本ページでは PMailServer2 における SSL/TLS の補足説明となります。
PMailServer2 が前提になる説明となりますので、更なる詳細な情報については別途お調べ下さい。

• SSL1.0 / 2.0
  脆弱性が見つかっていますので利用は禁止されています。
  PMailServer2 では使用できません。
  Version 2.31a 以降で、SSLv2 Packed TLS のみに対応しています。
• SSL3.0
  現在は脆弱性(POODLE攻撃)が見つかっていますので利用は禁止されています。
  特殊な事情が無い限り有効にする必要はありません。
• TLS1.0 / TLS1.1
  SSL3.0 の脆弱性が発見され、その次の版としてリリースされた通信方法です。
  しかし、SSL3.0 で発見された、POODLE攻撃は TLS1.0 / TLS1.1 にも影響することがわかっています。
  ただし後述する Windows の対応情報によって TLS1.2 を利用することが出来ない場合がありますので、対応していない OS が無いことが確認できていない場合は、有効にする必要があります。
• TLS1.2
  現時点(2017/2/22)で最新のバージョンとなります。
  今の所、脆弱性は見つかっていません。
• SSLv2 Packed TLS
  このような名称は正式にはありませんが、SSL2.0 との互換性の為、SSL/TLS通信の開始（ハンドシェイク）の際に、SSLv2 のヘッダーに SSL3.0以降のパケットを入れた形でハンドシェイクを行うことが許容されています。
  Version 2.31a 以降で、この通信方法にも対応しました。
  SSL3.0ですら非推奨なのに SSL2.0互換って意味がわかりませんが、未だにこれをやってくるサーバーがあるようでして・・・

PMailServer2 は Windows OS の schannel を利用して SSL/TLS 通信を行っています。
schannel がサポートをしているプロトコルはバージョンによって違いますので、ご利用の Windows でサポートが行われているプロトコルを選択して下さい。

• Windows XP - SSL3.0 / TLS1.0
• Windows Vista - SSL3.0 / TLS1.0
• Windows 7 - SSL3.0 / TLS1.0 / TLS1.1 / TLS1.2
• Windows 8 - SSL3.0 / TLS1.0 / TLS1.1 / TLS1.2
• Windows 10 - SSL3.0 / TLS1.0 / TLS1.1 / TLS1.2
• Windows 2000 Server - SSL3.0 / TLS1.0
• Windows Server 2003 - SSL3.0 / TLS1.0
• Windows Server 2008 - SSL3.0 / TLS1.0 / TLS1.1 / TLS1.2
• Windows Server 2008 R2 - SSL3.0 / TLS1.0 / TLS1.1 / TLS1.2
• Windows Server 2012 - SSL3.0 / TLS1.0 / TLS1.1 / TLS1.2
• Windows Server 2016 - SSL3.0 / TLS1.0 / TLS1.1 / TLS1.2

SSL/TLS 通信では、最初のネゴジェーションを行う際に利用できる通信方法の交換が行われます。
サーバー側が TLS1.1 / TLS1.2 のみを利用できる設定にした場合、クライアントが SSL3.0 / TLS1.0 しか利用できない場合(例えば WindowsXP)その通信は成立しません。

複数のプロトコルが選択されている場合でサーバー・クライアント共に共通で利用できるプロトコルがある場合は、自動的に上位のバージョンでの通信になります。
サーバーが TLS1.0 / TLS1.1 / TLS1.2
クライアントが TLS1.1 / TLS1.2
の場合は、TLS1.1 は選択されず、TLS1.2 が選択されます。

PMailServer2 において、SMTP/POP3/IMAP4 に関して利用できるプロトコルの選択は共通となります。
これは SMTP over TLS / POP3 over TLS / IMAP4 over TLS / SMTP での STARTTLS / POP3 での STARTTLS / IMAP4 での STARTTLS 全てに共通します。

xxxx over TLS は、決められたポートに接続して最初から SSL/TLS 通信を行います。

上記の表からもわかる通り、STARTTLS は通常の通信（平文通信）のポートに最初に接続し、その後、SSL/TLS通信を開始するコマンドを送ってから SSL/TLS 通信(暗号通信)を行います。

(*1) 一度 IANA にて SMTP over SSL にポート465の割り当てが行われましたが、その後、STARTTLS の採用以降、割り当ては無効になっています。
PMailServer2 ではポート465のサポートを中止する予定は特にありませんが、正式に割り当てられているポート番号では無いという点を留意する必要があります。

MTA for STARTTLS は、PMailServer2 が外部のメールサーバーへ配信を行う際に、配信先のサーバーが

• SSL/TLS 通信に対応している。
• ポート25 で STARTTLS に対応している
  

両方に対応している場合にのみ、SSL/TLS 通信で配信を暗号化します。
従って、上記条件に対応していない場合は、MTA for STARTTLS を有効にしても配信は暗号化されませんのでご注意下さい。

SMTP や POP3 / IMAP4 で SSL/TLS 通信が成功した場合は、下記のようにログに記録されます。(Level3)

[xxxx] [000-N3V53f] TLS初期化完了(924)
[xxxx] [000-N3V53f] 220 Ready to start TLS
[xxxx] [000-N3V53f] SSL/TLS のハンドシェイクに成功。C(TLS 1.2)

初期化完了の後の数値は、SSL/TLS通信を行った際のソケット番号となります。（特殊な環境化でのみ値が必要になりますが、通常この値を参照する必要はありません。）

ハンドシェイクに成功した場合は、S(xxxx) または C(xxxx) が記録されます。この場合 S / C は参照する必要はありません。
xxxx には SSL3.0 / TLS1.0 / TLS1.1 / TLS1.2 のいずれかが入ります。

[xxxx] [000-D62aeW] TLS初期化完了(1124)
[xxxx] [000-D62aeW] 220 Ready to start TLS
[xxxx] [000-D62aeW] SSL/TLS のハンドシェイクに失敗しました。C(TLS 1.0)
[xxxx] [000-D62aeW] TLS ErrorCode 0x80090331 Win32 [クライアントとサーバーは共通のアルゴリズムを処理していないので、通信できません。]

ハンドシェイクに失敗した場合、xxxxxxxx には内部エラーコードが入ります（この値はお問い合わせ頂く際に必要となります。）
その後に記録される。S(xxxx) / C(xxxx) については、ハンドシェイクのどの段階で、どのプロトコルが利用されていたかを記録します。
その後、Windows でのエラーメッセージが記録されます。
0x80090331 は Windows のエラーコードです。
少しわかりにくいエラーメッセージで
[xxxx] [000-D62aeW] TLS ErrorCode 0x80090308 Win32 [この関数に提供されたトークンは無効です]
これは共通で利用できるプロトコルのバージョンが一致しない場合に出ます（配信先が SSL1.1 までで自サーバーが TLS1.2 のみで通信を行おうとした場合。

[MTA ] [000-00ThaC] STARTTLS
[MTA ] [000-00ThaC] 220 Ready to start TLS
[MTA ] [000-00ThaC] SSL/TLS のハンドシェイクに失敗しました。(0x00000000) S(TLS 1.0)

場合によっては、上記のようにエラーの詳細がログに記録されない場合があります。
これは、SSL/TLS 以外の原因でハンドシェイクに失敗した場合です。回線の強制切断やタイムアウトなどです。
その場合、S(xxxx) / C(xxxx) には最後に処理が行われた時に指定されていたプロトコルが入ります。

• PMailServer2 の SSL/TLS通信は「各Windows OS における SSL/TLS プロトコルの対応状況」にも記載していますように、schannel を利用して通信を行っています。
• 利用されているプロトコルの種類やエラーの発生箇所等は、この schannel で行われている通信内容を PMailServer2 側で解析して取得を行っています。
  原則として SSL/TLS 通信は OS に全て任せる形になっています。