вторник, апреля 24, 2007

SMTP,SSL и «любимая» компания россиян МТС.


Microsoft предлагает для чтения почты OWA, Outlook RPC over HTTPS и ActiveSync. Вполне достаточно. Но для тех, кто не готов переломить себя и любит летучих мышей, админы настраивают POP3/IMAP4+отправку по SMTP. Хорошим тоном является, когда данные идут шифрованные. Мало ли.
Сегодня звонит пользователь – подрядчик и жалуется, что не может отправить почту. Принять может, а отправить нет. Подсоединяется мышью(The Bat) с лаптопа используя GPRS(MTS), отправляет по SMTP+SSL. При отправке возникает проблема. Говорит, что если использовать другого провайдера GPRS, например Beeline, то все работает. В чем проблема? Я ему и отвечаю, что если работает с другого провайдера, то проблема в провайдере. Проверил, действительно так. Проблема известная – файервол с их стороны блокирует SMTP команды.
Что такое писать письма большим компаниям знает каждый. Отправил и тишина.....

Но я все же подготовил вот такое письмо в МТС, хоть и не верил, что они что-то изменят.

Уважаемые господа,
В нашей компании обнаружена проблема отправки почты по протоколу SMTP+SSL при использовании подключения к Интернет через GPRS MTS. Ниже приводится кусок лога TheBat котором видно, что ответы SMTP сервера заменяются на XXX.
2007.04.04 21:09:28 : Negotiations for smtp (client side) started
2007.04.04 21:09:28 : 220 ****************************************.
2007.04.04 21:09:28 : 220 ****************************************.
2007.04.04 21:09:28 : EHLO localhost
2007.04.04 21:09:29 : 250-myserver.mydomain.ru Hello [217.74.245.67].
2007.04.04 21:09:29 : 250-XXXA.
2007.04.04 21:09:29 : 250-SIZE.
2007.04.04 21:09:29 : 250-ETRN.
2007.04.04 21:09:29 : 250-PIPELINING.
2007.04.04 21:09:29 : 250-DSN.
2007.04.04 21:09:29 : 250-ENHANCEDSTATUSCODES.
2007.04.04 21:09:29 : 250-8bitmime.
2007.04.04 21:09:29 : 250-BINARYMIME.
2007.04.04 21:09:29 : 250-XXXXXXXB.
2007.04.04 21:09:29 : 250-VRFY.
2007.04.04 21:09:29 : 250-XXC.
2007.04.04 21:09:29 : 250-XXXXXXXD.
2007.04.04 21:09:29 : 250-XXXXXXXXXXXXXXXXXXXXXXXE.
2007.04.04 21:09:29 : 250-XXXXXXXXXXXF.
2007.04.04 21:09:29 : 250-AUTH GSSAPI NTLM LOGIN.
2007.04.04 21:09:29 : 250-AUTH=LOGIN.
2007.04.04 21:09:29 : 250-XXXXXXXXXXXG.
2007.04.04 21:09:29 : 250-XXXXXXH.
2007.04.04 21:09:29 : 250 XI.
2007.04.04 21:09:29 : STARTTLS
2007.04.04 21:09:30 : 530 5.7.0 Must issue a STARTTLS command first.
2007.04.04 21:09:30 : Remote server is not RFC 2487 compliant
2007.04.04 21:09:30 : Protocol negotiation failed
2007.04.04 21:09:30 : Protocol negotiations failed
2007.04.04 21:09:30 : smtps finished (0 left)

Соединение через других провайдеров Интернет выглядит так:
2007.04.04 21:29:30 : Negotiations for smtp (client side) started
2007.04.04 21:29:31 : 220 myserver.mydomain.ru Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 ready at Wed, 4 Apr 2007 21:30:03 +0400 .
2007.04.04 21:29:31 : 220 myserver.mydomain.ru Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 ready at Wed, 4 Apr 2007 21:30:03 +0400 .
2007.04.04 21:29:31 : EHLO localhost
2007.04.04 21:29:31 : 250-myserver.mydomain.ru Hello [85.195.160.40].
2007.04.04 21:29:31 : 250-TURN.
2007.04.04 21:29:31 : 250-SIZE.
2007.04.04 21:29:31 : 250-ETRN.
2007.04.04 21:29:31 : 250-PIPELINING.
2007.04.04 21:29:31 : 250-DSN.
2007.04.04 21:29:31 : 250-ENHANCEDSTATUSCODES.
2007.04.04 21:29:31 : 250-8bitmime.
2007.04.04 21:29:31 : 250-BINARYMIME.
2007.04.04 21:29:31 : 250-CHUNKING.
2007.04.04 21:29:31 : 250-VRFY.
2007.04.04 21:29:31 : 250-TLS.
2007.04.04 21:29:31 : 250-STARTTLS.
2007.04.04 21:29:31 : 250-X-EXPS GSSAPI NTLM LOGIN.
2007.04.04 21:29:31 : 250-X-EXPS=LOGIN.
2007.04.04 21:29:31 : 250-AUTH GSSAPI NTLM LOGIN.
2007.04.04 21:29:31 : 250-AUTH=LOGIN.
2007.04.04 21:29:31 : 250-X-LINK2STATE.
2007.04.04 21:29:31 : 250-XEXCH50.
2007.04.04 21:29:31 : 250 OK.
2007.04.04 21:29:31 : STARTTLS
2007.04.04 21:29:32 : 220 2.0.0 SMTP server ready.
2007.04.04 21:29:32 : Protocol negotiation succeded

Продиагностировать проблему можно очень просто.Нужно набрать в командной строке: telnet server.mydomain.ru 25

И в приглашении набрать ehlo, затем starttls. Если соединение прошло успешно, то Вы увидите 220 2.0.0 SMTP server ready
Это будет выглядеть так:
220 myserver.mydomain.ru Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 ready at Fri, 13 Apr 2007 08:24:30 +0400ehlo250-myserver.mydomain.ru Hello [80.74.81.70]
250-TURN
250-SIZE
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250-TLS
250-STARTTLS
250-X-EXPS GSSAPI NTLM LOGIN
250-X-EXPS=LOGIN
250-AUTH GSSAPI NTLM LOGIN
250-AUTH=LOGIN
250-X-LINK2STATE
250-XEXCH50
250 OK
starttls220 2.0.0 SMTP server ready
Через Интернет это работает номально, если использовать GPRS MTS, то нет.
Через GPRS MTS это выглядит так:
220 **********************************************ehlo530 5.7.0 Must issue a STARTTLS command firststarttls530 5.7.0 Must issue a STARTTLS command first
Такая проблема возникает, когда в качестве firewall установлен Cisco PIX Firewall и на нем включена функция fixup. Об этом написано в статье http://support.microsoft.com/kb/295725/en-us.
Для нормального функционирования e-mail с мобильных устройств нашей компании, необходимо разрешить эту проблему.
Вы знаете и они ответили, через время, но МТС прислал такое письмо:По информации, полученной от наших тех. специалистов : "Сейчас и в ближайшее время произведена/и ещё произведётся перенастройка оборудования МТС, которая позволит использовать GPRS -Internet для доступа к их серверу".

Сообщите, произошли ли у Вас какие-либо изменения.

С уважением,
специалист ОРКК
Краснодар, МР "ЮГ", блок ПАО
ОАО "МТС"
___________________________

Сейчас все нормально работает. Вот такая вот история.

3 комментария:

Alexander Trofimov комментирует...

Павел, ну а чему удивляться? Вы не только грамотно пожаловались, Вы им еще объяснили в чем проблема. Единственное, что не было сделано, так это Вы не приехали и не починили все сами =)
А отвечать в последнее время на письма и на всяческий другой abuse провайдеры стали намного чаще, оперативнее и конструктивнее - сам заметил.

rakodin комментирует...

Тут проблема не в том, что Cisco или не Cisco, а в том, что они читают нашу почту и не хотят себе в этои отказывать....
Если внимательно прочитать пролагаемую статью про PIX, то симптомы, которые в ней описаны, не совсем совпадают с теми, которые есть на самом деле.
А на самом деле, почта без TLS ходит нормально. А вот команда STARTTLS заменяется на XXXXXX (чтобы шифрование было не применить).....

Pavel Nagaev комментирует...

Они же потом прислали письмо, что все исправлено и мы проверили. Значит почту уже не почитаешь.

А вот Билайн в Москве выпендрился, у них 25 порт редиректится на свой SMTP шлюз, который SSL не понимает. Вот это жесть :-0
Но они тоже поправили.