ぷららメールサーバーのセキュリティ対策とPanasonicドアフォンメール通知

ぷららメールサーバーのセキュリティ対策で問題だった「CRAM-MD5」機能廃止方法が11月改修で修正された。

$ openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp -quiet
depth=3 C = IE, O = Baltimore, OU = CyberTrust, CN = Baltimore CyberTrust Root
verify return:1
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
verify return:1
depth=0 C = JP, ST = Tokyo, L = Chiyoda-Ku, O = "NTT DOCOMO, INC.", CN = *.plala.or.jp
verify return:1
250 SIZE 20971520
ehlo localhost
250-msc12.plala.or.jp
250-AUTH=LOGIN PLAIN
250-AUTH LOGIN PLAIN
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
quit
221 msc12.plala.or.jp ESMTP server closing connection
read:errno=0

EHLOのAUTH応答からCRAM-MD5が消えた。
早速VL-SWH705KLのメール通知用メールサーバーをぷららのメールサーバーに変更した。

①メールサーバ登録/修正
送信元アドレス： someone@somewhere.plala.or.jp
送信メールサーバー： secure.plala.or.jp
送信ポート： 587
セキュリティの種類： TLS
SMTP認証： 使用する
アカウント名：someone@somewhere.plala.or.jp
パスワード： himitunoaikotobahirakegoma
-------------
メール送信テストを行います： はい

結果認証エラーで接続出来ない。

②メールサーバ登録/修正
送信元アドレス： someone@somewhere.plala.or.jp
送信メールサーバー： secure.plala.or.jp
送信ポート： 465
セキュリティの種類： SSL
SMTP認証： 使用する
アカウント名：someone@somewhere.plala.or.jp
パスワード： himitunoaikotobahirakegoma
-------------
メール送信テストを行います： はい

接続しメール送信テストが実行される。

③メールサーバ登録/修正
送信元アドレス： someone@somewhere.plala.or.jp
送信メールサーバー： secure.plala.or.jp
送信ポート： 587
セキュリティの種類： なし
SMTP認証： 使用する
アカウント名：someone@somewhere.plala.or.jp
パスワード： himitunoaikotobahirakegoma
-------------
メール送信テストを行います： はい

セキュリティ上問題だが接続しメール送信テストが実行される。
何故、TLSだけ認証エラーになるのか確認するためWiresharkでパケットキャプチャして確認してみた。

Port 587/TLS

メールサーバーに接続後、EHLOでSTARTTLSを確認。STARTTLSを起動、TLSVersion1.0で接続要求するが、サーバーから接続拒否。
opensslでぷららメールサーバーが許容するTLS versionを確認すると

$ openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp -no_tls1_1 -no_tls1_2 -quiet
4634283692:error:1400442E:SSL routines:CONNECT_CR_SRVR_HELLO:tlsv1 alert protocol version:/System/Volumes/Data/SWE/macOS/BuildRoots/37599d3d49/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.4/libressl-2.8/ssl/ssl_pkt.c:1200:SSL alert number 70
4634283692:error:140040E5:SSL routines:CONNECT_CR_SRVR_HELLO:ssl handshake failure:/System/Volumes/Data/SWE/macOS/BuildRoots/37599d3d49/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.4/libressl-2.8/ssl/ssl_pkt.c:585:
---
$ openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp  -no_tls1_2 -quiet
4367462060:error:1400442E:SSL routines:CONNECT_CR_SRVR_HELLO:tlsv1 alert protocol version:/System/Volumes/Data/SWE/macOS/BuildRoots/37599d3d49/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.4/libressl-2.8/ssl/ssl_pkt.c:1200:SSL alert number 70
4367462060:error:140040E5:SSL routines:CONNECT_CR_SRVR_HELLO:ssl handshake failure:/System/Volumes/Data/SWE/macOS/BuildRoots/37599d3d49/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.4/libressl-2.8/ssl/ssl_pkt.c:585:
---
$ openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp -no_tls1_1 -no_tls1 -quiet
depth=3 C = IE, O = Baltimore, OU = CyberTrust, CN = Baltimore CyberTrust Root
verify return:1
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
verify return:1
depth=0 C = JP, ST = Tokyo, L = Chiyoda-Ku, O = "NTT DOCOMO, INC.", CN = *.plala.or.jp
verify return:1
250 SIZE 20971520
quit
221 msc12.plala.or.jp ESMTP server closing connection
read:errno=0

TLSv1.0とTLSv1.1では接続出来ずTLSv1.2以上で接続許可となっている。
Panasonic VL-SWH705KLのエラーメッセージ「[U149]」からトラブルの原因を推測するのが難しい。

Port 465/SSL

SSL接続は、TLSv1.2で接続される。
VL-SWH705KLでは、セキュリティの種類がTLSとSSLでTLSバージョンが異なる。どういうつくりなんだ？

「 ぷららメールサーバーがセキュリティ対策を実施」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果#2」