SLES 15
Sponsored Link

SSL/TLS の設定2019/01/24

 
暗号化通信ができるよう SSL/TLS の設定をします。
[1]
[2] Postfix と Dovecot の設定です。
mail:~ #
vi /etc/postfix/main.cf
# 770行目:変更

smtpd_use_tls =
yes
# 774行目:取得した証明書を指定

smtpd_tls_cert_file =
/etc/letsencrypt/live/mail.srv.world/fullchain.pem

smtpd_tls_key_file =
/etc/letsencrypt/live/mail.srv.world/privkey.pem
# 778行目:追記

smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
mail:~ #
vi /etc/postfix/master.cf
# 23,24,26行目:コメント解除

submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
#  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes

# 34-36行目:コメント解除

smtps     inet  n       -       n       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes

# 51行目:コメント解除

tlsmgr    unix  -       -       n       1000?   1       tlsmgr

# Dovecot用 DHパラメーター生成

mail:~ #
openssl dhparam 4096 > /etc/dovecot/dh.pem

mail:~ #
vi /etc/dovecot/conf.d/10-ssl.conf
# 6行目:変更

ssl =
yes
# 12,13行目:証明書/鍵ファイル指定

ssl_cert = <
/etc/letsencrypt/live/mail.srv.world/fullchain.pem

ssl_key = <
/etc/letsencrypt/live/mail.srv.world/privkey.pem
# 50行目:コメント解除

ssl_dh = </etc/dovecot/dh.pem
# 54行目:コメント解除

ssl_min_protocol = TLSv1
mail:~ #
vi /etc/services
# 874行目:変更

#urd                465/tcp      # URL Rendesvous Directory for SSM  [Toerless_Eckert]
smtps              465/tcp       # Secure SMTP
smtps              465/udp       # Secure SMTP

mail:~ #
systemctl restart postfix dovecot
[3] Firewalld を有効にしている場合は SMTPサブミッション/SMTPS/POP3S/IMAPS サービスの許可が必要です。
SMTP サブミッション(STARTTLSで使用)は 587/TCP, SMTPS は 465/TCP, POP3S は 995/TCP, IMAPS は 993/TCP を使用します。
mail:~ #
firewall-cmd --add-service={smtp-submission,smtps,pop3s,imaps} --permanent

success
mail:~ #
firewall-cmd --reload

success
[4] クライアント側の設定です。
Mozilla Thunderbird の場合、以下のようにメールアカウントのプロパティを開き設定をします。
左メニューで [サーバー設定] を選択し、右ペインで [接続の保護] の項目を [STARTTLS] または [SSL/TLS] に変更します。
(当例は [STARTTLS] で進めます) ポートは [STARTTLS] は [143], [SSL/TLS] ならば [993] です。
[5] 送信サーバーの設定も変更します。
左メニューで [送信 (SMTP) サーバー] を選択し、右ペインで [接続の保護] の項目を [STARTTLS] または [SSL/TLS] に変更します。
(当例は [STARTTLS] で進めます) ポートは [STARTTLS] は [587], [SSL/TLS] ならば [465] です。以上で設定 は OK です。
[6] メールの送受信を実行して正常に動作するか確認してください。
関連コンテンツ