CentOS Stream 8
Sponsored Link

Mail サーバー : SSL/TLS の設定2021/03/16

 
暗号化通信ができるよう SSL/TLS の設定をします。
[1]
[2] Postfix と Dovecot の設定です。
[root@mail ~]#
vi /etc/postfix/main.cf
# 709, 715行目 : コメント化

#
smtpd_tls_cert_file = /etc/pki/tls/certs/postfix.pem
#
smtpd_tls_key_file = /etc/pki/tls/private/postfix.key
# 最終行に追記 (証明書は自身は取得した証明書に置き換え)

smtpd_use_tls = yes
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.srv.world/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.srv.world/privkey.pem
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
[root@mail ~]#
vi /etc/postfix/master.cf
# 17,18,20行目 : コメント解除

submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
#  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes

# 29-32行目 : コメント解除

smtps     inet  n       -       n       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  
[root@mail ~]#
vi /etc/dovecot/conf.d/10-ssl.conf
# 8行目 : 変更 (SSL 必須にする場合は [required])

ssl =
yes
# 14,15行目 : 証明書/鍵ファイル指定

ssl_cert = <
/etc/letsencrypt/live/mail.srv.world/fullchain.pem

ssl_key = <
/etc/letsencrypt/live/mail.srv.world/privkey.pem
[root@mail ~]#
systemctl restart postfix dovecot
[3] SELinux を有効にしている場合は、取得した証明書に対するポリシーの変更が必要です。
[root@mail ~]#
restorecon -v /etc/letsencrypt/live/mail.srv.world/fullchain.pem

[root@mail ~]#
restorecon -v /etc/letsencrypt/live/mail.srv.world/privkey.pem

[4] Firewalld を有効にしている場合は SMTP サブミッション / SMTPS / POP3S / IMAPS サービスの許可が必要です。
SMTP サブミッション (STARTTLS で使用) は [587/TCP], SMTPS は [465/TCP], POP3S は [995/TCP], IMAPS は [993/TCP] を使用します。
[root@mail ~]#
firewall-cmd --add-service={smtp-submission,smtps,pop3s,imaps}

success
[root@mail ~]#
firewall-cmd --runtime-to-permanent

success
[5] メールクライアントの設定です。
Mozilla Thunderbird の場合、以下のようにメールアカウントのプロパティを開き設定をします。
左メニューで [サーバー設定] を選択し、右ペインで [接続の保護] の項目を [STARTTLS] または [SSL/TLS] に変更します。
(当例は [STARTTLS] で進めます) ポートは [STARTTLS] は [143], [SSL/TLS] ならば [993] です。
[6] 送信サーバーの設定も変更します。
左メニューで [送信 (SMTP) サーバー] を選択し、右ペインで [編集] ボタンをクリックして、[接続の保護] の項目を [STARTTLS] または [SSL/TLS] に変更します。
(当例は [STARTTLS] で進めます) ポートは [STARTTLS] は [587], [SSL/TLS] ならば [465] です。以上で設定 は OK です。
[7] メールの送受信を実行して、正常に送受信できれば OK です。
関連コンテンツ