.
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

Sendmail-8.12 でセキュアなメールサーバーを構築する

ここでは不特定多数に提供するメールサービスは対象としていません。不特定多数に提供するサービスを目的とする場合は、公のCAから証明書を取得するようにして下さい。

Sendmail-8.12Qpopper4 を使用し、送受信に暗号化認証可能なメールサーバーを構築します。SMTP認証には、STARTTLS/DIGEST MD5 、受信サーバーにはAPOP POP Over SSL/TLS を実装し、MUAを選ばないオールラウンドなセキュアメールサーバーを段階的に構築する手順を説明しています。

補足
APOP はセキュリティ上の脆弱性が指摘されており、既に利用価値はありません。よってQpopper を導入する意味は現在なくなっています。

過去に取り上げた 内容を FedoraCore2~4 / CentOS 4 で検証し再編しています。Sendmail-8.12 であれば、パスを置換えれば参考になるかと思います。

Sendmailの設定について

ここでは FedoraCore2 にインストールされているSendmailでメールサーバーを構築します。一般的にサーバープログラムは設定ファイル(conf)編集を行 いますが、Sendmailの場合、設定ファイルにあたる書類は、sedmail.cf であり、殆どがC言語でかかれています。

その他の起動時に参照される外部設定ファイルも全てコンパイルされています。通常は、テキストで書かれている sendmail.mcファイルの編集を行い、8.10以降ではM4プリプロセッサによるコンパイルで設定ファイル(conf) にあたるsendmail.cfファイルを生成する手順を踏みます。

その他のsendmailが起動時に参照するフィアル(*.db)の多くも、cfと同 じように直接変更することはありませんが、起動時に意識する事無くdbファイルに反映されるようになっています。

本来のメールの送受信が行えればよい、メーリングリストで多くのメールを捌きたい、利用者が多いという場合は、Sendmailは動作が重く向きません。 qmailやpostfixの利用をお奨めします。 Sendmailは限られたユーザーで、CGIなどのその他のプログラムと連係した 使い方を想定されている開発環境向きのメールサーバーといって良いと思います。高機能ゆえの複雑さ、動作が重い、セキュリティホールの宝庫といわれてきま したが、Sendmail-8.12以降、大きな仕様変更があり、かなりセキュアな仕様になっています。

Sendmail.mcの修正

メールサーバーを構築するための基本的な設定を行います。SMTP AUTHについては、この章では行いません。とりあえず、localクライアントのみが利用できるベーシックな設定を行います。

Sendmail のコメント

Sendmail のコメントは、dnl です。行末にも dnl がありますが、無くても問題ないようです。行末はスペースが入らないように注意して下さい。



/etc/mail/sendmail.mc

DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')dnl  コメント

dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')dnl

デフォルトでは、サーバー自身のみがメールサーバーを利用するように設定されています。メールサーバーとして利用する場合はコメントします。コメントしなければ、port25でサービスとして応答しません。



/etc/mail/sendmail.mc

dnl MASQUERADE_AS(`mydomain.com')dnl  コメントアウト

MASQUERADE_AS(`cuz.homeip.net')dnl

メールサーバーのドメインを指定します。



/etc/mail/sendmail.mc

dnl FEATURE(masquerade_envelope)dnl  コメントアウト

FEATURE(masquerade_envelope)dnl

メールヘッダに含まれるReturn-Pathを、以下のMASQUERADE_DOMAINで指定したドメインに書き換えます。これを行わないと、送信先のメールサーバーよっては弾かれる事があります。(niftyのMLでは弾かれました。)



/etc/mail/sendmail.mc

MASQUERADE_DOMAIN(cuz.homeip.net)dnl

書き換える @ 以降のドメインを指定します。追記します。

sendmail..mcの修正が終わったら、これを元にsedmail.cf を生成します。

m4プリプロセッサによるsendmail.cf生成手順.

m4プリプロセッサで修正したsendmail.mcを元にsendmal.cfにコンパイルします。 ディストリビューションによってパスは異なると思います。RHL系では以下になります。

mcのサンプル、m4のディレクトリは以下になります。

  1. RedHat / FedoraCore
    1. /usr/share/sendmail-cf/cf
  2. TurboLinux
    1. /usr/lib/sendmail-cf/cf
    FedoraCore2 の場合、m4プリプロセッサによるCF生成は以下のSendmal設定ディレクトリで直接行えます。
  • /etc/mail
# cd /etc/mail

ディレクトリを移動します

# cp sendmail.cf sendmail.cf.bk

念のため現在使用中のsendmail.cfをバックアップします。

# make sendmail.cf

修正したsendmail.mcを元にcfを生成します。

これで、現在のsendmail.cfが上書きされます。 この手順は、Sendmailの設定を変更するたびに必要となるので覚えておいて下さい。

このままでは、127.0.0.1しか利用できないようになっています。 次はSendmailの利用を認める設定を行います。

bottom_mark
ページ最上部
ページ最上部 前のページ