IP 地址更改後 starttls 失敗
我更改了我們的 exim 郵件伺服器的 IP 地址(虛擬機已復製到不同的主機,網路配置也使用 NAT)。現在它不再接受來自 Windows Thunderbird 客戶端的 STARTTLS 連接。它適用於所有其他郵件客戶端。
Thunderbird 錯誤消息類似於
can't set up a secure connection to mail.mydomain.de using STARTTLS, because the server is not offering this function. Disable STARTTLS or contact your provider. 然而,exim 郵件伺服器確實提供了 STARTTLS,它仍然可以在舊系統上執行。這是 exim 調試日誌的摘錄:
27666 accept: condition test succeeded 27666 SMTP>> 220 s0107.mydomain.de ESMTP (Exim 4.77) Fri, 31 Oct 2014 05:23:27 +0100 27666 Process 27666 is ready for new message 27666 smtp_setup_msg entered 27666 SMTP<< EHLO [192.168.1.115] 27666 sender_fullhost = ip-123-123-123-123.hsi07.unitymediagroup.de ([192.168.1.115]) [123.123.123.123] 27666 sender_rcvhost = ip-123-123-123-123.hsi07.unitymediagroup.de ([123.123.123.123] helo=[192.168.1.115]) 27666 set_process_info: 27666 handling incoming connection from ip-123-123-123-123.hsi07.unitymediagroup.de ([192.168.1.115]) [123.123.123.123] 27666 host in pipelining_advertise_hosts? yes (matched "*") 27666 host in auth_advertise_hosts? yes (matched "*") 27666 host in tls_advertise_hosts? yes (matched "*") 27666 SMTP>> 250-s0107.mydomain.de Hello ip-123-123-123-123.hsi07.unitymediagroup.de [123.123.123.123] 27666 250-SIZE 52428800 27666 250-PIPELINING 27666 250-AUTH PLAIN LOGIN CRAM-MD5 27666 250-STARTTLS 27666 250 HELP 27666 SMTP<< QUIT 27666 SMTP>> 221 s0107.mydomain.de closing connection 27666 LOG: smtp_connection MAIN 27666 SMTP connection from ip-178-200-216-217.hsi07.unitymediagroup.de ([192.168.1.115]) [123.123.123.123] closed by QUIT 27666 search_tidyup called 27654 child 27666 ended: status=0x0 27654 0 SMTP accept processes now running 27654 Listening...在原始系統上,最後幾行如下所示:
2362 250-SIZE 52428800 2362 250-PIPELINING 2362 250-AUTH PLAIN LOGIN CRAM-MD5 2362 250-STARTTLS 2362 250 HELP 2362 SMTP<< STARTTLS 2362 setting SSL CTX options: 0x800 2362 tls_certificate file /etc/pki/tls/exim_tls/exim.cert 2362 tls_privatekey file /etc/pki/tls/exim_tls/exim.key ...這似乎是客戶端問題,但我不知道為什麼 IP 地址更改會對 STARTTLS 握手產生任何影響。請指教。
您在上面已經確認,不僅僅是 IP 地址發生了變化:具體而言,VM 移動到的新網路位於 CISCO ASA 防火牆後面。
這些防火牆執行他們所描述的“協議修復”,在 SMTP 的情況下,這意味著弄亂在第 4 層傳遞的資訊。通過
telnet從客戶端到伺服器並發出SMTP EHLO命令,您已經確認雖然伺服器是廣告STARTTLS功能,CISCO 正在從傳輸中的數據包中刪除此廣告。客戶,沒有看到STARTTLS被提供,並且被配置為需要它,就退出了。您沒有說 CISCO 是否在您的控制之下,但您已經確定與伺服器上埠 587 的連接不會受到類似影響(儘管我懷疑這是 CISCO 配置的問題,未來的一些管理員可以輕鬆打開它) . 因此,至少目前您有一個解決方法。
為什麼 CISCO 認為從它保護的郵件伺服器中剝離加密功能是一個好主意,這對我來說是個謎。但結果是,在保護郵件伺服器方面,這種模式下的 CISCO 並不適用。