML の読者の方々は 1. 皆真面目に SSL証明書の設定をすべての FreeBSDマシンでやっている あるいは 2. sendmail は気に入らないから qmail か Postfix を使っている ってことなのでしょか?ちょっと信じられない気がしています。 なお、 /usr/share/sendmail/cf/m4/cfhead.m4 も /etc/mail/freebsd.mcも FreeBSD 5.5 の時代から FreeBSD10.0 に至るまで殆ど変っていないことを確 認しました。従って私が置かれていた状況と対策は、これらすべての FreeBSD の版に共通のものです。証明書設定をさぼった STARTTLS を拒否するMTA が世 に中に増えてきた、という事情は比較的最近だと思いますが。 お騒がせしました。 >From: "Ryuji MATSUMOTO/AI" >Date: Sun, 9 Feb 2014 13:28:39 +0900 >松元です。 > >sendmailな情報は持ってませんが、一般的な話として、 > >昨年は送る事はできたが今年になって送る事ができなくなったという事でしたら、昨 >年末よりSSLのキーの >長さが1024bitの場合は無効になりました。詳細は「ssl 1024bit 問題」とかでグ >グってください > >(それ以前から送る事ができないなら、以下は読まないでください。) > >私は昨年10月ぐらいに2048ビットに差し替え作業を行いました。 > >あと、古いアプリの一部に2048bitの証明書は長すぎてエラーになる場合があるよう >です。 >聞いた範囲ではとあるグループウエアのとても古いバージョンで1024bitから2048bit >に >更新しようとしたらエラーになって困ったと聞いてます。 > >あとおそらく関係ないとは思いますが、SSLのサーバ証明書の有効期限が切れて >たりしませんかね。ときどきあります。ただ私が管理してたLinuxのpostfixでは >ログに警告が出ますがそのまま送信できてました。 > >あと、FreeBSD.orgのメールサーバは確認したら4096bitみたいですね。 > > >-----Original Message----- >Sent: Sunday, February 9, 2014 12:33 PM >Subject: [FreeBSD-users-jp 95138] sendmail TLS handshake fail > >統計数理研究所の丸山です。 > >あらー、以下のようなメールを書いて freebsd-users-jp@freebsd.org 宛に出 >そうとしたら、 > >s193DHD8025316 2612 Sun Feb 9 12:13 > (Deferred: 403 4.7.0 TLS handshake failed.) > > >で拒否されるじゃないの。仕方ないので、このメールはSolaris 9 のマシン経 >由で出すことにしますが、FreeBSD のマシンで sendmail を使っていて、 >freebsd-users-jp@freebsd.org宛に最近出した事ある人、どういう設定をして >いるか教えてください。 > >---------------------------------------------------------------- >統計数理研究所の丸山です。 > >困っているのでお尋ねします。 > >私が管理している FreeBSD 6.4 と FreeBSD 7.4(古い、と笑わないで)の >sendmail(8.14.3 と 8.14.4) で、標準の sendmail.cf を使っているのですが、 >あるホストに対しては > > dsn=4.0.0, stat=Deferred: 403 4.7.0 TLS handshake failed. > >となって、結局のところメールを送れません。そのホストの管理者に問い合わ >せたところ > >OS: Debian GNU/Linux 6.0.7 >MTA: Postfix 2.7.1 > >をお使いだということで、特別なことをしているわけではなくて「標準の設定」 >で使っていらっしゃる、ということらしく、「送信側のsendmail を TLS無効 >の設定にすれば解決するだろう」と仰っています。私はどうすれば良いのでしょ >うか? > >実は、同じ現象は Solaris 10でも起こっています。 Solaris 10(Sparc)の標 >準の sendmail(8.14) に標準の sendmail.cf(8.14.4) で、全く同じ結果にな >ります。ところが、 Solaris 9 や Solaris 8では問題なく送ることができま >す。Solaris 8,9 の標準の sendmail に FreeBSD 6.4 や 7.4 の sendmail.cf >を使った場合でも問題は起きません。これは多分 Solaris 8,9 の >/usr/sbin/sendmail がそもそも TLS に対応していないために sendmail.cfに >TLS関係の設定がどう書かれていようと無視されるのだろうと解釈しています。 >一方 Solaris 10, FreeBSD の 6.4/7.4(そして多分それ以降の版も)の >/usr/sbin/sendmail が TLS に対応していながら、私が使っている >sendmail.cf の設定では何か不完全なところがあって、それでDebian >GNU/Linux 6.0.7/Postfix 2.7.1 の「お気に召さない」のかな?と推理してお >ります。そうであれば、 TLS を完全に無効にするか、あるいはTLS の設定を >完全にして問題を解決する方法を知りたいと考えておりますが、どこを調べた >ら良いか、ちょっとてこずっています。 > >なお、Debian GNU/Linux 6.0.7/Postfix 2.7.1 で、特定のホストからの接続 >に対しては「EHLO で 250-STARTTLS を返さない」設定はできるそうで、それ >をやって頂くと、こちらから送ることはできます。まあそういうことができる >なら、すべてのホストからの接続に対して同様の設定をすることもできるのだ >ろうと思いますが、多分その管理者の方の主義として、それはやりたくないの >でしょう。 > >私に今ある選択肢は、私の側の sendmail.cf の設定を変更してこの問題を回 >避することだろうと思います。(sendmail をソースからコンパイルして TLS >が全く使えない sendmail を作って /usr/sbin/sendmail と入れ換えろ、とい >うのはご勘弁願いたいです。) > >-------- >丸山直昌@統計数理研究所 >_______________________________________________ >freebsd-users-jp@freebsd.org mailing list >https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp >To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" > >_______________________________________________ >freebsd-users-jp@freebsd.org mailing list >https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp >To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" -------- 丸山直昌@統計数理研究所