SSLメールサーバ構築メモ Let's Encrypt+Postfix+Dovecot

2016年1月31日  カテゴリー:Linux  タグ: , , , ,
Pocket
LINEで送る

SSL/TLS暗号化を利用した、メールサーバを構築した時のメモです。今回は、正規のSSL/TLS証明書を無料で発行してくれる認証局 Let's Encrypt の証明書を使って設定してみました。証明書が無料なので、お財布にやさしいのはもちろん、Let's Encrypt には証明書を自動更新してくれる仕組みがあるので、一度設定してしまえば、証明書更新にかかる手間が無くなるのも大きな魅力です。

メールサーバの設定概要

ドメイン名やIPアドレスは、ご自分の環境に読替えてください。

送信サーバ:Postfix(SMTP-Auth over SSL)
受信サーバ:Dovecot(IMAPS,POP3S)
サーバOS:CentOS7.2 (1511)
ドメイン名:example.com
サーバIPアドレス:192.0.2.1

MXレコードをDNSサーバに登録

メールサーバを設定する前に、メールアドレスに使用するドメイン名のMXレコードと、メールサーバのAレコードを、DNSサーバに登録しておきます。メールサーバのサブドメインを、今回は「mail」としていますが、こちらはなんでも構いません。

example.com.      IN MX 10 mail.example.com.
mail.example.com. IN A 192.0.2.1

メールサーバが使用するポートのオープン

メールの送受信に使う以下のポートを開けておきます。

・SMPT(25)
・SMTPS(465)
・IMAPS(993)
・POP3S(995)

firewall-cmd --add-port=25/tcp --permanent
firewall-cmd --add-port=465/tcp --permanent
firewall-cmd --add-port=993/tcp --permanent
firewall-cmd --add-port=995/tcp --permanent
firewall-cmd --reload

ポートオープンの確認

firewall-cmd --list-ports
22/tcp 25/tcp 465/tcp 995/tcp 993/tcp

基本パッケージのインストール

CentOS7.2を「最小限のインストール」でインストールしている場合は、基本パッケージと開発ツールなどをインストールしておきましょう。

yum -y groupinstall base
yum -y groupinstall development
yum -y groupinstall network-tools

Postfix と Dovecot のインストール

※バージョンは 2016年1月31日時点のものです。

Postfix(2.10.1-6)※CentOSの場合は既にインストールされていると思います。

yum -y install postfix

Dovecot(2.2.10-5)

yum -y install dovecot

Let's Encrypt のSSL/TLS証明書の取得

Let's Encrypt の詳細については、こちらの記事をご参照ください。

クライアントのインストール

Let's Encrypt のクライアントソフトをインストールします。

cd /usr/local/
git clone https://github.com/letsencrypt/letsencrypt

Let's Encrypt クライアントが依存するパッケージをインストールします。

cd letsencrypt/
./letsencrypt-auto --help

証明書の取得

Let's Encrypt クライアントの待ち受けポートを開けておきます。

firewall-cmd --add-port=80/tcp --permanent
firewall-cmd --add-port=443/tcp --permanent
firewall-cmd --reload

Let's Encrypt のSSL/TLS証明書を取得します。
取得した証明書や秘密鍵は「/etc/letsencrypt/live/mail.example.com/」以下に保存されます。

./letsencrypt-auto certonly --standalone \
-d mail.example.com \
-m sample@example.com \
--agree-tos

・オプションについて
certonly
 証明書の取得のみを行います。デフォルト値は「run」で、WEBサーバの設定なども行ってくれるそうです。

--standalone
 プラグインの指定です。standalone プラグインは Let's Encrypt クライアントに内蔵されているWEBサーバを使って、証明書の取得を行います。

-d
 証明書を取得するドメイン名を指定します。

-m
 ご自分のメールアドレスを指定します。なにかトラブルがあった場合などに Let's Encrypt との連絡用に使用されます。

--agree-tos
 Let's Encrypt の利用規約に同意します。事前に利用規約「https://letsencrypt.org/repository/」を確認しておきましょう。

証明書の自動更新設定

cronにて、毎月1日の朝5時に証明書を自動更新し Postfix と Dovecot をリロードします。更新日時はお好みで設定してください。更新時は「--renew-by-default」オプションを付けて実行します。
crontab -u root -e

00 05 01 * * /usr/local/letsencrypt/letsencrypt-auto certonly --standalone -d mail.example.com --renew-by-default && /bin/systemctl reload postfix && /bin/systemctl reload dovecot

証明書の有効期限確認

openssl x509 -in /etc/letsencrypt/live/mail.example.com/fullchain.pem -noout -dates
notBefore=Jan 30 16:01:00 2016 GMT
notAfter=Apr 29 16:01:00 2016 GMT

WEBサーバが同居している場合

standaloneプラグインで起動するWEBサーバの待ち受けポートを変更できればいいのですが、現在のところ出来ないようなので、メールサーバに Apache などのWEBサーバが同居している場合は、mail.example.com のバーチャルホストを設定して「webroot」プラグインで証明書を取得します。

./letsencrypt-auto certonly --webroot \
-w /var/www/example -d mail.example.com \
-m sample@example.com \
--agree-tos

オプションの指定は「-w /var/www/example」で、ドキュメントルートを指定する以外は、standaloneプラグインと同じです。

証明書の自動更新設定
crontab -u root -e

00 05 01 * * /usr/local/letsencrypt/letsencrypt-auto certonly --webroot -w /var/www/example -d mail.example.com --renew-by-default && /bin/systemctl reload postfix && /bin/systemctl reload dovecot

Postfix の設定

元の設定ファイルをキープしておきます。

cp -ip /etc/postfix/main.cf /etc/postfix/main.cf.org

Postfixの設定ファイルを編集(なかなか沢山あります)
vim /etc/postfix/main.cf

(2016年6月24日追記)接続元の制限(smtpd_client_restrictions)の所で、「zen.spamhaus.org」を指定していますが、ドコモのドメインやIPアドレスを、SPAMリストに入れることがあるようです。(匿名さんより)

smtps(SMTP-Auth over SSL)を有効化
vim /etc/postfix/master.cf

ルックアップテーブルの作成

postmap /etc/postfix/access

設定に誤りがないかチェック(なにも表示されなければOKです)

postfix check

Postfixの起動

systemctl start postfix

自動起動の設定

systemctl enable postfix

Dovecot の設定

・受信プロトコルの設定
vim /etc/dovecot/dovecot.conf

・暗号化を使う imaps と pop3s を有効にして、平文で通信する imap と pop3 は「port = 0」を設定し無効にします。
vim /etc/dovecot/conf.d/10-master.conf

・Dovecot SASL ライブラリの認証ソケットファイルを指定(97行目あたりです)
vim /etc/dovecot/conf.d/10-master.conf

・認証方式の設定 ※平文パスワードを許可していますが、SSL/TLSで暗号化されますので問題ありません。
vim /etc/dovecot/conf.d/10-auth.conf

・SSL/TLSの有効化とサーバ証明書と秘密鍵を指定
vim /etc/dovecot/conf.d/10-ssl.conf

・メールボックスの場所を指定
vim /etc/dovecot/conf.d/10-mail.conf

・ログの出力先を変更
vim /etc/dovecot/conf.d/10-logging.conf

ログの出力先作成しておきます

mkdir /var/log/dovecot

Dovecotを起動

systemctl start dovecot

自動起動の設定

systemctl enable dovecot

認証ソケットファイルが作成されているのを確認します
ls -F /var/spool/postfix/private/auth
---(下記表示があればOK)---

/var/spool/postfix/private/auth =

ログのローテーション設定

ログの設定は必須ではありませんが、メールサーバの運用ではログを参照することが多かと思いますので、運用しやすいように設定しておくのをお勧めします。

下の設定では1日ごとにログファイルを分けて、ファイル名に日付が付くように設定しています。ログファイルの保存期間は60日としていますが、運用ルールに合わせて設定してください。

Postfixログの設定

出力先ディレクトリ作成

mkdir /var/log/mail

・出力先の変更
vim /etc/rsyslog.conf

syslog再起動

systemctl restart rsyslog

不要なログを削除

rm -f /var/log/maillog*

・ログローテーション設定
vim /etc/logrotate.d/syslog
---(下記を削除)---

vim /etc/logrotate.d/maillog
---(下記を追加)---

・確認します
logrotate -dv /etc/logrotate.d/maillog
---(下記のような表示があればOKです)---

rotating pattern: /var/log/mail/maillog after 1 days (60 rotations)
empty log files are rotated, old logs are removed

Dovecotログの設定

vim /etc/logrotate.d/dovecot
---(下記を追加)---

・確認します
logrotate -dv /etc/logrotate.d/dovecot
---(下記のような表示があればOKです)---

rotating pattern: /var/log/dovecot/dovecot.log after 1 days (60 rotations)
empty log files are rotated, old logs are removed

メールアカウントの作成

メールアカウントの作成は、普通に UNIXユーザを作成するだけでOKです。下記はメールアカウント「sample@example.com」を作成しています。シェルは必ず「/sbin/nologin」を指定しましょう。

useradd -s /sbin/nologin sample
passwd sample
ユーザー sample のパスワードを変更。
新しいパスワード: <←パスワードを入力>
新しいパスワードを再入力してください: <←パスワードを入力>
passwd: 全ての認証トークンが正しく更新できました。

メールクライアント(Thunderbird)の設定例

手動設定でメールサーバを設定し「完了」ボタンをクリックします。以下は「apar.jp」ドメインでの設定例です。
ssl-mailsv-01

送受信がうまくいかない場合は、メールサーバのポートが空いていることを確認してみましょう。また、設定箇所がかなり多いため、設定漏れなどもあるかと思います。Postfix、Dovecotのログを確認してみてください。

メールサーバ間暗号化通信の確認

SSL/TLSに対応しているGmail等とメールを送受信してみると、メールサーバ間でSSL/TLS暗号化通信が行われていることが確認できると思います。

Gamilへ送信したメールのヘッダ

Gmailから受信したメールのヘッダ

第三者中継チェック

メールサーバが誰にでも送信に使われてしまうと、迷惑メールやフィッシングメールの温床になります。メール送信サーバ(Postfix)の設定が終わったら必ず第三者中継チェックを行いましょう。

▽ 第三者中継チェック RBL.JP
http://www.rbl.jp/svcheck.php

ホスト名に「mail.example.com」を入力 →「第三者中継テストの結果:no relays accepted.」であればOKです。

送信ドメイン認証の設定(SPF/DKIM)

今や必須になりつつある送信ドメイン認証の SPF と DKIM の設定もあわせて行うことをおすすめします。

▽ SPFレコードを Amazon Route 53 に登録する
https://blog.apar.jp/linux/737/

▽ Postfix SPF 認証 設定メモ(postfix-policyd-spf-python)
https://blog.apar.jp/linux/766/

▽ Postfix DKIM 認証 設定メモ(CentOS6.5+OpenDKIM)
https://blog.apar.jp/linux/856/

終わりに

仕事のコミュニケーションツールとして、広く普及している電子メールですが、メールサーバー間の通信は、今だに暗号化されずに送受信されていることが多いようです。メールサーバの暗号化設定をしない原因の一つに、SSL/TLS証明書発行の費用や更新の手間があるかと思います。Let's Encrypt が普及し一般的になれば、この問題も解決し、Postfixのデフォルト値が「smtpd_tls_security_level=encrypt」(暗号化強制)になる日が来るかもしれませんね。

スポンサーリンク
Pocket
LINEで送る

SSLメールサーバ構築メモ Let's Encrypt+Postfix+Dovecot」への3件のフィードバック

  1. 匿名

    自宅や会社からは大丈夫なのに出先などで自鯖からメールが送れない、という事象が発生していて困っていましたが、SPAM対策の設定に入っているzen.spamhaus.orgがドコモのドメインまたはそれの所有IPアドレスをしょっちゅうSPAMのリストに入れているようです。

    返信
  2. ピンバック: メールにもLet’s encryptをつかってみた

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です