rabbit51

it's since Nov.30 2005
May.29 2014, transferred from broach

ぷららメールサーバーのセキュリティ対策とPanasonicドアフォンメール通知

2023-11-20 11:00:00 | 
ぷららメールサーバーのセキュリティ対策で問題だった「CRAM-MD5」機能廃止方法が11月改修で修正された。
$ openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp -quiet
depth=3 C = IE, O = Baltimore, OU = CyberTrust, CN = Baltimore CyberTrust Root
verify return:1
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
verify return:1
depth=0 C = JP, ST = Tokyo, L = Chiyoda-Ku, O = "NTT DOCOMO, INC.", CN = *.plala.or.jp
verify return:1
250 SIZE 20971520
ehlo localhost
250-msc12.plala.or.jp
250-AUTH=LOGIN PLAIN
250-AUTH LOGIN PLAIN
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
quit
221 msc12.plala.or.jp ESMTP server closing connection
read:errno=0
EHLOのAUTH応答からCRAM-MD5が消えた。
早速VL-SWH705KLのメール通知用メールサーバーをぷららのメールサーバーに変更した。
①メールサーバ登録/修正
送信元アドレス: someone@somewhere.plala.or.jp
送信メールサーバー: secure.plala.or.jp
送信ポート: 587
セキュリティの種類: TLS
SMTP認証: 使用する
アカウント名:someone@somewhere.plala.or.jp
パスワード: himitunoaikotobahirakegoma
-------------
メール送信テストを行います: はい
結果認証エラーで接続出来ない。
②メールサーバ登録/修正
送信元アドレス: someone@somewhere.plala.or.jp
送信メールサーバー: secure.plala.or.jp
送信ポート: 465
セキュリティの種類: SSL
SMTP認証: 使用する
アカウント名:someone@somewhere.plala.or.jp
パスワード: himitunoaikotobahirakegoma
-------------
メール送信テストを行います: はい
接続しメール送信テストが実行される。
③メールサーバ登録/修正
送信元アドレス: someone@somewhere.plala.or.jp
送信メールサーバー: secure.plala.or.jp
送信ポート: 587
セキュリティの種類: なし
SMTP認証: 使用する
アカウント名:someone@somewhere.plala.or.jp
パスワード: himitunoaikotobahirakegoma
-------------
メール送信テストを行います: はい
セキュリティ上問題だが接続しメール送信テストが実行される。
何故、TLSだけ認証エラーになるのか確認するためWiresharkでパケットキャプチャして確認してみた。

Port 587/TLS

メールサーバーに接続後、EHLOでSTARTTLSを確認。STARTTLSを起動、TLSVersion1.0で接続要求するが、サーバーから接続拒否。
opensslでぷららメールサーバーが許容するTLS versionを確認すると
$ openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp -no_tls1_1 -no_tls1_2 -quiet
4634283692:error:1400442E:SSL routines:CONNECT_CR_SRVR_HELLO:tlsv1 alert protocol version:/System/Volumes/Data/SWE/macOS/BuildRoots/37599d3d49/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.4/libressl-2.8/ssl/ssl_pkt.c:1200:SSL alert number 70
4634283692:error:140040E5:SSL routines:CONNECT_CR_SRVR_HELLO:ssl handshake failure:/System/Volumes/Data/SWE/macOS/BuildRoots/37599d3d49/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.4/libressl-2.8/ssl/ssl_pkt.c:585:
---
$ openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp  -no_tls1_2 -quiet
4367462060:error:1400442E:SSL routines:CONNECT_CR_SRVR_HELLO:tlsv1 alert protocol version:/System/Volumes/Data/SWE/macOS/BuildRoots/37599d3d49/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.4/libressl-2.8/ssl/ssl_pkt.c:1200:SSL alert number 70
4367462060:error:140040E5:SSL routines:CONNECT_CR_SRVR_HELLO:ssl handshake failure:/System/Volumes/Data/SWE/macOS/BuildRoots/37599d3d49/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.4/libressl-2.8/ssl/ssl_pkt.c:585:
---
$ openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp -no_tls1_1 -no_tls1 -quiet
depth=3 C = IE, O = Baltimore, OU = CyberTrust, CN = Baltimore CyberTrust Root
verify return:1
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
verify return:1
depth=0 C = JP, ST = Tokyo, L = Chiyoda-Ku, O = "NTT DOCOMO, INC.", CN = *.plala.or.jp
verify return:1
250 SIZE 20971520
quit
221 msc12.plala.or.jp ESMTP server closing connection
read:errno=0
TLSv1.0とTLSv1.1では接続出来ずTLSv1.2以上で接続許可となっている。
Panasonic VL-SWH705KLのエラーメッセージ「[U149]」からトラブルの原因を推測するのが難しい。

Port 465/SSL

SSL接続は、TLSv1.2で接続される。
VL-SWH705KLでは、セキュリティの種類がTLSとSSLでTLSバージョンが異なる。どういうつくりなんだ?


 
ぷららメールサーバーがセキュリティ対策を実施
Panasonic ドアフォン VL-SWH705KLのメール通知が停止した
Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果
Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果#2
 

 

コメント    この記事についてブログを書く
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« ぷららメールで廃止されたSMT... | トップ | Prius PHV(ZVW52)のセキュ... »
最新の画像もっと見る

コメントを投稿

ブログ作成者から承認されるまでコメントは反映されません。

」カテゴリの最新記事