From owner-freebsd-users-jp@FreeBSD.ORG Tue Feb 25 14:08:23 2014 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 7F7AD70D for ; Tue, 25 Feb 2014 14:08:23 +0000 (UTC) Received: from mgate.inetd.co.jp (mgate.inetd.co.jp [210.129.88.236]) by mx1.freebsd.org (Postfix) with ESMTP id 1F9831CA8 for ; Tue, 25 Feb 2014 14:08:22 +0000 (UTC) Received: from mgate.inetd.co.jp (localhost [127.0.0.1]) by kirishima.m.inetd.co.jp (Postfix) with ESMTP id 9CDB41745A for ; Tue, 25 Feb 2014 23:08:21 +0900 (JST) Received: from inetd.co.jp (mikasa.x.inetd.co.jp [192.168.10.15]) by kirishima.m.inetd.co.jp (Postfix) with ESMTP id 8EFA517297 for ; Tue, 25 Feb 2014 23:08:21 +0900 (JST) Received: from localhost (mikasa.x.inetd.co.jp [192.168.10.15]) by inetd.co.jp (8.13.3/8.13.1) with ESMTP id s1PE8LkI073373 for ; Tue, 25 Feb 2014 23:08:21 +0900 (JST) (envelope-from zen-freebsd-users@suzuki.que.ne.jp) Date: Tue, 25 Feb 2014 23:08:21 +0900 (JST) Message-Id: <20140225.230821.59744383.inetd@x.inetd.co.jp> To: freebsd-users-jp@freebsd.org From: zen-freebsd-users@suzuki.que.ne.jp In-Reply-To: <201402130055.s1D0tUWq002648@paksa.ism.ac.jp> References: <20140212.160925.229810506.inetd@x.inetd.co.jp> <201402130055.s1D0tUWq002648@paksa.ism.ac.jp> X-Mailer: Mew version 4.2 on Emacs 22.1 / Mule 5.0 (SAKAKI) Mime-Version: 1.0 Content-Type: Multipart/Mixed; boundary="--Next_Part(Tue_Feb_25_23_08_21_2014_363)--" Content-Transfer-Encoding: 7bit Subject: [FreeBSD-users-jp 95157] Re: sendmail TLS handshake fail X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.17 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 25 Feb 2014 14:08:23 -0000 ----Next_Part(Tue_Feb_25_23_08_21_2014_363)-- Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit 丸山 様 鈴木@葛飾区です。 またまた遅いレスですみません。 ちなみに、この元メールはCcにML入っていましたがMLには配送されていなかっ たようです。 > そうなんでしょうか?自分のマシンの証明書の設定はさぼっているものの、私 > は特別のことをやってつもりはなく、ただデフォルトの sendmail.cf を > Solaris 10 とFreeBSDで使っているので、最初は相手の方の設定を疑ったので > すが、証明書の設定をさぼっている負い目と、 freebsd.org にまで拒否され > たので、「証明書の設定はさぼった私の責任」思い直したところです。 丸山さんのほうはあくまでも送信元ですよね? で、あれば証明書は基本的には送信先サーバのものになります。送信元はクラ イアントですので、ルート証明書だけなので通常は更新などはあまり(※)必要 ないはずです。 ※ルート証明書は認証局自体の証明書なので頻繁には変わりませんが、つい最 近Redhat Enterprise Linux5/CentOS5でGlobalSignのルート証明書が切れて トラブルが発生してます。 で、ここまで書いていてFreeBSDってルート証明書ってどこにあるんでしょう か?? 実は調べたことありませんでした。。 こちらにもsendmail関連がインストールしたそのままのFreeBSD-7.4があった ので@freebsd.orgの存在しないアドレス宛に送信を試させて頂いたのですが、 初回の1通を除き無事全部すぐにエラーで戻ってきました。 (1通目も時間を置いてエラーになりましたので初回の1通はグレイリストにで もひっかかったのでしょうか??) こちらのログでは sm-mta[82878]: STARTTLS=client, relay=mx1.freebsd.org., version=TLSv1/SSLv3, verify=FAIL, cipher=DHE-RSA-AES256-SHA, bits=256/256 となっていましたので証明書の確認自体は失敗している(サーバー、クライア ントのどちらが悪いのかは不明)ですが通信自体は成功しています。 ちょっとサーバー側が分からないので詳細は推測するしかないのですが、丸山 さんのところからは違うサーバーに接続していたりしないのかな??と、いっ たくらいですかね。。。 たとえばこちらではIPv6は使えませんが、丸山さんのところのマシンはIPv6対 応で私のところで繋がったサーバとは実は違うサーバーがお相手していると か。。。 sendmailからの接続と全く同じではないかも知れませんが、opensslコマンド で接続試してみてください。参考までにこちらで試した結果をファイルとして 添付しました。 --- すずき ----Next_Part(Tue_Feb_25_23_08_21_2014_363)-- Content-Type: Text/Plain; charset=us-ascii Content-Transfer-Encoding: 7bit Content-Description: freebsdorg.txt Content-Disposition: inline; filename="freebsdorg.txt" CONNECTED(00000003) depth=3 /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root verify error:num=19:self signed certificate in certificate chain verify return:0 --- Certificate chain 0 s:/OU=Domain Control Validated/OU=Gandi Standard SSL/CN=mx1.freebsd.org i:/C=FR/O=GANDI SAS/CN=Gandi Standard SSL CA 1 s:/C=FR/O=GANDI SAS/CN=Gandi Standard SSL CA i:/C=US/ST=UT/L=Salt Lake City/O=The USERTRUST Network/OU=http://www.usertrust.com/CN=UTN-USERFirst-Hardware 2 s:/C=US/ST=UT/L=Salt Lake City/O=The USERTRUST Network/OU=http://www.usertrust.com/CN=UTN-USERFirst-Hardware i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root 3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root --- Server certificate -----BEGIN CERTIFICATE----- MIIF5jCCBM6gAwIBAgIRAJU7oCrBwIoG5Yo7HCk7688wDQYJKoZIhvcNAQEFBQAw QTELMAkGA1UEBhMCRlIxEjAQBgNVBAoTCUdBTkRJIFNBUzEeMBwGA1UEAxMVR2Fu ZGkgU3RhbmRhcmQgU1NMIENBMB4XDTEzMDcxOTAwMDAwMFoXDTE0MDcxOTIzNTk1 OVowWjEhMB8GA1UECxMYRG9tYWluIENvbnRyb2wgVmFsaWRhdGVkMRswGQYDVQQL ExJHYW5kaSBTdGFuZGFyZCBTU0wxGDAWBgNVBAMTD214MS5mcmVlYnNkLm9yZzCC AiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoCggIBAMBq2Zoug2/6I3AiRT+EPXQl B0Qq22IfsST++PX7BhbAydQCdd6ssFHzWKI1BmZzH3APrLlLd6arCgcr3oKWDID9 ykTYuHbj0fgPvVxvjjQPlkcCT1+ryExgmJmbnJM1utlWHcwKHGlkf4Zzhv7/y6Js 9juEot0M3bEWX97Il1I3nwETL3XvJm3sX9mluO1h8k1aXc6xQQCoWrntulGTMOlC 1V1nhahHSzMJKQ/ahu5S+OUuPipzOf7jMK3SG3KUesvsBVOlsNIp9yAbyZnZd4SO RPFudfv7WZ2WqKYbtxJm6wLeKZFeQ8OT9Kc3/uRRtSB9dJuiwKEbrDvp4arRqYEE BLL58t5Y3GbCbAtwxwzOJpT4TTTNlyYaUOFOJYoGQKBxbG8vR6olEZtNX2cWvp8H zwCzsL3l3AwujTqPIeF2gwPzf2tOUUZWzI+ZEutU4bEy2a+Q5tW4nbt8VTZk2p1W y9rskp228dSYJ/kT+bHpWY2QpZDnLeI4bdcrMnPbeNQJbUhNxP9j6NsmJVyWut/D 7y3JZ44TD1mkjm8kbtBNOl9E19CifN4C6mxMk52KXpABvJq91noiuku4jHQcalFo sQJEC2W/tLR3EiAW98nB9llUtdY+lUUPu6hkA7B1eF3bfH9kw+q2sV5HWEXXzLhB L948lU8D5mw0Clk73g3BAgMBAAGjggG+MIIBujAfBgNVHSMEGDAWgBS2qP+iqC/Q ps1LsWjz51AQMad5ITAdBgNVHQ4EFgQUCwkDvkRryhaW3yP6aCK+eD5NtikwDgYD VR0PAQH/BAQDAgWgMAwGA1UdEwEB/wQCMAAwHQYDVR0lBBYwFAYIKwYBBQUHAwEG CCsGAQUFBwMCMGAGA1UdIARZMFcwSwYLKwYBBAGyMQECAhowPDA6BggrBgEFBQcC ARYuaHR0cDovL3d3dy5nYW5kaS5uZXQvY29udHJhY3RzL2ZyL3NzbC9jcHMvcGRm LzAIBgZngQwBAgEwPAYDVR0fBDUwMzAxoC+gLYYraHR0cDovL2NybC5nYW5kaS5u ZXQvR2FuZGlTdGFuZGFyZFNTTENBLmNybDBqBggrBgEFBQcBAQReMFwwNwYIKwYB BQUHMAKGK2h0dHA6Ly9jcnQuZ2FuZGkubmV0L0dhbmRpU3RhbmRhcmRTU0xDQS5j cnQwIQYIKwYBBQUHMAGGFWh0dHA6Ly9vY3NwLmdhbmRpLm5ldDAvBgNVHREEKDAm gg9teDEuZnJlZWJzZC5vcmeCE3d3dy5teDEuZnJlZWJzZC5vcmcwDQYJKoZIhvcN AQEFBQADggEBAKmRxfHaLBw1CRgN0yeXKr41QOzvdrJ7p34kybHSEMyxvtAvYgoL j6NCrBroBlZwC7EZF+m/Hk/QApHHw9DYldXoLYczK3ebp36S85GklhUeC4Bt2KGU j0OpNmT/C5yW0qf4u5Yzr2kQiNwghT2+phWx8hQv2GJb3t9PFr0KvmW7XXEQVGi8 SXNGMThvhEk56w01MY1dvHy1s7Xm8k1YMPw868AdRmEv3EBZ6nPZPgYj7tf8otzY tGrLj2ZrMuKEUuYrhZOsejJBZPMoNHT/TroIcVGWfQ2vSyG+q5U9JjbuxCaM0PCq G2ChypGe70AmhzV204k4YgrxhuVG/bt42Uo= -----END CERTIFICATE----- subject=/OU=Domain Control Validated/OU=Gandi Standard SSL/CN=mx1.freebsd.org issuer=/C=FR/O=GANDI SAS/CN=Gandi Standard SSL CA --- No client certificate CA names sent --- SSL handshake has read 6131 bytes and written 372 bytes --- New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA Server public key is 4096 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : DHE-RSA-AES256-SHA Session-ID: 9C07E3F32CFDF650622726FBC2979163DE42138B5250416DC0036B01F1B3BDC7 Session-ID-ctx: Master-Key: A7F4C4623F279DCA024DB23D7281E484633FB1D78A173448FF9683F4A84893ABDA31838AC4DC82CE95F0A8D4B13E7E4B Key-Arg : None Start Time: 1393337139 Timeout : 300 (sec) Verify return code: 19 (self signed certificate in certificate chain) --- 250 DSN quit 221 2.0.0 Bye closed ----Next_Part(Tue_Feb_25_23_08_21_2014_363)----