Q&A
お世話になっております
現在、postfixとDovecotを利用して
稼動しているSTARTTLS?とpop3s?のメールサーバを新規作り変え中です
設定した人物はすでに退職しており、設定した意図などは誰もわかっていません。
smtp自体は内部LANのAPIサーバから当該メールサーバに25ポート接続で
各アカウントのMaildirディレクトリにメール送信します。
外部のユーザのメールソフトでpop3s(pop3)接続でメールを取りに来る仕組みで動いています。
現在稼動しているサーバ設定情報を洗い出ししているのですが
設定内容で不透明なところがありますので
下記で質問させてください
冗長ですが、お付き合い頂けますと幸いです。
- バージョン情報:
postconf mail_version mail_version = 2.6.6
- 証明書状態:
[root@test POSTFIX]# openssl s_client -connect localhost:587 -starttls smtp | openssl x509 -noout -dates depth=0 C = JP, ST = Tokyo, L = ****-ku, O = test_corporation, CN = aaa.test.com, emailAddress = postmaster@aaa.test.com verify error:num=18:self signed certificate verify return:1 depth=0 C = JP, ST = Tokyo, L = ****-ku, O = test_corporation, CN = aaa.test.com, emailAddress = postmaster@aaa.test.com verify error:num=10:certificate has expired notAfter=Dec 24 08:40:26 2018 GMT verify return:1 depth=0 C = JP, ST = Tokyo, L = ****-ku, O = test_corporation, CN = aaa.test.com, emailAddress = postmaster@aaa.test.com notAfter=Dec 24 08:40:26 2018 GMT verify return:1 250 DSN notBefore=Dec 26 08:40:26 2008 GMT notAfter=Dec 24 08:40:26 2018 GMT
- STARTTLS?とpopsのための各設定
■/etc/postfix/main.cf
smtpd_tls_cert_file=/etc/pki/tls/certs/*.pem smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = $myhostname smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination smtpd_use_tls = yes smtpd_tls_cert_file = /etc/pki/tls/certs/mail.pem smtpd_tls_key_file = /etc/pki/tls/certs/mail.pem content_filter=smtp-amavis:[127.0.0.1]:10024
■/etc/postfix/master.cf
smtp inet n - n - - smtpd submission inet n - n - - smtpd # -o smtpd_tls_security_level=encrypt # -o smtpd_sasl_auth_enable=yes # -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING #smtps inet n - n - - smtpd # -o smtpd_tls_wrappermode=yes # -o smtpd_sasl_auth_enable=yes # -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING
■/etc/dovecot/conf.d/10-ssl.conf
ssl_cert = </etc/pki/tls/certs/mail.pem ssl_key = </etc/pki/tls/certs/mail.pem
■/etc/dovecot/conf.d/10-master.conf
inet_listener imaps { #port = 993 #ssl = yes
sslが無効になっていますのでpo3sログインは出来ていないのかと思います
■/etc/sasl2/smtpd.conf
pwcheck_method: saslauthd mech_list: plain login
tls/ssl設定がありましたが
昨年12月で証明書が切れています。
証明書はオレオレの自己証明書のようです
[root@test POSTFIX]# openssl x509 -noout -dates -in /etc/pki/tls/certs/mail.pem notBefore=Dec 26 08:40:26 2008 GMT notAfter=Dec 24 08:40:26 2018 GMT
ここから下記、質問事項になります。
質問1.STARTTLSかSMTP over SSL/TLSで稼動しているのかについて
main.cfやmaster.cfには
smtpd_tls_security_levelの設定は入っていませんので
SMTP over SSL/TLSではなく
STARTTLSの設定が有効になっていると考えていいでしょうか
10-master.confで
#ssl = yes
となっているのでpo3sログインは出来ていない解釈でいいのでしょうか
質問2.STARTTLSで使用するポート情報について
Postfix(SMTP) サーバには STARTTLSの設定が入っているようですが
自己証明書の期限が切れています
確認のためにtelnetコマンドを実行したところ
250-STARTTLS
STARTTLSはサポートされているようです
ですが下記のようにメールサーバ内で稼動しているサービスポートは465ポートは稼動していませんが
587ポートが稼動しています
また、
上位のロードバランサーとfirewall
では465ポートが開放されていますが、587ポートが開放されていません
サーバ内では
STARTTLSの465ポートが稼動していなく、
submissionの587ポートが稼動しています。この状態ではsmtpは、実質startsslでサービスは動いてはいなく
25ポートで稼動している認識になるのでしょうか
[root@test postfix]# netstat -atlnp|grep 465 tcp 0 0 127.0.0.1:199 0.0.0.0:* LISTEN 6465/snmpd [root@test postfix]# netstat -atlnp|grep 587 tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 6729/master tcp 0 0 :::587 :::* LISTEN 6729/master
[root@test POSTFIX]# telnet localhost 25 Trying ::1... Connected to localhost. Escape character is '^]'. 220 aaa.test.com ESMTP unknown EHLO aaa.test.com 250-aaa.test.com 250-PIPELINING 250-SIZE 327680000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN
[root@test postfix]# telnet localhost 587 Trying ::1... Connected to localhost. Escape character is '^]'. 220 aaa.example.co.jp ESMTP unknown EHLO aaa.example.co.jp 250-aaa.example.co.jp 250-PIPELINING 250-SIZE 327680000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN
もちろん25ポートは使われています
10025はamavisdポートです
[root@test postfix]# netstat -atlnp|grep 25 tcp 0 0 127.0.0.1:10025 0.0.0.0:* LISTEN 6729/master tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 25945/sshd tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 6484/smtpd
質問3.証明書が切れている状態でのpop3sログインについて
証明書有効期限が切れている・#ssl = yesの状態で
クライアントユーザが995ポートでpop3sログインが出来ていたと仮定して、
現在の証明書が切れている状態でもユーザ影響が出ないでpop3ログインが出来るものなのでしょうかtcpdumpで110ポートを見るとpop3での接続が確認出来ます、dovecot: pop3-loginしているようです
現行設定を踏襲するならば、外部のユーザからpops(995)接続させる設定でいいのでしょうか
Oct 28 00:54:56 AAAA1111 postfix/smtpd[30306]: disconnect from unknown[***.***.***.***] Oct 28 00:54:56 AAAA1111 dovecot: pop3-login: Login: user=<g-after>, method=PLAIN, rip=***.*.***.***, lip=***.***.***.***, mpid=30798, TLS
tcpdumpで995ポートを見るとpop3sでの接続が確認出来ます
17:18:05.260645 IP 1**.***.***.***.43290 > AAAA1111.aaa.test.com.pop3s: Flags [.], ack 1, win 115, options [nop,nop,TS val 2129660067 ecr 1701431993], length 0 17:18:05.260765 IP 1**.***.***.***.43290 > AAAA1111.aaa.test.com.pop3s: Flags [F.], seq 1, ack 1, win 115, options [nop,nop,TS val 2129660068 ecr 1701431993], length 0 17:18:05.261420 IP AAAA1111.aaa.test.com.pop3s > 1**.***.***.***.43290: Flags [.], ack 2, win 114, options [nop,nop,TS val 1701431995 ecr 2129660068], length 0 17:18:05.265431 IP AAAA1111.aaa.test.com.pop3s > 1**.***.***.***.43290: Flags [F.], seq 1, ack 2, win 114, options [nop,nop,TS val 1701431999 ecr 2129660068], length 0
質問4.STARTTLS用の証明書作り方について
postfix側に入れる証明書は
例えば、apacheに入れている証明書とkeyファイルを入れる事で
問題なかったでしょうか
postfix専用のSSLの作り方があれば教示ください
質問5.STARTTLSの証明書を使用する場合のクライアント側メーラーに証明書をインポートする必要があるのか
STARTTLSの証明書を使用する場合
この証明書をクライアント側のメーラにインポートする必要はあるのでしょうか現在稼動しているメールサーバにテストアカウント作成して、
このテストアカウントをメーラーに追加しようとしているのですが
画像のように毎回、警告メッセージが出ます。
この警告は有効期限切れの証明書のためだからでしょうか
もしくわ、自己証明書のためでしょうか
そもそも、メールサーバへの証明書を自己証明書を採用する場合
クライアント側メーラーに証明書をインポートする必要があるのでしょうか
質問6.メーラー設定でアカウント追加する時の設定について
FireWallのポート開放設定とサーバ内のサービスポート情報から
popは995ポート
smtpは25ポート
で稼動しているであろうと仮定する場合、
メールサーバに新規アカウントを作成し、outlookのメーラーでこの新規アカウントを追加して
メール送受信試験を行うと下記のようなエラー表示となります。
メーラ側への設定内容を教示頂けますと幸いです
質問7.よりセキュアな作りにするなら?
SMTP over SSL/TLSの方がいいのでしょうか
宜しくお願い致します
回答1件
0
まず、 dovecot の設定は doveconf -n で default 設定との差分が出るのでそれを参考にすればよい
これは POPS ではなく IMAPS の設定
inet_listener imaps { #port = 993 #ssl = yes
質問1.STARTTLSかSMTP over SSL/TLSで稼動しているのかについて
=> postfixとdovecotの役割を理解していなくアドバイスがしにくい
STARTTLS は SMTP の STARTTLS 機能か? POP3 の STARTTLS か?
SMTPの STARTTLS なのであれば、それは送信時のものか?受信時のものか?
もしSMTPであればなぜ dovecot の 10-master.conf の設定を質問に書いているか?
質問2.STARTTLSで使用するポート情報について
465portは 通常 SMTP over SSL/TLS で使用するため、STARTTLS は 25/587 port で稼働していればよい
外部から 465 , 587 port に接続ができなければ 25 port でしか当然サービスできていない
質問3.証明書が切れている状態でのpop3sログインについて
telnet や メーラーで確認すれば稼働していることは一目瞭然ではないでしょうか
HTTPSでも証明書の期限がきれていても表示できますよね。同じです。クライアントが許可すればいい話
質問4.STARTTLS用の証明書作り方について
同じです。certbot などで用意すればよいのではないでしょうか
質問5.STARTTLSの証明書を使用する場合のクライアント側メーラーに証明書をインポートする必要があるのか
自己証明書を使いたいのであればインポートしたほうがいいでしょうね。しなくてもクライアントで許可すればいい話だと思います。
質問6.メーラー設定でアカウント追加する時の設定について
saslauthd を使っているようですが、そちらの設定等は問題ありませんか?
質問7.よりセキュアな作りにするなら?
送受信の smtp starttls に対応
tls_high_cipherlist の設定を追加
ssl,tls1.0,tls1.1無効、tls1.3 に対応
VRFY、ETRN などのコマンドの無効化
DKIM署名、spf,dkim,dmarcの検証、ついでにspamcheckするなら rspamd のインストール
OSとメールアカウントの非共通化
postfix から dovecot へのメールの格納は LMTPに変更し、dovecot-pigeonhole(sieve)を使えるようにして
IMAPSに対応すれば sieve でメールのフィルタリングができて便利
など、パッと思いつくだけでこれだけあります。
もう少しソフトウェアごとの機能、仕組みなどを理解することに時間をさいたほうがいいと思います
投稿2019/01/24 22:27
編集2019/01/24 22:48
総合スコア2840
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/01/25 17:37 編集
2019/01/25 19:40 編集