sendmail은 클라이언트 역할을 할 때 STARTTLS를 발행하지 않습니다.

tag-icon tag-icon ssl sendmail starttls
sendmail은 클라이언트 역할을 할 때 STARTTLS를 발행하지 않습니다.

메일이 mimecast를 통해 라우팅되는 서버에 릴레이하는 데 문제가 있습니다. 다음 메시지와 함께 연결이 거부됩니다.

553 This route requires encryption (TLS) - https://community.mimecast.com/docs/DOC-1369#553

이로 인해 인증서로 구성되고 서버 역할을 할 때 STARTTLS를 광고하는 sendmail이 적시에(또는 전혀) STARTLS를 보내지 않는 것 같습니다. 다음은 실패한 전송에 대한 추적입니다.

>>220 zzz.mimecast.com ESMTP; Thu, 16 Jun 2022 11:55:55 +0200
>>> EHLO rigel-170.orion.it
250-zzz.mimecast.com Hello [212.115.64.170]
250-AUTH PLAIN LOGIN
250-STARTTLS
250 HELP
>>> MAIL From:<[email protected]>
250 Sender OK [R9SDNpJCMqeqqffSnRQQeg.de46]
>>> RCPT To:<[email protected]>
553 This route requires encryption (TLS) - https://community.mimecast.com/docs/DOC-1369#553 [R9SDNpJCMqeqqffSnRQQeg.de46]
>>> DATA
503 Illegal command sequence - https://community.mimecast.com/docs/DOC-1369#503 [R9SDNpJCMqeqqffSnRQQeg.de46]

동일한 서버가 문제 없이 smtps 서버로 실행되고(인증서 측에 문제가 없음을 제안) 제출 메일러가 정기적으로 STARTTLS를 보낸다는 점을 추가하겠습니다(로그에서 STARTTLS=client를 볼 수 있습니다.). 그러나 이는 내가 본 유일한 =클라이언트(sendmail이 다른 서버에 클라이언트 역할을 할 때 실제로 STARTTLS를 보내는 것이 아니라는 제안)

SRV_Features, Try_TLS, TLS_Clt, TLS_Srv 및 TLS_Rcpt의 여러 조합을 시도했지만 아무 소용이 없습니다. 지금까지 액세스 맵에 남겨둔 유일한 TLS 지시문은 다음과 같습니다.

Try_TLS: Yes

또한 sendmail.mc에 클라이언트 인증서를 구성했습니다.

다음에 무엇을 시도해야할지 모르겠습니다.

편집하다

방금 다음 사항을 발견했습니다(문제가 더욱 흐려짐).

블랙리스트 문제로 인해 기본 호스트 이름/주소와 다른 호스트 이름/주소를 구성했습니다(주소와 호스트 이름 모두 DNS에 올바르게 등록되어 있습니다). 나는 다음 줄로 그렇게했습니다.

CLIENT_OPTIONS(`M=S,Addr=a.b.c.d')dnl
define(`confDOMAIN_NAME', `fubar.it')dnl

이 두 줄을 주석으로 처리하면 starttls가 예상대로 실행됩니다(SMTP 세션 추적을 통해 알 수 있음). 그것은 말이 되지 않는 것 같습니다.

편집 2: 의견에 따르면 범인은 M=SCLIENT_OPTIONS 줄의 비트입니다(영겁 전에 어딘가에서 찢어진 것입니다). 'S'는 'STARTTLS 끄기'를 의미하며 이를 변경하면 M=s됩니다. 참고로 sm 14.4 기준 데몬/클라이언트 옵션에 있는 플래그의 의미는 다음과 같습니다.

 ON  OFF     Meaning
 a   A       Offer the AUTH SMTP extension
 b   B       Offer use of the SMTP VERB command
 d   D       Offer the DSN SMTP extension
 e   E       Offer the ETRN SMTP extension
 l   L       Require the client to authenticate with AUTH
 p   P       Offer the PIPELINING SMTP extension
 s   S       Offer the STARTTLS SMTP extension
 v   V       Verify a client certificate
 x   X       Offer use of the SMTP EXPN ...

친애하는,

답변1

내가 이해한 대로 S플래그는 지원을 CLIENT_OPTIONS끕니다 STARTTLS.

CLIENT_OPTIONS(`M=S,Addr=a.b.c.d')dnl

관련 정보