Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果#2

「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果』で2023年9月25日 ぷららに問い合わせを実施した。

何回かのやり取りで「サブミッションポート 587」に「SMTP認証なし」で接続を試みよ。との連絡があった。そもそも、サブミッションポートは、無認証でのメール送信を許していない。
「テスト結果は、送信できない」である。

サブミッションポート以外、ぷららにIPv4 PPPoE接続して、ぷららネットワーク内からメールサーバーのポート25に接続すればSMTP認証なしでも接続出来るのかもしれない。しかし、IPv4のデフォルトルートは、IPv4 over IPv6となっているのでメールサーバ「secure.plala.or.jp:25」への接続が難しい。
「secure.plala.or.jp」へ特別なルートを設定する事にした。幸い、「secure.plala.or.jp」は、IPv4用アドレスしか返さないのでNVR510に専用のルート設定を施し確認する事にした。
secure.plala.or.jpのアドレスを調べる

$ host secure.plala.or.jp
secure.plala.or.jp has address 60.36.166.237

NVR510に静的ルートを加える

NVR510 config
ip route 60.36.166.237/32 gateway pp 1 hide

ルートを確認する

$ traceroute secure.plala.or.jp
traceroute to secure.plala.or.jp (60.36.166.237), 64 hops max, 52 byte packets
1 ns (192.168.11.250) 0.663 ms 0.253 ms 0.224 ms <-NVR510
2 i118-21-182-41.s99.a049.ap.plala.or.jp (118.21.182.41) 3.259 ms 3.153 ms 2.805 ms <-直接ぷららネットワークへ
3 118.21.184.65 (118.21.184.65) 4.108 ms 4.195 ms 4.676 ms
4 i118-21-178-85.s99.a049.ap.plala.or.jp (118.21.178.85) 6.337 ms 5.257 ms 4.997 ms
5 i118-21-197-62.s99.a049.ap.plala.or.jp (118.21.197.62) 6.589 ms
i118-21-197-50.s99.a049.ap.plala.or.jp (118.21.197.50) 6.763 ms
i118-21-197-54.s99.a049.ap.plala.or.jp (118.21.197.54) 4.829 ms
6 s201234.ap.plala.or.jp (220.109.201.234) 8.005 ms 6.717 ms
s201022.ap.plala.or.jp (220.109.201.22) 7.013 ms
7 s201054.ap.plala.or.jp (220.109.201.54) 7.147 ms 10.896 ms 9.126 ms

直接IPv4 PPPoEでぷららネットワークへの接続が確認出来たのでまず「TLS」でsmtp送信を確認

$ openssl s_client -4 -connect secure.plala.or.jp:25 -starttls smtp -quiet
depth=3 C = IE, O = Baltimore, OU = CyberTrust, CN = Baltimore CyberTrust Root
verify return:1
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
verify return:1
depth=0 C = JP, ST = Tokyo, L = Chiyoda-Ku, O = "NTT DOCOMO, INC.", CN = *.plala.or.jp
verify return:1
250 SIZE 20971520
ehlo secure
250-msc13.plala.or.jp
250-AUTH=LOGIN PLAIN CRAM-MD5
250-AUTH LOGIN PLAIN CRAM-MD5
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
mail from: someone@somewhere.plala.or.jp
553 Authentication is required to send mail as <someone@somewhere.plala.or.jp>
quit
221 msc13.plala.or.jp ESMTP server closing connection
read:errno=0

telnetでsmtp認証なし送信確認

$ telnet secure.plala.or.jp 25
Trying 60.36.166.237...
Connected to secure.plala.or.jp.
Escape charcter is '^]'.
220 msc12.plala.or.jp ESTM server ready Fri, 29 Sep 2023 12:30:40 +0900
mail from: someone@somewhere.plala.or.jp
553 Authentication is required to send mail as <someone@somewhere.plala.or.jp>
quit
221 msc12.plala.or.jp ESTM server closing connection
Connection closed by foreign host.

昔は、smtp認証なしでメール送信できたが、メール送信に認証を求められる。
これらの結果をぷららサポートに問うたところ

11月の対応にて、「CRAM-MD5」が自動判別されないように
変更予定でございますので、お待ちいただきますよう
よろしくお願いいたします。

との事。

「 ぷららメールサーバーがセキュリティ対策を実施」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果」
「ぷららメールサーバーのセキュリティ対策とPanasonicドアフォンメール通知」

ひかり電話 HGW PR-600MI 電話インターフェースが落雷で障害（対策）

「ひかり電話 HGW PR-600MI 電話インターフェースが落雷で障害」の対策を検討実施した。
アナログ電話線を使う事が無いので、NTTとの分岐点で接続を切り離すことにした。
分岐点は、「保安器の宅内配線側」との事なので、接続線を外した。

SPD#1(6PT)/SPD#2(6P)は、共にサージ防護器なので宅内へのサージ電圧は防御されていたはず。避雷ルートが電話線で無かったのかもしれない。
外した2対の線は、4芯とも結合してNTT電話線と一緒に配線されているGNDに接続した。宅内側の電話線が接地された状態とし、接地線として（若干線材が細いが）暫定的に使うことにした。

電話線がSPD経由で宅内へ配線されていたとすると同一ケーブル内の線間容量によるサージ電圧誘導の可能性が低くなる。
被害にあった電話ポートに接続された電話機は、UPSに接続されていない。停電時は、親機だけPR-600MIから電話線経由の給電で、最低限の機能が利用できる（赤丸の電話機がUPS無し）。

他の電話機は、ネットワーク・スイッチを含めAPCのUPSに接続されている。
APCのUPS SMT-500Jは、入力側にサージ電圧防御回路が装備されているが接地線接続が出来ていない。暫定的に「接地した電話線」で接地し、より強固な接地線の設置を検討する事とした。

UPS未接続の電話機は、ひかり電話ホームゲートウェイPR-S300SE導入時に配布された「サンダーカット<A2>」を使い、電話機の電源、電話線間に挿入する事とする。
「サンダーカット<A2>」の内部回路を調べてみた

Z1-Z3: Varistor (ZNR V14471U) 470V / TF1-TF2: 温度フューズ L4F(127℃) / ARR1-ARR5: サージアレスタ

「サンダーカット<A2>」の100V入出力部は、「Live」「Neutral」の区別が無い。ラベルと識別用突起形状のある2芯平行線が使われている。通常家庭のACコンセントは、左側がNeutral（長い方）で右側がLive（短い方）なので、A-2のプラグを線が下側になるように接続し、本体のAC線が下側に配置した時、左側がNeutralで右側がLiveになる。本体表面のロゴや文字は逆さまになる。

　説明書によるとホームゲートウェイからの電話線を「IN」に接続、電話機の電話線を「OUT」に接続となっているが、回路図上「IN」「OUT」の区別は無い。

2023年9月27日追記：
「雷過電圧に対する通信機器の保護ガイドライン」
メモし忘れたため追記。非常に参考になった。
「欧米諸国は共通接地形態を採用しており」←確かにコンセントジャックは、全て3PでGNDの処理が容易だ。

「ひかり電話 HGW PR-600MI 電話インターフェースが落雷で障害」
「ひかり電話 HGW PR-600MI 電話インターフェースが落雷で障害（対策）」
「ひかり電話 HGW PR-600MI 電話インターフェースが落雷で障害（分析）」
「ひかり電話 HGW PR-600MI 電話インターフェースが落雷で障害（分析2）」

フレッツ光NGNのIPv6（IPoE）インターネット接続業者（VNE）とIPv6 Prefix #4

2023年9月20日 12:34:56にフレッツのprefix情報レコードの更新が行われた。

「フレッツ光NGNのIPv6（IPoE）インターネット接続業者（VNE）とIPv6 Prefix #3」と比較して調べてもprefix情報の変更が無い。

2011/01/14 12:59:13 3社VNEでPrefix/23
2013/02/04 12:14:50 3社VNEでPrefix/30に変更
2018/02/02 11:27:52 4社追加され7社VNE体制
2018/08/31 10:03:19 1社追加され8社VNE体制
2020/09/17 09:23:31 1社追加され9社VNE体制
2023/03/22 10:27:31 1社追加され10社VNE体制
2023/09/20 12:34:56 プレフィックス変更なし 謎の「0000」レコード更新

=== NgnRouteInfo ===
0000,2023/09/20 12:34:56--
1111,2404:01a8:7e00:0000:0000:0000:0000:0000/40--東日本電信電話(NTT-EAST)(JPNIC)
1211,2404:01a8:0000:0000:0000:0000:0000:0000/32--東日本電信電話(NTT-EAST)(JPNIC)
1212,2001:0c90:0000:0000:0000:0000:0000:0000/33--東日本電信電話(NTT-EAST)(JPNIC)
1311,2408:0210:0000:0000:0000:0000:0000:0000/30--東日本電信電話(NTT-EAST)(JPNIC)
1411,2400:2410:0000:0000:0000:0000:0000:0000/30--BBIX-IPv6 ソフトバンク(APNIC)
1412,2409:0010:0000:0000:0000:0000:0000:0000/30--MF-Transix-E-1 インターネット・マルチフィード(JPNIC)
1413,240b:0010:0000:0000:0000:0000:0000:0000/30--日本ネットワークイネーヴラ(JPNIC)
1414,2404:7a80:0000:0000:0000:0000:0000:0000/30--ビッグローブ(APNIC)
1415,2405:6580:0000:0000:0000:0000:0000:0000/30--朝日ネット(JPNIC)
1416,2400:4050:0000:0000:0000:0000:0000:0000/30--NTTコミュニケーションズ(OCN)(JPNIC)
1417,2401:4d40:0000:0000:0000:0000:0000:0000/30--フリービット(JPNIC)
1418,2001:0f70:0000:0000:0000:0000:0000:0000/30--アルテリア・ネットワーク(JPNIC)
1419,240b:c0c4:0000:0000:0000:0000:0000:0000/30--RAKUTEN Mobile  Network, Inc(APNIC)
1421,2406:ab48:0000:0000:0000:0000:0000:0000/30--デジタル庁(JPNIC)

Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果

「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した」件について原因調査をした


（1）メールテスト環境
ドアフォン（VL-SWH705）とISPメールサーバー（v6mail.plala.or.jp）の間にdebian10でメール中継サーバーを設置。

中継サーバーは、ISPメールサーバのサブミッションポート587にTLS（startTLS）でSMTP-AUTH（PLAIN/LOGIN）で接続しメールリレーをする。
ドアホンからは、中継サーバーに送信ポート（587）、セキュリティの種類（TLS）、SMTP認証（使用する）で接続する。
メール中継サーバー（debian10）のsaslauthdのmech_listを「DIGEST-MD5」「CRAM-MD5」「PLAIN」「LOGIN」に設定しメール送信テストを行う。

送信テストメール


（2）メールテスト結果
SMTP認証の接続結果

VL-SWH705は、smtpサーバー接続後、EHLOで返されるAUTHの種類によって最適な認証方式を選択して接続する。
SMTP認証方式を選択出来れば良いが、家電製品なので自動選択される方が良い。

ぷららのメールサーバーがehloで「250-AUTH LOGIN PLAIN CRAM-MD5」を返し、「CRAM-MD5」を利用できると通知する。「AUTH CRAM-MD5」で認証すると「535 CRAM-MD5 not supported for someone@somewhere.plala.or.jp」で接続させない。
パスワードを間違えると失敗と返す。
VL-SWH705は、アカウント情報の設定間違えと識別できない。

echo -e "ehlo\nquit" | openssl s_client -connect secure.plala.or.jp:465 -quiet -crlf 2>/dev/null
220 msc13.plala.or.jp ESMTP server ready Sun, 24 Sep 2023 16:41:56 +0900
250-msc13.plala.or.jp
250-AUTH=LOGIN PLAIN CRAM-MD5
250-AUTH LOGIN PLAIN CRAM-MD5
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
221 msc13.plala.or.jp ESMTP server closing connection

auth cram-md5
334 PDIwMjMwOTI0MjE1ODU0LkRLV0UxNjI2My5tc2MxNC5wbGFsYS5vci5qcEBvcGVuc3NsLmNsaWVudC5uZXQ+
c29tZW9uZUBzb21ld2hlcmUua2hha2kucGxhbGEub3IuanAgODU0NjdhMmJhYmI5ZWRmZWEwODMwZTkyY2EyMGY4NGM=
535 CRAM-MD5 not supported for someone@somewhere.plala.or.jp
quit
221 msc14.plala.or.jp ESMTP server closing connection

（3）対策
暫く中継サーバー経由で対応する。
一応、ぷららに状況と対応を依頼してみるがどうなるか。。。

2023年9月25日追記
ぷららに問い合わせを実施

「 ぷららメールサーバーがセキュリティ対策を実施」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果#2」
「ぷららメールサーバーのセキュリティ対策とPanasonicドアフォンメール通知」

Panasonic ドアフォン VL-SWH705KLのメール通知が停止した

2023年9月11日より「ぷらら」のメールサーバが「セキュリティ対策」としてSMTP認証の「CRAM-MD5」を廃止した通知を受けた。
ドアホンのメール通知が2023年9月13日を最後に送信されなくなった。
SMTP認証の変更を試みた。

「設定/情報」「設定を変更」「ネットワーク設定」「メール送信設定」「メールサーバ登録/修正」を実施した。

メールサーバ登録/修正
送信元アドレス： someone@somewhere.plala.or.jp
送信メールサーバー： secure.plala.or.jp
送信ポート： 587
セキュリティの種類： TLS
SMTP認証： 使用する
アカウント名：someone@somewhere.plala.or.jp
パスワード： himitunoaikotobahirakegoma
-------------
メール送信テストを行います： はい

エラーで送信できず。

パナソニックのドアホンは、SMTP認証をCRAM-MD5しか装備していないのか？

送信ポート： 465
セキュリティの種類： SSL
-------------------------
送信ポート： 587
セキュリティの種類： なし

どちらもサブミッションポート経由は、認証が必要で送信エラーになる。CRAM-MD5以外の認証方式（LOGINとかPLAINとか）を選択出来ないのか？

「IPv6 IPoE」も「IPv4 over IPv6（DS-Lite）」もインターネット経由になるのでSMTP認証が必須。
あとは IPv4 PPPoE接続経由でメールサーの25ポートへSMTP認証なしで接続させるしか方法が無い。
ポリシルーティングを検討するか。。。
パナソニックがSMTP認証に「LOGIN」か「PLAIN」を追加してくれるのがベストだが。。。

「 ぷららメールサーバーがセキュリティ対策を実施」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果#2」
「ぷららメールサーバーのセキュリティ対策とPanasonicドアフォンメール通知」