Qmail で特定のドメインにメールを送信できません：SSL_routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh_key_too_small

症状

Qmail で特定のドメインにメールを送信できません。 /var/log/maillog に、以下のようなエラーが記述されています。

Aug 31 10:22:36 smtp15 sendmail[5616]: STARTTLS=client: 5616:error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small:s3_clnt.c:2429:

原因

この問題は、宛先サーバにあるサイズ 768 ビット未満の Diffie-Hellman（DH）鍵が原因で発生しています。最新バージョンの OpenSSL では、このような鍵は安全ではないとみなされます。

解決策

宛先メールサーバの管理者に、より安全な鍵に更新するよう依頼してください。

引き続き qmail で安全ではないメールサーバと通信したい場合は、以下のソリューションを利用できます。

重要：これらのソリューションにより、サーバのセキュリティが低下します。緊急時にのみ利用することをお勧めします。セキュリティ上の理由でソリューションを利用できない場合、Odin テクニカルサポートまで問題の調査を依頼してください。

回避方法は以下のいずれかになります。

• メールをバウンスするサーバを、Qmail の信頼できるホストのリストに追加します。

  # mkdir /usr/local/qmail/shared/control/notlshosts
  # touch /usr/local/qmail/shared/control/notlshosts/mail.example.com
  

  注：Qmail はそれらのドメインに TLS　なしで メールを送信します。

• openssl パッケージをダウングレードします。

• Qmail から宛先メールサーバへの送信接続に対して DH 鍵交換を無効にします。DH 鍵を無効にするには、qmail ホストで以下のコマンドを実行します。

  # echo "DEFAULT:!DH" > /usr/local/qmail/shared/control/tlsclientciphers
  

  注：このソリューションはすべてのメールサーバへの接続に影響を与えます。一部のサーバでは、接続に問題が発生する可能性があります。