我更改了我们的临时邮件服务器的IP地址(虚拟机已被复制到不同的主机,同时networkingconfiguration使用NAT)。 现在,它不再接受Windows Thunderbird客户端的STARTTLS连接。 它适用于所有其他邮件客户端。
Thunderbird错误信息就像can't set up a secure connection to mail.mydomain.de using STARTTLS, because the server is not offering this function. Disable STARTTLS or contact your provider can't set up a secure connection to mail.mydomain.de using STARTTLS, because the server is not offering this function. Disable STARTTLS or contact your provider 。 但是,exim邮件服务器确实提供了STARTTLS,它仍然可以在旧系统上运行。
这里是eximdebugging日志的摘录:
27666 accept: condition test succeeded 27666 SMTP>> 220 s0107.mydomain.de ESMTP (Exim 4.77) Fri, 31 Oct 2014 05:23:27 +0100 27666 Process 27666 is ready for new message 27666 smtp_setup_msg entered 27666 SMTP<< EHLO [192.168.1.115] 27666 sender_fullhost = ip-123-123-123-123.hsi07.unitymediagroup.de ([192.168.1.115]) [123.123.123.123] 27666 sender_rcvhost = ip-123-123-123-123.hsi07.unitymediagroup.de ([123.123.123.123] helo=[192.168.1.115]) 27666 set_process_info: 27666 handling incoming connection from ip-123-123-123-123.hsi07.unitymediagroup.de ([192.168.1.115]) [123.123.123.123] 27666 host in pipelining_advertise_hosts? yes (matched "*") 27666 host in auth_advertise_hosts? yes (matched "*") 27666 host in tls_advertise_hosts? yes (matched "*") 27666 SMTP>> 250-s0107.mydomain.de Hello ip-123-123-123-123.hsi07.unitymediagroup.de [123.123.123.123] 27666 250-SIZE 52428800 27666 250-PIPELINING 27666 250-AUTH PLAIN LOGIN CRAM-MD5 27666 250-STARTTLS 27666 250 HELP 27666 SMTP<< QUIT 27666 SMTP>> 221 s0107.mydomain.de closing connection 27666 LOG: smtp_connection MAIN 27666 SMTP connection from ip-178-200-216-217.hsi07.unitymediagroup.de ([192.168.1.115]) [123.123.123.123] closed by QUIT 27666 search_tidyup called 27654 child 27666 ended: status=0x0 27654 0 SMTP accept processes now running 27654 Listening...
在最初的系统上,最后几行看起来像这样:
2362 250-SIZE 52428800 2362 250-PIPELINING 2362 250-AUTH PLAIN LOGIN CRAM-MD5 2362 250-STARTTLS 2362 250 HELP 2362 SMTP<< STARTTLS 2362 setting SSL CTX options: 0x800 2362 tls_certificate file /etc/pki/tls/exim_tls/exim.cert 2362 tls_privatekey file /etc/pki/tls/exim_tls/exim.key ...
这似乎是一个客户端问题,但我不知道为什么IP地址更改应该对STARTTLS握手有任何影响。 请指教。
您已经确认上述内容已经比单纯的IP地址发生了更多的变化:具体来说,虚拟机移动到的新networking位于CISCO ASA防火墙之后。
那些防火墙做他们描述的“ 协议修正 ”,在SMTP的情况下意味着与第4层传递的信息混淆。通过从客户端到服务器的telnet ,并发出SMTP EHLO命令,您已经确认尽pipe服务器正在广告STARTTLS能力,但CISCO正在将这个广告从飞行中的包中移除。 没有看到STARTTLS被提供,并且被configuration为需要的客户,则退出。
你没有说CISCO是否在你的控制之下,但是你已经确定服务器端口587的连接没有受到类似的影响(尽pipe我怀疑CISCOconfiguration是一个问题,而且一些未来的pipe理员可以很容易的打开它) 。 所以,至less暂时有一个解决方法。
为什么CISCO认为从它所保护的邮件服务器上去除encryptionfunction是一个好主意,这对我来说是个谜。 但结果是,在保护邮件服务器方面,CISCO在这种模式下是不适合使用的。