[▲前のスレッド]
[24483] Re2:※バグ※STARTTLS と SMTP-AUTH の併用 
2004/9/10 (金) 12:37:16 邑波
tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
返信が遅れてしまい、ログが流れ気味なので新規で投稿させて頂きます。
申し訳ありません。

▼ むねはるさん
> ▼ 邑波さん
> > STARTTLS と SMTP-AUTH を併用すると、TLS エンジンを起動した後、SMTP-AUTH を行わずにメール配信処理を行おうとするようです。
> > そのため、SMTP-AUTH を経過していないため、MTA の設定によってはリジェクトされてしまいます。
>
> 現時点の最新版(2.11.02)を使っていますか?

最新版(2.11.02)を利用しています。

> また、 schannel.dll のバージョンはいくつですか? (XP SP2: 5.1.2600.2180)

5.1.2600.2180 となっています。

> 確かに、SSL 対応初期(β版のころ?)にそのような不具合があったような記憶がありますが、
> 現在は修正されているはずです。
>
> 当方のサーバでは STARTTLS のあとに SMTP 認証が行われています。

同じく、実際には STARTTLS の後に SMTP 認証は行われているのですが、
具体的な設定をあげると、Postfix 2.1.4-4 で
smtpd_tls_auth_only = yes
を設定すると、リジェクトされます。
smtpd_tls_auth_only = no
では、STARTTLS で、正常に TLS エンジンが起動して、SMTP-AUTH が走って、期待通りの動作をします。

なお、サーバの OS は debian です。
[24484] Re3:※バグ※STARTTLS と SMTP-AUTH の併用 
2004/9/10 (金) 12:42:32 邑波
tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
新規のレスがあった場合、スレッドがあがるんですね。
スレッドを切る必要がありませんでした。
申し訳ありません。
[24485] smtpd_tls_auth_only = yes の場合(Re3:※バグ※STARTTLS と SMTP-AUTH の併用) 
2004/9/10 (金) 13:07:31 邑波
tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
> 同じく、実際には STARTTLS の後に SMTP 認証は行われているのですが、
> 具体的な設定をあげると、Postfix 2.1.4-4 で
> smtpd_tls_auth_only = yes
> を設定すると、リジェクトされます。
> smtpd_tls_auth_only = no
> では、STARTTLS で、正常に TLS エンジンが起動して、SMTP-AUTH が走って、期待通りの動作をします。

ちょっと長くなるので二回に分けて投稿します。
それぞれの設定でのサーバ側のログを貼り付けます。

smtpd_tls_auth_only = yes の場合
----------------------------------------
---------------
Sep 10 12:49:39 debian postfix/smtpd[6516]: starting TLS engine
Sep 10 12:49:39 debian postfix/smtpd[6516]: connect from tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp[220.146.188.20]
Sep 10 12:49:39 debian postfix/smtpd[6516]: NOQUEUE: reject: RCPT from tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp[220.146.188.20]: 553 <yuuha@waterblue.net>:
Sender address rejected: not logged in; from=<yuuha@waterblue.net> to=<yuuha> proto=ESMTP helo=<[192.168.0.4]>
Sep 10 12:49:42 debian postfix/smtpd[6516]: disconnect from tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp[220.146.188.20]
----------------------------------------
---------------

そして、MUA 側に以下のメッセージが表示されます。

----------------------------------------
---------------
メール送信中にエラーが発生しました。
以下、サーバからのエラーメッセージです。

553 <yuuha@waterblue.net>: Sender address rejected: not logged in
----------------------------------------
---------------
[24486] Re:smtpd_tls_auth_only = no の場合(Re3:※バグ※STARTTLS と SMTP-AUTH の併用) 
2004/9/10 (金) 13:16:28 邑波
tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
Sep 10 13:13:01 debian postfix/smtpd[6708]: starting TLS engine
Sep 10 13:13:01 debian postfix/smtpd[6708]: connect from tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp[220.146.188.20]
Sep 10 13:13:01 debian postfix/smtpd[6708]: 7713313C037: client=tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp[220.146.188.20], sasl_method=CRAM-MD5, sasl_username=yuuha@waterblue.net
Sep 10 13:13:01 debian postfix/cleanup[6711]: 7713313C037: message-id=<20040910130200.1E22.YUUHA@waterblue.net>
Sep 10 13:13:01 debian postfix/qmgr[6664]: 7713313C037: from=<yuuha@waterblue.net>, size=556, nrcpt=1 (queue active)
Sep 10 13:13:01 debian spamd[519]: connection from localhsot [127.0.0.1] at port 51406
Sep 10 13:13:01 debian postfix/smtpd[6708]: disconnect from tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp[220.146.188.20]
Sep 10 13:13:01 debian spamd[6714]: info: setuid to spamd succeeded
Sep 10 13:13:01 debian spamd[6714]: processing message <20040910130200.1E22.YUU
A@waterblue.net> for spamd:45.
Sep 10 13:13:02 debian spamd[6714]: clean message (0.8/7.0) for spamd:45 in 0.9seconds, 539 bytes.
Sep 10 13:13:02 debian postfix/pickup[6663]: 83C0113C038: uid=45 from=<yuuha@waterblue.net>
Sep 10 13:13:02 debian postfix/cleanup[6711]: 83C0113C038: message-id=<20040910130200.1E22.YUUHA@waterblue.net>
Sep 10 13:13:02 debian postfix/pipe[6712]: 7713313C037: to=<yuuha@waterblue.net>, orig_to=<yuuha>, relay=spamassassin, delay=1, status=sent (debian.waterblue.net)
Sep 10 13:13:02 debian postfix/qmgr[6664]: 7713313C037: removed
Sep 10 13:13:02 debian postfix/qmgr[6664]: 83C0113C038: from=<yuuha@waterblue.net>, size=867, nrcpt=1 (queue active)
Sep 10 13:13:02 debian postfix/smtpd[6718]: warning: smtpd_peer_init: 127.0.0.1: hostname localhsot verification failed: Name or service not known
Sep 10 13:13:02 debian postfix/smtpd[6718]: connect from unknown[127.0.0.1]
Sep 10 13:13:02 debian postfix/smtpd[6718]: 9724713C037: client=unknown[127.0.0.1]
Sep 10 13:13:02 debian postfix/cleanup[6711]: 9724713C037: message-id=<20040910130200.1E22.YUUHA@waterblue.net>
Sep 10 13:13:02 debian postfix/qmgr[6664]: 9724713C037: from=<yuuha@waterblue.net>, size=1321, nrcpt=1 (queue active)
Sep 10 13:13:02 debian postfix/smtpd[6718]: disconnect from unknown[127.0.0.1]
Sep 10 13:13:02 debian postfix/smtp[6717]: 83C0113C038: to=<yuuha@waterblue.net>, relay=127.0.0.1[127.0.0.1], delay=0, status=sent (250 2.6.0 Ok, id=32363-06, from MTA: 250 Ok: queued as 9724713C037)
Sep 10 13:13:02 debian postfix/qmgr[6664]: 83C0113C038: removed
Sep 10 13:13:02 debian postfix/local[6719]: 9724713C037: to=<yuuha@waterblue.net>, relay=local, delay=0, status=sent (delivered to command: /usr/bin/procmail)
Sep 10 13:13:02 debian postfix/qmgr[6664]: 9724713C037: removed

うちの MTA の設定では、SASL と連携して、SMTP-AUTH を必須としています。
STARTTLS と SMTP-AUTH の双方を必須に設定すると、上記のようなエラーが発生します。
ログやエラーメッセージから判断するに、STARTTLS から SMTP-AUTH へのシーケンスが問題になっていると予測されるのですが。。。
[24487] Re3:※バグ※STARTTLS と SMTP-AUTH の併用 
2004/9/10 (金) 13:51:13 むねはる
an.ap.titech.ac.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
▼ 邑波さん
> 同じく、実際には STARTTLS の後に SMTP 認証は行われているのですが、
> 具体的な設定をあげると、Postfix 2.1.4-4 で
> smtpd_tls_auth_only = yes
> を設定すると、リジェクトされます。
> smtpd_tls_auth_only = no
> では、STARTTLS で、正常に TLS エンジンが起動して、SMTP-AUTH が走って、期待通りの動作をします。

管理の都合上、少し古い Postfix-2.0.16 + pfixtls-0.8.16-2.0.16 ですが、
smtpd_tls_auth_only オプションは存在するので、 on にして試してみました。

平文の SMTP セッションでは "250-AUTH ..." が現れず、
STARTTLS 後の EHLO に対する応答では現れ、正常に認証できました。

サーバのログよりも、まずは 250-AUTH の応答があるかどうかを
Becky! のプロトコルログで確かめてください。
この行が現れなければ SMTP-AUTH は行われません。


> なお、サーバの OS は debian です。

Woody/Sarge/Sid のどれでしょうか?
Postfix も Debian 側から提供されているもの、という認識でよろしいですか?
自宅に Sarge 環境はあるので、後ほど試してみます。
[24490] Re4:※バグ※STARTTLS と SMTP-AUTH の併用 
2004/9/10 (金) 14:27:18 邑波
tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
▼ むねはるさん
> 管理の都合上、少し古い Postfix-2.0.16 + pfixtls-0.8.16-2.0.16 ですが、
> smtpd_tls_auth_only オプションは存在するので、 on にして試してみました。
>
> 平文の SMTP セッションでは "250-AUTH ..." が現れず、
> STARTTLS 後の EHLO に対する応答では現れ、正常に認証できました。
>
> サーバのログよりも、まずは 250-AUTH の応答があるかどうかを
> Becky! のプロトコルログで確かめてください。
> この行が現れなければ SMTP-AUTH は行われません。

ベッキーのプロトコルログでは以下のようになっています。

----------------------------------------
-------------
>>> Connecting to "mail.waterblue.net" [2004/09/10 14:19:22] <<<
220 debian.waterblue.net ESMTP Postfix
EHLO [192.168.0.4]
250-debian.waterblue.net
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250 8BITMIME
RSET
250 Ok
MAIL FROM:<yuuha@waterblue.net>
250 Ok
RCPT TO:<yuuha>
553 <yuuha@waterblue.net>: Sender address rejected: not logged in
QUIT
221 Bye
----------------------------------------
-------------

> > なお、サーバの OS は debian です。
>
> Woody/Sarge/Sid のどれでしょうか?
> Postfix も Debian 側から提供されているもの、という認識でよろしいですか?
> 自宅に Sarge 環境はあるので、後ほど試してみます。

sarge です。
Postfix も Debian 側から提供されているものです。
先ほど apt でアップグレードして Postfix 2.1.4-5 にしてみましたが、かわりありませんでした。

なお、OE の場合は送信できます。
[24491] Re5:※バグ※STARTTLS と SMTP-AUTH の併用 
2004/9/10 (金) 14:38:09 邑波
tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
併せて、STARTTLS を必須にしていない場合のプロトコルログを貼り付けておきます。

-------------------------------------
>>> Connecting to "mail.waterblue.net" [2004/09/10 14:34:43] <<<
220 debian.waterblue.net ESMTP Postfix
EHLO [192.168.0.4]
250-debian.waterblue.net
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH NTLM OTP DIGEST-MD5 CRAM-MD5
250 8BITMIME
AUTH CRAM-MD5
334 XXXXXXXX
235 Authentication successful
RSET
250 Ok
MAIL FROM:<yuuha@waterblue.net>
250 Ok
RCPT TO:<yuuha>
250 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
.
250 Ok: queued as 68C0713C004
QUIT
221 Bye
-------------------------------------

。。。STARTTLS がはじかれていない?
[24492] Re6:※バグ※STARTTLS と SMTP-AUTH の併用 
2004/9/10 (金) 16:29:07 むねはる
an.ap.titech.ac.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
▼ 邑波さん

これはいずれも STARTTLS で暗号化されていませんね。
STARTTLS が行われた場合のプロトコルログは以下のようになるはずです。

> >>> Connecting to "mail.example.com" (SSL/TLS) [2004/09/10 13:33:13] <<<
> 220 mail.example.com ESMTP Postfix
> EHLO [192.168.0.10]
> 250-mail.example.com
> 250-PIPELINING
> 250-SIZE 10240000
> 250-STARTTLS
> 250 8BITMIME
> STARTTLS
> 220 Ready to start TLS
> EHLO [192.168.0.10]
> 250-mail.example.com
> 250-PIPELINING
> 250-SIZE 10240000
> 250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5
> 250 8BITMIME
> AUTH CRAM-MD5
> 334 ****************************************
*******************
> 235 Authentication successful
> RSET
> 250 Ok
> MAIL FROM:<username@mail.example.com>
> 250 Ok
> RCPT TO:<username@mail2.example.com>
> 250 Ok
> DATA
> 354 End data with <CR><LF>.<CR><LF>
> .
> 250 Ok: queued as ***********
> QUIT
> 221 Bye

正しく STARTTLS セッションに移っていれば、
STARTTLS 命令のあとに "220" (Ready to start TLS) の応答があり、
Becky! はさらに二度目の "EHLO (hostname)" 命令を送るはずです。

サーバ側の SSL/TLS 関連のログの debug level を上げて、
正しく動作しているか確認してください。
[24493] Re7:※バグ※STARTTLS と SMTP-AUTH の併用 
2004/9/10 (金) 17:01:41 邑波
tetkyo010020.tkyo.te.ftth2.ppp.infoweb.ne.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
▼ むねはるさん

謎が解けました。
単純にベッキーの設定の問題でした。
申し訳ありません。orz

詳細設定の方で STARTTLS を選択しておけば、STARTTLS が発行されるものと思っていました。
実際には、SMTPS, IMAPS 等にチェックを入れておかないと、そちらの設定が参照されないんですね。
同じ理由で IMAP の REQUIRE_STARTTLS も問題なく動作しました。
STARTTLS ではなくて SMTPS, POP3S, IMAPS に直接アクセスした場合、ちゃんと動作していたので、不思議には思っていたのですが。。。

大変お騒がせしてすいませんでした。
[24494] Re8:※バグ※STARTTLS と SMTP-AUTH の併用 
2004/9/10 (金) 17:24:50 むねはる
an.ap.titech.ac.jp / Mozilla/5.0 (X11; U; Linux i686; ja-JP; rv:1.2) Gecko/20030401 for VineLinux 0vl0.26
▼ 邑波さん
> 詳細設定の方で STARTTLS を選択しておけば、STARTTLS が発行されるものと思っていました。
> 実際には、SMTPS, IMAPS 等にチェックを入れておかないと、そちらの設定が参照されないんですね。

なるほど。
「詳細」タブの選択肢が後からできたことを知っていれば悩まないのですが、
2.09 あたりから一足飛びに 2.11 などへアップデートした場合、気づきにくいかもしれませんね。


SSL 使用のチェックボックスがある「基本設定」と同じタブに表示されるか、
SSL 使用にチェックが入っていないときは「詳細」タブの「SSL関連」の
選択肢が現れない・選択できないなど、もうひと工夫していただけると、
設定の UI が分かりやすくなると思います。

ご検討をお願いします。>乗松さん
[▼次のスレッド]
INCM/CMT
Cyclamen v3.84