数日前から幾つかのFreeBSDサーバからデイリーで送られてくる筈のセキュリティアウトプットメールが届かなくなった。メールを送ってこなくなったサーバの共通点はMTAが標準のsendmailのままというもの。
/var/log/maillogを見るとこんなメッセージだらけ。
sm-msp-queue[数字]: STARTTLS=client, error: connect failed=-1, reason=dh key too small, SSL_error=1, errno=0, retry=-1
Logjam対策の一環なんでしょうが、手動対応必要だったのでびっくり。
取り敢えずはdh keyを2048 bitで作ってあげれば良いようです。(1024 bitでも可)
# openssl dhparam -out /etc/mail/certs/dh.param 2048
sendmailを再起動しておけば有効になるかと。