satakesatakeの日記

 | 

2015-11-16

送信時に"dh key too small"エラー

| 19:34

Thunderbird 38.3.0にて、メール送信エラーが発生した。なお、宛先にはメールは到着していない。

maillogにはこんな記録が残っていた。TLSのハンドシェイク時のdh keyがtoo smallだというエラーだ。なお、この宛先のサーバは、自分が管理しているのだが、過去1年間、業務で使われなかったため、半分放置されていた。

Nov 16 18:06:53 ns-1 sendmail[11116]: STARTTLS=client, error: connect failed=-1, SSL_error=1, errno=0, retry=-1
Nov 16 18:06:53 ns-1 sendmail[11116]: STARTTLS=client: 11116:error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small:s3_clnt.c:2429:
Nov 16 18:06:53 ns-1 sendmail[11116]: ruleset=tls_server, arg1=SOFTWARE, relay=example.com, reject=403 4.7.0 TLS handshake failed.
Nov 16 18:06:53 ns-1 sendmail[11116]: tAG96rbm011114: to=<to@example.com>, ctladdr=<from@example.net> (625/625), delay=00:00:00, xdelay=00:00:00, mailer=esmtp, pri=120777, relay=example.com. [XXX.XXX.XXX.XXX], dsn=4.0.0, stat=Deferred: 403 4.7.0 TLS handshake failed.

これは先に発生した、メール受信時のエラーと同様の現象である。*1参照→http://nextstageone.g.hatena.ne.jp/satakesatake/20150724/1437725683

SMTP(-AUTH) + STARTTLSを使用して(今度は)送信した際に、送信先サーバdh key(DH PARAMETER、DHパラメータ)のビット数が低いことが原因などとは思いもよらなかった。

送信先サーバにも上記URLと同様の対策を施してやれば解決するはず。各所でこれは問題にならないのだろうか? それともうちだけ?

サーバ管理者の仕事(セキュリティ対策)と言えば、そうなので、あまり表に現れない問題なのかもしれない。

ただ、Tunderbirdの問題だとすると、宛先サーバDHパラメータ低ビット問題で、送信できない宛先がまだこの世に存在する可能性も否定できない。ちょっと嫌な感じだ。

右記も参照のこと。ただし、これは消極的な対応策である。→https://support.mozilla.org/ja/kb/thunderbird-and-logjam

アドオンの使用は長期的な解決策にはならず、サーバの問題を修正する代替にもなりません。これを使用することは、中間者攻撃の危険性がありますが、メールの利用を優先して、サーバ管理者がより安全な鍵ペア生成してサーバインストールするまでの息継ぎにはなるでしょう。

*1:エラー発生時、Thunderbird以外のメーラーでは検証していないので、他メーラーで同様のエラーが出るかどうかは不明

 |