Courier Mail Server Forum Index Courier Mail Server
www.courierms.ru
 
 FAQFAQ   SearchSearch   MemberlistMemberlist   UsergroupsUsergroups   RegisterRegister 
 ProfileProfile   Log in to check your private messagesLog in to check your private messages   Log inLog in 

Яндекс сменил шифрование, smtp не работает

 
Post new topic   Reply to topic    Courier Mail Server Forum Index -> Courier Mail Server 3.xx
View previous topic :: View next topic  
Author Message
Denisoft
Newbie
Newbie


Joined: 30 Apr 2016
Posts: 6
Location: Кожевниково, Томская обл.

PostPosted: 30 Apr 2016 14:25 (Sat)    Post subject: Яндекс сменил шифрование, smtp не работает Reply with quote

Яндекс сменил шифрование с SHA-1 на SHA-256, https://yandex.ru/support/mail/mail-clients/sha-256.xml потому программа не желает общаться с smtp-серверами Яндекса, в логах получаю "Сбой защиты соединения (SSL/TLS)"
Версия 3.05
Решена ли проблема в крайней версии?
Возможно ли найти решение проблемы?
Будет ли решена проблема в следующих версиях?

UPD:
Уже не актуально, заюзал sendmail.
Back to top
View user's profile Send private message Visit poster's website
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 01 May 2016 0:19 (Sun)    Post subject: Reply with quote

Раз для автора неактуально, напишу для остальных.

CMS 3.05 (и 3.06) для работы SSL/TLS использует возможности операционной системы, в которой он установлен, в том числе и алгоритмы шифрования.

Определить, какие алгоритмы поддерживает ваша ОС, можно с помощью программы IIS Crypto.
Запустите её и посмотрите в списке Hashes Enabled: если имеется строка SHA 256, то установите флажок рядом с ней, чтобы активировать этот алгоритм.
Если же этой строки нет, значит, ваша ОС не поддерживает хэш-алгоритм SHA 256, использование которого требует Яндекс.

Варианты: поискать для вашей ОС обновление с поддержкой этого алгоритма, перейти на более новую версию ОС или использовать совместно с CMS программу stunnel, которая поддерживает SHA 256.
В случае использования stunnel нужно будет отключить SSL/TLS в CMS; шифрование обеспечит stunnel. Подробнее об этом варианте — в другой теме.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
Denisoft
Newbie
Newbie


Joined: 30 Apr 2016
Posts: 6
Location: Кожевниково, Томская обл.

PostPosted: 01 May 2016 7:47 (Sun)    Post subject: Reply with quote

Win 7 х32 максимальная.
Указанный Вами софт меня информирует, что SHA 256 включен.
Использованием Вашей программы решалась задача отправки почты с домашнего сервера, приоритетами выбора являлись гибкость, настраиваемость, обширные возможности -- а тут такой казус...
Перешел на sendmail, по сути, его возможностей -- мне за глаза. Однако, проблема с Вашей программой есть -- в данный момент его невозможно заставить работать с smtp Яндекса (костыль stunnel в расчет не берем).
Back to top
View user's profile Send private message Visit poster's website
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 01 May 2016 15:40 (Sun)    Post subject: Reply with quote

Проверить в Windows 7 пока нет возможности. В Windows 10 CMS нормально работает с серверами Яндекса.

Можете показать фрагмент отладочного журнала CMS с попыткой неудачного подключения к SMTP-серверу Яндекса?
Back to top
View user's profile Send private message Send e-mail Visit poster's website
Denisoft
Newbie
Newbie


Joined: 30 Apr 2016
Posts: 6
Location: Кожевниково, Томская обл.

PostPosted: 01 May 2016 18:10 (Sun)    Post subject: Reply with quote

Да, могу:
Code:
.01.05.2016 19:40:14 0000 lc:00T
01.05.2016 19:40:14 0000 Courier Mail Server 3.05
01.05.2016 19:40:14 0000 Незарегистрированная копия
01.05.2016 19:40:14 0002 POP3-сервис запущен (0.0.0.0:110)
01.05.2016 19:40:14 0001 SMTP-сервис запущен (0.0.0.0:25)
01.05.2016 19:40:14 0003 WinAdmin-сервис запущен (0.0.0.0:49201)
+01.05.2016 19:44:41 0001 Подключился SMTP-клиент [127.0.0.1]
~01.05.2016 19:44:41 0007 Thread started (TCsSMTPServer)
<01.05.2016 19:44:41 0007 220 denms.ru Courier Mail Server 3.05 ESMTP service ready
>01.05.2016 19:44:41 0007 HELO Denisoft-Server
<01.05.2016 19:44:41 0007 250 denms.ru greets Denisoft-Server
>01.05.2016 19:44:41 0007 MAIL FROM:
<01.05.2016 19:44:41 0007 250 OK, sender -
>01.05.2016 19:44:41 0007 RCPT TO:
<01.05.2016 19:44:41 0007 250 OK, recipient -
>01.05.2016 19:44:41 0007 DATA
<01.05.2016 19:44:41 0007 354 Send data. End with CRLF.CRLF
>01.05.2016 19:44:41 0007 ... (1084 байт принято)
~01.05.2016 19:44:41 0007 Received: from Denisoft-Server ([127.0.0.1])
~01.05.2016 19:44:41 0007 by denms.ru (Courier Mail Server 3.05) with SMTP id 00T00001
~01.05.2016 19:44:41 0007 for ; Sun, 01 May 2016 19:44:41 +0600
~01.05.2016 19:44:41 0007 Subject: *****
~01.05.2016 19:44:41 0007 ~Subject: *****
~01.05.2016 19:44:41 0007 To: to-*****@yandex.ru
~01.05.2016 19:44:41 0007 Date: Sun, 1 May 2016 20:44:41 +0700
~01.05.2016 19:44:41 0007 Return-Path: *****@denms.ru
~01.05.2016 19:44:41 0007 From: Denisoft
~01.05.2016 19:44:41 0007 Message-ID:
~01.05.2016 19:44:41 0007 X-Priority: 3
~01.05.2016 19:44:41 0007 X-Mailer: PHPMailer [version 1.73]
~01.05.2016 19:44:41 0007 MIME-Version: 1.0
~01.05.2016 19:44:41 0007 Content-Transfer-Encoding: 8bit
~01.05.2016 19:44:41 0007 Content-Type: text/plain; charset="utf-8"
@01.05.2016 19:44:41 0007 Принято письмо 00T00001 (1084 байт) от для (Тема: "*****")
<01.05.2016 19:44:41 0007 250 OK
~01.05.2016 19:44:41 0008 Thread started (TCsQueueThread)
@01.05.2016 19:44:41 0008 Обрабатываем письмо 00T00001 (1251 байт) от для (Тема: "*****")
>01.05.2016 19:44:41 0007 QUIT
<01.05.2016 19:44:41 0007 221 Service closing transmission channel
-01.05.2016 19:44:41 0007 Отключился SMTP-клиент [127.0.0.1]
~01.05.2016 19:44:41 0007 Thread stopped (TCsSMTPServer)
01.05.2016 19:44:41 0008 Начали сортировку "Main sorter"... Получатели:
01.05.2016 19:44:41 0008 Закончили сортировку "Main sorter". Получатели:
+01.05.2016 19:44:41 0001 Подключился SMTP-клиент [127.0.0.1]
~01.05.2016 19:44:41 0008 Process recipient
@01.05.2016 19:44:41 0008 Письмо 00T00001 (1251 байт) от для помещено в очередь отправки "Main queue" (Тема: "*****")
~01.05.2016 19:44:41 0009 Thread started (TCsTaskThread)
~01.05.2016 19:44:41 0008 Thread stopped (TCsQueueThread)
01.05.2016 19:44:41 0009 Начали выполнение задания "Send"...
~01.05.2016 19:44:41 000A Thread started (TCsSMTPServer)
01.05.2016 19:44:41 0009 Начали отправку очереди "Main queue"...
<01.05.2016 19:44:41 000A 220 denms.ru Courier Mail Server 3.05 ESMTP service ready
~01.05.2016 19:44:41 000B Thread started (TCsSendThread)
~01.05.2016 19:44:41 000B Начали отправку очереди "Main queue"...
>01.05.2016 19:44:41 000A HELO Denisoft-Server
01.05.2016 19:44:41 000B Подключаемся к серверу smtp.yandex.ru:465...
<01.05.2016 19:44:41 000A 250 denms.ru greets Denisoft-Server
>01.05.2016 19:44:41 000A MAIL FROM:
<01.05.2016 19:44:41 000A 250 OK, sender -
01.05.2016 19:44:41 000B Получаем IP-адреса для smtp.yandex.ru...
~01.05.2016 19:44:41 000C Thread started (TCsSendThread)
>01.05.2016 19:44:41 000A RCPT TO:<2.*****@mail.ru>
~01.05.2016 19:44:41 000B DNS query [192.168.1.1]: smtp.yandex.ru 1
~01.05.2016 19:44:41 000C Начали отправку очереди "Main queue"...
~01.05.2016 19:44:41 000C Закончили отправку очереди "Main queue"
~01.05.2016 19:44:41 000C Thread stopped (TCsSendThread)
<01.05.2016 19:44:41 000A 250 OK, recipient - <2.*****@mail.ru>
>01.05.2016 19:44:41 000A DATA
<01.05.2016 19:44:41 000A 354 Send data. End with CRLF.CRLF
>01.05.2016 19:44:41 000A ... (1007 байт принято)
~01.05.2016 19:44:41 000A Received: from Denisoft-Server ([127.0.0.1])
~01.05.2016 19:44:41 000A by denms.ru (Courier Mail Server 3.05) with SMTP id 00T00002
~01.05.2016 19:44:41 000A for <2.*****@mail.ru>; Sun, 01 May 2016 19:44:41 +0600
~01.05.2016 19:44:41 000A Subject: *****
~01.05.2016 19:44:41 000A ~Subject: *****
~01.05.2016 19:44:41 000A To: 2.*****@mail.ru
~01.05.2016 19:44:41 000A Date: Sun, 1 May 2016 20:44:41 +0700
~01.05.2016 19:44:41 000A Return-Path: *****@denms.ru
~01.05.2016 19:44:41 000A From: Denisoft
~01.05.2016 19:44:41 000A Message-ID: <43326b00dc313a547d66d8767c9ddd1d@denms.ru>
~01.05.2016 19:44:41 000A X-Priority: 3
~01.05.2016 19:44:41 000A X-Mailer: PHPMailer [version 1.73]
~01.05.2016 19:44:41 000A MIME-Version: 1.0
~01.05.2016 19:44:41 000A Content-Transfer-Encoding: 8bit
~01.05.2016 19:44:41 000A Content-Type: text/plain; charset="utf-8"*****")
<01.05.2016 19:44:41 000A 250 OK
~01.05.2016 19:44:41 000D Thread started (TCsQueueThread)
>01.05.2016 19:44:41 000A QUIT
@01.05.2016 19:44:41 000D Обрабатываем письмо 00T00002 (1171 байт) от для <2.*****@mail.ru> (Тема: "*****")
<01.05.2016 19:44:41 000A 221 Service closing transmission channel
-01.05.2016 19:44:41 000A Отключился SMTP-клиент [127.0.0.1]
~01.05.2016 19:44:41 000A Thread stopped (TCsSMTPServer)
01.05.2016 19:44:41 000D Начали сортировку "Main sorter"... Получатели: <2.*****@mail.ru>
01.05.2016 19:44:41 000D Закончили сортировку "Main sorter". Получатели: <2.*****@mail.ru>
~01.05.2016 19:44:41 000D Process recipient <2.*****@mail.ru>
@01.05.2016 19:44:41 000D Письмо 00T00002 (1171 байт) от для <2.*****@mail.ru> помещено в очередь отправки "Main queue" (Тема: "*****")
~01.05.2016 19:44:41 000E Thread started (TCsTaskThread)
~01.05.2016 19:44:41 000D Thread stopped (TCsQueueThread)
~01.05.2016 19:44:41 000E Task "Send" already running
~01.05.2016 19:44:41 000E Thread stopped (TCsTaskThread)
~01.05.2016 19:44:41 000B smtp.yandex.ru A 93.158.134.38
~01.05.2016 19:44:41 000B smtp.yandex.ru A 87.250.250.38
~01.05.2016 19:44:41 000B smtp.yandex.ru A 213.180.193.38
~01.05.2016 19:44:41 000B smtp.yandex.ru A 77.88.21.38
~01.05.2016 19:44:41 000B smtp.yandex.ru A 213.180.204.38
01.05.2016 19:44:41 000B IP-адреса: 93.158.134.38;87.250.250.38;213.180.193.38;77.88.21.38;213.180.204.38;
+01.05.2016 19:44:41 000B Подключились к серверу smtp.yandex.ru:465
~01.05.2016 19:44:41 000B grbitProtocol=AA0h (SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2)
~01.05.2016 19:44:41 000B InitializeSecurityContextA returned 80090325h: Цепочка сертификатов выпущена центром сертификации, не имеющим доверия
!01.05.2016 19:44:41 000B Сбой защиты соединения (SSL/TLS)
-01.05.2016 19:44:41 000B Отключились от сервера smtp.yandex.ru:465
01.05.2016 19:44:41 000B Сервер smtp.yandex.ru:465 временно недоступен (1 мин.)
~01.05.2016 19:44:41 000B Закончили отправку очереди "Main queue"
~01.05.2016 19:44:41 000B Thread stopped (TCsSendThread)
01.05.2016 19:44:41 0009 Закончили отправку очереди "Main queue"
01.05.2016 19:44:41 0009 Закончили выполнение задания "Send"
~01.05.2016 19:44:41 0009 Thread stopped (TCsTaskThread)


Полагаю, здесь ключевым является:
Code:
~01.05.2016 19:44:41 000B InitializeSecurityContextA returned 80090325h: Цепочка сертификатов выпущена центром сертификации, не имеющим доверия

Однако, для SHA 1 - все проходило.

UPD:
Все же, Ваша программа работала куда шустрее sendmail-а, и не тормозила веб-сервер. Буду рад, если решение найдется, и программа будет работать с серверами Яндекса.
Back to top
View user's profile Send private message Visit poster's website
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 03 May 2016 12:07 (Tue)    Post subject: Reply with quote

Проверил. CMS 3.06 в Windows 7 Максимальная x86 SP1 успешно подключается к SMTP-серверу Яндекса:
Code:
+03.05.2016 10:50:18 000G Подключились к серверу smtp.yandex.ru:465
~03.05.2016 10:50:18 000G grbitProtocol=AA0h (SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2)
~03.05.2016 10:50:18 000G dwProtocol=800h (TLS 1.2), aiCipher=660Eh, dwCipherStrength=128, aiHash=800Ch, dwHashStrength=256, aiExch=AE06h, dwExchStrength=256
~03.05.2016 10:50:18 000G sUserName="C=RU, O=Yandex LLC, OU=ITO, L=Moscow, S=Russian Federation, CN=smtp.yandex.ru, E=pki@yandex-team.ru"
~03.05.2016 10:50:18 000G sAuthorityName="C=RU, O=Yandex LLC, OU=Yandex Certification Authority, CN=Yandex CA"
~03.05.2016 10:50:18 000G cbHeader=21, cbTrailer=48, cbMaximumMessage=16384, cBuffers=4, cbBlockSize=16
 03.05.2016 10:50:18 000G Защита соединения (SSL/TLS) активирована
>03.05.2016 10:50:18 000G 220 smtp14.mail.yandex.net ESMTP (Want to use Yandex.Mail for your domain? Visit http://pdd.yandex.ru)

Используется хэш-алгоритм SHA-256 (aiHash=800Ch).

Проверьте, есть ли в хранилище сертификатов (certmgr.msc) в разделе "Доверенные корневые центры сертификации" сертификат Certum Trusted Network CA и что он действителен и не просрочен. По всей видимости, именно этот центр выдал сертификат Яндексу.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
Denisoft
Newbie
Newbie


Joined: 30 Apr 2016
Posts: 6
Location: Кожевниково, Томская обл.

PostPosted: 03 May 2016 14:20 (Tue)    Post subject: Reply with quote

NAMOR wrote:
сертификат Certum Trusted Network CA
Такого сертификата нет в системе, ровно так же его нет в Win-8.1 x-64 с апдейтом полуторамесячной давности.
Между тем, sendmail не замечает таких нюансов в системе, и просто шлет письма, правда, тормозит люто, падла...
Есть ли варианты втюхать сертификаты в систему?
Back to top
View user's profile Send private message Visit poster's website
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 03 May 2016 15:59 (Tue)    Post subject: Reply with quote

Странно, поскольку я вижу этот сертификат даже в Windows XP. И выпущен он аж в 2008 году.
Попробуйте установить его по ссылке из самого центра сертификации: https://www.certum.pl/CTNCA.crt
Устанавливать надо именно в "Доверенные корневые центры сертификации".

Возможно, sendmail проверяет сертификаты самостоятельно по своей базе корневых сертификатов. Либо он просто настроен игнорировать ошибки проверки сертификатов.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
Denisoft
Newbie
Newbie


Joined: 30 Apr 2016
Posts: 6
Location: Кожевниково, Томская обл.

PostPosted: 03 May 2016 18:06 (Tue)    Post subject: Reply with quote

При переходе по ссылке система говорит, что установлен сертификат.
Certum CA и Certum Trusted Network CA -- это одно и то же?

Не просрочен -- с 2002 года по 2027.
В таком случае, сертификат наличиствует, а программа его не видит?

sendmail пользуется libeay32.dll и ssleay32.dll из своего каталога. Уж не знаю, как там работа с сертификатами реализована.
Back to top
View user's profile Send private message Visit poster's website
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 03 May 2016 19:09 (Tue)    Post subject: Reply with quote

Нет, это разные сертификаты.
Сертификат Certum Trusted Network CA имеет серийный номер 0444с0 ("Свойства сертификата - Состав - Серийный номер"), действителен с 2008 по 2029 год.
Этот сертификат должен находиться в списке "Доверенные корневые центры сертификации". У вас не находится — отсюда ошибка: "Цепочка сертификатов выпущена центром сертификации, не имеющим доверия".

Провёл эксперимент. Удалил сертификат Certum Trusted Network CA из списков "Доверенные корневые центры сертификации" и "Сторонние корневые центры сертификации" — то есть отовсюду, где он был. Несмотря на это CMS успешно подключился к SMTP-серверу Яндекса, как и раньше. Смотрю: удалённый сертификат опять на месте в обоих списках Smile Значит, Windows сама где-то запрашивает и устанавливает нужные корневые сертификаты. У вас, по всей видимости, автоустановка сертификатов отключена. Но ручная установка, конечно, в любом случае должна работать.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
Denisoft
Newbie
Newbie


Joined: 30 Apr 2016
Posts: 6
Location: Кожевниково, Томская обл.

PostPosted: 03 May 2016 20:38 (Tue)    Post subject: Reply with quote

Ступил сам, переходя по ссылке на сертификат из FF.
Автоматически сертификат не устанавливается, вероятно, из за того, что винапдейт выключен, не нужна эта плюшка в автомате на сервере.
Скачал сертификат и установил, CMS заработал с Яндексом Smile
Огромное спасибо за подсказки, за программу, и за то, что возитесь с нами!
Back to top
View user's profile Send private message Visit poster's website
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1053

PostPosted: 03 May 2016 20:45 (Tue)    Post subject: Reply with quote

Отлично! Рад, что заработало.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
Alex5645
Newbie
Newbie


Joined: 04 May 2016
Posts: 1

PostPosted: 04 May 2016 13:47 (Wed)    Post subject: Windows XP sp3 - поддержка домена на Яндекс-почте работает Reply with quote

Кому интересно - CMS 3.06 работает на Windows XP sp3 Volume ed. - поддержка домена на Яндекс-почте работает без проблем.
Установил систему, поставил CMS, проверил на всякий случай что поддерживает шифрование SHA, настроил учетки - и всё нормально.
У пользователей в основном OutlookExpress 6 (подключение к серверу без шифрования по POP3-110, SMTP-25, не забудьте в настройках галку - Проверка подлинности пользователя - как сервере входящей почты).
У некоторых на Win7 - TrunderBird. Тоже норм.

До этого стояла CMS 3.02 на Windows 2000 с Stunnel - в принципе тоже работала с Яндексом без проблем, хотя у W2000 нет встроенной поддержки SHA-256, но stunnel компенсировал этот недостаток, но решили железо по мощнее на сервак поставить, вот и обновились по полной )).
Back to top
View user's profile Send private message
Display posts from previous:   
Post new topic   Reply to topic    Courier Mail Server Forum Index -> Courier Mail Server 3.xx All times are GMT + 4 Hours
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum


Powered by phpBB © 2001, 2005 phpBB Group