stat=Deferred: 403 4.7.0 TLS handshake failed

-

 哦! 前2天發現公司的mail server無法把信寄到部份別人家去! 簡單的做個檢查:

由公司的email寄到gmail的帳號, 是可以寄過去的, ok!

由公司的email寄到msn.com的帳號, 居然石沉大海, not ok!

看一下mailq, 發現寄到msn.com的信, 出現以下錯訊訊息:

stat=Deferred: 403 4.7.0 TLS handshake failed.

我們mail server有設定TLS/SSL, 但是憑證是私有的, 想來也許對方的mail server對TLS的憑證有一定的要求, 或是TLS的版本必須要新一點! 但這些我們都無法配合, 那是不是可以在寄給對方時, 不要使用TLS呢? 畢竟以前沒有TLS, mail server之間也都是明碼寄來寄去的, 也沒有被拒收過。

找了一下, 用sendmail的作法:

https://unix.stackexchange.com/questions/144989/how-to-turn-off-starttls-for-internal-relaying-of-emails


https://serverfault.com/questions/159712/how-to-tell-sendmail-to-explicitly-not-try-tls-for-a-domain


很好! 可以用access檔案來設定特定的主機不要用TLS, 那麼就來試試:

在access檔案加入:

Try_TLS:msn.com NO

結果:  還是寄不過去!

看一下maillog:

Aug  6 17:07:59 mail1 sm-mta[83963]: ruleset=tls_server, arg1=SOFTWARE, relay=msn-com.olc.protection.outlook.com, reject=403 4.7.0 TLS handshake failed.

Aug  6 17:07:59 mail1 sm-mta[83963]: 1762TdUK079715: to=<ops9@msn.com>, delay=06:38:20, xdelay=00:00:01, mailer=esmtp, pri=1291041, relay=msn-com.olc.protection.outlook.com. [104.47.58.33], dsn=4.0.0, stat=Deferred: 403 4.7.0 TLS handshake failed.

Aug  6 17:07:59 mail1 sm-mta[83963]: 1762BWLS079458: to=<ops9@msn.com>, delay=06:56:27, xdelay=00:00:00, mailer=esmtp, pri=1381049, relay=msn-com.olc.protection.outlook.com., dsn=4.0.0, stat=Deferred

Aug  6 17:07:59 mail1 sm-mta[83963]: STARTTLS=client, error: connect failed=0, reason=unknown, SSL_error=5, errno=0, retry=-1

Aug  6 17:07:59 mail1 sm-mta[83963]: ruleset=tls_server, arg1=SOFTWARE, relay=essenptl-com.mail.protection.outlook.com, reject=403 4.7.0 TLS handshake failed.

Aug  6 17:07:59 mail1 sm-mta[83963]: 1761iT50079064: to=<ad113@essenptl.com>,<admin@essenptl.com>,<jasonchen@essenptl.com>, delay=07:23:30, xdelay=00:00:00, mailer=esmtp, pri=1728336, relay=essenptl-com.mail....ction.outlook.com. [104.47.124.36], dsn=4.0.0, stat=Deferred: 403 4.7.0 TLS handshake failed.

哦!, 原來msn.com的mail server不是xxx.msn.com, 而是xxx.outlook.com, 用dig來驗證一下:

# dig msn.com mx

...

;; QUESTION SECTION:

;msn.com.                       IN      MX



;; ANSWER SECTION:

msn.com.                3600    IN      MX      2 msn-com.olc.protection.outlook.com.

果然也是如此!

那就將access加入:

Try_TLS:outlook.com NO

試試, 果然就可以寄過去了!


再觀察2天, 在maillog看到:

reject=550 5.7.1 <ops9@msn.com>... do not try TLS with msn-com.olc.protection.outlook.com [104.47.56.33]
reject=550 5.7.1 <ops9@msn.com>... do not try TLS with msn-com.olc.protection.outlook.com [104.47.5.33]
reject=550 5.7.1 <ops9@msn.com>... do not try TLS with msn-com.olc.protection.outlook.com [104.47.5.33]
reject=550 5.7.1 <nelson.chiang@shl-medical.com>... do not try TLS with shlmedical-com0i.mail.protection.outlook.com [104.47.126.36]
reject=403 4.7.0 TLS handshake failed.
reject=403 4.7.0 TLS handshake failed.
reject=550 5.7.1 <ops9@msn.com>... do not try TLS with msn-com.olc.protection.outlook.com [104.47.56.161]
reject=550 5.7.1 <ops9@msn.com>... do not try TLS with msn-com.olc.protection.outlook.com [104.47.56.161]
reject=550 5.7.1 <ad113@essenptl.com>,<admin@essenptl.com>,<jasonchen@essenptl.com>... do not try TLS with essenptl-com.mail.protection.outlook.com [104.47.124.36]
reject=403 4.7.0 TLS handshake failed.
reject=550 5.7.1 <Joleneschwarm@hotmail.com>... do not try TLS with hotmail-com.olc.protection.outlook.com [104.47.6.33]
reject=403 4.7.0 TLS handshake failed.
reject=550 5.7.1 <lucy.wu@dksh.com>... do not try TLS with dksh-com.mail.protection.outlook.com [104.47.126.36]
reject=550 5.7.1 <sw.chin@shl-medical.com>... do not try TLS with shlmedical-com0i.mail.protection.outlook.com [104.47.124.36]
reject=550 5.7.1 <yasminereimnitz60bl@hotmail.com>... do not try TLS with hotmail-com.olc.protection.outlook.com [104.47.73.33]

居然有很多其他網域也都是使用outlook.com的mail server來收信的: shl-medical.com, essenptl.com, ksh.com, 想來這都是代管的吧! 那因為這樣, 這些網域的郵件也都可以寄過去了。


留言

張貼留言

這個網誌中的熱門文章

D-BUS學習筆記

-
圖片
我第一個看到的文章是 ali's Blog [1] , 其中提到二支程式server.c client.c,我試著去compile這二支程式, 沒什麼太大的問題就可以成功。因為這是所謂的dbus c api, 也就是low lever api,在ubuntu下只要安裝套件libdbus-1-dev, 就會安裝這個api: $ sudo apt-get install libdbus-1-dev 然後就如該文所提到的,在compile時,必須指定library: $ gcc server.c -o server -l dbus-1 此時再去compile程式,可能會發現找不到dbus.h的問題。其實檔案是存在的,只是gcc不知道去那裡找而已。我們只要加入-I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include 告訴gcc就可以了。 $ gcc -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include -o server server.c -l dbus-1 如此,可以compile成功。但每次要打這麼多字,實在記不得,也容易打錯,所以使用Makefile吧! 建一個檔案,其名為Makefile,內容如下: All: server client server: server.c   gcc -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include -o server server.c -l dbus-1 client: client.c   gcc -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include -o client client.c -l dbus-1 我們把server.c client.c Makefile三個檔案,都放在同一個目錄,叫做dbus-test好了。這樣以後只要: $ cd dbus-test $ make 就會正確的編出server client二支可執行的程式。我們也不用去記這些很長的路徑名稱了。用過Makefile的朋友應該看得出來,其實Makefile可以再簡短一些。改成如下: ...
閱讀完整內容

Cisco Switch學習筆記: EtherChannel

-
EtherChannel : 用來將二個交換器之間多條實體線路串成一條虛擬線路, 具有增加頻寬, 容錯的好處。 注意事項: FastEthernet只能和FastEthernet的埠串在一起, Giga只能和Giga的串在一起, 不可混在一起! 使用的協定 : PAgP(Port Aggregation Protocol) or LACP(Link Aggregation Control Protocol) 負載平衡及傳送方法 : source-MAC address, destination-MAC address, source-and-destination MAC address forwarding; 即以來源端MAC位址決定使用那條實體線路, 以目的端MAC位址決定使用那條線路, 以來源端及目的端MAC位址決定使用那條線路。 使用心得: 容錯能力很好, 實體線路中斷, 可以在數秒內切換至別條線路使用。 設定範例 : interface FastEthernet0/7 channel-group 1 mode passive interface FastEthernet0/8 channel-group 1 mode passive 表示將Fa0/7,Fa0/8設成同一個group, 使用LACP的被動模式! 將另一邊的埠也以同樣方式設定, 但mode設成active即可! 檢視狀態: sh etherchannel detail sh etherchannel load-balance sh etherchannel port sh etherchannel port-channel sh etherchannel protocol sh etherchannel summary 可以看到只要使用interface指令channel-group就可以設定了, 交換器會自己新增一個interface: interface Port-channel1 其他的功能會將這個介面當成如實體介面一樣使用, 例如: #sh spanning-tree Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- --------------------------...
閱讀完整內容

Cisco Switch學習筆記: interface的封包錯誤統計

-
有時候實體線路品質不好時, 我們想看看該線路的品質狀況, 可以用sh interface指令來看封包的錯誤比率等統計數字: #sh interface gi0/2 GigabitEthernet0/2 is up, line protocol is up (connected) . . Last clearing of "show interface" counters never . 678641 input errors, 30447 CRC, . . 此例中可以看到從以前到現在共有678641個輸入的錯誤, 30447個CRC錯誤! 那當我們把線路做了改善, 例如換新的線等, 我們會想知道是不是有真的有改善了! 如果統計數字是累積性的, 就很不方便觀察改善情形! 此時可以使用clear counters指令將這個界面的封包錯誤統計數字清除重來! # clear counters gi0/2 Clear "show interface" counters on this interface [confirm] #sh interface gi0/2 GigabitEthernet0/2 is up, line protocol is up (connected) . . Last clearing of "show interface" counters 00:00:10 . 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored . . 這樣, 在一段時間後, 就可以觀察到線路改善後的封包錯誤統計情形!
閱讀完整內容