.
Mailサーバー => SSL POPサーバー構築 > 1.SSL POP(メール受信)サーバーを構築する ~ Qpopper4
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

SSL POP(メール受信)サーバーを構築する ~ Qpopper4

セキュアサーバーの章ではSendmailのSMTPに認証機能を持たせ、既にAPOPによる暗号化認証を導入しました。その際、外部からの接続は APOPのみに限定しました。

今回は更にSSLによる保護を可能にし、経路の暗号化により、Outlookでも安全にPOPサーバーへログイン可能にする事が目的です。そのため、前回を継承する形で紹介しています。

ご注意(2005/9/10)

この記事は 2000年から公開している Sendmail 8.9 & メーリングリストサーバーFML & InFlex で構築したSendmail によるメールサーバーについて解説した内容となっています。

これからLinuxサーバーを行う場合は、やや古い内容となっていますが解決の糸口になることもあるため残しています。

Sendmail 8.12 から大幅に仕様が変更されたため、2004年中旬からFedoraCore 2/3/4 CentOS4 に置換えて新規に再編して公開しているページがあります。これからLinuxサーバー構築される場合は、そちらを参考にして下さい。

参照 => メールサーバー構築(APOP POP3) FC /CentOS

参照 => SMTP認証を暗号化する FC /CentOS

参照 => STARTTLSによるSSL-SMTPサーバー構築 FC /CentOS

参照 => GUI(ブラウザ)で管理するFMLサーバー FC /CentOS

SSL化に必要な証明書の作成

OpenSSLに関してはこちらで説明しています。Sendmail に限らずサーバーのSSL化に必要な証明書作成手順は共通します。

SSL暗号化の導入には二通りの方法があります。ここではCAによる署名は行なわず、自己証明型 証明書を使用する方法で説明します。

サーバー証明書の作成

メールのための証明書なので/etc/mail/certsとしました。作成し移動します。証明書と秘密鍵を一つのファイルで作成します。有効期限は7000日。怠慢です。

# openssl req -new -x509 -nodes -out server.pem -keyout server.pem -days 7000

# openssl req -new -x509 -nodes -out server.pem -keyout server.pem -days 7000

Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Aichi
Locality Name (eg, city) []:Nagoya
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Creative.Unit
Organizational Unit Name (eg, section) []:ZERO
Common Name (eg, YOUR name) []:mail.mydomain.net ← ホストネーム
Email Address []:postmaster@mydomain.net
  • Common Name (eg, YOUR name) []:mail.mydomain.net
    • POPサーバーのドメイン
    Email Address []:postmaster@mydomain.net
    • クライアント認証を行うわけではないので何でもかまわない。
# ln -s server.pem `/usr/bin/openssl x509 -noout -hash < server.pem`.0
# chmod 600 server.pem
# chown root:root -R /etc/mail/certs

この一連の作業で

/etc/mail/certs/server.pem(サーバー証明書)
が生成されます。これが、Qpopper4用のサーバー証明書 兼 秘密鍵になります。パーミッションは特に注意して下さい。rootの以外のユーザーが読めてはエラーがでます。

自CA公開鍵の作成

これはクライアントに自CAを信頼してもらうための公開鍵です。Netscapeの場合は、信頼できる認証期間(CA)として登録することが出来ますが、Outlookの場合、認証期間の公開鍵をインストールしなければクライアントが接続のたびに警告がでます。

不特定多数で利用するサービスにおいては利用できません。組織内の限られた目的で利用する事を前提としています。

これの警告を失くすには公開鍵をクライアント側にインストールしてもらう必要があります。このセキュリティ リスクについては、公的CA(認証機関)と独自CAの違いについて で説明しています。

der形式の場合

# openssl x509 -in server.pem -outform der -out popserver.der

pkcs12形式の場合

# openssl pkcs12 -export -in server.pem -name mail.mydomain.net -caname mydomain.net -out popserver.p12

/etc/mail/certs/popserver.der(CA公開カギ)

この証明書をクライアント側にインストールし、信頼される認証機関(CA)としてユーザーに登録してもらいます。これにより警告は出なくなります。 Netscapeの場合、これらを行わなくても今後信頼される機関として登録するかどうかと聞かれます。今後も信頼すると答えると登録されるのでこれらを渡す必要ありません。

bottom_mark
ページ最上部
ページ最上部 前のページ