SSL暗号化メールの受信における証明書の検証の有る無しについて

OpenSSL、Postfix、Dovecotの組み合わせでメールサーバを構築したのですが、
参考ページ　OXY　NOTES
https://oxynotes.com/?p=8474

受信メーラ　becky!2.70で受信検証をしました。

①pop3s 証明書を検証しない　チェックなし　クライアント証明書を利用チェック

サーバの検証に失敗しました（becky！のエラー）

maillog
Feb 18 16:30:24 gwmail dovecot: pop3-login: Disconnected: Inactivity (no auth attempts in 180 secs): user=<>, rip=192.168.1.199, lip=192.168.0.220, TLS, session=<zu0SGSaCnHSsGADH>

②証明書を検証しないにチェックする
受信OK　TLSの表示があるのでSSLはできているようです。

maillog
Feb 18 16:29:51 gwmail dovecot: pop3-login: Login: user=<user>, method=PLAIN, rip=192.168.1.199, lip=192.168.0.220, mpid=13724, TLS, session=<pt8dFyaCpnSsGADH>

③pop3で受信（pop3sをはずす）　受信ok　当然SSLではない。

maillog
Feb 18 16:31:32 gwmail dovecot: pop3-login: Login: user=<user>, method=PLAIN, rip=192.168.1.199, lip=192.168.0.220, mpid=13734, session=<70IdHSaCq3SsGADH>

ルート証明書は例によれば/etc/pki/CA/cacert.derなのですが、これを取り込む必要があるのでしょうか。
証明書を検証しないという項目がないメールはどう対応したら良いのでしょうか。
そもそもSSLの場合証明書を検証しないという項目をチェックしないと受信できないのでしょうか。
ひょっとしたら設定に間違いがあるのでしょうか。

/etc/dovecot/conf.d/10-ssl.conf
ssl = yes
ssl_cert = </etc/pki/postfix/postfix.pem
ssl_key = </etc/pki/postfix/postfix_noenc.key

行動規範の内容に同意します

回答1件

ベストアンサー

リンク先の方法で設定したならベッキー(クライアント)にroot証明書をインストールする必要があります。

サクッとLets encryptで証明書を取得して設定する訳にはいかないんでしょうか？

投稿2019/02/18 11:09

編集2019/02/18 11:15

scsi

総合スコア2840

scsi

2019/02/18 11:26 編集

あとリンク先のページ通りpostfixを設定してたらssl関連の脆弱性が対応出来てないと思いますが大丈夫でしょうか。自己証明書ってことは内部利用のみなのかな

sasa56563

2019/02/18 12:30 編集

ありがとうございます。ご指摘のとおりあくまでLAN上に配置したメールサーバで内部からのみの利用となります。 SMTPの暗号化を優先し、鍵を作り、それ自体はうまくいっています。 letsencryptの活用は次に考えてはいますが、webと違い、やや敷居が高いというか設定が難しそうです。 sslで使おうとするなら証明書をインストールするか検証をしない設定にするしかないんですね。 LAN側ではユーザが個々のメーラではなく、サイボウズからのメール利用をすることになります。サイボウズは見る限りsslの設定はありますが、証明書に関する項目がありません。そうすると初期設定としてsslの証明書の検証をしないならいいのですが、エラーが起こるとすると結局pop3で受信するしかなさそうです。内部のことなのでそれもありかと思うのですが、できるならsslを使えれば。

scsi

2019/02/18 12:31 編集

内部ならオレオレ証明書なんて作らないでpopでいいかと思います！

sasa56563

2019/02/18 12:35 編集

ありがとうございます。どうもそのようです。pop3でやるほうがはるかに煩わしさはありません。先に書きましたようにsmtpの暗号化が主たる目的でしたので、dovecotでの暗号化はできればというものでした。

行動規範の内容に同意します