电子邮件 – 更新后,在Ubuntu 12.04上发送邮件,SSL相关吗?

前端之家收集整理的这篇文章主要介绍了电子邮件 – 更新后,在Ubuntu 12.04上发送邮件,SSL相关吗?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我昨天在askubuntu.com上发布了这个,但没有得到任何回复.

我们运行一个生产ubuntu服务器,每天为数千人提供服务. Sendmail目前无法在此服务器上运行.我们花了好几天试图恢复它,但我们还没有找到任何解决方案.

目前有一个bug report似乎与这个问题有关,所以它影响的人多于我们.

这就是我们所知道的.

星期天我们在服务器上运行了更新.第二天,我们发现sendmail未能发送电子邮件.

/var/log/sendmail.log在每个电子邮件条目上报告“stat = Deferred”.

它偶尔也会重复以下消息:

STARTTLS=client,error:connect Failed=-1,SSL_error=1,errno=0,retry=-1
STARTTLS=client: 7042:error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small:s3_clnt.c:3338:ruleset=tls_server,arg1=SOFTWARE,relay=xxx.xxx.edu,reject=403 4.7.0 TLS handshake Failed.

我们检查了SMTP服务器上的日志,发现以下内容

06-25T10:57:20-06:00 gw26 sm-mta[17229]: STARTTLS=server,error: accept Failed=0,retry=-1
No explanation available 2015-06-25T10:57:20-06:00 gw26 sm-mta[17229]: STARTTLS=server: 17229:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1110:SSL alert number 40
Explain this log line 2015-06-25T10:57:20-06:00 gw26 sm-mta[17229]: t5PGvKk0017229: opus.byu.edu [128.187.102.135] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA

我们花了很多时间谷歌搜索并在其他操作系统(CentOS和OpenBSD)上找到了几个有相关问题的人.看来OpenSSL已经更新,现在需要更长的SSL密钥才能正常运行.

This bug在启动板页面上可能是相关的.

我们已尝试按照here.给出的CentOS说明解决问题.注意:我们更改了新dhparams.pem文件的位置.

Generate DH parameters file on your server:

06002

Add to /etc/mail/sendmail.mc:

06003

Then use make -C /etc/mail/ and service sendmail restart.

这似乎没有以任何方式改善任何事情.

编辑:

我们通过执行以下操作关闭了TLS,sendmail立即开始运行.但是,这不是解决方案,因为我们不想发送纯文本电子邮件.

Add Try_TLS:1.2.3.4 NO to /etc/mail/access.
Do a make in /etc/mail and restart sendmail.

据我所知,问题是你的OpenSSL升级使你不能容忍其他短DH键长度,以保护对话免受 the Logjam attack.这就是为什么增加你的DH密钥长度(openssl dhparam ……等)什么都没有帮助,虽然关闭了TLS.

显然,我们都喜欢的是OpenSSL的标志 – 像我 – 而不是我的邮件 – 加密 – 甚至 – 如果NSA正在阅读 – 它在飞行中 – 所以,刚刚关上约短-DH-键-了.遗憾的是,这种行为似乎被编译成OpenSSL,开发人员并没有选择像我建议的那样支持一个标志,而sendmail似乎没有编译它能够取消选择触发此行为的密码套件.

这也意味着长期解决方案是让其他邮件服务器的管理员升级他们的DH密钥长度.您可以逐个域地关闭TLS的使用,使用访问映射条目

Try_TLS:mail.example.com NO

(感谢novosial.org这个想法)如果你能识别出与你交换大量电子邮件并且管理员响应缓慢的特定同行.但据我所知,如果你的服务器(就像我的那个)突然对其他人的加密参数挑剔,那么你解决这个问题的能力是有限的.

猜你在找的Ubuntu相关文章