― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

新しいトピックを投稿する トピックへ返信する  [ 12 件の記事 ] 
作成者 メッセージ
投稿記事Posted: 2014年7月25日(金) 17:55 
NTTコミュニケーションズの、メール&ウェブ プロ(仮想ホスティング)を利用している法人の者です。
http://www.ocn.ne.jp/hosting/service/mwpro2/

Thunderbird 24.7 までは問題なくメールを送信できていたのですが、31.0にUpした社員から、
メールが送信できなくなった、と相談が殺到しています。
OSは、7/8/8.1で32/64ビットに関係なく起きています。(実はXPも数台いますが、そちらも症状は同じです)

ポート 587 StartTLS でも、465 SSL でも、今までは問題なく送信できていました。
しかし、31.0にすると、接続の保護を「なし」にしないと送信できません。

暗号化されたパスワード認証には、サーバー自体が対応していない為(Plain / Login のみ)、
SSL か StartTLS にしないと、パスワードが洩れかねないので、危なくてメールが送信できません。

胴元のNTT担当者にログを見てもらったところ、
SMTPの暗号化を「無効」にしてログを取っても、SSLコマンドが発生しているとの報告を得ました。
プログラム判定のバグではないでしょうか? との返答でした。

当面の対応として、24.7にダウンして、Updateを止め、1日がかりで、百数十台のPCを何とか使えるようにはしました。
非常に困っております。
NTTが作った、専用のGUIがあるため、ソースを手でいじって、コンパイル等はさせてもらえません。
解決方法はありますか?

_________________
Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2014年7月25日(金) 19:26 
オフライン

登録日時: 2006年9月05日(火) 18:47
記事: 4207
  
*質問・投稿する前に、サポートサイトやヘルプ、このフォーラム内を検索・閲覧して
 該当項目、同類・類似事例がないか、確認してみましょう。
 また、広くインターネット上でも、同類・類似事例がないか、調べてみましょう。
*質問した後やアドバイスをもらった後は、放置せずに、結果や経緯を必ず書くように
 しましょう。
*ここは、相互ユーザサポートを通じて、各種情報・事例を、ユーザ同士でシェアする
 場でもあります。
 
 
 
リリースノートにある「NTLMv2 以前の安全でない NTLM認証が利用できなくなりました。(Bug 828183)」
に該当するかも知れません。

[参照]
Thunderbird 31.0 リリースノート

[参照バグ]
Bug 828183 – Disable insecure NTLMv1 authentication
Bug 1023748 – Allow NTLMv1 over SSL/TLS, or intranet access is broken on Firefox 30 for non-Windows platforms


下記にある「NTLMv1 の有効化手順」を参照して、お手元のテストできる PC の Thunderbird 30.0 で有効化
して、確認してみると判別できるかと思われます。

[参照]
Firefox 30 サイト互換性情報 / セキュリティ - Mozilla | MDN



【補足1】
法人向けサポートをお勧めします。
Thunderbird のアップデートを含め、各種集中管理もご検討されたら、いかがでしょうか。
[参照]
Firefox と Thunderbird の法人向けサポート | 法人向け情報 | Mozilla Japan


【補足2】
リリースサイクルをご存じかと思います。
当面は、バージョン 24.7.0 や 24.8.0 (予定) で時間稼ぎをおこない、その間に対応をおこなう対処もいいで
しょう。
また、正式リリース版が公開される前に、ベータ版やリリース候補版も利用できますので、事前にテスト検証
しておくのもいいでしょう。


【補足3】
VPS/仮想専用サーバー・ホスティングならBizメール&ウェブ プロ|メール&ウェブ プロ(L1/L2/L3)|NTT Com 法人のお客さま
上記の NTLM 認証の仕様についても、この機会に確認してもらっては、いかかでしょう。

[参照]
NTLMv1 および LM ネットワーク認証に関するセキュリティ ガイド
NTLM 2 認証を有効にする方法
NTLM 認証の変更点

_________________
Mozilla/5.0 (Windows NT 6.1; rv:34.0) Gecko/20100101 Firefox/34.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2014年7月25日(金) 20:57 
オフライン
Administrator

登録日時: 2005年6月23日(木) 23:29
記事: 2743
お住まい: 東京
Plain / Login のみ対応とのことですので、NTLM 関連の可能性は低いと思われます。

Thunderbird 24.x と 31 では、対応している TLS のバージョンが変わっています。

Tb 24.7.0: TLS 1.2 まで対応 (既定では SSL 3.0 および TLS 1.0 のみ有効)
Tb 31.0: 既定で SSL 3.0 から TLS 1.2 まで有効

TLS 1.1, 1.2 が既定で有効になった Firefox 27 リリース直後にも、サーバ側が TLS 1.0 までしか対応しておらず、TLS 1.1 や 1.2 を想定した呼びかけを理解できず TLS 1.0 へのフォールバックにも失敗する、という事例がありました。
これと同様の問題ではないでしょうか?

オプション→詳細→一般→設定エディタで、security.tls.version.max を既定の 3 から 2 あるいは 1 にした場合に問題は解消するでしょうか?
security.tls.version.max: TLS/SSL の最高のバージョン (既定は 3)
security.tls.version.min: TLS/SSL の最低のバージョン (既定は 0)
3: TLS 1.2, 2: TLS 1.1, 1: TLS 1.0, 0: SSL 3.0

_________________
[Desktop] Windows 10 Pro 22H2 (64bit) / Intel Core i7-2600 / Nvidia GeForce GTX 1650 GDDR6 / 32 GB Memory
[Laptop] Windows 10 Pro 22H2 (64bit) / Intel Core i5-520M vPro / Intel HD Graphics / 8 GB Memory
[Android] Android 13.0 (arm64) / Xperia 5 III (XQ-BQ42)
常用環境: Firefox ベータ版、リリース版 (Win64 x86-64, Android), Thunderbird ベータ版、リリース版 (Win64 x86-64)
テスト環境: Firefox (ESR, Nightly, Win64 x86-64, Android)

Cai/1.0 (Homo sapiens; N; Homo sapiens chemist; male; rv:0.0.4.2+)
-- いつまでたっても nightly
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0

通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2014年7月26日(土) 03:19 
当方でもwindows(XP:-p)の31系でSSL/TLS問題を確認しております。
30b1までは大丈夫でした。31b1/31のいずれでも起きます。

更にnetwork.dns.disableIPv6:trueにしないとイントラ(IPv4/v6デュアル)サーバーに素のpop3すら出来ません。
24.6/24.7ではv6:falseでssl/tlsで暗号化されたパスワード認証でイントラサーバーもpop3s接続出来ています。

ssl/tlsのpop3でイントラのuw-imap-2007f-5.fc20.i686(FedoraLinux)を相手にするとサーバー側では
 ipop3d[割愛]: Hangup user=??? host=UNKNOWN
のログが記録され、TB31側は「~に接続しました」のまま応答待ちしている様です。
不可解なのは同じ31系クライアント環境のままでgmailや○cn(IPv4のみ接続)へはssl/tlsでpop3接続出来ます。

以上、補足ですがバグ解明の足しになればと書き込みました。

_________________
Mozilla/5.0 (Windows NT 6.0; rv:32.0) Gecko/20100101 Firefox/32.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2014年7月26日(土) 13:07 
オフライン
Administrator

登録日時: 2005年6月23日(木) 23:29
記事: 2743
お住まい: 東京
Bugzilla で検索してみたところ、TLS/SSL 関連で Thunderbird 31 へのアップデート後に起きたとされるものは次の 2 つでした。

Bug 1036338 - TB ignores self-signed certificates since last week - SSL/TLS, STARTTLS connection doesn't work
Bug 1042647 - upgrading to TB31 breaks SSL connectivity

前者は自己署名証明書 (いわゆるオレオレ証明書) を受け付けないというもので、Firefox 31 と同様に証明書の検証器が変わったのが原因のようです。
Firefox 31 リリースノート さんが書きました:
mozilla::pkix が標準の証明書検証器となりました。(詳細はこちら)

後者は SSL 3.0 へのフォールバックがうまくいっていない印象を受けますが、まだ再現性が確認されていません。

_________________
[Desktop] Windows 10 Pro 22H2 (64bit) / Intel Core i7-2600 / Nvidia GeForce GTX 1650 GDDR6 / 32 GB Memory
[Laptop] Windows 10 Pro 22H2 (64bit) / Intel Core i5-520M vPro / Intel HD Graphics / 8 GB Memory
[Android] Android 13.0 (arm64) / Xperia 5 III (XQ-BQ42)
常用環境: Firefox ベータ版、リリース版 (Win64 x86-64, Android), Thunderbird ベータ版、リリース版 (Win64 x86-64)
テスト環境: Firefox (ESR, Nightly, Win64 x86-64, Android)

Cai/1.0 (Homo sapiens; N; Homo sapiens chemist; male; rv:0.0.4.2+)
-- いつまでたっても nightly
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0

通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2014年7月27日(日) 22:37 
昨日は会議室で缶詰になっており、1日空いてしまいました。

Cai さんが書きました:
オプション→詳細→一般→設定エディタで、security.tls.version.max を既定の 3 から 2 あるいは 1 にした場合に問題は解消するでしょうか?
security.tls.version.max: TLS/SSL の最高のバージョン (既定は 3)
security.tls.version.min: TLS/SSL の最低のバージョン (既定は 0)
3: TLS 1.2, 2: TLS 1.1, 1: TLS 1.0, 0: SSL 3.0


ご指摘通りに、設定を変えてみました。
3, 2, 1 と変更しても、いずれもダメでした。

Gmail, Windows Live等、大手のメールサービスは問題なく今まで通り接続できています。

もしかすると、NTTサーバー付属の証明書を、受け付けてくれないのでしょうかね。
Firefoxも、ベリサイン等の正式証明書でないと、赤い警告バーが消えないぐらい、厳しいので。

ただ、Thunderbirdの場合、アカウント設定名に、ドメイン名を流用する為、サーバー移転した際などに、アカウント名が重複すると、時としてjsonデーターベースが破損するんですよね。ですので、却って独自ドメインの正式証明書を取ると、社員のメールが全消失する危険があります。

保存フォルダ名にドメイン名を流用するのは正直辞めてほしいです。Account1とかにしてくれれば、事故が起きないのに。

_________________
Mozilla/5.0 (Windows NT 6.3; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2014年7月29日(火) 09:32 
オフライン
Administrator

登録日時: 2005年6月23日(木) 23:29
記事: 2743
お住まい: 東京
TLS/SSL の使用バージョンを変えても状況は変わらなかったのですね。
だとすると、やはり証明書検証器の違いによる可能性が高そうな気がします。
設定エディタから security.use_mozillapkix_verification = false とすることで、新しい証明書検証器から従来の (Firefox 30、Thunderbird 24.x、30.0beta までの) 検証器に戻すことができますが、これではいかがでしょうか?

_________________
[Desktop] Windows 10 Pro 22H2 (64bit) / Intel Core i7-2600 / Nvidia GeForce GTX 1650 GDDR6 / 32 GB Memory
[Laptop] Windows 10 Pro 22H2 (64bit) / Intel Core i5-520M vPro / Intel HD Graphics / 8 GB Memory
[Android] Android 13.0 (arm64) / Xperia 5 III (XQ-BQ42)
常用環境: Firefox ベータ版、リリース版 (Win64 x86-64, Android), Thunderbird ベータ版、リリース版 (Win64 x86-64)
テスト環境: Firefox (ESR, Nightly, Win64 x86-64, Android)

Cai/1.0 (Homo sapiens; N; Homo sapiens chemist; male; rv:0.0.4.2+)
-- いつまでたっても nightly
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0

通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2014年7月30日(水) 09:51 
オフライン

登録日時: 2006年9月05日(火) 18:47
記事: 4207
 
古い NTLM 認証の問題でもなければ、SSL/TLS のバージョンの違いでもなければ、証明書の
問題になるでしょうか?
Cai さんが、書かれているように、Firefox 31 と同様に、証明書の検証器が変更になったのと
併せて、表面化したように思われます。

送信できない送信サーバは、独自証明書(オレオレ証明書を含む)を使用しているか、不正な
証明書ではありませんか?
一般の大手のメールサービスが提供するプロバイダ(サーバ)では問題なく、特定のサーバや
独自サーバで起きている問題かと思われるからです。

証明書に関するヘルプガイドは、以下があります。
参照してみてください。

[参照ヘルプガイド]
証明書の設定を行う | Thunderbird ヘルプ
セキュリティ例外の追加 | Thunderbird ヘルプ
証明書に関する設定項目 | Thunderbird ヘルプ


【余談】
NTTホスティング利用者 さんが書きました:
ただ、Thunderbirdの場合、アカウント設定名に、ドメイン名を流用する為、サーバー移転した際などに、アカウント名が重複すると、時としてjsonデーターベースが破損するんですよね。ですので、却って独自ドメインの正式証明書を取ると、社員のメールが全消失する危険があります。

保存フォルダ名にドメイン名を流用するのは正直辞めてほしいです。Account1とかにしてくれれば、事故が起きないのに。

別途、新規トピックでやってください。
尚、このフォーラムは、単なる愚痴や文句を吐く場ではありませんので、ご注意を。
また、開発者へ要望する場でもありませんので、悪しからず。

_________________
Mozilla/5.0 (Windows NT 6.1; rv:34.0) Gecko/20100101 Firefox/34.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2014年7月31日(木) 18:27 
security.use_mozillapkix_verification;false で回避できました

https://wiki.mozilla.org/SecurityEngine ... rification

_________________
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2014年7月31日(木) 21:54 
オフライン
Administrator

登録日時: 2005年6月23日(木) 23:29
記事: 2743
お住まい: 東京
pappy さんが書きました:
security.use_mozillapkix_verification;false で回避できました

https://wiki.mozilla.org/SecurityEngine ... rification

やはり検証器の問題でしたか。
Firefox 33 以降では従来の検証器は完全に廃止され mozilla::pkix のみとなります。
Thunderbird の次のメジャーアップデートである 38 以降でも同様に mozilla::pkix のみとなります。
本質的にはサーバ証明書由来の問題ですから、サービス提供者である NTTホスティングさんに問い合わせて根本的な解決を図ってもらうしかないと思います。

_________________
[Desktop] Windows 10 Pro 22H2 (64bit) / Intel Core i7-2600 / Nvidia GeForce GTX 1650 GDDR6 / 32 GB Memory
[Laptop] Windows 10 Pro 22H2 (64bit) / Intel Core i5-520M vPro / Intel HD Graphics / 8 GB Memory
[Android] Android 13.0 (arm64) / Xperia 5 III (XQ-BQ42)
常用環境: Firefox ベータ版、リリース版 (Win64 x86-64, Android), Thunderbird ベータ版、リリース版 (Win64 x86-64)
テスト環境: Firefox (ESR, Nightly, Win64 x86-64, Android)

Cai/1.0 (Homo sapiens; N; Homo sapiens chemist; male; rv:0.0.4.2+)
-- いつまでたっても nightly
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0

通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2014年8月01日(金) 00:46 
NTTホスティング利用者 さんが書きました:
アカウント名が重複すると、時としてjsonデーターベースが破損する


kiki氏が批判していますが、実際の作業では、これにつまづく人、多いと思いますけどね。

今後、自己証明書がダメだとなると、正式な証明書をインストールする事になります。
当然、サーバー名が、借り物のドメインから、自分のドメインになります。
しかし、メールアドレスは同じ。

前のアカウントのサーバー設定を変更するのが正解ですが(それでも受信済み分はダブって到着しますが)

「アカウント追加」で操作する人が必ず出ます。
同じメールアドレスに、違うサーバー名を指定して、アカウントを追加してしまうと・・・
両方のアカウントが同一と判断され、連動を始めてしまうのです。

1つ目の設定を変更すると、2つ目も強制変更になるのです。

同じメールが二重に到着する事になり、片方のアカウントを「削除」したら・・・
何と 【両方のアカウントとも消滅】 するのです!!!

事前にプロファイルのバックアップを取っておかなければ、完全にアウトです。
ちなみに、同じ操作をもう1度行うと、同じメールが4つずつ到着します。

正式な証明書をインストールし、新しいサーバー設定を全員に送付したから、これで大丈夫。
・・・と思ったら、大事故になった、という上記事例を、退職した前任者に教わりました。

実は以前、FreeBSDの別のプランを使っていて、途中から独自ドメインの証明書をインストールして、事故が起きたそうです。
今のLinuxプランは、一応、自己証明書が付いて来た為、前回の失敗を教訓に、むやみにいじらずに、自己証明書のまま構築し、新人だった自分に引き継がれました。経理あがりなので、専門家ではないです。

プロは、素人操作と笑うかも知れませんが、失ったメールは帰って来ません。
メールアドレスを主キーと自動判断する仕様は、他のMUAには無い、Thunderbird独自のものです。
サーバー名変更を伴う操作を行う場合には、知っていて損はないと思ったから、敢えて書いたのです。

関連して起きるかも知れない、失敗例を、別のスレッドに追いやれば、同じミスをする初心者が出てしまいませんか?

そもそも、過去の事例を自分で検索しろ、は、答えになってないと思います。
それが探せるようなら、質問などしないでしょう。

Cai様のこの行がこそが回答ですよね。
> security.use_mozillapkix_verification = false

これを書いてくれない回答では意味がないので、kikiさんの文は、ほとんど読んでいません。
回答しないで批判だけするなら、願い下げですよ。

自分は、Shuriken使いで、Thunderbirdを使わないので、証明書検証器という言葉も初めて聞きました。キーワードが分からなければ、検索は無理です。

いずれにしても、NTTも、KDDIも、自己証明書です。ソフトバンクに至ってはクラウドしかやってないので、負荷の大きい中堅以上の企業ではとても使えません。ファーストサーバーが全データーを消失させたのは有名です。
Webはオプションで独自ドメイン証明書が使えますが、企業向けのホスティングは、故障を防ぐ為、メールの自己証明書は変更できないのが普通です。
小規模な所の方が、好きにいじれますが、1日数万通のメールが行き交う、100人以上の中堅企業向けのプランは、基本的に加工禁止。root 権限でいじったら、保守対象外にされます。

特に、NTTのBizホスティングに関しては、シリアスな変更が迫っています。
現サービスの2015年3月31日での廃止が決定、後継のサービスはroot権限がなくなります。
独自ドメイン証明書のインストールは、Webのみ。有料でも、メールの証明書変更は不可能です。つまり、自己証明書【しか】使えなくなります。しかも、Plain / Login ですから、SSL/TLSは必須です。

KDDIのプランも、実は開発元を辿ると、NTTと同じ業者が絡んでおり、恐らく、追随して来るはずです。
となると、今後、自己証明書を受け付けないThunderbirdは、ホスティングに頼る中堅の企業では、ほぼ利用不可能となります。
これが結論、ということになりますね。

親切に答えて頂いた、Cai様。ありがとうございました。
今後は、利用不可能になるという結論が出たので、上司に上申します。

_________________
Mozilla/5.0 (Windows NT 6.3; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2014年8月01日(金) 03:01 
夜勤の監視業務で、暇だったので、Netscape時代から愛用するTBのトピをのぞいていました。
31アップデートは、トラブル多いみたいで、検索キーワード最上位は不具合。(^^)

一番上にあったので、入ってみたら、こんなのが↓↓↓

NTTホスティング利用者 さんが書きました:
同じメールが二重に到着する事になり、


むかし解決しなかった、2通ずつ、2通ずつ、メールが届いてしまった症状って、これだったのかも。
要約ファイルじゃないか、datじゃないか、と言われて色々試したものの、結局解決しない内に、同じ質問が他にあるから閉鎖しますとか言われて、質問コーナーごと閉じられてしまいました。

仕方なく、アカウントを作り直して、フォルダを一つずつコピーしていった覚えがあります。
json破損ですか。KEY競合みたいな感じですかね。言われてみれば、その近辺で業者を変更した記憶があるような。

何か違う原因じゃないかと、ずっと思っていたのですが、2年ごしで解決したあっぽいです。
横レス失礼しました。

_________________
Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0


通報する
ページトップ
  
引用付きで返信する  
期間内表示:  ソート  
新しいトピックを投稿する トピックへ返信する  [ 12 件の記事 ] 

All times are UTC + 9 hours


オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[43人]


トピック投稿:  可
返信投稿:  可
記事編集: 不可
記事削除: 不可
ファイル添付: 不可

検索:
ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean