telnet your.server.host 25
ehlo test

Что дает на выходе?

ehlo test
250-myserver
250-AUTH=LOGIN CRAM-MD5 PLAIN
250-AUTH LOGIN CRAM-MD5 PLAIN
250-STARTTLS
250-PIPELINING
250 8BITMIME

Хочу еще раз обратить внимание, что подобная ситуация возникает только с gmail. Точнее сказать пока замечена только с gmail. С других доменов все идет нормально.

tcpdump -p -s 0 -w /tmp/dumpgmail net 209.85.213

Замечательно. Теперь то же, только лучше:

telnet your.server.host 25
ehlo test
starttls

И результат сюда.

ehlo test
250-***
250-AUTH=LOGIN CRAM-MD5 PLAIN
250-AUTH LOGIN CRAM-MD5 PLAIN
250-STARTTLS
250-PIPELINING
250 8BITMIME
starttls
220 ready for tls

> tcpdump -p -s 0 -w /tmp/dumpgmail net 209.85.213

в логе нашел вот это

54 TLS connection failed: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher (#4.3.0)

Клиентом со включенным TLS письмо сам себе отправить можешь?
И что там у кумейла с расширенным логированием, надо бы включить да почитать.

> Клиентом со включенным TLS письмо сам себе отправить можешь? И что там у кумейла с расширенным логированием, надо бы включить да почитать.

Отправка при помощи TLS не удалась. Ответ Сервер SMTP заявляет о поддержке TLS, но согласование завершилось неудачей. Вы можете запретить использование TLS в диалоговом окне настройки учётной записи SMTP.

суть проблемы мне стала ясна.

Подскажите, верно ли поступлю если просто отключу TLS в qmail? Или лучше все же таки найти причину неправильной его работы?

Подскажите, верно ли поступлю если просто отключу TLS в qmail?

Нет, не верно. Всегда надо искать и устранять причину проблемы, а не прятать голову в песок.

qmail какой версии?

Да откуда ж мне знать, что там за сервер и насколько страшно принимать им нешифрованную почту.

Быстрый гуглёж принес мне вот что:

I upgraded one server from Mandriva 2007.0 to 2007.1 and noticed that doing this:

openssl ciphers > /var/qmail/control/tlsclientciphers openssl ciphers > /var/qmail/control/tlsserverciphers

helps if you are getting: 454 TLS connection failed: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher (#4.3.0)

Вот обсуждение по теме.
https://www.tnpi.net/support/forums/index.php?topic=802.0

Я бы на вашем месте взял бы исходный qmail, наложил бы на него те патчи, что использовались в старом, но новых версий и, скорее всего это проблема решится.

Сам я пользуюсь исключительно qmail-ldap, там таких проблем нет.

Поправлюсь:

openssl ciphers > /var/qmail/control/tlsclientciphers
openssl ciphers > /var/qmail/control/tlsserverciphers

> qmail какой версии? Version : 1.03

> Быстрый гуглёж принес мне вот что

Да я попробовал этот шаманский трюк и он сработал.

На будущее - я спрашивал не про базовую версию, а про то, какие патчи наложены, потому что исходный qmail 1.03 про ssl/tls ничего не знает.

> Я бы на вашем месте взял бы исходный qmail, наложил бы на него те патчи, что использовались в старом, но новых версий и, скорее всего это проблема решится.

Вы безусловно правы. НО
Это сервер под управление plesk. А там qmail собирается со своими патчами для интеграции его в панель управления. Пересобрав qmail своими руками я невольно отключу его поддержку в панели.


В любом случае рецепт озвученный выше помог. Попытаюсь понять почему.

> На будущее - я спрашивал не про базовую версию, а про то, какие патчи наложены, потому что исходный qmail 1.03 про ssl/tls ничего не знает.

простите нерадивого. Никогда не имел близко дело с qmail.
Еще раз большущее спасибо.

> Попытаюсь понять почему.

Да чего там понимать. Приходит гугло к твоему кумейлу и говорит - у меня посылка для вашего мальчика. Шифроваться будем? Кумейл говорит: будем, я умею ТЛС, я крутой. Акей, говорит гугло, я умею вот такие методы шифрования, а ты? И тут кумейл понимает, что он понятия не имеет, какими алгоритмами он может пользоваться.