From owner-freebsd-users-jp@FreeBSD.ORG Thu Feb 13 00:55:39 2014 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id E373DA16 for ; Thu, 13 Feb 2014 00:55:39 +0000 (UTC) Received: from amogha.ism.ac.jp (amogha.ism.ac.jp [133.58.120.10]) by mx1.freebsd.org (Postfix) with ESMTP id B65FF1158 for ; Thu, 13 Feb 2014 00:55:38 +0000 (UTC) Received: from paksa.ism.ac.jp (amogha-b.ism.ac.jp [133.58.15.1]) by amogha.ism.ac.jp (8.14.3/8.14.3) with ESMTP id s1D0tUKE072188; Thu, 13 Feb 2014 09:55:30 +0900 (JST) (envelope-from maruyama@paksa.ism.ac.jp) Received: (from maruyama@localhost) by paksa.ism.ac.jp (8.13.6/Maru1.2/Submit-local) id s1D0tUWq002648; Thu, 13 Feb 2014 09:55:30 +0900 (JST) (envelope-from maruyama) Date: Thu, 13 Feb 2014 09:55:30 +0900 (JST) Message-Id: <201402130055.s1D0tUWq002648@paksa.ism.ac.jp> To: zen-freebsd-users@suzuki.que.ne.jp In-reply-to: <20140212.160925.229810506.inetd@x.inetd.co.jp> (zen-freebsd-users@suzuki.que.ne.jp) From: maruyama@ism.ac.jp (=?ISO-2022-JP?B?GyRANF07M0Q+PjsbKEo=?=) Organization: =?ISO-2022-JP?B?GyRCRX03Vz90TX04JjVmPWobKEI=?= Mime-Version: 1.0 Content-Type: Text/Plain; charset=iso-2022-jp Cc: freebsd-users-jp@freebsd.org Subject: [FreeBSD-users-jp 95143] Re: sendmail TLS handshake fail X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.17 Precedence: list Reply-To: maruyama@ism.ac.jp List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 13 Feb 2014 00:55:39 -0000 鈴木 様 統計数理研究所の丸山です。 >これなんですが、SSLがおかしいのは送信先の @freebsd.org のサーバーで丸 >山さんのところのFreeBSDではないんではないでしょうか?? そうなんでしょうか?自分のマシンの証明書の設定はさぼっているものの、私 は特別のことをやってつもりはなく、ただデフォルトの sendmail.cf を Solaris 10 とFreeBSDで使っているので、最初は相手の方の設定を疑ったので すが、証明書の設定をさぼっている負い目と、 freebsd.org にまで拒否され たので、「証明書の設定はさぼった私の責任」思い直したところです。 事の経緯を説明しますと、 1.私が管理する Solaris10(SPARC)のマシン(OS付属のsendmail.cfをそのまま 使用)から某国立大学理学部のメールサーバーに出そうとすると 403 4.7.0 TLS handshake failed. で送れないことが判明した。 2.更に調べると、 FreeBSDの標準のsendmail.cf でも同じように送れないこと が判明した。 3.相手のメールサーバーの管理者に問い合わせると、設定には自身満々の様子 で、私の方のメールの設定が悪いのだろう、という口ぶり。以下がその時の やりとりです。「私」とはその某国立大学理学部のメールサーバー管理者、 「我々」はそのメールサーバー、「統数研のサーバ」とは、私丸山のマシン です。 : 私は sendmail に関してはほとんど経験が無いので, 詳細は良くわかりません. : こちらへのログを見る限り, 統数研のサーバが : : 1. SMTP 送信時に STARTTLS での送信を希望している : 2. TLS handshake 時に, 我々(=====) の提示したサーバ証明書を検証できない : 3. 結果として handshake failed なので, 我々のサーバは, 統数研のサーバか : らの接続を切断し「plain での reconnect を待つ」 : : という状況になっています. : : > Sun Solaris 10のデフォルトの /usr/lib/sendmailと /etc/mail/sendmail を : > 使っていて、確かにSSL/TLSの証明書は設定していません。そのような使い方は : > 世の中の非常に多くのサイトで行われていると思いますが、 : : 日本では SMTPD で STARTTLS を運用しているところは少ないかもしれませんね. : ただ, 我々は TLS を enforce しているわけではないので, 上記 1 がそもそも挙 : 動としては変だと思います. : : 実際, こちらで保管しているここ 1 年半のログを見てみると SSL/TLS : handshake error は, 今年 5 月からの統数研のメールサーバからのみでした. 4.その後他にもう一台、統計学会の会員MLのサーバー jss.gr.jp が同じように TLS handshake failed. で私のマシンからのメールを拒否することを発見。 5.暫くの間私のマシンからのメール発信は Solaris 9のマシン (/usr/lib/sendmailがそもそもTLSをサポートしていないらしい)を経由して 出していた。 6./etc/mail/access に Try_TLS: NO を設定。 という状況です。 以上、何かお気付きの点がありましたら、お教えください。 >Date: Wed, 12 Feb 2014 16:09:25 +0900 (JST) >From: zen-freebsd-users@suzuki.que.ne.jp >鈴木@葛飾区です。 > >From: maruyama@ism.ac.jp (丸山直昌) >Subject: [FreeBSD-users-jp 95140] Re: sendmail TLS handshake fail >Date: Tue, 11 Feb 2014 01:11:20 +0900 (JST) >Message-ID: <201402101611.s1AGBKpk080206@paksa.ism.ac.jp> > >> かなかなか見つからなくて、それでお尋ねした次第ですが、結局 >> /usr/share/sendmail/cf/README をちゃんと読んだら書いてありました。 >> Disableing STARTTLSというところにあります。/etc/mail/access に >> >> Try_TLS: NO >> >> と書き込んで cd /etc/mail; make で access.db を作り直せば良いのでした。 >> 特定のホスト/ドメインに対してだけ TLS を止めるには >> >> Try_TLS:freebsd.org NO > >すみません、これ私実際に設定してたのでお返事しようと思っていたのですが >忙しくて・・・ > >> でも実に不思議。こんな簡単な質問にはすぐお答え頂けるものと思っていたの >> ですが、そうでなかったところを見ると、この ML の読者の方々は >> >> 1. 皆真面目に SSL証明書の設定をすべての FreeBSDマシンでやっている >> あるいは >> 2. sendmail は気に入らないから qmail か Postfix を使っている >> >> ってことなのでしょか?ちょっと信じられない気がしています。 > >これなんですが、SSLがおかしいのは送信先の @freebsd.org のサーバーで丸 >山さんのところのFreeBSDではないんではないでしょうか?? > >ごく稀にSSLでの接続を受け入れるのに、証明書が正しく設定されていないサー >バーがあり、その場合には上記のaccessでの設定が必要でしたが10年以上仕事 >で使っていてこれを設定したドメインは2つだけでした。もっとも、送り先か >ら届いていないという指摘をもらうまで気づきませんでしたが。 > >ですので、この設定自体やったことのある方が少ないのではないでしょうか?? > >ただ、そうすると、@freebsd.orgに送信できなかったのはたまたまか?それと >も@freebsd.orgのメールサーバが何台かあってそのうちの1台が駄目なのか?? >は謎ですが。。。 > >(このメール送れていれば、、、ですが) >--- >すずき >_______________________________________________ >freebsd-users-jp@freebsd.org mailing list >https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp >To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe@freebsd.org" -------- 丸山直昌@統計数理研究所