ぷららメールサーバーのセキュリティ対策とPanasonicドアフォンメール通知

ぷららメールサーバーのセキュリティ対策で問題だった「CRAM-MD5」機能廃止方法が11月改修で修正された。

$ openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp -quiet
depth=3 C = IE, O = Baltimore, OU = CyberTrust, CN = Baltimore CyberTrust Root
verify return:1
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
verify return:1
depth=0 C = JP, ST = Tokyo, L = Chiyoda-Ku, O = "NTT DOCOMO, INC.", CN = *.plala.or.jp
verify return:1
250 SIZE 20971520
ehlo localhost
250-msc12.plala.or.jp
250-AUTH=LOGIN PLAIN
250-AUTH LOGIN PLAIN
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
quit
221 msc12.plala.or.jp ESMTP server closing connection
read:errno=0

EHLOのAUTH応答からCRAM-MD5が消えた。
早速VL-SWH705KLのメール通知用メールサーバーをぷららのメールサーバーに変更した。

①メールサーバ登録/修正
送信元アドレス： someone@somewhere.plala.or.jp
送信メールサーバー： secure.plala.or.jp
送信ポート： 587
セキュリティの種類： TLS
SMTP認証： 使用する
アカウント名：someone@somewhere.plala.or.jp
パスワード： himitunoaikotobahirakegoma
-------------
メール送信テストを行います： はい

結果認証エラーで接続出来ない。

②メールサーバ登録/修正
送信元アドレス： someone@somewhere.plala.or.jp
送信メールサーバー： secure.plala.or.jp
送信ポート： 465
セキュリティの種類： SSL
SMTP認証： 使用する
アカウント名：someone@somewhere.plala.or.jp
パスワード： himitunoaikotobahirakegoma
-------------
メール送信テストを行います： はい

接続しメール送信テストが実行される。

③メールサーバ登録/修正
送信元アドレス： someone@somewhere.plala.or.jp
送信メールサーバー： secure.plala.or.jp
送信ポート： 587
セキュリティの種類： なし
SMTP認証： 使用する
アカウント名：someone@somewhere.plala.or.jp
パスワード： himitunoaikotobahirakegoma
-------------
メール送信テストを行います： はい

セキュリティ上問題だが接続しメール送信テストが実行される。
何故、TLSだけ認証エラーになるのか確認するためWiresharkでパケットキャプチャして確認してみた。

Port 587/TLS

メールサーバーに接続後、EHLOでSTARTTLSを確認。STARTTLSを起動、TLSVersion1.0で接続要求するが、サーバーから接続拒否。
opensslでぷららメールサーバーが許容するTLS versionを確認すると

$ openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp -no_tls1_1 -no_tls1_2 -quiet
4634283692:error:1400442E:SSL routines:CONNECT_CR_SRVR_HELLO:tlsv1 alert protocol version:/System/Volumes/Data/SWE/macOS/BuildRoots/37599d3d49/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.4/libressl-2.8/ssl/ssl_pkt.c:1200:SSL alert number 70
4634283692:error:140040E5:SSL routines:CONNECT_CR_SRVR_HELLO:ssl handshake failure:/System/Volumes/Data/SWE/macOS/BuildRoots/37599d3d49/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.4/libressl-2.8/ssl/ssl_pkt.c:585:
---
$ openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp  -no_tls1_2 -quiet
4367462060:error:1400442E:SSL routines:CONNECT_CR_SRVR_HELLO:tlsv1 alert protocol version:/System/Volumes/Data/SWE/macOS/BuildRoots/37599d3d49/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.4/libressl-2.8/ssl/ssl_pkt.c:1200:SSL alert number 70
4367462060:error:140040E5:SSL routines:CONNECT_CR_SRVR_HELLO:ssl handshake failure:/System/Volumes/Data/SWE/macOS/BuildRoots/37599d3d49/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.4/libressl-2.8/ssl/ssl_pkt.c:585:
---
$ openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp -no_tls1_1 -no_tls1 -quiet
depth=3 C = IE, O = Baltimore, OU = CyberTrust, CN = Baltimore CyberTrust Root
verify return:1
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
verify return:1
depth=0 C = JP, ST = Tokyo, L = Chiyoda-Ku, O = "NTT DOCOMO, INC.", CN = *.plala.or.jp
verify return:1
250 SIZE 20971520
quit
221 msc12.plala.or.jp ESMTP server closing connection
read:errno=0

TLSv1.0とTLSv1.1では接続出来ずTLSv1.2以上で接続許可となっている。
Panasonic VL-SWH705KLのエラーメッセージ「[U149]」からトラブルの原因を推測するのが難しい。

Port 465/SSL

SSL接続は、TLSv1.2で接続される。
VL-SWH705KLでは、セキュリティの種類がTLSとSSLでTLSバージョンが異なる。どういうつくりなんだ？

「 ぷららメールサーバーがセキュリティ対策を実施」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果#2」

Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果#2

「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果』で2023年9月25日 ぷららに問い合わせを実施した。

何回かのやり取りで「サブミッションポート 587」に「SMTP認証なし」で接続を試みよ。との連絡があった。そもそも、サブミッションポートは、無認証でのメール送信を許していない。
「テスト結果は、送信できない」である。

サブミッションポート以外、ぷららにIPv4 PPPoE接続して、ぷららネットワーク内からメールサーバーのポート25に接続すればSMTP認証なしでも接続出来るのかもしれない。しかし、IPv4のデフォルトルートは、IPv4 over IPv6となっているのでメールサーバ「secure.plala.or.jp:25」への接続が難しい。
「secure.plala.or.jp」へ特別なルートを設定する事にした。幸い、「secure.plala.or.jp」は、IPv4用アドレスしか返さないのでNVR510に専用のルート設定を施し確認する事にした。
secure.plala.or.jpのアドレスを調べる

$ host secure.plala.or.jp
secure.plala.or.jp has address 60.36.166.237

NVR510に静的ルートを加える

NVR510 config
ip route 60.36.166.237/32 gateway pp 1 hide

ルートを確認する

$ traceroute secure.plala.or.jp
traceroute to secure.plala.or.jp (60.36.166.237), 64 hops max, 52 byte packets
1 ns (192.168.11.250) 0.663 ms 0.253 ms 0.224 ms <-NVR510
2 i118-21-182-41.s99.a049.ap.plala.or.jp (118.21.182.41) 3.259 ms 3.153 ms 2.805 ms <-直接ぷららネットワークへ
3 118.21.184.65 (118.21.184.65) 4.108 ms 4.195 ms 4.676 ms
4 i118-21-178-85.s99.a049.ap.plala.or.jp (118.21.178.85) 6.337 ms 5.257 ms 4.997 ms
5 i118-21-197-62.s99.a049.ap.plala.or.jp (118.21.197.62) 6.589 ms
i118-21-197-50.s99.a049.ap.plala.or.jp (118.21.197.50) 6.763 ms
i118-21-197-54.s99.a049.ap.plala.or.jp (118.21.197.54) 4.829 ms
6 s201234.ap.plala.or.jp (220.109.201.234) 8.005 ms 6.717 ms
s201022.ap.plala.or.jp (220.109.201.22) 7.013 ms
7 s201054.ap.plala.or.jp (220.109.201.54) 7.147 ms 10.896 ms 9.126 ms

直接IPv4 PPPoEでぷららネットワークへの接続が確認出来たのでまず「TLS」でsmtp送信を確認

$ openssl s_client -4 -connect secure.plala.or.jp:25 -starttls smtp -quiet
depth=3 C = IE, O = Baltimore, OU = CyberTrust, CN = Baltimore CyberTrust Root
verify return:1
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
verify return:1
depth=0 C = JP, ST = Tokyo, L = Chiyoda-Ku, O = "NTT DOCOMO, INC.", CN = *.plala.or.jp
verify return:1
250 SIZE 20971520
ehlo secure
250-msc13.plala.or.jp
250-AUTH=LOGIN PLAIN CRAM-MD5
250-AUTH LOGIN PLAIN CRAM-MD5
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
mail from: someone@somewhere.plala.or.jp
553 Authentication is required to send mail as <someone@somewhere.plala.or.jp>
quit
221 msc13.plala.or.jp ESMTP server closing connection
read:errno=0

telnetでsmtp認証なし送信確認

$ telnet secure.plala.or.jp 25
Trying 60.36.166.237...
Connected to secure.plala.or.jp.
Escape charcter is '^]'.
220 msc12.plala.or.jp ESTM server ready Fri, 29 Sep 2023 12:30:40 +0900
mail from: someone@somewhere.plala.or.jp
553 Authentication is required to send mail as <someone@somewhere.plala.or.jp>
quit
221 msc12.plala.or.jp ESTM server closing connection
Connection closed by foreign host.

昔は、smtp認証なしでメール送信できたが、メール送信に認証を求められる。
これらの結果をぷららサポートに問うたところ

11月の対応にて、「CRAM-MD5」が自動判別されないように
変更予定でございますので、お待ちいただきますよう
よろしくお願いいたします。

との事。

「 ぷららメールサーバーがセキュリティ対策を実施」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果」
「ぷららメールサーバーのセキュリティ対策とPanasonicドアフォンメール通知」

Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果

「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した」件について原因調査をした


（1）メールテスト環境
ドアフォン（VL-SWH705）とISPメールサーバー（v6mail.plala.or.jp）の間にdebian10でメール中継サーバーを設置。

中継サーバーは、ISPメールサーバのサブミッションポート587にTLS（startTLS）でSMTP-AUTH（PLAIN/LOGIN）で接続しメールリレーをする。
ドアホンからは、中継サーバーに送信ポート（587）、セキュリティの種類（TLS）、SMTP認証（使用する）で接続する。
メール中継サーバー（debian10）のsaslauthdのmech_listを「DIGEST-MD5」「CRAM-MD5」「PLAIN」「LOGIN」に設定しメール送信テストを行う。

送信テストメール


（2）メールテスト結果
SMTP認証の接続結果

VL-SWH705は、smtpサーバー接続後、EHLOで返されるAUTHの種類によって最適な認証方式を選択して接続する。
SMTP認証方式を選択出来れば良いが、家電製品なので自動選択される方が良い。

ぷららのメールサーバーがehloで「250-AUTH LOGIN PLAIN CRAM-MD5」を返し、「CRAM-MD5」を利用できると通知する。「AUTH CRAM-MD5」で認証すると「535 CRAM-MD5 not supported for someone@somewhere.plala.or.jp」で接続させない。
パスワードを間違えると失敗と返す。
VL-SWH705は、アカウント情報の設定間違えと識別できない。

echo -e "ehlo\nquit" | openssl s_client -connect secure.plala.or.jp:465 -quiet -crlf 2>/dev/null
220 msc13.plala.or.jp ESMTP server ready Sun, 24 Sep 2023 16:41:56 +0900
250-msc13.plala.or.jp
250-AUTH=LOGIN PLAIN CRAM-MD5
250-AUTH LOGIN PLAIN CRAM-MD5
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
221 msc13.plala.or.jp ESMTP server closing connection

auth cram-md5
334 PDIwMjMwOTI0MjE1ODU0LkRLV0UxNjI2My5tc2MxNC5wbGFsYS5vci5qcEBvcGVuc3NsLmNsaWVudC5uZXQ+
c29tZW9uZUBzb21ld2hlcmUua2hha2kucGxhbGEub3IuanAgODU0NjdhMmJhYmI5ZWRmZWEwODMwZTkyY2EyMGY4NGM=
535 CRAM-MD5 not supported for someone@somewhere.plala.or.jp
quit
221 msc14.plala.or.jp ESMTP server closing connection

（3）対策
暫く中継サーバー経由で対応する。
一応、ぷららに状況と対応を依頼してみるがどうなるか。。。

2023年9月25日追記
ぷららに問い合わせを実施

「 ぷららメールサーバーがセキュリティ対策を実施」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果#2」
「ぷららメールサーバーのセキュリティ対策とPanasonicドアフォンメール通知」

Panasonic ドアフォン VL-SWH705KLのメール通知が停止した

2023年9月11日より「ぷらら」のメールサーバが「セキュリティ対策」としてSMTP認証の「CRAM-MD5」を廃止した通知を受けた。
ドアホンのメール通知が2023年9月13日を最後に送信されなくなった。
SMTP認証の変更を試みた。

「設定/情報」「設定を変更」「ネットワーク設定」「メール送信設定」「メールサーバ登録/修正」を実施した。

メールサーバ登録/修正
送信元アドレス： someone@somewhere.plala.or.jp
送信メールサーバー： secure.plala.or.jp
送信ポート： 587
セキュリティの種類： TLS
SMTP認証： 使用する
アカウント名：someone@somewhere.plala.or.jp
パスワード： himitunoaikotobahirakegoma
-------------
メール送信テストを行います： はい

エラーで送信できず。

パナソニックのドアホンは、SMTP認証をCRAM-MD5しか装備していないのか？

送信ポート： 465
セキュリティの種類： SSL
-------------------------
送信ポート： 587
セキュリティの種類： なし

どちらもサブミッションポート経由は、認証が必要で送信エラーになる。CRAM-MD5以外の認証方式（LOGINとかPLAINとか）を選択出来ないのか？

「IPv6 IPoE」も「IPv4 over IPv6（DS-Lite）」もインターネット経由になるのでSMTP認証が必須。
あとは IPv4 PPPoE接続経由でメールサーの25ポートへSMTP認証なしで接続させるしか方法が無い。
ポリシルーティングを検討するか。。。
パナソニックがSMTP認証に「LOGIN」か「PLAIN」を追加してくれるのがベストだが。。。

「 ぷららメールサーバーがセキュリティ対策を実施」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果#2」
「ぷららメールサーバーのセキュリティ対策とPanasonicドアフォンメール通知」

Panasonic ドアフォン 玄関子機 VL-VH573Lの交換用レンズを調査

「インターホンのくもりレンズをDIYで交換してみよう」で交換用のレンズをAliExressから調達していた。AliExpressでVL-VH573用のレンズに酷似した物を見つけたので「Panasonic ドアフォン 玄関子機 VL-VH573Lのレンズを交換する」事を試みた。

候補のレンズが左
右は、VL-VH573から外したマウント付きレンズ（ネジロックでレンズとマウントが固定されている）


2023年1月11日に注文して春節前の1月18日に「鳳崗鎮（フェンガン）」から届いた

レンズ仕様


届けられたレンズがこれ

レンズ仕様のM12P0.5ネジ部と比べてネジ部が長いようなので
計測してみた

レンズ長=12.18mm、マウント部長=6.54mm

鏡筒の短いレンズが有るか探していると寸法仕様が記載されたレンズを見つけた。
2023年3月23日にロックリングと共に注文してみた。



2023年4月4日に台湾経由で到着。前回より時間が掛かった。
到着したレンズは、前回注文品と同じ鏡筒の長い物が届いた。
販売者「DPWESTEK VIDEO TECH Store」に問い合わせてみた。
（私）オーダしたレンズと到着したレンズの鏡筒長が違うので「正しいレンズ」を送ってくれ。
（店）「正しいレンズ」を送った。幾つも売っているが送ったレンズがカタログリンクの物だ。他に無いよ。
（私）二つのリンクを示し、二種類あるじゃないか。
（店）写真を撮って見せてくれ。
（私）1月18日に到着したレンズと4月4日に到着したレンズを写真に撮って見せる。
（店）在庫品の長さを測って返答するから待って。
（店）マウント部の長さは、6.5mmだ。二つのリンク共に同じレンズだ。
（私）リンクにあるカタログ通り、マウント部の長さが4mmのレンズが欲しいんだが。
（店）リンクのレンズは、他に無いのでTTLが同じ位のを幾つか試供品提供するから、送料分として一番安い「ロックリング」を注文してくれ。
（私）カタログリンクにあるマウント部の長さが4mmのレンズは無く、6.5mmのレンズしか無いのね。注文するから試供品レンズ送って。2023年4月13日に注文。4月21日に到着。

各レンズのサイズと水平視野角をカメラユニットに取り付け確認した。



Lens# diameter x length from lens top to bottom / mount length / actual angle of view
#1 lens 14.0 x 9.6 mm / 5.6mm / H75°
#2 lens 17.0 x 11.94 mm / 6.77mm / H110°
#3 lens 15.0 x 9.93 mm / 5.5mm / H145°
#4 lens 16.14 x 10.41 mm / 3.99mm / H178°
------
#5 lens 16.14 x 12.09 mm / 6.41mm / H160°（1月11日と3月23日に購入した物）

#4のレンズがカタログのレンズと同じだ。しかしIRフィルタの色がUVフィルターの様に見える。
店に問い合わせ
（私）#4のレンズがカタログと同じものだ。IRフィルタ付きの#4レンズを手に入れたいが可能か？それと#5レンズの仕様を教えてくれ。
（店）送った物（#4レンズ）が最後の在庫品だ。
（私）#4レンズは、売切在庫なし。了解した。#5レンズの仕様を教えてくれ。
回答待ち。。。

#4レンズのサイズ

外径は、マウント部長を除いて#5レンズと酷似している。

#4と#5のレンズ外形を計測してみた。

レンズ曲面とレンズ外径が#5レンズより若干大きい（外径+2.72mm, 曲面高さ+0.63mm）。
#5レンズは、M12P0.5レンズマウント部長が2.54mm長い。
IRフィルタは、鏡筒内に収まっている（#4レンズは、0.24mm程飛び出している）。
焦点合わせ後のPCBD表面からレンズトップまでの長さとTTL（Total Track Length）計測値から焦点距離も違うようだ。
#4レンズは、設計値1.05mmだが計測値は、1.13mm。#5レンズは、設計値不明だが計測値は、2.02mm。
PCBD面からOリング取付位置までの差異は、#5レンズは、3.45mm長くなる。
M4ポリカーボネート・ナット（3.14mm厚）によるスペーサーでほぼ調整できる。

#4レンズは、VL-VH573のレンズと比べてみると外観性能共に同じものと推定できる。
売切ではどうにもならない。#5レンズで代替えするしかない。

------
店から#5レンズの仕様が提示された
これを観ると「1/3 インチ（5.376mm x 3.024mm）」イメージセンサーで水平視野角が196度（y=2.69mm）、焦点距離 1.51mmとなっている

このレンズで実測4mm x 2.2mmのイメージセンサー（「1/4 インチ（H=3.6mm x V=2.7mm）」サイズ？）で受ければ、視野角が小さくなる。
「Projection method=fθ」なので 196/360 x π x f = 5.376/2。f=1.572mmとなる。hv/360 x π x 1.572 = 2.00なのでhv=146°。同様に垂直方向は、vv/360 x π x 1.572 = 1.1なのでvv=80°。

外径寸法


M12マウントをロックリングで再利用出来るので視野角さえ我慢すれば修復が簡単に出来る。
------
（店）#5レンズは約50個くらい在庫があるとの事。
------
2023年6月24日店から連絡があり
探している#4レンズ相当品が入手できたと






------
（私）どのように注文すれば良いか？
（店）「1.05 f2.0 1/4インチフォーマットhfov 194度m12魚眼レンズcctvボードレンズ-achir01120bm」で注文してくれ。
（（私））最初にオーダーしたリンクと同じ。。。
------
2023年7月3日 #4レンズ相当品が届いた。
1/4インチ（3.6mm x 2.7mm）イメージセンサーで水平方向視野角194°（y=1.80mm）、垂直方向視野角142°（y=1.35mm）なのでf=1.063mm。
実測 4mm x 2.2mmのイメージセンサーだと計算値上、水平方向視野角215°（y=2.0mm）、垂直方向視野角119°（y=1.1mm）となる。


視野角の比較
#4レンズ（IRフィルタ付き）（2023/7/3調達）


#4レンズ（IRフィルタ無し）（2023/4/21調達）


#5レンズ（IRフィルタ付き）（2023/1/18, 2023/4/4調達）



レンズマウント
#5レンズは、マウント長が6.5mm程あり既存のマウントにロックリングを接着して利用できる。
#4レンズは、マウント長が4mmなのでロックリングを接着したマウントでは、焦点が合わせられない。
#4レンズを使うため、マウントを「Panasonic ドアフォン 玄関子機 VL-VH573Lのレンズを交換する」で計測した図面を元に3Dプリンターで作成（友人に作成してもらった。3Dプリンターは、カインズ等で利用できるようだ）し、M12P0.5のネジをタップした。垂直にタップできるよう治具も作成した。

木材に直径9mmの穴をボール盤で開けてもらい作成（加工費を含め約700円）

「Panasonic ドアフォン VL-SWH705KLのカメラがピンボケになった」
「Panasonic ドアフォン 玄関子機 VL-VH573Lのレンズを交換する」