SSL/TLS の設定2019/01/24 |
暗号化通信ができるよう SSL/TLS の設定をします。
|
|
[1] | |
[2] | Postfix と Dovecot の設定です。 |
mail:~ #
vi /etc/postfix/main.cf # 770行目:変更 smtpd_use_tls = yes
# 774行目:取得した証明書を指定 smtpd_tls_cert_file = /etc/letsencrypt/live/mail.srv.world/fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/mail.srv.world/privkey.pem
# 778行目:追記
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
mail:~ #
vi /etc/postfix/master.cf # 23,24,26行目:コメント解除 submission inet n - n - - smtpd -o syslog_name=postfix/submission # -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes # 34-36行目:コメント解除 smtps inet n - n - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes # 51行目:コメント解除 tlsmgr unix - - n 1000? 1 tlsmgr # Dovecot用 DHパラメーター生成 mail:~ # openssl dhparam 4096 > /etc/dovecot/dh.pem
mail:~ #
vi /etc/dovecot/conf.d/10-ssl.conf # 6行目:変更 ssl = yes
# 12,13行目:証明書/鍵ファイル指定 ssl_cert = < /etc/letsencrypt/live/mail.srv.world/fullchain.pem ssl_key = < /etc/letsencrypt/live/mail.srv.world/privkey.pem
# 50行目:コメント解除 ssl_dh = </etc/dovecot/dh.pem # 54行目:コメント解除 ssl_min_protocol = TLSv1
mail:~ #
vi /etc/services # 874行目:変更
#urd 465/tcp # URL Rendesvous Directory for SSM [Toerless_Eckert]
smtps 465/tcp # Secure SMTP
smtps 465/udp # Secure SMTP
mail:~ # systemctl restart postfix dovecot
|
[3] | Firewalld を有効にしている場合は SMTPサブミッション/SMTPS/POP3S/IMAPS サービスの許可が必要です。 SMTP サブミッション(STARTTLSで使用)は 587/TCP, SMTPS は 465/TCP, POP3S は 995/TCP, IMAPS は 993/TCP を使用します。 |
mail:~ # firewall-cmd --add-service={smtp-submission,smtps,pop3s,imaps} --permanent success mail:~ # firewall-cmd --reload success |
[4] | クライアント側の設定です。 Mozilla Thunderbird の場合、以下のようにメールアカウントのプロパティを開き設定をします。 左メニューで [サーバー設定] を選択し、右ペインで [接続の保護] の項目を [STARTTLS] または [SSL/TLS] に変更します。 (当例は [STARTTLS] で進めます) ポートは [STARTTLS] は [143], [SSL/TLS] ならば [993] です。 |
[5] | 送信サーバーの設定も変更します。 左メニューで [送信 (SMTP) サーバー] を選択し、右ペインで [接続の保護] の項目を [STARTTLS] または [SSL/TLS] に変更します。 (当例は [STARTTLS] で進めます) ポートは [STARTTLS] は [587], [SSL/TLS] ならば [465] です。以上で設定 は OK です。 |
[6] | メールの送受信を実行して正常に動作するか確認してください。 |
Sponsored Link |
|