Mailサーバー => セキュアメールサーバー構築 > 2.ここで構築するサーバのセキュリティポリシーについて
TurboLinux6wはユーザーのパスワードを/etc/shadowに格納しています。 TurboLinux6ではPOP認証にこのパスワードを利用するため、外部からPOP接続する場合は平文のパスワードがネットワークが流れることになり ます。
ユーザーのホームディレクトリをWEBやFTPで公開していた場合、共通するPOPアカウントとパスワードが盗聴されれば、被害は更に広がります。 特に、メールの受信や送信は利用頻度が高いため盗聴される危険性も高いと言えます
外部ネットワークからのメールサーバー利用に関しては、POP認証は暗号化に限定
qpopperを導入しAPOPによる認証を行うことで、Linuxユーザーとは異なる専用の暗号化されたパスワードを利用します。外部に対してはPOP の利用は許可しません。SMTPの認証にはSASLという認証ライブラリを利用します。この場合もLinuxユーザーのパスワードを利用せず、こちらは専 用のユーザー、専用の暗号化パスワード、を用いて認証に成功した外部のユーザーに利用を認めます。
ローカルユーザーにはPOP、APOP両方の受信接続を提供します。送信に関しては従来通り認証を行わず、無条件でSMTPの利用を許可します。これにより、ローカルユーザーに対しては使用するメーラーを限定する必要がありません。
| . | ローカルユーザー | 外部ネットワーク | ||||||||||||||
| POP3 | 全て許可 | 禁止 | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| APOP | 許可 | |||||||||||||||
| SMTP | 禁止 | |||||||||||||||
| SMTP+SASL | 許可 | |||||||||||||||
外部からの利用に対しては常に暗号化を行い、ローカルユーザーに対しては、従来通り、通常のPOP認証と、SMTPに関しては認証を行いません。ノートパソコンなど、内部、外部から接続する必要がある場合も考えられるので、ローカルユーザーに対しても暗号化認証を認める考え方です。
外部ネットワークからのメールサーバーへの接続は暗号化を必須とするため、利用できるメーラーが限られます。
■主要MTA 暗号化対応
| . | Outlook | Netscape | Becky! |
|---|---|---|---|
| APOP (CRAM-MD5) | × | × | ○ |
| POP3 SSL | ○ | ○ | × |
| SMTP (CRAM-MD5) | × | × | ○ |
| SMTP SSL | ○ | ○ | × |
ここでは、認証のみを暗号化で保護する APOP / AUTH SMTP (MD-5) を採用していますので Outlook / Netscape を利用することが出来ません。
これらの MTA に外部ネットワークからのSMTP(送信)サーバーの利用を認めたい場合は、Sendmail を STARTTLS 有効にしてコンパイルする必要があります。
※TurboLinux 6 の rpm パッケージでは対応していませんでした。
Becky!2についてはsendmailの認証と問題があるようでSMTP認証が上手く行われません。postfixでこの問題は起きないようですが、時期のバージョンでこの問題に対応してくれるそうです。(既に対策がされています)
この標題のトップへ 2 / 8 
