こんにちは!
ナビゲータのEVEです。
https://www.server-world.info/query?os=Ubuntu_24.04&p=mail&f=2
ナビゲータのEVEです。
本日やっと、予定していた、A8で書いたブログのBloggerへのアップロード作業が完了しました。明日から、A8と比較し、すべてアップロードされているかの確認と、使用している画像関係の張り替え作業、そして、広告の入れ替え作業に入りたいと思います。
では、本日は昨日の続きで、ssl/tls通信ができるようになったメールサーバーのセキュリティレベルの向上のために、やった設定が正しいことの検証を進めたいと思います。
[Dovecotconf]
Dovecot.confの中に、listenという行があります。その行なのですが、ServerWorldでは、コメントを削除したうえで、
listen = *, ::
という記述になっていますが、当サイトでは、自サーバーのIPアドレスを設定しています。
listen = 162.43.5.61, 127.0.0.1
なぜ、このようにしたのか、ChatGPTに解説をしてもらいます。
この設定は、Dovecot が 特定のIPアドレス(この場合 162.43.5.61)に対してのみバインド(listen)する ことを指定しています。
通常、listen ディレクティブには以下のような指定が可能です:
❶特定のネットワークインターフェースのみで Dovecot を動作させる
・Dovecot は 162.43.5.61 を持つインターフェースでのみ動作し、それ以外のインターフェースでは待ち受けしません。
❷セキュリティ向上
・例えば、サーバーが複数のネットワークに接続されている場合、特定のIPに限定することで 意図しないインターフェースでのアクセスを防ぐ ことができます。
・内部ネットワークのみで動作させたい場合、パブリックIPにバインドしないことで外部からのアクセスを制限できます。
❸設定ミスに注意v ・指定した 162.43.5.61のインターフェースが存在しない、またはそのIPアドレスが正しく設定されていない場合、Dovecot が起動しない可能性があります。
・netstat -tulnp や ss -tulnp でDovecotのリスニング状態を確認するとよいでしょう。
この設定する、Dovecot.confは、Dovecotサーバーに関する設定をするファイルになります。以前、Postfix、Dovecotのそれぞれの役割をまとめた資料をもう一度見てみましょう!通常、listen ディレクティブには以下のような指定が可能です:
listen = * → すべてのインターフェース で待ち受け(デフォルト設定)
listen = :: → IPv6 のすべてのインターフェース で待ち受け
listen = 0.0.0.0 → IPv4 のすべてのインターフェース で待ち受け
listen = 127.0.0.1 → ローカルホスト(localhost) のみで待ち受け
listen = 162.43.5.61 → 162.43.5.61のみ で待ち受け(今回の設定と同様)
■今回の設定の影響listen = :: → IPv6 のすべてのインターフェース で待ち受け
listen = 0.0.0.0 → IPv4 のすべてのインターフェース で待ち受け
listen = 127.0.0.1 → ローカルホスト(localhost) のみで待ち受け
listen = 162.43.5.61 → 162.43.5.61のみ で待ち受け(今回の設定と同様)
❶特定のネットワークインターフェースのみで Dovecot を動作させる
・Dovecot は 162.43.5.61 を持つインターフェースでのみ動作し、それ以外のインターフェースでは待ち受けしません。
❷セキュリティ向上
・例えば、サーバーが複数のネットワークに接続されている場合、特定のIPに限定することで 意図しないインターフェースでのアクセスを防ぐ ことができます。
・内部ネットワークのみで動作させたい場合、パブリックIPにバインドしないことで外部からのアクセスを制限できます。
❸設定ミスに注意v ・指定した 162.43.5.61のインターフェースが存在しない、またはそのIPアドレスが正しく設定されていない場合、Dovecot が起動しない可能性があります。
・netstat -tulnp や ss -tulnp でDovecotのリスニング状態を確認するとよいでしょう。
❶メール受信(Postfix: MTA の動作)
❷メール保存(Dovecot: MDA の動作)
❸メール閲覧(Dovecot: MRA の動作)
❹メール送信(Postfix: MSA の動作)
以上の情報から、ここで設定する情報は、現在管理しているサーバーのIPアドレス、または、ループバックアドレスだけでよいと思われます。そのため、当初は、Server Worldの言われるままに、全てのインターフェースを許していましたが、現在は、自サーバーのIPアドレス、またはループバックアドレスのみを許容しています。❷メール保存(Dovecot: MDA の動作)
❸メール閲覧(Dovecot: MRA の動作)
❹メール送信(Postfix: MSA の動作)
[あとがき]
あと、いろいろな事をやっているのですが、ここで御報告するようなことではないような気がしてきました。メールサーバーの構築時の苦労話は以上とさせていただきます。作業している最中は、なんかいろいろなことをやっていて、かなり苦労したという印象なのですが、資料としてまとめると、なんだかあっけないですね・・・。ただ、2~3日かけてssl/tlsを設定しようとしたのは事実です。その原因は、問題はクライアント側だったからなのですが・・・・。
では、また!
https://www.server-world.info/query?os=Ubuntu_24.04&p=mail&f=2
コメント
コメントを投稿