Net::SMTP

Net::SMTP Net::SMTP Nagano.rb #6 2020-11-28 とみたまさひろ 1

自己紹介自己紹介とみたまさひろ ←投げ銭はこちら MySQL / メール / 文字化け富士通クラウドテクノロジーズ勤務
https://twitter.com/tmtms https://tmtms.hatenablog.com https://zenn.dev/tmtms 2

SMTP SMTP Simple Mail Transfer Protocol (1982) → (2001) →
(2008) メールメッセージ形式は → → ポート番号は 25 (smtp) RFC 821 2821 5321 RFC 822 2822 5322 3

% nc smtp.example.com 25 ← 220 smtp.example.com ESMTP Postfix →
EHLO client.example.net ← 250-smtp.example.com 250-PIPELINING 250-SIZE 102400000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH DIGEST-MD5 NTLM CRAM-MD5 PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250-DSN 250 SMTPUTF8 4

→ MAIL FROM:<[email protected]> ← 250 2.1.0 Ok → RCPT TO:<[email protected]>
← 250 2.1.5 Ok → RCPT TO:<[email protected]> ← 250 2.1.5 Ok → DATA ← 354 End data with <CR><LF>.<CR><LF> → From: [email protected] To: [email protected] Cc: [email protected] Subject: test message body . ← 250 2.0.0 Ok: queued as F074F9FB0E → QUIT ← 221 2.0.0 Bye 5

古き良き時代 6

迷惑メール 7

不正中継防止不正中継防止 8

直接迷惑メールを送りつけてくるやつ対策直接迷惑メールを送りつけてくるやつ対策 Outbound Port 25 Blocking (OP25B) 接続元のプロバイダーが外向けの25ポートをブロックプロバイダーが用意したメールサーバー経由でしか外にメールを送れない
受信と送信(中継)の分離 9

受信(MX) 受信(MX) TCP 25番ポート自分宛のものしか受け付けない一般ユーザーからは来ない怪しいクライアントは拒否（設定次第）送信者ドメインのSPFに登録されているか IPアドレスを逆引き＆正引きして元のIPアドレスになるか
EHLO名がDNS上に存在しているか 10

送信(中継) 送信(中継) TCP 587番ポート(submission) TCP 465番ポート(smtps, submissions) どこ宛でもOK 信頼できるクライアントからしか受け付けないローカルネットワークのクライアント
認証が通ったクライアント 11

SMTP認証 SMTP認証メール送信時に認証が必要な場合 PLAIN はユーザー名とパスワードを Base64 しただけの平文 CRAM-MD5 等を使えば Challenge-Response
方式の暗号化もできるけどサーバー内に平文のパスワードを保持しておかないといけないのがイマイチ → AUTH PLAIN dXNlcm5hbWUAdXNlcm5hbWUAcGFzc3dvcmQ= ← 235 2.7.0 Authentication successful 12

通信暗号化(STARTTLS) 通信暗号化(STARTTLS) SMTP 接続後に STARTTLS 命令を発行するとそれ以降 TLS での暗号化通信になる (465番ポートは接続時からTLS)
← 220 smtp.example.com ESMTP Postfix → EHLO client.example.net ← 250-smtp.example.com 250-STARTTLS ... → STARTTLS ← 220 2.0.0 Ready to start TLS --- ここから TLS 通信 --- → EHLO client.example.net ← 250-smtp.example.com ... → AUTH PLAIN dXNlcm5hbWUAdXNlcm5hbWUAcGFzc3dvcmQ= ← 235 2.7.0 Authentication successful 13

暗号化通信は手動ではできないので openssl を使う % openssl s_client -connect smtp.example.com:587 -starttls smtp
...STARTTLS まで自動でやってくれる... --- ここから TLS 通信 --- → EHLO client.example.net ← 250-smtp.example.com ... 14

TLS証明書の検証 TLS証明書の検証オレオレ証明書とか期限切れ証明書はエラーにしたい % openssl s_client -connect smtp.example.com:587 -starttls smtp
-verify_return_error ... Verification error: certificate has expired --- New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384 Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 10 (certificate has expired) --- % 15

証明書ホスト名の検証証明書ホスト名の検証証明書が正しくても自分がアクセスしてるサーバー用の証明書じゃないかもしれない接続先に指定した文字列とは異なるサーバー名を使いたいこともある(テストとかで) % openssl s_client -connect
smtp.example.com:587 -starttls smtp -verify_return_error -verify_hostname smtp.example.com % openssl s_client -connect 192.168.11.22:587 -starttls smtp -verify_return_error -verify_hostname smtp.example.com 16

ここから Ruby の話ここから Ruby の話 17

Net::SMTP Net::SMTP めっちゃ簡単 require 'net/smtp' Net::SMTP.start('smtp.example.com', 25) do |smtp| smtp.send_message(<<EOS,
'[email protected]', '[email protected]', '[email protected]') From: [email protected] To: [email protected] Cc: [email protected] Subject: test message body EOS end 18

SMTP認証 SMTP認証ユーザー名とパスワードを指定したいだけなのに EHLO 名を書かないといけないのがイマイチ認証が必要なのは送信サーバーに送信するときその場合は EHLO 名は重要ではないはずデフォルトだとTLSじゃないんだけど
デフォルトの認証方式は PLAIN = 平文 Net::SMTP.start('smtp.example.com', 587, 'client.example.net', 'username', 'password') do |smtp| ... end 19

STARTTLS STARTTLS Net::SMTP は start よりも前に enabel_starttls が必要なのがイマイチ smtp =
Net::SMTP.new('smtp.example.com', 587) smtp.enable_starttls smtp.start('client.example.com', 'username', 'password') do ... end 20

TLS(465番ポート) TLS(465番ポート) enabel_starttls じゃなくて enable_tls enable_starttls と enable_tls 両方指定するとエラー smtp
= Net::SMTP.new('smtp.example.com', 465) smtp.enable_tls smtp.start('client.example.com', 'username', 'password') do ... end 21

証明書の検証証明書の検証デフォルトでは検証しないかなりダメな感じになってきた… smtp = Net::SMTP.new('smtp.example.com', 587) context =
OpenSSL::SSL::SSLContext.new context.set_params(verify_mode: OpenSSL::SSL::VERIFY_PEER) smtp.enable_starttls(context) smtp.start('client.example.com', 'username', 'password') do ... end 22

証明書ホスト名の検証証明書ホスト名の検証デフォルトでは証明書の検証をしないのになぜかホスト名の検証だけはしてる(バグっぽい) Net::SMTP は常に #start() の第1引数の文字列を使うので別のサーバー名を使うことはできない smtp
= Net::SMTP.new('192.168.11.22', 587) context = OpenSSL::SSL::SSLContext.new context.set_params(verify_mode: OpenSSL::SSL::VERIFY_PEER) smtp.enable_starttls(context) smtp.start('client.example.com', 'username', 'password') #=> hostname "192.168.11.22" does not match the server # certificate (OpenSSL::SSL::SSLError) 23

ということでのコミット権をもらった Net::SMTP は Ruby 2.7 から Gem になってる
https://github.com/ruby/net-smtp/ 24

キーワード引数化キーワード引数化 ↓ EHLO名を指定しなくても認証情報を指定可能 Net::SMTP.start(hostname, port, helo_name, username, password, authtype)
Net::SMTP.start(hostname, port, helo: helo_name, user: username, password: password, authtype: authtype) 25

デフォルトで STARTTLS を使用デフォルトで STARTTLS を使用非互換！非互換！サーバーが対応していれば自動的に STARTTLS
を使用 Net::SMTP.start(hostname, port) { ... } → EHLO client.example.net ← 250-smtp.example.com 250-PIPELINING 250-SIZE 102400000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH DIGEST-MD5 NTLM CRAM-MD5 PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250-DSN 250 SMTPUTF8 26

STARTTLS を使用したくない場合はちょっと面倒 smtp = Net::SMTP.new(hostname, port) smtp.disable_starttls smtp.start { ...
} 27

デフォルトでTLS証明書を検証デフォルトでTLS証明書を検証非互換！非互換！検証したくない場合(テストとか)は tls_verify: false を指定 Net::SMTP.start(hostname, port,
tls_verify: false) { ... } 28

デフォルトでホスト名を検証デフォルトでホスト名を検証これは今までどおり証明書を検証しない時はホスト名も検証しない(バグ修正) 接続用の名前と異なるホスト名で検証したい場合は tls_hostname で指定 Net::SMTP.start('192.168.11.22', 587, tls_hostname:
'smtp.example.com') { ... } 29

net-smtp gem net-smtp gem Ruby 2.7 の人はこれで使える正当な TLS 証明書を持ってないサーバーへの接続が
エラーになる可能性ありオレオレ証明書とか % gem install net-smtp 30

順調にいけば Ruby 3.0 に入るかな順調にいけば Ruby 3.0 に入るかな 31

おわりおわり 32

Net::SMTP

Net::SMTP

とみたまさひろ

More Decks by とみたまさひろ

Other Decks in Technology

Featured

Transcript

Net::SMTP Net::SMTP Nagano.rb #6 2020-11-28 とみたまさひろ 1

自己紹介自己紹介とみたまさひろ ←投げ銭はこちら MySQL / メール / 文字化け富士通クラウドテクノロジーズ勤務

SMTP SMTP Simple Mail Transfer Protocol (1982) → (2001) →

% nc smtp.example.com 25 ← 220 smtp.example.com ESMTP Postfix →

→ MAIL FROM:<[email protected]> ← 250 2.1.0 Ok → RCPT TO:<[email protected]>

古き良き時代 6

迷惑メール 7

不正中継防止不正中継防止 8

送信(中継) 送信(中継) TCP 587番ポート(submission) TCP 465番ポート(smtps, submissions) どこ宛でもOK 信頼できるクライアントからしか受け付けないローカルネットワークのクライアント

SMTP認証 SMTP認証メール送信時に認証が必要な場合 PLAIN はユーザー名とパスワードを Base64 しただけの平文 CRAM-MD5 等を使えば Challenge-Response

通信暗号化(STARTTLS) 通信暗号化(STARTTLS) SMTP 接続後に STARTTLS 命令を発行するとそれ以降 TLS での暗号化通信になる (465番ポートは接続時からTLS)

暗号化通信は手動ではできないので openssl を使う % openssl s_client -connect smtp.example.com:587 -starttls smtp

TLS証明書の検証 TLS証明書の検証オレオレ証明書とか期限切れ証明書はエラーにしたい % openssl s_client -connect smtp.example.com:587 -starttls smtp

ここから Ruby の話ここから Ruby の話 17

Net::SMTP Net::SMTP めっちゃ簡単 require 'net/smtp' Net::SMTP.start('smtp.example.com', 25) do |smtp| smtp.send_message(<<EOS,

STARTTLS STARTTLS Net::SMTP は start よりも前に enabel_starttls が必要なのがイマイチ smtp =

TLS(465番ポート) TLS(465番ポート) enabel_starttls じゃなくて enable_tls enable_starttls と enable_tls 両方指定するとエラー smtp

証明書の検証証明書の検証デフォルトでは検証しないかなりダメな感じになってきた… smtp = Net::SMTP.new('smtp.example.com', 587) context =

ということでのコミット権をもらった Net::SMTP は Ruby 2.7 から Gem になってる

キーワード引数化キーワード引数化 ↓ EHLO名を指定しなくても認証情報を指定可能 Net::SMTP.start(hostname, port, helo_name, username, password, authtype)

デフォルトで STARTTLS を使用デフォルトで STARTTLS を使用非互換！非互換！サーバーが対応していれば自動的に STARTTLS

STARTTLS を使用したくない場合はちょっと面倒 smtp = Net::SMTP.new(hostname, port) smtp.disable_starttls smtp.start { ...

デフォルトでTLS証明書を検証デフォルトでTLS証明書を検証非互換！非互換！検証したくない場合(テストとか)は tls_verify: false を指定 Net::SMTP.start(hostname, port,

net-smtp gem net-smtp gem Ruby 2.7 の人はこれで使える正当な TLS 証明書を持ってないサーバーへの接続が

順調にいけば Ruby 3.0 に入るかな順調にいけば Ruby 3.0 に入るかな 31

おわりおわり 32