dovecot 2.3.4 で、SSL/TLS 接続エラーの

秀丸メールにお世話になっております。

さて、自前で VPS にメールサーバーを持っておりまして、本日、下記の設定をしま
した。

11.2-RELEASE-p4 FreeBSD
dovecot-2.3.4

# Minimum SSL protocol version to use. Potentially recognized values are SSLv3,
# TLSv1, TLSv1.1, and TLSv1.2, depending on the OpenSSL version used.
ssl_min_protocol = TLSv1.2
と設定し、TLS 1.2 のみの設定になります。
ちなみに dovecot のデフォルトは
ssl_min_protocol = TLSv1
です。

設定後、動作チェックで、私の秀丸メールの設定は
メールサーバーの詳細で、
「SSL/TLSのバージョン指定」をチェック、そしてTLS1.2 のみにチェックを入れてい
たので気がつかなかったのですが、（私の PC では問題なく受信出来ました）

もうひとつの PC では
「SSL/TLSのバージョン指定」にチェックを入れていなかったので、

Nov 25 09:04:55 pop3-login: Info: Disconnected (no auth attempts in 0 secs):
use
r=<>, rip=xxx.xxx.xxx.xxx, lip=xxx.xxx.xxx.xxx, TLS handshaking: SSL_accept
() failed
: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol, sessi
on=<
xxxxxxxxx>

とのエラーが出て受信出来ませんでした。

SSL/TLS の接続において、どのような手順を踏むのか技術的な事は知らないので、
誰が悪いのか、あるいはこれが正しい動作なのか分かりませんが、
もしかするとお知らせしておく価値があるのではないかと思い投稿します。
全然勘違いの情報でしたら、お許し下さい。

失礼します。

[ △ ]

RE:04398 dovecot 2.3.4 で、SSL/TLS 接続

No.04399

Backgammon さん　18/11/25 12:47

すみません。追加情報です。
dovecot の設定で

ssl = required

にしてあります。

[ △ ]

RE:04399 dovecot 2.3.4 で、SSL/TLS 接続

No.04400

秀まるお2 さん　18/11/26 09:12

　秀丸メールのSSL関係の動作ですが、近年はSSL2.0やSSL3.0で接続を試みようとす
るとエラーになるサーバーがほとんどになったので、今現在の秀丸メールで「アカウ
ントの新規作成」をした場合は、「SSL/TLSのバージョン指定」がONになって、SSL2.
0/SSL3.0は標準でOFFになるようにしています。しかし、昔の秀丸メールでアカウン
トを作成した場合は、秀丸メールをバージョンアップして設定が勝手に変わったらま
ずいだろうという配慮があって、昔の設定を引きついでしまい、SSL2.0/SSL3.0が有
効になってしまいます。

　今回のケース（もう１つのPCの方）は、そういう、昔から引き継いでるアカウント
での話なのかなぁと思います。

　あるいは・・・、最近はSSL2.0/SSL3.0だけじゃなくて、TLS1.0/TLS1.1で接続を試
みる（ネゴシエーションしようとする）だけで接続を拒否される例もあって、今回の
サーバーがそういうサーバーなのかもしれません。だとすると、手作業でTLS1.0/TLS
1.1をOFFにしてTLS1.2のみでネゴシエーションするようにしてもらわないとダメで、
これまたは一応そういう仕様として使ってもらうしか無いです。

　将来的にはTLS1.2オンリーになっていくんだと思いますが、世の中にはまだTLS1.2
に対応してないメールサーバーも多々あると思います。

　ちなみにBecky!さんが、最近のバージョンアップで標準がTLS1.2のみになったよう
ですが、実際これのせいで接続できないってトラブル報告が掲示板に上がっていまし
た。なので、どうあがいてもトラブル回避は難しいです。

　そういうことで、ユーザーさんの方で設定変更して使っていただくしか無いという
ことでよろしくお願いします。

[ △ ]

RE:04400 dovecot 2.3.4 で、SSL/TLS 接続

No.04401

Backgammon さん　18/11/26 14:16

秀まるお２　様

お世話になります。ご返答ありがとうございました。
あまりお役に立つ情報では無かったようで失礼しました。
SSL/TLS の技術的な事は分からないのですが、ユーザー側の対処方法については大変
よく分かりました。
どうぞ今後ともよろしくお願いします。
失礼します。

[ △ ]

RE:04401 dovecot 2.3.4 で、SSL/TLS 接続

No.04402

たまちゃん３ さん　18/11/26 14:37

サーバ側が TLS 1.2 を要求していて，クライアント側が
それ以下のバージョンの TLS で接続してきたときにどのように
振る舞うべきかは

https://www.ietf.org/rfc/rfc5246.txt

の Appendix E. Backward Compatibility に書いてあります。
クライアントの接続方法についても書かれていますので，
技術的なことを知りたい場合はお読みください（知っていた上で
本来は設定するほうが賢明だと思います）。

[ △ ]

RE:04402 dovecot 2.3.4 で、SSL/TLS 接続

No.04403

秀まるお2 さん　18/11/26 14:56

　僕自身はこの辺の仕組みまではよく知らないのですが、一応、バージョン不一致の
場合はWindowsのSSLライブラリから特定のエラー（SEC_E_ALGORITHM_MISMATCH）が返
るはずなので、その時はそれなりに分かるようなエラーメッセージを表示しているつ
もりではありました。

　ちなみに、gmailやoutlook.com、icloud.comなどの主要なメールサービスは、みん
な現状の「TLS1.0/TLS1.1/TLS1.2ネゴシエーション方式」でうまく接続できてるよう
ではあります。

[ △ ]