Postfix の main.cf の追加編集。ファイル末尾に追加すればいい。
## for sasl (smtp-auth) config
smtpd_sasl_auth_enable = yes AUTH を有効にする
smtpd_sasl_local_domain = $myhostname 後述の saslpasswd で指定するドメイン名と同じにする
smtpd_sasl_security_options = noanonymous anonymous ログインを禁止
smtpd_recipient_restrictions = 以下の条件のメールを許可
permit_mynetworks, $mynetworks からのアクセス
permit_sasl_authenticated, 認証済みのメール
permit_auth_destination, 自サーバ宛のメール
reject それ以外は全て拒否
broken_sasl_auth_clients = yes 古いクライアント用
permit_auth_destination 設定は、詳しくは
こちら。古いクライアント用の設定は、古いマイクロソフト製の MUA が、EHLO の応答の "250-AUTH
method list" を認識しない(らしい)ため、"250-AUTH
=method list" と、こいつが認識するように、間に"="を付加する設定。利用者が限定されるなら、別に指定しなくてもよい
もし、平文パスワード(plain / login)での認証を禁止する場合は、"smtpd_sasl_security_options"に、noplaintext を追加で記述する。
smtpd_sasl_security_options = noanonymous, noplaintext
AUTH ユーザの作成
$myhostname は、main.cf で指定しているのと同じドメイン名を指定。
# saslpasswd -u $myhostname username
ほかのいろんなものと同じように、パスワードを2回入力する。もちろんこれは SMTP-AUTH 用の ID とパスワードなので、シェルログインや pop / imap その他諸々のアカウントは別物です。
このコマンドで、/etc/sasldb ファイルが更新(初めてなら新規に作成)されるが、debian の Postfix パッケージは、chroot 環境で動作するため、/etc/sasldb は参照できない。そこで、/var/spool/postfix/etc へコピーする必要がある。また、パーミッションも root しか参照できないようになっているので、owner を変更する。
# chgrp postfix /etc/sasldb
# cp -p /etc/sasldb /var/spool/postfix/etc
この操作(コピーのみ)は、saslpasswd で auth ユーザを作成・変更する度に実行する必要有り。ただし、/etc と /var が同一パーティションの場合は、ハードリンクをはっておけば必要ない。(シンボリックリンクは不可)
# ln /etc/sasldb /var/spool/postfix/etc
なお、saslpasswd で作成したユーザは、以下のコマンドで確認可能
# sasldblistusers
user: username realm: hostname mech: DIGEST-MD5
user: username realm: hostname mech: PLAIN
user: username realm: hostname mech: CRAM-MD5
以上で設定完了。Postfix をリブートし、動作確認。
# /etc/init.d/postfix restart
$ telnet localhost 25
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 cheddar ESMTP Postfix (Debian/GNU)
ehlo hoge
250-cheddar
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN CRAM-MD5 DIGEST-MD5 この2行があるのを確認
250-AUTH=LOGIN PLAIN CRAM-MD5 DIGEST-MD5 こっちは、古い OE 系を捨てるなら別になくてもよいか
250-XVERP
250 8BITMIME
ただし、パスワードファイル(sasldb)などが見当たらない場合でも、上記の出力はあるので、必ず認証のテストまで行うこと。
でもって、to: リモートなメールをリモートの回線から送信するときは SMTP-AUTH が必須であること(AUTH しない場合は REJECT される)・ローカルから to: リモートなメールを送信するときは AUTH なしで送信できることもあわせて確認する。
AUTH の設定は以上。
SMTP で SSL(TLS) 通信を行うには、2通りの方法があります。一つは、Web でいう https みたいに、接続のはじめから暗号化通信を行うパターンと、starttls といって、まず最初は通常の smtp のポートへ接続し(クリアテキストの通信)その後に暗号化通信に切替えて、以降の通信を行うパターンです。
パターン1では、(デフォルトでは)ポート 465/tcp へ接続して、セッション確立の時点で暗号化された smtp のやり取りをおこないます(Web での https と似た感じ)。パターン2では、(通常の smtp と同じく)ポート 25/tcp へ接続し、starttls コマンドを発行後に暗号化された通信が始まります。
ここでは、両手順の暗号化の設定を行います。一般に、後者の方が多く使われていますが。
といっても、クライアント〜サーバ間は暗号化できても、(おそらくほとんどの)サーバ〜サーバ間は、従来のクリアテキストでリレーするんだろーけどね…。個人的には、auth 時のパスワードだけ cram-md5 で暗号化してればいいと思ってます(^-^;
あー、OutlookExpress とか Netscape(7.0x以前) は cram-md5 非対応だから、SSL 使えたほうがいいのか。
サーバ証明書の作成
適当なディレクトリで作業します(/etc/ssl/certs など)た、openssl パッケージがインストールされている必要があります。
1. サーバ秘密鍵の作成
# openssl genrsa -out server.key 1024
warning, not much extra random data, consider using the -rand option
Generating RSA private key, 1024 bit long modulus
................++++++
.++++++
e is 65537 (0x10001)
2. サーバ証明書の作成
# openssl req -new -x509 -key server.key -out server.crt
Using configuration from /usr/lib/ssl/openssl.cnf
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP(適当)
State or Province Name (full name) [Some-State]:Kanagawa(適当)
Locality Name (eg, city) []:Yokohama(適当)
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ddns.example.org(適当)
Organizational Unit Name (eg, section) []:(適当)
Common Name (eg, YOUR name) []:ddns.example.org 使用する(DDNSの)ドメイン名
Email Address []:root@ddns.example.org(適当)
c.f. OpenSSL コマンドの使い方: http://ash.jp/sec/openssl_ca.htm
あとは、パーミッションを変更しておく。
# chmod 400 server.key server.crt
なお、
Apache-SSL を既にインストールしており、同じサーバ証明書を使用したい場合(たいていこのパターンだろうが)は、/etc/apache-ssl/apache.pem から上記2ファイルを作成できる。
# cat /etc/apache-ssl/apache.pem
-----BEGIN RSA PRIVATE KEY-----
: :
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
: :
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
: :
YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
: :
-----END CERTIFICATE-----
#
上記ファイル内の赤い部分を"server.key"として、青い部分を"server.crt"として保存すればよい。
main.cf の変更
末尾に追加すれば良い。
## for tls config
smtpd_tls_cert_file = /etc/ssl/certsfile/server.crt 上記で作成したサーバ秘密鍵
smtpd_tls_key_file = /etc/ssl/certsfile/server.key 上記で作成したサーバ証明書
smtpd_tls_session_cache_database = sdbm:/etc/postfix/smtpd_scache
smtpd_use_tls = yes STARTTLS コマンドを有効にする
master.cf の変更
一番末尾の箇所
# only used by postfix-tls
smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
#587 inet n - n - - smtpd -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
tlsmgr fifo - - n 300 1 tlsmgr
smtps で始まる行は、port 465/tcp で LISTEN する smtps プロトコルを有効にする設定。デフォルトではコメントアウトされているので、コメントを解除する。STARTTLS 対応のみで、465/tcp で SSL 接続を待ち受けないのなら、smtps の行はコメントアウトのままで良い。逆に、こちらは有効にして main.cf の smtpd_use_tls を yes にしなければ(or コメントアウトすれば) STARTTLS には対応せず、465/tcp で SSL 接続を待ち受けるだけの状態になる。
tlsmgr は、初期状態の設定にはないので、新規に記述する。
以上で設定完了。Postfix をリブートし、動作確認。
1. smtps(465/tcp)で LISTEN しているかチェック
$ netstat -ta
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
: : :
tcp 0 0 *:smtp *:* LISTEN
tcp 0 0 *:smtps *:* LISTEN
: : :
2. STARTTLS が有効になっているかチェック
$ telnet localhost 25
Trying 127.0.0.1...
Connected to 127.0.0.1
Escape character is '^]'.
220 cheddar ESMTP Postfix (Debian/GNU)
ehlo hoge
250-cheddar
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN CRAM-MD5 DIGEST-MD5
250-AUTH=LOGIN PLAIN CRAM-MD5 DIGEST-MD5
250-XVERP
250 8BITMIME
動いているようなら、(SSL通信をtelnetから操作するのは骨が折れるので)実際に mua を使用して試験をする。Windows なら、Outlook Express や Netscape、Linux なら、Sylpheed などが SSL/TLS に対応。
ただし、Sylpheed は、暗号化通信のための接続に、いきなり 465/tcp へ接続するのか・25/tcp へ接続して STARTTLS を使うのか、の設定はすごくわかりやすいが、OE や Netscape はスゲーわかりにくい(^-^;
Ethereal 等でパケットキャプチャすればよくわかるが、465/tcp へ直接接続した場合は、セッションの全データが暗号化され、25/tcp へ接続後に STARTTLS を実行すると、そこからが暗号化される。