このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

メール暗号化通信で受信のみできない このメッセージに返信する
日時: 2010/08/02 22:46
名前: toro
URL:
はじめまして、こちらのサイトを参考にしサーバ構築しているものです。
設定で上手くできない為、皆様のお力をお借りしたく投稿させて頂きました。

内容ですが
メールサーバー間通信内容暗号化(OpenSSL+Postfix+Dovecot)
を現在設定しているのですが、

暗号化状態での外部(確認で使用したのは携帯メール、gmail、hotmailです。)からの受信のみが
できない状態となっています。
暗号化用port開放(SMTPs,POP3s)もできています。

暗号化しない通常のメールのやり取りですと、内部、外部の、送信受信、共にできる状態です。

以下が携帯から送信後、3分ぐらい時間経過したサーバ側のmaillogです。
Aug 2 22:02:46 usamimi dovecot: pop3-login: Login: user=<ユーザー名>, method=PLAIN, rip=::ffff:クライアントIPアドレス, lip=::ffff:サーバIPアドレス, TLS
Aug 2 22:02:46 usamimi dovecot: POP3(ユーザー名): Disconnected: Logged out top=0/0, retr=0/0, del=0/9, size=14892
※実際には携帯からの送信後、ずっとこのlogの状態です。

あと、どのような箇所を確認すればよいか悩んだ末、
投稿させて頂きました。

稚拙な文章で申し訳ありませんが、アドバイスなどあればよろしくお願いします。
記事編集 編集

Page: | 1 | 2 |

Re: メール暗号化通信で受信のみできない このメッセージに返信する
日時: 2010/08/03 07:42
名前: ペングイン
URL: http://blog.trippyboy.com
toro様

まずはサーバ間暗号化(外部MTAとtoro様MTA間)をされたいということ分かりました。
外部MTA ====暗号化送信===> toro様サーバ <===暗号化POP==== PC ですね。

現在の状態で、telnet localhost 25 とし、応答が帰ってきてから
ehlo localhost とした際に、STARTTLSの応答は帰ってきますでしょうか。

tail -f /var/log/maillog | grep -v dovecot (受信ログは追わない)
上記を打って、メールログを流しながら外部MTAからメールを送信してみてください。

もしメール利用が多くログを見分けられない場合には、時間帯を変えるか
・該当送信元メールログを含む
・同じメッセージIDを含む
・同じプロセスIDを含む
を基準にメールログをご確認ください。

当方も午後までには検証をし、確認が出来たログを掲示させて頂きますm(_ _)m
記事編集 編集
Re: メール暗号化通信で受信のみできない このメッセージに返信する
日時: 2010/08/03 09:45
名前: stranger
URL:
ここのサイトの説明によれば、
--------------------------------------------------------------
なお、暗号化されるのはここで設定するメールサーバーとクライアント間のみであり、
メールサーバーと送信先メールサーバー間は暗号化されないため、
メール本文が宛先まで完全に暗号化されるわけではない。
--------------------------------------------------------------
とことわり書きがありますが、特別な設定をされていますか
そういう方法がありましたら御教授ねがいます

私見ですが
自己署名のSSL証明書を受け付けてくれる外部MTA(プロバイダのMTAを想定?)はないと思う

記事編集 編集
Re: メール暗号化通信で受信のみできない このメッセージに返信する
日時: 2010/08/03 11:53
名前: ペングイン
URL: http://blog.trippyboy.com
>stranger様

私自身の見解は以下の通りですが、もしかして誤っておりますでしょうか。

>=====
>なお、暗号化されるのはここで設定するメールサーバーとクライアント間のみであり、
>メールサーバーと送信先メールサーバー間は暗号化されないため、
>メール本文が宛先まで完全に暗号化されるわけではない。
>=====

例えば外部MTAをgoogleのメールサーバとした場合、

PC --@--> googleMTA --A--> toroMTA

@は、gmailサーバまでの接続方法により暗号化されるか否かがわかれ、本サイトの範疇外。
Aは、gmailサーバからtoro様サーバまでの送信が暗号化されるか否か。

上記Aの場合、googleMTAはクライアントとなり、メールサーバはtoro様サーバになるため、

・toro様サーバがSTARTTLSの通信を受け入れる準備が出来ている
・googleMTAがSTARTTLSを利用してメール送信接続を行う

がそろえば、暗号化されるものと思います。

>toro様

検証のため当方のサーバをhttp://centossrv.com/postfix-tls.shtmlに基づき設定し
gmailからメールを送信してみました。

なお、/etc/postfix/main.cfに「debug_peer_list = google.com」を追加し
maillogの出力を多くしてみました。以下はその抜粋( grep ']: <' /var/log/maillog)です

Aug 3 11:30:39 trippyboy postfix/smtpd[24056]: < mail-px0-f175.google.com[209.85.212.175]: EHLO mail-px0-f175.google.com
Aug 3 11:30:39 trippyboy postfix/smtpd[24056]: < mail-px0-f175.google.com[209.85.212.175]: MAIL FROM:<*******@gmail.com>
Aug 3 11:30:39 trippyboy postfix/smtpd[24056]: < mail-px0-f175.google.com[209.85.212.175]: RCPT TO:<******@trippyboy.com>
Aug 3 11:30:39 trippyboy postfix/smtpd[24056]: < mail-px0-f175.google.com[209.85.212.175]: DATA

「STARTTLS」を求める通信がgmailから来ておりません。hotmailからも検証を行いましたが同様です。

もしかするとgmailを含むお試しの外部サーバが暗号化送信が出来ないサービス仕様なのかも知れません。

STARTTLSの通信をしてくるホストはこんな感じの記録になりました。

Aug 3 11:25:48 trippyboy postfix/smtpd[19525]: < 接続元ホスト[***.***.***.***]: EHLO 接続元ホスト
Aug 3 11:25:48 trippyboy postfix/smtpd[19525]: < 接続元ホスト[***.***.***.***]: STARTTLS
Aug 3 11:25:48 trippyboy postfix/smtpd[19525]: < 接続元ホスト[***.***.***.***]: EHLO 接続元ホスト
Aug 3 11:25:49 trippyboy postfix/smtpd[19525]: < 接続元ホスト[***.***.***.***]: MAIL From:<ユーザ@接続元ホスト> SIZE=512 AUTH=<>
Aug 3 11:25:49 trippyboy postfix/smtpd[19525]: < 接続元ホスト[***.***.***.***]: RCPT To:<******@trippyboy.com>
Aug 3 11:25:49 trippyboy postfix/smtpd[19525]: < 接続元ホスト[***.***.***.***]: DATA
Aug 3 11:25:49 trippyboy postfix/smtpd[19525]: < 接続元ホスト[***.***.***.***]: QUIT


結果として、STARTTLSを利用していないものであってもメールは届きます。

より詳細な情報として以下をご確認ください。
1.postconf -n | grep tls の実行結果
2.grep -v ^# /etc/postfix/master.cf の実行結果


以上です。
記事編集 編集
Re: メール暗号化通信で受信のみできない このメッセージに返信する
日時: 2010/08/03 12:55
名前: 通りすがり
URL:
携帯も混じっているようですが携帯はオレオレ証明は使えなかったと思います。
ご参考までに。
記事編集 編集
Re: メール暗号化通信で受信のみできない このメッセージに返信する
日時: 2010/08/03 13:48
名前: toro
URL:
皆様、回答して頂きありがとうございます。
後、こちらの設定をしている部分でぬけている部分がありました。
申し訳ないです。

以下追加環境
注:各サービスなど、全ての設定はこちらのサイトのみを参考にし作業しています。
注:他のサイト様の設定を上乗せなどをしていません。
注:IPtablesとSELinuxは設定しません。
注:OP25B対策済み
注:port開放はrouterのみで行ってます。
注:クライアントOS側でノートンインタネットセキュリティ2010を使用


現時点でわかることが
メールクライアント=>SMTPs:465を設定
メールクライアント=>POP3s:995を設定
上記のプロトコルとプロトコルNoを指定して以下の経過を確認しました。

---------------------------------------------------
1
router側=>SMTP:25を開放
router側=>POP3:110を開放
この設定だと外部(携帯[docomo]、gmail)の送受信が可能

---------------------------------------------------
2
router側=>SMTP:25を開放
router側=>SMTPs:465を開放
router側=>POP3:110を開放
router側=>POP3s:995を開放
この設定も外部(携帯[docomo]、gmail)の送受信が可能

---------------------------------------------------
3 注:port25,110は開放してません。
router側=>SMTPs:465を開放
router側=>POP3s:995を開放

この設定の場合、
自サーバ=>携帯、自サーバ=>gmail共に送信可、携帯、gmail共に受信してました。
携帯=>自サーバ、gmail=>自サーバですと、携帯、gmail共に=>旦送信しますが、
メールクライアントで明示的に同期確認をは20ぐらい行いましたが
メール受信できませんでした。

なお、ある程度時間経過後にport25と110を開放すると受信できました。
---------------------------------------------------

1と2では送受信が可能で、3の場合だと、送信しかできなかった為
暗号化通信(受信?)が出来ていないと最初思いましたが
stranger様のご指摘がありました、
「メール本文が宛先まで完全に暗号化されるわけではない。」の
をよく理解せず投稿したことをお詫びします。

改めてpostfixとdovecotの設定、port開放、メール転送の仕組みを確認。
こちらのサイトのFedora側のメール暗号通信の注意文章に
--※ポート25番は閉じないこと
(送信元SMTPサーバーと送信先SMTPサーバー間での
メール転送にはポート25番を使用するため、
ポート25番を閉じるとメールの送信ができなくなってしまう)--

との記述があり以下のサイトを参考
http://satospo.sakura.ne.jp/blog_archives/tech/centos/dovecot_tls.html
--------------------------主に最後の文章[ポート番号まとめ]を参考

http://www.atmarkit.co.jp/fwin2k/win2ktips/1100mailssl/mailssl.html
http://www.atmarkit.co.jp/fwin2k/win2ktips/973mailovssl/mailovssl.html

を読みましたところ、
送信先までの暗号化は私側では制御できないことがわかりました。
ペングイン様が念入りに確認されましたことが、改めて理解できたような気がします
(すみません、まだ理解しているか自信がない為このような書き方になってしまいます)
またSTARTTLSの場合だと、port25、port110の開放も必要となり
routerのport開放は、25、110、465、995の計4つが必要になるということで解釈しました。


後、ペングイン様が教えてくださいましたコマンド
telnet localhost 25、ehlo localhostを行いましたが以下のように返ってきました。
-------------------------------------------------------------------------
[root@usamimi ~]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 mail.usamimi.xxx.xxx ESMTP unknown
ehlo localhost
250-mail.usamimi.xxx.xxx
250-PIPELINING
250-SIZE 10485760
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN DIGEST-MD5 PLAIN CRAM-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
-------------------------------------------------------------------------
コマンドを調べてみましたら
SMTP AUTHのテストということを理解できました、ありがとうございます。

以上が私なりの解釈の仕方でしたが、もし間違いなどがありましたら
指摘して頂けれたら、ありがたいです。
それでは失礼します。
記事編集 編集
Re: メール暗号化通信で受信のみできない このメッセージに返信する
日時: 2010/08/03 14:14
名前: ペングイン
URL: http://blog.trippyboy.com
toro様

詳細にご検証頂きましたことありがとうございます。
ルータでのポート制御が行われた為に正しく動作していなかったことですね。

一点ですが、telnet サーバ 25 は、該当サーバのMTAの受け入れ態勢を表示します。
確かにSMTP AUTHが有効になっているかも確認できますが、STARTTLSが有効になっている
ことも確認できますよね。

加えて、10MBでのサイズ制限があることなども見て取れます。
この情報を送信元のサーバは読み取った後にメールを送っています。

ehlo localhost
250-mail.usamimi.xxx.xxx
250-PIPELINING
250-SIZE 10485760
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN DIGEST-MD5 PLAIN CRAM-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

こちらこそ、ありがとうございました。
記事編集 編集
Re: メール暗号化通信で受信のみできない このメッセージに返信する
日時: 2010/08/03 16:59
名前: toro
URL:
ペングイン様

検証までして頂きありがとうございます。
mailの動作確認方法などを
より理解できました。感謝します。

stranger様
ご指摘ありがとうございました、
指摘していただいた箇所から
環境を掘り下げる機会が得られたこと
感謝します。

kato様
くじけずに対処できそうです、ありがとうございます。

こちらのスレッド提題の件
理解すること、解決できましたので、クローズさせてもらいます。
ありがとうございました。

それでは失礼します。
記事編集 編集
Re: メール暗号化通信で受信のみできない このメッセージに返信する
日時: 2010/08/04 10:51
名前: 新高校生
URL:
>例えば外部MTAをgoogleのメールサーバとした場合、
>
>PC --@--> googleMTA --A--> toroMTA
>
>@は、gmailサーバまでの接続方法により暗号化されるか否かがわかれ、本サイトの範疇外。
>Aは、gmailサーバからtoro様サーバまでの送信が暗号化されるか否か。
>
>上記Aの場合、googleMTAはクライアントとなり、メールサーバはtoro様サーバになるため、
>
>・toro様サーバがSTARTTLSの通信を受け入れる準備が出来ている
>・googleMTAがSTARTTLSを利用してメール送信接続を行う
>
>がそろえば、暗号化されるものと思います。

実際はメールサーバーをいろいろ経由する可能性があります。toroMTAの直前の
メールサーバーがtoroMTAのクライアントになりますが、それはある特定の
メールサーバー(googleMTA)がクライアントになると仮定することはできないのでは?
(ただしgoogleMTAに特別な設定をしていれば別ですが、そんな設定してくれないと思う)
記事編集 編集
Re: メール暗号化通信で受信のみできない このメッセージに返信する
日時: 2010/08/04 19:37
名前: ペングイン
URL: http://blog.trippyboy.com
>新高校生様

>特定のメールサーバー(googleMTA)がクライアントになると仮定することはできないのでは?

おっしゃるとおりです。

一例として分かりやすくしようと表現を変えてみました。

直前のMTAからSTARTTLSが出来たとしても、その前に他MTAがあれば通信の暗号化自体が
意味をなさないことを踏まえ、特に間にMTAを入れることはしませんでしたm(_ _)m

しかし「googleに聞いてみます」という結果になる可能性も考えられると
今実感しましたので、今後気をつけます
(^^;)
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -