GMAILで「メールの配信エラー」 TLS Negotiation Failed

独自ドメインを設定したレンタルサーバーのメールアドレスを、Gmailに設定して活用している人も多いと思います。
例えば、さくらのレンタルサーバーは、ウェブメールサービスでHTMLメールの閲覧ができないので、Gmailが代わりにそれを行ってくれるのは、本当に便利です。
また、Gmailの迷惑メール判定機能も素敵な機能です。

短所としては、Gmailからレンタルサーバーへの受信間隔を自分の希望の間隔に変更できない(間隔は数分から30分くらいと長い)とか、レンタルサーバーのメールボックスからの削除は「する」か「しない」のどちらかしかない(受信から○日以上経過したメールは削除という機能がない)などがありますが、まあ、それを補って余りあるメリットがあると思います。

そんな便利なGmailの「他のメルアドの受信ができる」機能にあわせて、そのアドレスを送信元としてメール送信するために、「名前」機能で、そのレンタルサーバーのSMTPサーバーを使う設定をしている人も多いと思いますが、そのメルアド宛にもらったメールに返信しようとすると、「メールの配信エラー」というエラーで送信できなくなったことはありませんか?

「メールの配信エラー」にはいくつかの原因の可能性がありますが、今回は、

TLS Negotiation Failed, the certificate doesn't match the host.

というエラーについての解説です。

送信できなかったことは、Mail Delivery Subsystemという差出人からの、

メール配信エラー
[名前] の機能を使用して、別のアドレスまたは別のエイリアスからこのメールを送信しようとしています。[名前] のアカウントの設定に誤りがあるか、設定が最新の状態ではありません。
設定を確認して、もう一度送信してみてください。

というメールでわかるわけですが、重要なのは、そのメッセージの下に書いてある「応答」欄の英文です。

gmail_tls_negotiation_failed_1.jpg

今回は、

TLS Negotiation Failed, the certificate doesn't match the host.

についてですが、この意味はというと、

TLSの照合エラーです。証明書がホスト名と一致していません。

といったところで、
何がいけないのかというと、下図の①に指定したホスト名がだめなのです。

gmail_tls_negotiation_failed_2.jpg

このエラーが発生する人は、「名前」ブロックの該当アドレスの設定を確認してみてください。
(歯車→すべての設定を表示→「アカウントとインポート」タブの「名前」ブロック)

たとえば、独自ドメインが example.com であったとすると、
その独自メイン example.com、または、mail.example.com と設定してあったら、それは間違いです。
さくらのレンタルサーバーでは、契約時に初期ドメイン XXXXXX.sakura.ne.jp というものが提供されますが、その初期ドメインを①の部分に指定します。
XServerなら、svXXXXX.xserver.jp という感じの文字列です。

設定前に、メールのパスワードを確認しておきましょう。

ぐっどらっこ。

建設業界をターゲットにするウイルスメール Emotet と感染チェックツール

最近、Emotetというウイルスメールが流行っています。
これが、非常に巧みに細工されているメールなのです。
特に、建設業、不動産業などに多く見られます。
実際、こんなメールを受け取りました。(下の方の図は、実際のメールに添付されていたファイルをandroidスマホで開いたときの画面です)

emotet3.png

emotet1.png

・絶妙なタイミング(月末近くに請求に関する情報)
・本文には、添付を開かせるためのあいまいな表現
・添付ファイル名には当月の日付が設定されている
・流暢(りゅうちょう)な日本語(でもちょっと変)
・取引先の担当者の名前が送信者になっていたり、メール本文にその署名がある(しかも日本語)
・Wordの添付ファイル
・よく見れば、送信者のメールアドレスは署名の人とは別物

最近のマイクロソフト オフィスのファイルは、規定でマクロが無効になっていて、「コンテンツの有効化」というボタンを押さなければ、今のところは大丈夫です。
もし、「コンテンツの有効化」をクリックしてしまったら、かなりの確率でEmotetウイルスに感染します。

emotet2.png

一般社団法人 JPCERT コーディネーションセンターが、これについて詳細なレポートを掲載しています。
https://www.jpcert.or.jp/newsflash/2020090401.html

もし、ワード文書を開き、「コンテンツの有効化」をクリックしてしまったという心当たりがある人は、

マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html


「2. Emotet の感染有無を確認するためにはどうすればよいですか?」というセクションにある
から感染チェックツールをダウンロードして、感染有無のチェックを行ってくだい。
https://github.com/JPCERTCC/EmoCheck/releases (←Emotet 感染チェックツール)

このFAQページには、とても具体的にワードファイルの表示内容や対処の方法について記載されています。

ひとごととは思わず、明日は我が身と思って、日々のメールへの対処を行ってください。
辻さん、根岸さん、piyokangoさんもそう言っています。(笑)
https://www.tsujileaks.com/?p=676

ぐっとらっこ。

pixel3をandroid11にアップデートした話

pixel3を、Android 11にアップデートしましたが、全く問題ありませんでした。

Screenshot_20200910-170515.png

あまり、ハードな使い方はしていませんが、
電話
カメラ
Googleの各種アプリ
おサイフケータイ関係
マルチユーザー
などなど、問題はおきていません。

アップデート作業は、ダウンロードから使えるようになるまで15分くらいでした。(ネットは遅いほうです)

ぐっどらっこ。

パソコン起動時、ネットワークドライブの割り当てが失敗する(UPDATE 2004編)

2004にアップデートしたWindows 10のパソコンで、ファイルサーバーやNASに割り当てたドライブレターにアクセスすると、エラーで開けなくなることがあるようです。
よくよく調べてみると、エラーは、パソコン起動時のネットワークドライブの割り当て時に発生していました。
「ネットワーク接続の復元 Z:を次に接続しようとしてエラーが発生しました」のようなエラーが、パソコン起動時に表示されます。
そして、そのドライフには赤いバツ印がついています。

cannot_map_network_drive_V2004_Windows10-1.png

以下は、その解決用法ですが、
・ドライブレターに割り当てるネットワークパスがわからない人(エラーで赤いバツのついたドライブのプロパティを見ればわかります)
・共有ファイルアクセスのためのユーザー名やパスワードがわからない人
・レジストリエディタの使い方を知らない・使ったことがない人
は、Windows Updateで解決用のパッチが出るのを待ちましょう。私は一切の責任を持ちません。

では、手順の説明です。

1.問題のネットワークドライブの割り当てを解除する。削除前にネットワークパスやドライブレターをメモしておきましょう。

cannot_map_network_drive_V2004_Windows10-2.png

2.レジストリエディタを起動して、
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU
内の以下のエントリーを削除・修正する。
・名前が今回問題のパスを指す、aやbなどとなっている行を削除
・名前がMRUListのエントリーから、今回問題となっているエントリーのaやbの文字を削除(それを削除すると、データが無くなる場合はMRUListそのものを削除)

cannot_map_network_drive_V2004_Windows10-4.png

3.1で解除したネットワークドライブを改めて割り当てる。

cannot_map_network_drive_V2004_Windows10-3.png

4.レジストリエディタを起動して、
例えば、3で割り当てたネットワークドライブのドライブレターがZの場合は、
HKEY_CURRENT_USER\Network\Z に
DWORD(32ビット) で ProviderFlags という名前で「1」(10進)のエントリを新規に作成する。

5.パソコンを再起動する。

これでパソコン起動時にエラーなくネットワークドライブの割り当てができるはずです。
MSさん、早く修正パッチを出してください。

ぐっっどらっこ。

Y&K 直江津にあるめっちゃおいしいローストビーフドン!

今日のお昼は、豪華にローストビーフ丼。
温玉を載せてみました。

IMG_20200909_143607.jpg

手元に届いてから、所用のために1時間くらい放置してしまい、赤みがなくなってしまいましたが、味は絶品です。

お近くへお越しの際はぜひご賞味くださいませ。

残念ながら、電話番号がわかりません。Twitter、インスタがあるので、そちらからコンタクトしてみてください。

Twitter @YandK0626
https://twitter.com/YandK0626?s=20

Instagram @y_and_k.joetsu
https://www.instagram.com/y_and_k.joetsu/

ぐっどらっこ。

古いandroid端末にLet's Encryptの新しいルート証明書を手動で設定する方法

古いandroid端末へ、Let's Encryptの新しいルート証明書「ISRG Root X1」を手動でインストールする手順のお話です。
これは、Googleさんとしてはしてほしくないことなのではないかと想像します。(「古い端末はセキュリティ的に危険だから、新しいandroid端末を買って使ってよ!」の意味)

・android 5以上が前提です。4以下はTLS 1.2に対応していないので諦めましょう。
・あらかじめ「ダウンロード」フォルダに「ISRG Root X1」証明書をダウンロードしておきましょう。
 https://letsencrypt.org/certs/isrgrootx1.pem.txt


androidのバージョンによって機能の表示名が違っているかもしれません。
以下はXperia SGP311のandroid 5.1.1(日本では非公式)のスクショです。

1.設定→セキュリティから「機器メモリーかSDカードからインストール」をタップ。

letsencrypt_root_certificate_change02.png

letsencrypt_root_certificate_change03.png

2.ファイル選択画面が表示されるので、あらかじめダウンロードしておいた「ISRG Root X1」証明書をタップ。

letsencrypt_root_certificate_change04.png

3.「証明署名」に半角で任意の証明書名を入力後、OKをタップ。

letsencrypt_root_certificate_change05.png

以上で証明書のインストールは完了です。

https://valid-isrgrootx1.letsencrypt.org/
へアクセスし、エラーなくページが表示されることを確認します。

letsencrypt_root_certificate_change06.png

ルート証明書は↓な感じです。

letsencrypt_root_certificate_change07.png

注意点が1つ。
OSが管理している証明書ではないので、時々、「ネットワーク監視」の警告メッセージが表示されます。これが、自分が入れた証明書に関するものであれば気にしないでよいです。

letsencrypt_root_certificate_change08.png

ぐっどらっこ。

Let's Encryptのルート証明書が更新される件と古いandroid端末

Let's Encryptが提供する無料のSSL証明書は本サイトでも利用しています。
そして、Let's Encryptは、Let's Encryptの独自のルート証明 ISRG Root X1へ2020年9月29日に変更することを以前から表明しています。

本サイトのサーバー、さくらインターネットでは、2021年6月頃までは、これまでの「DST Root X3」のルート証明書を利用できる中間CA証明書を利用する設定を維持するとのことですので、2021年6月頃まではクライアントには何も影響はありません。

なぜ2021年6月頃かというと、「DST Root X3」のルート証明書の期限が2021年9月30日だからです。
いくら中間CA証明書で「DST Root X3」を利用できるようにしてあっても、「DST Root X3」の期限が切れてしまっては意味がありません。

というわけで、2021年9月30日以降は、「DST Root X3」ルート証明書+中間CA証明書でも、証明書としては機能しなくなってしまうわけです。

で、上記の話がどんな問題をもたらすかというと、

android 7.1.1(7.1.1はOK)より古いandroid OSにはISRGルート証明書が入っていないので、
この新しいルート証明書を使っているサーバーへアクセスすると、例えばChromeブラウザでは、
 NET::ERR_CERT_AUTHORITY_INVALID
というエラー画面が最初に表示されてしまう。

という現象が発生していまいます。

letsencrypt_root_certificate_change01.png

現在でも、
 https://valid-isrgrootx1.letsencrypt.org/
へアクセスすることで、新しい「ISRGルート証明書」を使ったサイトへのアクセスの確認ができます。

参考:androidのリリース一覧。
 https://developer.android.com/about/dashboards

解決方法は2つです。いずれもクライアント側の対応です。

1.新しいISRGルート証明書を手動でインストールする。
 https://letsencrypt.org/certificates/ の「ISRG Root X1 (self-signed)」からダウンロードして、手動でインストールする。
 android端末への証明書の手動のインストール方法はこちら

2.ブラウザにFirefoxを利用する。
 Firefoxでは、OSの管理する証明書は使わず、独自のルート証明書群(ルートストア)を使うので、そこに「「ISRG Root X1」は入っているので問題なし。(以下はバージョン68で実験。ISRGのルート証明がOS管理下になくてもエラーなく表示)

letsencrypt_root_certificate_change09.png

ここでは、古いandroid OSのセキュリティ云々には触れないでおきます。
あくまでも自己責任で。

ぐっどらっこ。

Outlookのテキスト形式メールの文字列の最大値が132で、それより大きくできない時

私は、Outlookからメールを送るときはテキスト形式で送っています。
最近になって、ウェブ会議をしようとURLを送った時、それを受け取った相手がウェブ会議にうまく参加できないケースが何度か発生して、なんでだろう?と思って調べていたら、Outlookで送信するメールの本文が132文字で必ず改行が入ってしまっていて、これが原因で正しいURLにアクセスできていないことが原因でした。

じゃあ132より大きい値に設定すればいいじゃん!ということなのですが、Outlookのオプション設定の画面では132より大きい値を指定することができません。Outlook 2016、2019、365、みーーんなできません。

レジストリを変更すればOKということなので、やってみました。

レジストリエディタを起動し、
コンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\MailSettings
というキーに
 PlainWrapLen
という値がありますので、このデータを変更します。
今回は、10進の1024 にしました。

outlook_text_max_length1.png

レジストリエディタ終了後に確認したOutlookのオプション画面は以下のような感じです。

outlook_text_max_length2.png

この値を大きくしたことで、何か他の問題が起きないかドキドキな今日このごろです。

ぐっどらっこ。

「首都感染」 著:高嶋哲夫

今、話題の本です。
2010年12月に初版の本ですが、まるで今回の新型コロナウイルスの感染の様を予言しているかのような本です。
2013年には文庫化されています。

book_syutokansen.jpg

感染の状況はとてもリアルです。ドラマ的な味付けもされていて、テンポよく読み進められます。
この夏休みにおすすめ1冊です。

ぐっどらっこ。