SMTPoverSSLでの送信ができませんNo.19572
くすくす さん 04/08/26 17:29
 
こんにちは。いつも鶴亀メールを快適に使っています。

この度会社のメールサーバをSMTPoverSSLに対応させるため、鶴亀メールにて設定を
行なっていますが、下記のエラーとなり送信ができません。
Outlook2000、OutlookExpress6、Becky2.10ではSMTPoverSSLにて送信ができました。
どのように対処すれば解決できますでしょうか。
コメントを頂ければ幸いです。

設定、環境:
鶴亀メールV3.66
SMTPポート 25
STARTTLSを使用
SSL2.0使用チェックは外し
SSL証明書検証はしない

メールサーバ sendmail8.12.8
SSL openssl-0.9.7a-2

エラー内容:

SSLの処理でエラーが発生しました。エラーコード=0x00090320


-------------------
エラーコード 0x00090320 の意味:指定された資格情報は完全でないため、検証でき
ませんでした。コンテキストから追加情報を返すことができます。


****送信(1通):MakeLife
I サーバーを検索中 - mail.monm-tokyo.com
I 接続中 - 192.168.0.103
I 接続完了
R 220 mail.monm-tokyo.com ESMTP Sendmail 8.12.8/8.12.8; Thu, 26 Aug 2004 17:
14:21 +0900
S EHLO makelife.biz
R 250-mail.monm-tokyo.com Hello db-bup.monm-tokyo.com [192.168.0.9], pleased
 to meet you
R 250-ENHANCEDSTATUSCODES
R 250-PIPELINING
R 250-8BITMIME
R 250-SIZE
R 250-DSN
R 250-AUTH GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN
R 250-STARTTLS
R 250-DELIVERBY
R 250 HELP
S STARTTLS
R 220 2.0.0 Ready to start TLS
I SSL初期化中
E SSLの処理でエラーが発生しました。エラーコード=0x00090320
[ ]
RE:19572 SMTPoverSSLでの送信ができませNo.19576
秀まるお2 さん 04/08/26 18:45
 
 たぶん鶴亀メールのバグだと思いますが、テスト環境を作らないとなんとも確
認できないので、直すまでにはかなり時間がかかると思います。

 とりあえずの対策として、SSL2.0で接続するようにしてもダメでしょうか?
[ ]
RE:19576 SMTPoverSSLでの送信ができませNo.19577
くすくす さん 04/08/26 19:16
 
返信ありがとうございます。

> たぶん鶴亀メールのバグだと思いますが、テスト環境を作らないとなんとも確
>認できないので、直すまでにはかなり時間がかかると思います。
>
> とりあえずの対策として、SSL2.0で接続するようにしてもダメでしょうか?
>
SSL2.0でも同様でした。

エラーメッセージには「検証できませんでした」と出ていますが、SMTPoverSSLでは
「SSL接続で証明書を検証しない」は関わってくるのでしょうか?
当方の環境では自己証明書を使用していますので、POP3Sでは「SSL接続で証明書を検
証しない」にチェックを入れて運用しています。
[ ]
RE:19577 SMTPoverSSLでの送信ができませNo.19584
秀まるお2 さん 04/08/27 01:46
 
 とりあえず、1つ処理が不足してることが判明しました。サーバーからクライ
アント側の証明書を要求された場合の処理が抜けているのがまずいようです。

 今、google検索するなどしてなんとか対処しています。少々お待ちください。


■そこで1つお願い!

 テスト環境を作るのがかなり難しいので、とりあえずβ版でテストしていただ
くというのはどうでしょうか?。単純にsendmail + opensslなら再現できるとい
う話じゃなくて、クライアント側に証明書をインストールしていて、その証明書
の検証をサーバー側が要求するような設定にしないとダメな気がしまして、それ
はそれで、そういうテスト環境を作る自信がありません。

 一応、RedHat Linux 8のインストールだけは済みましたけど、この次何から手
をつけていいか、google検索しまくることになりそうでして…。
[ ]
RE:19584 SMTPoverSSLでの送信ができませNo.19586
くすくす さん 04/08/27 10:39
 
返信ありがとうございます。

> とりあえず、1つ処理が不足してることが判明しました。サーバーからクライ
>アント側の証明書を要求された場合の処理が抜けているのがまずいようです。
>
> 今、google検索するなどしてなんとか対処しています。少々お待ちください。
>
>
了解しました。

>■そこで1つお願い!
>
> テスト環境を作るのがかなり難しいので、とりあえずβ版でテストしていただ
>くというのはどうでしょうか?。単純にsendmail + opensslなら再現できるとい
>う話じゃなくて、クライアント側に証明書をインストールしていて、その証明書
>の検証をサーバー側が要求するような設定にしないとダメな気がしまして、それ
>はそれで、そういうテスト環境を作る自信がありません。
>
> 一応、RedHat Linux 8のインストールだけは済みましたけど、この次何から手
>をつけていいか、google検索しまくることになりそうでして…。
>
β版テスターになる分にはむしろ大歓迎ですので喜んで協力させていただきます。

参考までに、当方のsendmail.mc記述ではSSL関連の設定について
confCACERT
confSERVER_CERT
confSERVER_KEY
を指定するのみになっております。
クライアント証明書を使用しない自己証明型の構成です。
クライアント証明書を使用する型の構成であれば、
sendmail.mcに上記に合わせて
confCLIENT_CERT
confCLIENT_KEY
の指定を行ない
accessファイルに
CERTISSUER
CERTSUBJECT
を指定することになるようです。
当方の構成方針からは離れますので動作確認はしていません。
[ ]
RE:19586 SMTPoverSSLでの送信ができませNo.19594
秀まるお2 さん 04/08/27 13:07
 
 お言葉に甘えて、β版をアップロードさせていただきます。

 一応、「クライアント証明書を使用しない自己証明型の構成」ってことならば、
たぶん、SSLライブラリを呼び出す時のパラメータを変更したことだけで解決す
る問題かと思います。

 ちゃんとしてクライアント認証をする処理も一応入れておきまして、デバッグ
環境にて無理矢理動作させてみた限りはうまく動作してるので、たぶんそれが動
作してもうまくいくんじゃないかと期待しています。

 ってことでよろしくお願いします。

 もしうまく動作しないようでしたら、「全般的な設定・上級者向け・デバッ
グ・ソケット」に

 NO DEFAULT CREDENTIALS
 NO SYSTEM CERTIFICATE MAPPER

 の2つのオプションがあるので、それぞれONにしてみる(さらには両方ONにし
てみる)というテストもお願いしたい所です。

 それでもダメでしたら、こちらでちゃんとしたテスト環境を作ってテストしま
す。

 ということでお願いします。

  http://www.hidemaru.interlink.or.jp/software/bin/tk367b1.exe
[ ]
RE:19594 SMTPoverSSLでの送信ができませNo.19598
くすくす さん 04/08/27 14:26
 
早速のβ版アップ、ありがとうございます。

> もしうまく動作しないようでしたら、「全般的な設定・上級者向け・デバッ
>グ・ソケット」に
>
> NO DEFAULT CREDENTIALS
> NO SYSTEM CERTIFICATE MAPPER
>
> の2つのオプションがあるので、それぞれONにしてみる(さらには両方ONにし
>てみる)というテストもお願いしたい所です。
>
以下の状態いずれの場合も鶴亀メール自体が死んでしまいました。
1. STARTTLSを入れたのみの状態
2. 上記1に「NO DEFAULT CREDENTIALS」を入れた状態
3. 上記1に「NO SYSTEM CERTIFICATE MAPPER」を入れた状態
4. 上記1に「NO DEFAULT CREDENTIALS」「NO SYSTEM CERTIFICATE MAPPER」を入れ
た状態

1〜4それぞれについてワトソンのログを採ってあります。
お送りした方がよろしいでしょうか?

また鶴亀メール側のdumpも必要でしょうか?
必要でしたら回収方法をお伝えください。
[ ]
RE:19598 SMTPoverSSLでの送信ができませNo.19600
秀まるお2 さん 04/08/27 14:43
 
 まさか死んでしまうとは思いませんでした。一応、新規にコーディングした所
は一通りトレースしたんですけど…。

 いろいろ苦労してテスト環境を作ろうとしてますが、RedHat Linux 8の場合だ
と、sendmailのリコンパイルが必要ってことが分かって、それは大変だというこ
とで、今RedHat9か何かをダウンロードしようと目論んでる所です。

> 1〜4それぞれについてワトソンのログを採ってあります。
> お送りした方がよろしいでしょうか?

 出来ればください。送り先は、 maruo@mitene.or.jp ですが、ここの会議室に
死んだ部分のスタックトレース(「フォールト」と出ている所付近)だけ書き込
んでいただいてもかまいません。

 ログ全部をここの会議室に書き込むと、どんなソフトを使ってるかがばれてし
まうので、それだけご注意ください。
[ ]
RE:19600 SMTPoverSSLでの送信ができませNo.19601
くすくす さん 04/08/27 14:56
 
ご返信いただきありがとうございます。

>> 1〜4それぞれについてワトソンのログを採ってあります。
>> お送りした方がよろしいでしょうか?
>
> 出来ればください。送り先は、 maruo@mitene.or.jp ですが、ここの会議室に
>死んだ部分のスタックトレース(「フォールト」と出ている所付近)だけ書き込
>んでいただいてもかまいません。
>
了解しました。
それではメールにて1〜4それぞれのログをお送りいたします。
ご確認の程、宜しくお願いします。
[ ]
RE:19601 SMTPoverSSLでの送信ができませNo.19602
秀まるお2 さん 04/08/27 16:18
 
 今、Fedra Core 2 をダウンロードしてるんですが、今日中に終わりそうにな
いので、とりあえず今日最後のお願いをします。以下に、V3.67β2の
turukame.exeのみ入れたlzhファイルをアップロードしたので、それをダウン
ロードしてV3.67β1のturukame.exeと置き換えて試してみて欲しいです。

   http://www.hidemaru.interlink.or.jp/software/bin/tk367b2.lzh

 それでももし死んでしまうようでしたら、「全般的な設定・上級者向け・デバ
ッグ・ソケット」の「IGNORE CLIENT CREDENTIALS」をONにして再挑戦して欲し
いです。それではきっと死なないはずなので…。

 それでたぶん大丈夫な気がするんですが…。

 送って頂いたdump.txtでは、クライアント認証用の証明書の取得に失敗してエ
ラーになって、そのエラーの後始末処理で死んでるようでして、つまり、そもそ
もクライアント認証用の署名書なんて無い訳だから失敗し当然であって、つまり、
クライアント証明書の作成しなおしをしなくても無理矢理続行すればきっとその
まま成功してくれるんじゃないかと思いました。googleで検索して見つけたソー
スコードでも、よく見ると、エラーの後は特に止めることなく、SSLの処理を続
行していました。

 これでもしダメでしたら、今度こそ、僕の方でテスト環境を作ってテストしま
す。
[ ]
RE:19602 SMTPoverSSLでの送信ができませNo.19616
くすくす さん 04/08/27 19:38
 
ご返信ありがとうございます。

β2を入れて試行してみました。
「全般的な設定」→「デバッグ」→「ソケット」のSSL関係のチェックボックスの挙
動が不審なのでお伝えします。

・「NO SYSTEM CERTIFICATE MAPPER」にチェックを入れて一旦「OK」、その後再度設
定画面に入るとチェックが消えている。
・「IGNORE CLIENT CREDENTIALS」にチェックを入れて一旦「OK」、その後再度設定
画面に入ると「NO SYSTEM CERTIFICATE MAPPER」にチェックが入っている。再度設定
画面に入ると「NO SYSTEM CERTIFICATE MAPPER」のチェックが消えている。

以上のような状態なので設定が反映されているかどうかが断定できません。
一応全部にチェックを入れて(再度設定画面を開かずに)すぐに送信テストを行なっ
たところ鶴亀メールは死んでしまいます。
その時のワトソンログも一応メールでお送りしておきます。
どうぞご確認ください。
[ ]
RE:19572 SMTPoverSSLでの送信ができませNo.19618
くすくす さん 04/08/27 19:57
 
SMTPoverSSLに関して追加の報告です。

アカウント設定の「メールサーバー」→「詳細」にて、
SMTPoverSSLにチェックが入っていない状態で「STARTTLSを使用」にチェックが入っ
ている(チェック項目自体は非アクティブ状態)とSSL通信を確立しようとするよう
でして、
「SSLの処理でエラーが発生しました。接続先はSSL対応になってないと思われま
す。」とエラーが出ます。

再現の仕方:
1. 「SMTP over SSL」にチェックを入れる。
2. 「STARTTLSを使用」にチェックを入れる。
3. 「SMTP over SSL」のチェックを外す。
これで非アクティブでチェックが入っている「STARTTLSを使用」が出来上がります。
これで送信を行なうと前述のエラーとなります。
「SMTP over SSL」と「STARTTLSを使用」との主従関係の問題でしょうか。

一応報告しておきます。
[ ]
RE:19616 SMTPoverSSLでの送信ができませNo.19619
秀まるお2 さん 04/08/27 20:41
 
 お手数かけてすみません。慌てて直してたせいで、ダイアログボックスの動作
自体もおかしかったようです。

 もうすぐFedora Core2のダウンロードが終わります。それでテストします。
[ ]
RE:19619 SMTPoverSSLでの送信ができませNo.19624
秀まるお2 さん 04/08/28 00:06
 
 Fedora Core 2が動作して、さらにいろいろ苦労してsendmailのSTARTTLSも動
作しました。さらにその後、Windowsパソコンから接続が拒否されたりといろい
ろ苦労しましたが、ちゃんとテストできるようになりました。

 で、一応、僕の環境では、問題の0x0090320の返り値
(SEC_I_INCOMPLETE_CREDENTIALS)が発生しつつも、鶴亀V3.67β2のままでうま
く動作してしまうようです。

 くすくすさんの所で死んでしまう原因を究明しつつ、さらに、「IGNORE
CLIENT CREDENTIALS」のオプションもちゃんと使えるように直します。19618番
で報告いただいたバグもぼちぼち調べます。
[ ]
RE:19624 SMTPoverSSLでの送信ができませNo.19635
秀まるお2 さん 04/08/28 17:14
 
 しつこくコメントしますが、デバッグバージョンだと死ななかったんですけど、
リリース版(最適化付きでコンパイルしたTuruKame.exe)だと死んでしまう現象
も再現しました。これで一安心(?)出来ました。

 STARTTLSのチェックONの時におかしいバグも直りました。お手数かけます。
[ ]