Mailサーバー => セキュアメールサーバー構築 > 3.Cyrus SASL SMTPアカウントを作成する
このドキュメントは古くなっています。APOP に対応しているメールクライアントの多くは、MD5 によるメール送信サーバーの認証に対応しています。これらも MD5 ハッシュ関数に起因する脆弱性の問題でお勧めできません。
POP Over SSL に対応しているクライアントの多くは SMTP Over SSL にも対応しているので、 STARTTLSによるSSL-SMTPサーバー構築 で紹介している方法に限定する事を推奨します。
SMTP認証のためのSASLユーザーを作成します。Linuxユーザー毎にSMTP AUTH用のアカウントを発行しても構いませんが、管理が怠慢になる恐れがあるため、 SMTP AUTH用のSASLでアカウントを一つ発行し共有するようにします。
共有アカウントを定期的にパスワードを変更する方が、セキュリティ面、管理面から良いと思います。
FedoraCore2では sasl2 を使用できますのでこちらを使います。saslpasswd2 コマンドで行います。
この場合、taro ではなく、taro@my_domain.net がIDとなります。作成した情報は /etc/sasldb2 に記録されます。ユーザーアカウントは、SASL独自のもので、Linuxユーザーにする必要ありませんので注意してください。
登録されているアカウントを確認するには
このアカウントを削除するには
詳細は以下のコマンドで確認して下さい。
作成されたSASL2データベースを参照するように変更します。FedoraCore2 ではsaslauthdサービスを参照するように指定されていました。 以下の様に変更します。
pwcheck_method:saslauthd
↓
pwcheck_method:auxprop
これでsasl2を使用するようになります。
デフォルトでsaslauthdデーモンが起動していたかどうか忘れましたが、必要無くなるのでサービスは停止、起動しないようにして下さい。
DIGEST-MD5 CRAM-MD5 でSMTP認証可能なMUAで実際に送信できるか試して下さい。 認証に関するエラーログは /var/log/massages に記録されます。
正しく認証が行われればmailログに以下のように記録されます。
AUTH=server, relay=[xxx.xxx.xxx.xx], authid=taro@mydomain.net, mech=CRAM-MD5, bits=0
ここまでの作業で、STEP1 ではAPOP 認証、 STEP2 では、MD5 STMP認証が可能になりました。Becky! など対応したメールクライアントで、外部ネットワークから暗号化認証により自社メールサーバを活用できるようになりました。
次は、Netscape、Thunderbird などMozilla 系メールクライアント、及び、Outlook のSSLによる通信経路の暗号化(STARTTLS)を実装します。
この標題のトップへ 2 / 3 
