.
Mailサーバー => メールサーバ構築 20143.メール送信サーバの構築
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

Postfix による SMTPサーバの構築(CentOS6.x)

ここからは、メールの配送部分を受けもつ SMTPサーバーを構築します。 CentOS6 では 従来の Sendmail に代わり Postfix がデフォルトの MTA になっていますので、主に Postfix を中心に設定を行います。

本稿で構築するSMTPサーバでは、通信経路を暗号化したり、外部の認証プログラムを導入したり、設定内容が多岐にわたります。そのため、ステップ毎に動作確認をしながら、順に機能を実装していく手順を踏みます。

参照 http://www.postfix-jp.info/jhtml/basic.html

事前に準備しておくべきこと

ここでは既に内向きのDNSサーバが構築済みであり、ドメインの正引き、逆引きが可能であるシステムであることを前提に説明します。つまり、メールアドレスの @ の後ろにつくドメインのことですが、これがないことにはメールそのものが届きませんので。

メール配送システム の構築手順について(Postfix)

セキュリティに配慮した MTA の運用には、他のサービスを介在、あるいはプログラムを使用する必要があるため、Postfix に限らず設定は複雑です。

以下のステップで動作を確認しながら、機能を拡張していく形で徐々に形にしていきます。問題に切り分けを分かりやすくするため、段階を置いて確実に設定するためです。

【STEP1】メール送受信環境に関する基本設定

Postfix のインストール、及び、ローカルネットワークからであれば、認証なしにSMTPサーバーの利用を認める、つまり、メール配送を行うための基本的な設定と確実にメールが配送されるか、クライアントからメールの送受信含めて動作を確認するところまで構築します。

【STEP2】認証プログラムの導入

Postfix に限らず、MTA は認証機構を持ちません。 STEP1で構築したMTAに認証機構を実装するため Cyrus-SASL をインストールします。併せて、Cyrus-SASL を用いて SMTPサーバを利用するためのアカウントを作成します。

【STEP3】SMTP認証機構の実装

STEP2 でインストールした認証プログラム Cyrus-SASL を Postfix の認証機構として利用できるように Postfix を設定します。つまり、SMTP-AUTH を有効にします。併せて STARTTLSにより、SMTPサーバー接続時の認証や、メール配送をSSLにより暗号化で保護するように Postfix の設定を行います。

補足:SMTPの認証機構について

Postfix に限らず、Sendmail や qmail 等の MTA は、元来、認証機構そのものが備わっておらず、誰かれ構わず配送依頼があれば、メールを目的地へ配送するのが当たり前だった歴史があります。

インターネットの普及に伴い、迷惑メール、俗に言うスパムメールが横行し、世界的にも問題になります。

MTA には 認証機構がなかったため、当然、クライアント(メーラー)も、SMTP認証に関する実装が無く、また、その後、SMTP認証(SMTP AUTH)についても APOP や POP before SMTP、SMTP Over SSL、STARTTLS など、対応している SMTP認証方式や利用できる暗号化アルゴリズムにも差がありました。

利用者に、このOSの、このメーラーを使って下さい、などと利用者に対して要求できない サービスプロバイダなどでは、様々なメーラーとの互換性を最重視されました。

逆に認証の安全性や、通信経路の暗号化による保護を求めようとすると、それに対応しているメールクライアントが限定されてしまうため、利用者に使用するメールクライアントの変更を求める必要が出てくるためです。

例えば、認証機構のあるPOP受信をした直後だけ、そのPOP受信者に一時的に SMTPサーバーの利用を許可する POP before SMTP というサーバー側で踏み台にされ迷惑メールの温床になることを避ける苦肉の策などです。

これらはSMTPサーバーの運用における迷惑メールの温床にならないためのセキュリティ対策の一環ですが、利用者のメールの機密性の観点で見たセキュリティの配慮はここにはありません。

これはほとんど過去の話しであり、現在、スマートフォンやタブレット端末も含め、主要なメールクライアントの多くは、SSL技術を利用した POP、SMTP 認証や通信経路のSSL暗号化保護に対応していますので、

特に本稿のような限られた組織内の利用であれば、サーバーとメールクライアントの互換性が問題になることはほぼないと思われます。

bottom_mark
ページ最上部
ページ最上部 前のページ