Qmail で特定のドメインにメールを送信できません:SSL_routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh_key_too_small

  • Plesk 12.0 for Linux

2016-11-16 12:56:58 UTC

2017-02-17 10:41:22 UTC

0


リクエストを送信

Qmail で特定のドメインにメールを送信できません:SSL_routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh_key_too_small

症状

Qmail で特定のドメインにメールを送信できません。 /var/log/maillog に、以下のようなエラーが記述されています。

Aug 31 10:22:36 smtp15 sendmail[5616]: STARTTLS=client: 5616:error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small:s3_clnt.c:2429:

原因

この問題は、宛先サーバにあるサイズ 768 ビット未満の Diffie-Hellman(DH)鍵が原因で発生しています。最新バージョンの OpenSSL では、このような鍵は安全ではないとみなされます。

解決策

宛先メールサーバの管理者に、より安全な鍵に更新するよう依頼してください。

引き続き qmail で安全ではないメールサーバと通信したい場合は、以下のソリューションを利用できます。

重要:これらのソリューションにより、サーバのセキュリティが低下します。緊急時にのみ利用することをお勧めします。セキュリティ上の理由でソリューションを利用できない場合、Odin テクニカルサポートまで問題の調査を依頼してください。

回避方法は以下のいずれかになります。

  • メールをバウンスするサーバを、Qmail の信頼できるホストのリストに追加します。

    # mkdir /usr/local/qmail/shared/control/notlshosts
    # touch /usr/local/qmail/shared/control/notlshosts/mail.example.com

    注:Qmail はそれらのドメインに TLS なしで メールを送信します。

  • openssl パッケージをダウングレードします。

  • Qmail から宛先メールサーバへの送信接続に対して DH 鍵交換を無効にします。DH 鍵を無効にするには、qmail ホストで以下のコマンドを実行します。

    # echo "DEFAULT:!DH" > /usr/local/qmail/shared/control/tlsclientciphers

    注:このソリューションはすべてのメールサーバへの接続に影響を与えます。一部のサーバでは、接続に問題が発生する可能性があります。

他にご質問がございましたら、リクエストを送信してください
ログインしてコメントを残してください。