2009年12月10日

[postfix-jp: 3676] Re:relayhost で SMTP over SSL/TLS は使えますか?(OP25B 対策)

竹内です。
自己レスです。

> ■ 現在の疑問点(調査中)
>
> (1)
> /usr/local/etc/stunnel/stunnel.conf で下位互換性はあるだろうと、TLSv1 を
> 指定しているが良いのか?

>
> ; Protocol version (all, SSLv2, SSLv3, TLSv1)
> sslVersion = TLSv1

どうやら TLSv1 を指定しても、SSLv3 を指定してもstunnel 4.28 の
クライアントモードは SSLv3 になるみたいです。
( # stunnerl -version の結果を見ての判断です)
また、stunnel のログを見ると TLSv1 にしても SSLv3 にしても共に
Negotiated ciphers: RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
と、全く同じ SSLv3 128ビット暗号化で接続されています。
私の使い方では、暗号強度も十分なので、SSLv3( stunnel の conf サンプルデフォルト値)
を指定しておくのが無難と考え、SSLv3 を設定することにしました。

> (2)
> /usr/local/etc/postfix/main.cf で telnet テストで 250-AUTH PLAIN LOGIN
> DIGEST-MD5 CRAM-MD5 と出ているが、認証の優先順位が分からないためを cram-
> md5, digest-md5 を指定しているが良いのか?
>
> smtp_sasl_mechanism_filter = cram-md5,digest-md5

今回 relay 先のメールサーバーで、cram や digest 認証をサポートしており、また
この設定で動作しているのため問題ないと結論することにしました。

> (3)
> 実際にメールを配送したとき、/var/log/stunnel.log に
>
> 2009.12.09 13:08:40 LOG7[15671:675709888]: SSL alert (write): warning:
> close notify
>
> の warning が出ているが、問題ないのか?

調べたのですが、分かりませんでした。
ぐぐると、同じ warning が出ているログが見つかるのですが、特に問題視されて
いないようなので、無視して良いのかもしれませんが、、、、
この warning についてご存じの方、ご教示頂けると幸いです。

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list


投稿者 xml-rpc : 2009年12月10日 10:14
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/91311
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。