メールアカウント、パスワード暗号化


ここでは、「メールアカウント」「パスワード」の暗号化設定を行います。

メールを外部から送信する場合、「メールアカウント」「パスワード」が盗聴される可能性があります。
そのため、「メールアカウント」「パスワード」を暗号化して通信させます。

尚、ここで暗号化されるのは「メールアカウント」「パスワード」です。「メール本文」は暗号化されません。
ちなみに、暗号化は利用するMTA — クライアント間だけです。

(1)サーバ証明書を作成する。
[root@mail1 ~]# cd /etc/pki/tls/certs
[root@mail1 certs]# make mail.pem
umask 77 ; \
        PEM1=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        PEM2=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        /usr/bin/openssl req -utf8 -newkey rsa:1024 -keyout $PEM1 -nodes -x509 -days 365 -out $PEM2 -set_serial 0 ; \
        cat $PEM1 >  mail.pem ; \
        echo ""    >> mail.pem ; \
        cat $PEM2 >> mail.pem ; \
        rm -f $PEM1 $PEM2
Generating a 1024 bit RSA private key
.............................++++++
........................++++++
writing new private key to '/tmp/openssl.C22417'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]: # 国名(JPなど)
State or Province Name (full name) [Berkshire]: # 都道府県(Tokyoなど)
Locality Name (eg, city) [Newbury]: # 市区町村(Chuokuなど)
Organization Name (eg, company) [My Company Ltd]: # 会社名(hogehoge Co. Ltd.など)
Organizational Unit Name (eg, section) []: # 組織名(部署名など)
Common Name (eg, your name or your server's hostname) []: # メールサーバ名(mail1.comなど)
Email Address []: # 管理者メールアドレス(特に入力しなくてもよい)

(2)「Postfix」にサーバ証明書用の設定を修正する。
[root@mail1 ~]# vi /etc/postfix/main.cf
----------最終行に追加----------
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/pki/tls/certs/mail.pem
smtpd_tls_key_file = /etc/pki/tls/certs/mail.pem
smtpd_tls_session_cache_database = btree:/etc/postfix/smtpd_scache

[root@mail1 ~]# vi /etc/postfix/master.cf
#smtps inet n - n - - smtpd
#   -o smtpd_tls_wrappermode=yes
#   -o smtpd_sasl_auth_enable=yes
↓ # 変更(コメントアウトをはずす)
smtps inet n - n - - smtpd
   -o smtpd_tls_wrappermode=yes
   -o smtpd_sasl_auth_enable=yes

(3)「Postfix」を再起動する。
[root@mail1 ~]# /etc/rc.d/init.d/postfix restart
postfix を停止中:                                          [  OK  ]
postfix を起動中:                                          [  OK  ]

(4)「dovecot」にサーバ証明書用の設定を修正する。
[root@mail1 ~]# vi /etc/dovecot.conf
# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before
# dropping root privileges, so keep the key file unreadable by anyone but
# root. Included doc/mkcert.sh can be used to easily generate self-signed
# certificate, just make sure to update the domains in dovecot-openssl.cnf
#ssl_cert_file = /etc/pki/dovecot/certs/dovecot.pem
#ssl_key_file = /etc/pki/dovecot/private/dovecot.pem
↓ # 変更
ssl_cert_file = /etc/pki/tls/certs/mail.pem
ssl_key_file = /etc/pki/tls/certs/mail.pem

(5)「dovecot」を再起動する。
[root@mail1 ~]# /etc/rc.d/init.d/dovecot restart
Dovecot Imap を停止中:                                     [  OK  ]
Dovecot Imap を起動中:                                     [  OK  ]

(6)「465」「995」ポートが「LISTEN」状態か確かめる。
[root@mail1 ~]# lsof -i:465
COMMAND   PID USER   FD   TYPE DEVICE SIZE NODE NAME
master  22531 root   14u  IPv4  68644       TCP *:smtps (LISTEN)
[root@mail1 ~]# lsof -i:995
COMMAND     PID    USER   FD   TYPE DEVICE SIZE NODE NAME
dovecot   22562    root    6u  IPv6  68938       TCP *:pop3s (LISTEN)
pop3-logi 22567 dovecot    1u  IPv6  68938       TCP *:pop3s (LISTEN)
pop3-logi 22568 dovecot    1u  IPv6  68938       TCP *:pop3s (LISTEN)
pop3-logi 22569 dovecot    1u  IPv6  68938       TCP *:pop3s (LISTEN)

(7)クライアントメールソフトの設定を行う。(ここではWindows Mailを例にする。)
ツール → アカウント → メールアカウント を選択し プロパティ → 詳細設定 をクリックし、以下の設定を行う。  



(8)サーバ証明書をクライアントにインポートする。
もし、サーバ証明書をクライアントにインポートしない場合は、以下のような警告が出てくる。  



この場合は、警告を無視して「はい」をクリックすればいいが、毎回警告が発生するため発生させないようにサーバ証明書をクライアントにインポートする。

クライアントへインポートするサーバ証明書を作成する。
[root@mail1 ~]# cd /etc/pki/tls/certs
[root@mail1 certs]# openssl x509 -in mail.pem -outform DER -out mail.der

クライアントへインポートする「mail.der」ができた。
このファイルをクライアント側へコピーし次のようにインポートさせる。

ツール → オプション → セキュリティ → デジタルID → 信頼されたルート証明機関 → インポート

インポート完了後、メールソフトを再起動して警告が発生しない事を確かめる。 

Comments are closed.