もう一週間も前の話しだけど、Gmailで受信エラーがおきて、数日したら送信エラーにもなっちゃったのでしかたなく対応したときのメモがでてきたので、あげておきます。そんときゃググっても情報でてこなかったので。いまさらだけど。
gmailで独自ドメインのメールを送受信してたんですが、4/8にTLSまわりでセキュリティ強化があったらしくどうもそれに巻き込まれたようです。
最近、chromeでもhttpsで証明書が有効なのにエラーになってるサイトとかあって、なんだろうなとおもってたんだけど、SSLまわりの強化強めてるみたいですね。こういうご時世だからしょうがないか。多分段階的にあちこちあがってくるとおもうので、順次という感じでしょう。
かれこれ10年ぐらいGmailを使っていて、その前は自分の仕事用のメールとかはBeckyとかをつかってました。ファイヤーバードだっけ?な時期もありましたが。で、ドメインメールは、Gmail側でメールサーバーに問い合わせして定期的に取得するようにしていました。転送にしないのは会社の返信メールとかで自分のgmailアカウントとかが載るのが嫌だからです。
結果としてやはりSSL周りの強化で、popとsmtpの設定を変えることで対応しました。
それまでの構成
独自ドメイン(お名前.com)のメールをシェアードサーバー(さくらインターネット)経由でGoogleのGmailで取得
構成はもうずいぶん長いこといじってない。
何もしてないのに壊れたー!! 状態なんですが、何もしてないから壊れたパターン。
受診時に発生するようになったエラー
サーバーから返されたエラー: "SSL error: ok Hostname "mail.自分のドメイン.com" doesn't match any SANs: "*.sakura.ne.jp", "*.180r.com", "*.2-d.jp", "*.achoo.jp", "*.amaretto.jp", "*.bona.jp", "*.chew.jp", "*.crap.jp", "*.daynight.jp", "*.deko8.jp", "*.dojin.com", "*.eek.jp", "*.flop.jp", "*.from.tv", "*.fubuki.info", "*.gokujou.biz", "*.grats.jp", "*.grrr.jp", "*.halfmoon.jp", "*.ivory.ne.jp", "*.jeez.jp", "*.jpn.org", "*.kirara.st", "*.kokage.cc", "*.mail-box.ne.jp", "*.matrix.jp", "*.mimoza.jp", "*.mints.ne.jp", "*.mokuren.ne.jp", "*.nazo.cc", "*.netgamers.jp", "*.noob.jp", "*.nyanta.jp", "*.o0o0.jp", "*.opal.ne.jp", "*.rash.jp", "*.razor.jp", "*.rdy.jp", "*.rgr.jp", "*.rojo.jp", "*.rossa.cc", "*.rulez.jp", "*.rusk.to", "*.saikyou.biz", "*.sakura.tv", "*.sakuratan.com", "*.sakuraweb.com", "*.saloon.jp", "*.silk.to", "*.skr.jp", "*.spawn.jp", "*.squares.net", "*.sumomo.ne.jp", "*.tank.jp", "*.thyme.jp", "*.topaz.ne.jp", "*.uh-oh.jp", "*.undo.jp", "*.websozai.jp", "*.whoa.jp", "*.x0.com", "*.x0.to", "*.xii.jp""送信時に発生するようになったエラー
“TLS Negotiation failed, the certificate doesn’t match the host.”
サーバーから返されたエラー「SSL error: unable to verify the first certificate」
対応
年間1000円ぐらいのSSLに契約しているのですが、多分これがサブドメインに対応してないんですね。
ググったけど出てこなかったんで、昔の設定方法かもしれないんですが、popとsmtpの設定を
mail.独自ドメイン.com
smtp.独自ドメイン.com
で、アクセスさせにいっていました。
昔はサブドメインでサーバー設定されていたのですが今はされてないのでしょうか?? 設定マニュアルからもいつのまにか消えていました。
昔の設定のままの人のためにポートなどはサクラ側で残しておいてくれてたのかもしれません。
SSLがなかった時代はこれでエイリアスがあったからよかったのでしょうが、厳密にSSL経由でのみアクセスさせようとすればエラーになるのもわかりますね。
サブドメインのワイルドカードまで使えるSSLは高いのでケチった結果とも言えます。
なので、送受信については共有SSLをつかうことにしました。
サーバーアカウント.sakura.ne.jp
Googleにもたせていたメールアカウントのパスワードとかは忘れてしまっていたので再発番。 なんかそれでアクセスできる設定になってるなら、popもsmtpも独自ドメイン.comだけにすりゃ自前SSLだけでアクセスできるような気もするのだけど、サクラのマニュアルに書いてなかったのでやりなおすのもめんどくさいので、別にメールは共有SSLでいいやーとなった次第であります。
さんこう
デフォルトの TLS およびその他の新機能を使って Gmail のメール セキュリティを強化する
2020年4月8日水曜日
gsuiteupdates-ja.googleblog.com/2020/04/tls-gmail.html