Exim

IP 地址更改後 starttls 失敗

  • November 2, 2014

我更改了我們的 exim 郵件伺服器的 IP 地址(虛擬機已復製到不同的主機,網路配置也使用 NAT)。現在它不再接受來自 Windows Thunderbird 客戶端的 STARTTLS 連接。它適用於所有其他郵件客戶端。

Thunderbird 錯誤消息類似於can't set up a secure connection to mail.mydomain.de using STARTTLS, because the server is not offering this function. Disable STARTTLS or contact your provider. 然而,exim 郵件伺服器確實提供了 STARTTLS,它仍然可以在舊系統上執行。

這是 exim 調試日誌的摘錄:

27666 accept: condition test succeeded
27666 SMTP>> 220 s0107.mydomain.de ESMTP (Exim 4.77) Fri, 31 Oct 2014 05:23:27 +0100
27666 Process 27666 is ready for new message
27666 smtp_setup_msg entered
27666 SMTP<< EHLO [192.168.1.115]
27666 sender_fullhost = ip-123-123-123-123.hsi07.unitymediagroup.de ([192.168.1.115]) [123.123.123.123]
27666 sender_rcvhost = ip-123-123-123-123.hsi07.unitymediagroup.de ([123.123.123.123] helo=[192.168.1.115])
27666 set_process_info: 27666 handling incoming connection from ip-123-123-123-123.hsi07.unitymediagroup.de ([192.168.1.115]) [123.123.123.123]
27666 host in pipelining_advertise_hosts? yes (matched "*")
27666 host in auth_advertise_hosts? yes (matched "*")
27666 host in tls_advertise_hosts? yes (matched "*")
27666 SMTP>> 250-s0107.mydomain.de Hello ip-123-123-123-123.hsi07.unitymediagroup.de [123.123.123.123]
27666 250-SIZE 52428800
27666 250-PIPELINING
27666 250-AUTH PLAIN LOGIN CRAM-MD5
27666 250-STARTTLS
27666 250 HELP
27666 SMTP<< QUIT
27666 SMTP>> 221 s0107.mydomain.de closing connection
27666 LOG: smtp_connection MAIN
27666   SMTP connection from ip-178-200-216-217.hsi07.unitymediagroup.de ([192.168.1.115]) [123.123.123.123] closed by QUIT
27666 search_tidyup called
27654 child 27666 ended: status=0x0
27654 0 SMTP accept processes now running
27654 Listening...

在原始系統上,最後幾行如下所示:

2362 250-SIZE 52428800
2362 250-PIPELINING
2362 250-AUTH PLAIN LOGIN CRAM-MD5
2362 250-STARTTLS
2362 250 HELP
2362 SMTP<< STARTTLS
2362 setting SSL CTX options: 0x800
2362 tls_certificate file /etc/pki/tls/exim_tls/exim.cert
2362 tls_privatekey file /etc/pki/tls/exim_tls/exim.key
...

這似乎是客戶端問題,但我不知道為什麼 IP 地址更改會對 STARTTLS 握手產生任何影響。請指教。

您在上面已經確認,不僅僅是 IP 地址發生了變化:具體而言,VM 移動到的新網路位於 CISCO ASA 防火牆後面。

這些防火牆執行他們所描述的“協議修復”,在 SMTP 的情況下,這意味著弄亂在第 4 層傳遞的資訊。通過telnet從客戶端到伺服器並發出SMTP EHLO命令,您已經確認雖然伺服器是廣告STARTTLS功能,CISCO 正在從傳輸中的數據包中刪除此廣告。客戶,沒有看到STARTTLS被提供,並且被配置為需要它,就退出了。

您沒有說 CISCO 是否在您的控制之下,但您已經確定與伺服器上埠 587 的連接不會受到類似影響(儘管我懷疑這是 CISCO 配置的問題,未來的一些管理員可以輕鬆打開它) . 因此,至少目前您有一個解決方法。

為什麼 CISCO 認為從它保護的郵件伺服器中剝離加密功能是一個好主意,這對我來說是個謎。但結果是,在保護郵件伺服器方面,這種模式下的 CISCO 並不適用。

引用自:https://serverfault.com/questions/641056