TLS(SSL)によるSMTPの暗号化（Debianの場合）

最終更新日：2013年9月5日

Postfix をTLSを使った暗号化ができるように設定

DebinaのPostfixでは標準でTLSのライブラリがリンクされているので設定だけでTLSを使ったメールの暗号化が可能になります。ただし、認証に関してはSASLを使った形にしないとTLS化ができないので、まず最初にSALS関連をインストールします。

$ sudo apt-get install libsasl2 libsasl2-modules sasl2-bin
(debian6では、apt-get install libsasl2-2 libsasl2-modules sasl2-bin )

次に saslauthd が起動時に自動で開始されるように /etc/default/saslauthd の以下の部分を設定します。

::
::
# Should saslauthd run automatically on startup? (default: no)
START=yes ---デフォルトは no
::
::
MECHANISMS="pam"

以上で saslauthd を起動させる準備ができましたので、

$ sudo /etc/init.d/saslauthd restart

以上でsaslauthd を起動させましょう。
正常に起動できれば、

$ testsaslauthd -u ユーザID -p パスワード

(ex. testsaslauthd -u matsuzaki -p Real-password)

で、Linuxに登録されているユーザにて saslauthd の動作が確認できます。

次に、/etc/postfix/main.cf を開き以下の箇所を編集します。
なお、TLS化を実施する前にすでにPostfixの設定が完了しているものとし、SASLの設定部分のみについて説明します。

::
::
# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/mail-server.pem
smtpd_tls_key_file=/etc/ssl/private/nopass_mail-server.key
::
::
# postfix でTLSを利用する
smtpd_use_tls=yes
::
::
# SASL Auth
# broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_authenticated_header = yes
::
::
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
permit_auth_destination,
reject

/etc/postfix/sasl/smtpd.conf を以下の内容で作成します。

pwcheck_method: saslauthd

/etc/postfix/master.conf でsmtpsを有効にするように修正します。

::
::
# smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
↓
smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes

Postfixはchroot化された環境で動作するので、そのままではsaslauthd との通信に失敗してしまいます。　その対策として以下を実施します。

$ sudo rm -r /var/run/saslauthd/
$ sudo mkdir -p /var/spool/postfix/var/run/saslauthd
$ sudo ln -s /var/spool/postfix/var/run/saslauthd /var/run
$ sudo chgrp sasl /var/spool/postfix/var/run/saslauthd
$ sudo adduser postfix sasl

上記作業が完了したら、saslauthd と postfix を再起動します。

$ sudo /etc/init.d/saslauthd restart
$ sudo /etc/init.d/postfix restart

以上までの設定で、SMTPパケットのTLSでの暗号化か可能になりました。　（POPやIMAPに関してはまだ暗号化されていません。　それらについては別の章で説明します。）

SASLによるSMTP認証がうまく動作するかの確認は次のように行います。
まず、はじめにLinuxユーザの認証用ID/PasswordをBASE64化したデータを次の手順で入手します。

# perl -MMIME::Base64 -e 'print encode_base64("ユーザID\0ユーザID\0パスワード");'
（例： perl -MMIME::Base64 -e 'print encode_base64("matsuzaki\0matsuzaki\0pass1234");' )
たとえば結果として 「amltbXkAamltbXkAcaaamC1zZWNyZXQ=」が返ってきたとします。

リモートから telnet にてメールサーバに接続して、次のように確認を実施します。

$ telnet メールサーバのIPアドレス 25
Trying xx.xxx.xx.xxx...
Connected to xxxx.
Escape character is '^]'.
220 xxxx ESMTP Mailserver
ehlo ドメイン名 (ex. ehlo robata.org)
250-xxxxx
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
250-AUTH=NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
250 8BITMIME
AUTH PLAIN amltbXkAamltbXkAcaaamC1zZWNyZXQ=
235 Authentication successful --- 認証成功

[email protected]