Introdução
Este documento descreve como identificar a falha de negociação de TLS quando STARTTLS está disponível nos comandos EHLO Simple Mail Transfer Protocol (SMTP) e o servidor não está em conformidade com o RFC1869.
Informações de Apoio
O TLS é habilitado no ESA (Email Security Appliance, dispositivo de segurança de e-mail) com um certificado válido. O TLS é ativado no servidor de destino e o STARTTLS é visto quando uma conexão SMTP é estabelecida.
Por que a negociação TLS do ESA para um servidor de destino falha apesar de STARTTLS estar disponível?
O ESA tenta se conectar ao servidor de destino com o uso do TLS, no entanto, a negociação TLS falha com esse erro no mail_logs/Message Tracking do ESA.
Info: DCID xxxxxx STARTTLS command not supported.
De acordo com o RFC1869, a primeira resposta para EHLO deve ser ehlo-ok-rsp e ehlo-ok-rsp tem esta sintaxe e ordem:
ehlo-ok-rsp ::= "250" domain [ SP greeting ] CR LF
/ ( "250-" domain [ SP greeting ] CR LF
*( "250-" ehlo-line CR LF )
"250" SP ehlo-line CR LF )
Exemplo de conversação SMTP de sintaxe RFC incorreta
220 mail.domain1.com ESMTP Service ready
EHLO ESA.com
250-STARTTLS <--- 250-STARTTLS is before the server greeting.
250-mail.domain1.com <--- This is the 250 destination server greeting.
250-8BITMIME
250-PIPELINING
250-HELP
250-DELIVERBY 300
250 SIZE 30000000
Isso significa que tudo o que existe antes da linha ehlo (250-mail.domain1.com, neste exemplo) é considerado como saudação. Assim, o ESA não considerará o comando 250-STARTTLS disponível e reportará comando STARTTLS não suportado. Consulte https://tools.ietf.org/html/rfc1869 para obter mais detalhes.
Exemplo de Conversação SMTP de Sintaxe RFC Correta
220 mail-esa.com ESMTP
EHLO connecting.server.com
250-mail-esa.com <--- This is the 250 destination server greeting.
250-8BITMIME
250-SIZE 33554432
250 STARTTLS <--- STARTTLS is available after the greeting, it's not considered a greeting as per RFC.
Informações Relacionadas
Feedback