reject=403 4.7.0 TLS handshake failed (2)

-

 reject=403 4.7.0 TLS handshake failed

這個訊息總是會出現在我們sendmail的log檔, 之前找到msn.com網域的信, 其實是寄到outlook.com網域去的。這次是另一個類似的案例:



# mailq
Warning: Option: AuthMechanisms requires SASL support (-DSASL)
                /var/spool/mqueue (1 request)
-----Q-ID----- --Size-- -----Q-Time----- ------------Sender/Recipient-----------
3781ZYIW045303   164044 Tue Aug  8 09:35 <>
                 (Deferred: 403 4.7.0 TLS handshake failed.)
                                         <bounce-833_HTML-127233725-9424761-700
                Total requests: 1

在mailq裡面看到一封寄不出去的信, 之前查過, 知道這應該是寄到我們合法使用者的廣告信, 收到使用者信箱後, 自動彈回的收到回條! (bounce-xxx...) 我們要求sendmail自動重送queue裡的信, 來看看問題何在?


# sendmail -v -q
Warning: Option: AuthMechanisms requires SASL support (-DSASL)

Running /var/spool/mqueue/3781ZYIW045303 (sequence 1 of 1)
<bounce-833_HTML-127233725-9424761-7002400-1004@bounce.email.savills-asia.com>... Connecting to inbound.s6.exacttarget.com. via esmtp...
220 orionsmtp-172.s6.exacttarget.com ESMTP Postfix
>>> EHLO mail1.princo.com.tw
250-orionsmtp-172.s6.exacttarget.com
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
>>> STARTTLS
220 2.0.0 Ready to start TLS
<bounce-833_HTML-127233725-9424761-7002400-1004@bounce.email.savills-asia.com>... Deferred: Name server: inbound.s6.exacttarget.com.: host name lookup failure
Closing connection to inbound.s6.exacttarget.com.

可以看到這封要寄到xx@bounce.email.savills-asia.com的信, 居然是傳到xx.exacttarget.com的郵件主機去! 那因為這台郵件主機回應了250-STARTTLS, 所以我們sendmail就下了STARTTLS命令, 要求進入加密通道, 但接著就出現了錯誤訊息: Name server: inbound.s6.exacttarget.com.: host name lookup failure。那是誰的主機名稱沒有設好呢? 我試著用nslookup找了一下:


# nslookup
> bounce.email.savills-asia.com
Server:         10.1.10.8
Address:        10.1.10.8#53

Non-authoritative answer:
*** Can´t find bounce.email.savills-asia.com: No answer
> savills-asia.com
;; Got recursion not available from 10.1.10.8, trying next server
;; Got recursion not available from 10.1.10.101, trying next server
Server:         168.95.1.1
Address:        168.95.1.1#53

Non-authoritative answer:
Name:   savills-asia.com
Address: 217.19.248.132
> inbound.s6.exacttarget.com.
Server:         10.1.10.8
Address:        10.1.10.8#53

Non-authoritative answer:
Name:   inbound.s6.exacttarget.com
Address: 68.232.203.116
> exit

確實bounce.email.savills-asia.com是查不到對應ip的, 看起來不像是我們的設定或軟體版本有問題! 所以, 我就將exacttarget.com在/etc/mail/access檔案裡, 設為不使用TLS. (Try_TLS:exacttarget.com NO 以及 tls_srv:exacttarget.com NO) 然後再來試試重送一次郵件: 


# mailq
Warning: Option: AuthMechanisms requires SASL support (-DSASL)
                /var/spool/mqueue (1 request)
-----Q-ID----- --Size-- -----Q-Time----- ------------Sender/Recipient-----------
3781ZYIW045303   164044 Tue Aug  8 09:35 <>
                 (Deferred: 403 4.7.0 TLS handshake failed.)
                                         <bounce-833_HTML-127233725-9424761-700
                Total requests: 1
mail1# sendmail -v -q
Warning: Option: AuthMechanisms requires SASL support (-DSASL)

Running /var/spool/mqueue/3781ZYIW045303 (sequence 1 of 1)
<bounce-833_HTML-127233725-9424761-7002400-1004@bounce.email.savills-asia.com>... Connecting to inbound.s6.exacttarget.com. via esmtp...
220 orionsmtp-55.s6.exacttarget.com ESMTP Postfix
>>> EHLO mail1.princo.com.tw
250-orionsmtp-55.s6.exacttarget.com
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
>>> MAIL From:<> SIZE=165559
250 2.1.0 Ok
>>> RCPT To:<bounce-833_HTML-127233725-9424761-7002400-1004@bounce.email.savills-asia.com>
>>> DATA
250 2.1.5 Ok
354 End data with <CR><LF>.<CR><LF>
>>> .
250 2.0.0 Ok: queued as 27DE514004F
<bounce-833_HTML-127233725-9424761-7002400-1004@bounce.email.savills-asia.com>... Sent (Ok: queued as 27DE514004F)
Closing connection to inbound.s6.exacttarget.com.
>>> QUIT
221 2.0.0 Bye
mail1# mailq
Warning: Option: AuthMechanisms requires SASL support (-DSASL)
/var/spool/mqueue is empty
                Total requests: 0

可以看到, 這樣就把信寄過去了, 所以到底是什麼問題? 用TLS加密通道, 對方就會回主機名稱找不到, (但我看不出來到底是那個主機名稱找不到!)不用TLS, 那就正常. 總之, 由mailq來看問題, 再由sendmail -v -q重現狀況, 提供了一個不錯的除錯方式。

留言

張貼留言

這個網誌中的熱門文章

D-BUS學習筆記

-
圖片
我第一個看到的文章是 ali's Blog [1] , 其中提到二支程式server.c client.c,我試著去compile這二支程式, 沒什麼太大的問題就可以成功。因為這是所謂的dbus c api, 也就是low lever api,在ubuntu下只要安裝套件libdbus-1-dev, 就會安裝這個api: $ sudo apt-get install libdbus-1-dev 然後就如該文所提到的,在compile時,必須指定library: $ gcc server.c -o server -l dbus-1 此時再去compile程式,可能會發現找不到dbus.h的問題。其實檔案是存在的,只是gcc不知道去那裡找而已。我們只要加入-I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include 告訴gcc就可以了。 $ gcc -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include -o server server.c -l dbus-1 如此,可以compile成功。但每次要打這麼多字,實在記不得,也容易打錯,所以使用Makefile吧! 建一個檔案,其名為Makefile,內容如下: All: server client server: server.c   gcc -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include -o server server.c -l dbus-1 client: client.c   gcc -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include -o client client.c -l dbus-1 我們把server.c client.c Makefile三個檔案,都放在同一個目錄,叫做dbus-test好了。這樣以後只要: $ cd dbus-test $ make 就會正確的編出server client二支可執行的程式。我們也不用去記這些很長的路徑名稱了。用過Makefile的朋友應該看得出來,其實Makefile可以再簡短一些。改成如下: All: server client
閱讀完整內容

關於藍牙裝置找尋(inquiry, scan)兩三事

-
圖片
當我們拿到手機或平板要和藍牙耳機配對時, 配對程式做的第一件事其實是找尋(scan, inquiry)的動作, 列出周遭附近的藍牙設備名稱或MAC位址, 以供使用者選擇要和那一台配對。在Linux平台上,我們可以透過bluez來做這件事,以C語言來寫,Albert Huang的書 [1] 給了我們一個簡單的範例程式 simplescan.c : #include .... int main(int argc, char **argv) { inquiry_info *ii = NULL; int max_rsp, num_rsp; int dev_id, sock, len, flags; int i; char addr[19] = { 0 }; char name[248] = { 0 }; dev_id = hci_get_route(NULL); sock = hci_open_dev( dev_id ); if (dev_id < 0 || sock < 0) { perror("opening socket"); exit(1); } len = 8; max_rsp = 255; flags = IREQ_CACHE_FLUSH; ii = (inquiry_info*)malloc(max_rsp * sizeof(inquiry_info)); num_rsp = hci_inquiry (dev_id, len, max_rsp, NULL, &ii, flags); if( num_rsp < 0 ) perror("hci_inquiry"); for (i = 0; i < num_rsp; i++) { ba2str(&(ii+i)->bdaddr, addr); memset(name, 0, sizeof(name)); if ( hci_read_remote_name (sock, &(ii+i)->
閱讀完整內容

Cisco Switch學習筆記: EtherChannel

-
EtherChannel : 用來將二個交換器之間多條實體線路串成一條虛擬線路, 具有增加頻寬, 容錯的好處。 注意事項: FastEthernet只能和FastEthernet的埠串在一起, Giga只能和Giga的串在一起, 不可混在一起! 使用的協定 : PAgP(Port Aggregation Protocol) or LACP(Link Aggregation Control Protocol) 負載平衡及傳送方法 : source-MAC address, destination-MAC address, source-and-destination MAC address forwarding; 即以來源端MAC位址決定使用那條實體線路, 以目的端MAC位址決定使用那條線路, 以來源端及目的端MAC位址決定使用那條線路。 使用心得: 容錯能力很好, 實體線路中斷, 可以在數秒內切換至別條線路使用。 設定範例 : interface FastEthernet0/7 channel-group 1 mode passive interface FastEthernet0/8 channel-group 1 mode passive 表示將Fa0/7,Fa0/8設成同一個group, 使用LACP的被動模式! 將另一邊的埠也以同樣方式設定, 但mode設成active即可! 檢視狀態: sh etherchannel detail sh etherchannel load-balance sh etherchannel port sh etherchannel port-channel sh etherchannel protocol sh etherchannel summary 可以看到只要使用interface指令channel-group就可以設定了, 交換器會自己新增一個interface: interface Port-channel1 其他的功能會將這個介面當成如實體介面一樣使用, 例如: #sh spanning-tree Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- --------------------------
閱讀完整內容