ssl/tls導入による追加設定 ~Postfix・Dovecot編~ [ソフトウェア研究室]

日付:
 こんにちは!
 ナビゲータのEVEです。

 データベースなのですが、やっと、うまく動作するようになり、収集したユーザー情報をデータベースへ登録できるところまできました。データベースクラスは、以前動作していたはずなのですが、何かのタイミングで変更したらしく、不具合な点を修正しながらの開発になりました。
 それと同時に、開発用のデバッカーを製造しています。本当はEclipseなどを利用して開発すれば、こんな苦労はしないのでしょうが、使い慣れていない環境の開発は、現状より苦労しそうなので、Eclipseでの開発は、暇を見つけて使い方をお覚えながら、達人になりたいと思います。
 それと、Eclipseなどの開発では、変数の位置等を思った位置に配置できないなどの問題がありました。現在は使い込んでいないので不明ですが・・・。そして、きれいに揃えるのも大変なのですが、揃えた変数が保存後、崩れるなどということは頻繁でした。そんな経験から、秀丸最高!って感じで今までは開発してきています。
 では、本日は、先週の続きで、メールサーバーへのssl/tlsの導入に際し、どのようなことをしたのかまとめていきたいと思います。

[Postfixでの修正点]

 先週は、Postfixの設定ファイルmain.cfの修正について情報を整理しました。そして、今週は、master.cfからの解説になるはずなのですが、ここでの設定は、Server Worldに記載された内容とほぼ同じです。ただ、1点を除いては・・・。今回私が、公開したシステムでは、以下の1行を追加していますというか、多分コメントアウトを外しただけだったと思います。

-o smtpd_tls_auth_only=yes

以上の設定を有効にすることにより、認証方式を、ssl/tlsのみに限定することができ、セキュリティの向上が見込まれます。以下がChatGPTからの追加理由の解説です。
-o smtpd_tls_auth_only=yes を追加した理由として考えられるのは、SMTP 認証を TLS 接続時のみに制限するためです。

■詳細な理由
❶セキュリティ強化
・平文 (非暗号化) の接続では SMTP認証を無効にし、TLS 接続が確立された場合のみ認証を許可することで、パスワードの盗聴リスクを低減できます。
・これを設定しないと、誤って平文のまま認証情報が送信される可能性があります。

❷暗号化されていない通信での認証を防ぐ
・SMTP 認証を使用する際、PLAIN や LOGIN などの認証メカニズムでは、資格情報 (ユーザー名とパスワード) が簡単に復号される可能性があります。
・smtpd_tls_auth_only=yes を設定すると、暗号化されていないセッションでは認証自体が行われなくなるため、安全性が向上します。

❸SMTP Submission (ポート 587) での標準的な設定
・SMTP Submission ポート (587) は、一般的に TLS を利用することが推奨されています。
・クライアントが TLS を使用しない場合は認証を受け付けないようにすることで、誤った設定のクライアントからの認証試行を防ぐことができます。

■動作の変化
・smtpd_tls_auth_only=no (デフォルト) の場合:
→ クライアントは平文 (STARTTLS なし) でも認証できる。
・smtpd_tls_auth_only=yes の場合:
→ クライアントは TLS 接続 (STARTTLS や smtps) を確立しないと認証できない。

■結論
 セキュリティを向上させ、誤設定を防ぐために smtpd_tls_auth_only=yes を追加したと考えられます。

セキュリティにこだわりがある人は入れておいた方が、いいでしょう!

[Dovecot ~10-ssl.conf~]

 Server Worldでは、ssl/tlsを導入するに際し、Dovecotの設定ファイルは、10-ssl.confしか修正していません。私の環境もssl-10.confしか修正していません。ここでは、SSL証明書と、秘密鍵の絶対パスを、記述するという作業になります。以下がその内容となるのですが、ここで、気を付けなければならないのは、イコールの後の鍵カッコ(<)です。最初認識不足で、鍵カッコを忘れたために、時間がとられるはめになりました。

# SSL証明書
ssl_cert = </etc/ssl/certs/sslxxxxxxxxxx.crt

# 秘密鍵
ssl_key = </etc/ssl/private/privatexxxxxxxxxx.key


[あとがき]


 以上で、ssl/tlsを導入する設定は終わりです。多分ですが、Server Worldのインストール手順書と、先週から今週にかけて当ブログで書いた解説内容でサーバーを構築すれば、ssl/tls通信は可能になると思われます。
 ただ、せっかく、ssl/tlsを導入したので、もう少しセキュリティレベルを上げたいと思います。pro2grammer.comでは、Server Worldで記述している内容以外にどんな設定をし、セキュリティレベルを上げているのかご紹介したいと思います。

 では、また!

■Server World
https://www.server-world.info/query?os=Ubuntu_24.04&p=mail&f=5

コメント

コメントを投稿