.
Mailサーバー => セキュアメールサーバー構築 > 3.Cyrus SASL SMTPアカウントを作成する
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

Cyrus SASL SMTPアカウントを作成する ~ Sendmail-8.12

補足

このドキュメントは古くなっています。APOP に対応しているメールクライアントの多くは、MD5 によるメール送信サーバーの認証に対応しています。これらも MD5 ハッシュ関数に起因する脆弱性の問題でお勧めできません。

POP Over SSL に対応しているクライアントの多くは SMTP Over SSL にも対応しているので、 STARTTLSによるSSL-SMTPサーバー構築 で紹介している方法に限定する事を推奨します。

SASLユーザーアカウントの作成

SMTP認証のためのSASLユーザーを作成します。Linuxユーザー毎にSMTP AUTH用のアカウントを発行しても構いませんが、管理が怠慢になる恐れがあるため、 SMTP AUTH用のSASLでアカウントを一つ発行し共有するようにします。

共有アカウントを定期的にパスワードを変更する方が、セキュリティ面、管理面から良いと思います。

アカウント作成

FedoraCore2では sasl2 を使用できますのでこちらを使います。saslpasswd2 コマンドで行います。

# saslpasswd2 -c taro

この場合、taro ではなく、taro@my_domain.netIDとなります。作成した情報は /etc/sasldb2 に記録されます。ユーザーアカウントは、SASL独自のもので、Linuxユーザーにする必要ありませんので注意してください。

基本操作

登録されているアカウントを確認するには

# sasldblistusers2
taro@my_domain.homeip.net: userPassword

このアカウントを削除するには

# saslpasswd2 -d taro

詳細は以下のコマンドで確認して下さい。

# saslpasswd2 -help

SASLデータベースの変更

作成されたSASL2データベースを参照するように変更します。FedoraCore2 ではsaslauthdサービスを参照するように指定されていました。 以下の様に変更します。

/usr/lib/sasl2/Sendmail.conf

pwcheck_method:saslauthd

pwcheck_method:auxprop

これでsasl2を使用するようになります。

デフォルトでsaslauthdデーモンが起動していたかどうか忘れましたが、必要無くなるのでサービスは停止、起動しないようにして下さい。

確認

DIGEST-MD5 CRAM-MD5 でSMTP認証可能なMUAで実際に送信できるか試して下さい。 認証に関するエラーログは /var/log/massages に記録されます。

正しく認証が行われればmailログに以下のように記録されます。

AUTH=server, relay=[xxx.xxx.xxx.xx], authid=taro@mydomain.net, mech=CRAM-MD5, bits=0

まとめ

ここまでの作業で、STEP1 ではAPOP 認証、 STEP2 では、MD5 STMP認証が可能になりました。Becky! など対応したメールクライアントで、外部ネットワークから暗号化認証により自社メールサーバを活用できるようになりました。

次は、Netscape、Thunderbird などMozilla 系メールクライアント、及び、Outlook のSSLによる通信経路の暗号化(STARTTLS)を実装します。

bottom_mark
ページ最上部
ページ最上部 前のページ