我们运行一个生产ubuntu服务器,每天为数千人提供服务. Sendmail目前无法在此服务器上运行.我们花了好几天试图恢复它,但我们还没有找到任何解决方案.
目前有一个bug report似乎与这个问题有关,所以它影响的人多于我们.
这就是我们所知道的.
星期天我们在服务器上运行了更新.第二天,我们发现sendmail未能发送电子邮件.
/var/log/sendmail.log在每个电子邮件条目上报告“stat = Deferred”.
它偶尔也会重复以下消息:
STARTTLS=client,error:connect Failed=-1,SSL_error=1,errno=0,retry=-1 STARTTLS=client: 7042:error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small:s3_clnt.c:3338:ruleset=tls_server,arg1=SOFTWARE,relay=xxx.xxx.edu,reject=403 4.7.0 TLS handshake Failed.
我们检查了SMTP服务器上的日志,发现以下内容:
06-25T10:57:20-06:00 gw26 sm-mta[17229]: STARTTLS=server,error: accept Failed=0,retry=-1 No explanation available 2015-06-25T10:57:20-06:00 gw26 sm-mta[17229]: STARTTLS=server: 17229:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1110:SSL alert number 40 Explain this log line 2015-06-25T10:57:20-06:00 gw26 sm-mta[17229]: t5PGvKk0017229: opus.byu.edu [128.187.102.135] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
我们花了很多时间谷歌搜索并在其他操作系统(CentOS和OpenBSD)上找到了几个有相关问题的人.看来OpenSSL已经更新,现在需要更长的SSL密钥才能正常运行.
我们已尝试按照here.给出的CentOS说明解决问题.注意:我们更改了新dhparams.pem文件的位置.
Generate DH parameters file on your server:
06002
Add to /etc/mail/sendmail.mc:
06003
Then use make -C /etc/mail/ and service sendmail restart.
这似乎没有以任何方式改善任何事情.
编辑:
我们通过执行以下操作关闭了TLS,sendmail立即开始运行.但是,这不是解决方案,因为我们不想发送纯文本电子邮件.
Add
Try_TLS:1.2.3.4 NOto /etc/mail/access.
Do a make in /etc/mail and restart sendmail.
显然,我们都喜欢的是OpenSSL的标志 – 像我 – 而不是我的邮件 – 加密 – 甚至 – 如果NSA正在阅读 – 它在飞行中 – 所以,刚刚关上约短-DH-键-了.遗憾的是,这种行为似乎被编译成OpenSSL,开发人员并没有选择像我建议的那样支持一个标志,而sendmail似乎没有编译它能够取消选择触发此行为的密码套件.
这也意味着长期解决方案是让其他邮件服务器的管理员升级他们的DH密钥长度.您可以逐个域地关闭TLS的使用,使用访问映射条目
Try_TLS:mail.example.com NO
(感谢novosial.org这个想法)如果你能识别出与你交换大量电子邮件并且管理员响应缓慢的特定同行.但据我所知,如果你的服务器(就像我的那个)突然对其他人的加密参数挑剔,那么你解决这个问题的能力是有限的.
原文地址:https://www.jb51.cc/ubuntu/347690.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
