GMO VPSでメールサーバを構築します
「前回」に続いて「GMO VPSを契約してWordPressを安定動作させるまでのサーバ設定方法」の最終章である第六弾。
この投稿ではOpenSSLでプライベートCAを構築しPostfix用の秘密鍵・公開鍵の作成。
さらにPostfixとDovecotを使ってメールサーバを構築します。
基本的なことは過去の投稿でまとめたので必要な方は参照してください。
「カテゴリー「Postfix」の記事一覧」
今回の解説で利用したVPSはこちら
目次
- OpenSSLに関する設定
- プライベートCAの構築とPostfix用の秘密鍵・公開鍵の作成
- postfixの設定
- cyrus-sasl関連のインストール
- メール送信テスト
- Dovecotのインストールと設定
OpenSSLに関する設定
まずプライベートCAを作成してpostfixで利用する鍵を作ります。
致命的な脆弱性「Heartbleed」の例もありますので、最新版にアップデートしておきます。
# yum update openssl
CAスクリプトの編集
# cd /etc/pki/tls/misc/ # cp CA CA.org # vi CA
有効期限の変更
鍵を作りなおすのも面倒なので3年から10年に変更します。
# if [ -z "$DAYS" ] ; then DAYS="-days 365" ; fi # 1 year # CADAYS="-days 1095" # 3 years if [ -z "$DAYS" ] ; then DAYS="-days 3650" ; fi CADAYS="-days 3650"
openssl.cnfの編集
# cd /etc/pki/tls # cp openssl.cnf openssl.cnf.org # vi openssl.cnf
「usr_cert」セクションの項目を変更
basicConstraintsの項目を変更
basicConstraints=CA:FALSE ↓ # basicConstraints=CA:FALSE basicConstraints=CA:TRUE
nsCertTypeの項目を変更
# nsCertType = sslCA, emailCA ↓ # nsCertType = sslCA, emailCA nsCertType = sslCA, emailCA
keyUsageの項目を変更
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment ↓ # keyUsage = nonRepudiation, digitalSignature, keyEncipherment keyUsage = cRLSign, keyCertSign
ここから「v3_req」セクション
<h4>basicConstraintsの項目を変更</h4> basicConstraints = CA:FALSE ↓ basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment
以上で下準備は完了です。
プライベートCAの構築とPostfix用の秘密鍵・公開鍵の作成
# cd /etc/pki/tls/misc/ # ./CA -newca CA certificate filename (or enter to create) Making CA certificate ... Generating a 2048 bit RSA private key ............................+++ ................+++ writing new private key to '/etc/pki/CA/private/./cakey.pem' Enter PEM pass phrase: Verifying - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:JP ←国を入力 State or Province Name (full name) []:Tokyo ←都市を入力 Locality Name (eg, city) [Default City]:Shinagawa ←市区町村を入力 Organization Name (eg, company) [Default Company Ltd]:example ←組織名を入力 Organizational Unit Name (eg, section) []: ←部署名を入力(空欄でよい) Common Name (eg, your name or your server's hostname) []:example.com ←サイト名やサーバ名など Email Address []:info@example.com ←メールアドレスを入力(空欄でよい) Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: ←証明書破棄時のパスワードを入力(空欄でよい) An optional company name []: ←別の組織名を入力(空欄でよい) Using configuration from /etc/pki/tls/openssl.cnf Enter pass phrase for /etc/pki/CA/private/./cakey.pem: ←上で入力したパスを入力 Check that the request matches the signature Signature ok Certificate Details: Serial Number: 12436273577774291098 (0xac9684edc4d0189a) Validity Not Before: Jun 15 14:10:29 2014 GMT Not After : Jun 12 14:10:29 2024 GMT Subject: countryName = JP stateOrProvinceName = Tokyo organizationName = example commonName = example emailAddress = info@example.com X509v3 extensions: X509v3 Subject Key Identifier: 3E:15:CA:D1:0B:04:06:74:94:5F:DB:E8:01:80:4B:C2:EF:78:8B:4D X509v3 Authority Key Identifier: keyid:3E:15:CA:D1:0B:04:06:74:94:5F:DB:E8:01:80:4B:C2:EF:78:8B:4D X509v3 Basic Constraints: CA:TRUE Certificate is to be certified until Jun 12 14:10:29 2024 GMT (3650 days) Write out database with 1 new entries Data Base Updated
CAの秘密鍵のパーミッション変更
# cd /etc/pki/CA/private # chmod 600 cakey.pem
ルート証明書に追加するプライベートCAの証明書を作成
# cd /etc/pki/CA/ # openssl x509 -inform pem -in cacert.pem -outform der -out cacert.der
「/etc/pki/CA/cacert.der」が作成される。
メールサーバ用の秘密鍵を作成
# mkdir /etc/pki/postfix # cd /etc/pki/postfix # openssl genrsa -des3 -out postfix.key 2048 Generating RSA private key, 2048 bit long modulus ..................................................................................................+++ ........+++ e is 65537 (0x10001) Enter pass phrase for postfix.key: ←postfix.key用のパス Verifying - Enter pass phrase for postfix.key: ←同じパス
これで「/etc/pki/postfix/postfix.key」が作成される。
パーミッション変更
# chmod 600 postfix.key
メールサーバ用の秘密鍵を元に、証明書署名要求(CSR)を作成
# openssl req -new -key postfix.key -out postfix.csr Enter pass phrase for postfix.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:JP ←国コードを入力 State or Province Name (full name) []:Tokyo ←都市を入力 Locality Name (eg, city) [Default City]:Shinagawa ←市区町村を入力 Organization Name (eg, company) [Default Company Ltd]:sukegra ←組織名を入力 Organizational Unit Name (eg, section) []: ←部署名を入力(空欄でもよい) Common Name (eg, your name or your server's hostname) []:mail.example.com ←postfixで設定したホスト名の入力。重要なので間違えないように Email Address []:info@example.com ←メールアドレスを入力(空欄でよい) Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: ←証明書破棄時のパスワードを入力(空欄でよい) An optional company name []: ←別の組織名を入力(空欄でよい)
「/etc/pki/postfix/postfix.csr」が作成される。
証明書署名要求(CSR)をプライベートCAで署名して、公開鍵証明書(公開鍵)の作成
# openssl x509 -CA /etc/pki/CA/cacert.pem -CAkey /etc/pki/CA/private/cakey.pem -req -in postfix.csr -out postfix.pem -days 3650 -CAcreateserial Signature ok subject=/C=JP/ST=Tokyo/L=Shinagawa/O=example.com/CN=example.com/emailAddress=info@example.com Getting CA Private Key Enter pass phrase for /etc/pki/CA/private/cakey.pem: ←プライベートCAの秘密鍵に指定したパスワードを入力
「/etc/pki/postfix/postfix.pem」が作成される。
パスフレーズで暗号化された秘密鍵を復号化
# openssl rsa -in postfix.key -out postfix_noenc.key Enter pass phrase for postfix.key: ←postfix.key用のパスワードの入力 writing RSA key
「/etc/pki/postfix/postfix_noenc.key」が作成される。
パーミッション変更
# chmod 600 postfix_noenc.key
postfixの設定
まずインストールされているか確認。
# yum list installed | grep postfix postfix.x86_64 2:2.6.6-6.el6_5 @updates
main.cfの編集
# cd /etc/postfix/ # cp main.cf main.cf.org # vi /etc/postfix/main.cf
myhostnameの設定
#myhostname = virtual.domain.tld ↓ #myhostname = virtual.domain.tld myhostname = mail.example.com
mydomainの設定
#mydomain = domain.tld ↓ #mydomain = domain.tld mydomain = example.com
mydomainの設定
#myorigin = $mydomain ↓ #myorigin = $mydomain myorigin = $mydomain
inet_interfacesの設定
inet_interfaces = localhost ↓ #inet_interfaces = localhost inet_interfaces = ipv4
mydestinationの設定
mydestination = $myhostname, localhost.$mydomain, localhost ↓ #mydestination = $myhostname, localhost.$mydomain, localhost mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
mynetworksの設定
#mynetworks = hash:/etc/postfix/network_table ↓ #mynetworks = hash:/etc/postfix/network_table mynetworks = 192.168.0.0/24, 127.0.0.0/8
relay_domainsの設定
#relay_domains = $mydestination ↓ #relay_domains = $mydestination relay_domains = $mydestination
home_mailboxの設定
#home_mailbox = Maildir/ ↓ #home_mailbox = Maildir/ home_mailbox = Maildir/
smtpd_bannerの設定
#smtpd_banner = $myhostname ESMTP $mail_name ($mail_version) ↓ #smtpd_banner = $myhostname ESMTP $mail_name ($mail_version) smtpd_banner = $myhostname ESMTP unknown
SSLや認証に関する設定
ファイルの最後に追記。
#SSL用の設定 smtpd_tls_security_level = may smtpd_tls_cert_file = /etc/pki/postfix/postfix.pem smtpd_tls_key_file = /etc/pki/postfix/postfix_noenc.key smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache smtpd_tls_CAfile = /etc/pki/CA/cacert.pem smtpd_tls_CApath = /etc/pki/CA #SMTP認証用の設定 smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination #メールの最大サイズの設定 message_size_limit = 10485760
メール エイリアス データベースの作成
$ cd /etc $ echo -n > aliases.db
saslauthの設定
まずはsaslでplainでログインできるようにする。
# cd /usr/lib64/sasl2/ # cp smtpd.conf smtpd.conf.org ←ない場合もあり # vi smtpd.conf
pwcheck_method: saslauthd ↓ pwcheck_method: saslauthd mech_list: plain login
続いて認証メソッドにpamを使う指定
Postfix専用のユーザーを作成せずとも、Linuxユーザーでメールを使えるようにするため。
# cd /etc/sysconfig/ # cp saslauthd saslauthd.org # vi saslauthd
以下有効であることを確認。
MECH=pam
最後にUNIX認証を有効にするためモジュール「pam_unix.so」を指定
# cd /etc/pam.d/ # cp smtp smtp.org # vi smtp
auth include system-auth account include system-auth ↓ #auth include system-auth #account include system-auth auth required pam_unix.so nullok account required pam_unix.so
サスルの再起動
# /etc/init.d/saslauthd restart
サスルの自動起動を有効にする
# chkconfig --list saslauthd # chkconfig saslauthd on
「/etc/postfix/master.cf」の設定
# cd /etc/postfix/ # cp master.cf master.cf.org # vi /etc/postfix/master.cf
SMTPsを有効
#smtps inet n - n - - smtpd ↓ smtps inet n - n - - smtpd
TLSとSASLを有効、不明なホストの接続を拒否
# -o smtpd_tls_wrappermode=yes # -o smtpd_sasl_auth_enable=yes ↓ -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_reject_unlisted_sender=yes
「tlsmgr(TLSセッションキャッシュ)」の設定
(postfix2.3.3ではデフォルトで有効になっています)
tlsmgr unix - - n 1000? 1 tlsmgr
Postfixで複数ドメインの管理
設定が前後するがバーチャルメールボックスの設定。
# vi /etc/postfix/main.cf
#バーチャルホスト用設定 virtual_alias_maps=hash:/etc/postfix/virtual
Postfixのバーチャルホスト用の設定ファイルを作成
info@example.com宛のメールもinfoに配信する方法。
上の「main.cf」で「mydomain = example.com」に指定していない方のアドレスを登録する。
「2nd.example.com」用の、hogeとhugaユーザー用のメールアドレスを作成する場合。
# vi /etc/postfix/virtual
最終行に以下を追記。
#example.com用メールアドレス example.com anything hoge@2nd.example.com hoge huga@2nd.example.com huga
作成したデータベースの反映とリロード
# postmap /etc/postfix/virtual # /etc/init.d/postfix reload
メールエイリアスの変更
通常infoはroot宛に届くようにエイリアスされているので変更する。
# vi /etc/aliases
info: postmaster ↓ #info: postmaster
さらにrootユーザー当てのメールを転送するようにする。最後の行に追加する。
#root: marc root: hoge hoge: hoge@example.com
データベースの更新
# rm /etc/aliases.db # newaliases
メールサーバの再起動
# /etc/init.d/postfix restart
postfixの自動起動
# chkconfig --list postfix # chkconfig postfix on
cyrus-sasl関連のインストール
認証にsaslauthd使うのでcyrus-sasl関連をインストールして、設定を済ませます。
# yum install cyrus* (省略) Dependencies Resolved ================================================================================ Package Arch Version Repository Size ================================================================================ Installing: cyrus-imapd x86_64 2.3.16-6.el6_2.5 base 11 M cyrus-imapd-devel x86_64 2.3.16-6.el6_2.5 base 232 k cyrus-imapd-utils x86_64 2.3.16-6.el6_2.5 base 255 k cyrus-sasl-devel x86_64 2.1.23-13.el6_3.1 base 302 k cyrus-sasl-gssapi x86_64 2.1.23-13.el6_3.1 base 34 k cyrus-sasl-ldap x86_64 2.1.23-13.el6_3.1 base 29 k cyrus-sasl-md5 x86_64 2.1.23-13.el6_3.1 base 47 k cyrus-sasl-ntlm x86_64 2.1.23-13.el6_3.1 base 36 k cyrus-sasl-plain x86_64 2.1.23-13.el6_3.1 base 31 k cyrus-sasl-sql x86_64 2.1.23-13.el6_3.1 base 32 k Installing for dependencies: postgresql-libs x86_64 8.4.20-1.el6_5 updates 201 k Transaction Summary ================================================================================ (省略)
メール送信テスト
まずtelnetが入っていないのでインストール。
# yum install telnet (省略) Dependencies Resolved ================================================================================ Package Arch Version Repository Size ================================================================================ Installing: telnet x86_64 1:0.17-47.el6_3.1 base 58 k Transaction Summary ================================================================================ (省略)
root@example.comからpiyo@example.comへ送信する例
# telnet localhost 25 HELO localhost MAIL FROM: ←ユーザーネームを置き換える RCPT TO: ←相手のメールアドレス DATA Subject:Send Test Mail From:root ←ユーザー名とユーザーネームを置き換える To:mrtobikko ←相手のメールアドレス(実際に利用しているメールアドレス) This is test mail ←ここから本文 from telnet .
最後の「.(ドット)」も必要なので注意。
終了は「quit」です
Dovecotのインストールと設定
# yum install dovecot (省略) Dependencies Resolved ================================================================================ Package Arch Version Repository Size ================================================================================ Installing: dovecot x86_64 1:2.0.9-7.el6 base 1.9 M Transaction Summary ================================================================================ (省略)
Dovecot設定
昔は「/etc/dovecot.conf」でしたが専用のディレクトリが作成されるようになったようです。
# vi /etc/dovecot/dovecot.conf
listenの設定
#listen = *, :: ↓ #listen = *, :: listen = *
protocolsの設定
pop3s等はもう古いらしい。
#protocols = imap pop3 lmtp ↓ #protocols = imap pop3 lmtp protocols = imap pop3 lmtp
mail_locationの設定
#mail_location = ↓ mail_location = maildir:~/Maildir
過去sslに関する設定もこのファイルで行ってましたが「/etc/dovecot/conf.d/10-ssl.conf」で管理するように変更になってます。
# vi /etc/dovecot/conf.d/10-ssl.conf
sslの確認とpostfix用の鍵を登録。
ssl = yes #ssl_cert = </etc/pki/dovecot/certs/dovecot.pem #ssl_key = </etc/pki/dovecot/private/dovecot.pem ssl_cert = </etc/pki/postfix/postfix.pem ssl_key = </etc/pki/postfix/postfix_noenc.key
※複数のドメインでメールサーバを建てるなら以下のように個別に証明書を発行して指定する必要があります。
local_name imap.example.org {
ssl_cert = </etc/ssl/certs/imap.example.org.crt
ssl_key = </etc/ssl/private/imap.example.org.key
}
local_name imap.example2.org {
ssl_cert = </etc/ssl/certs/imap.example2.org.crt
ssl_key = </etc/ssl/private/imap.example2.org.key
}
dovecotの再起動
# /etc/init.d/dovecot restart
dovecotの自動起動
# chkconfig dovecot on # chkconfig --list dovecot
後はルート証明書「/etc/pki/CA/cacert.der」をインストールする場合はダウンロードしてOutlookなんかに取り込めばセキュリティの警告はでなくなります。
あたりまえだけど、ちゃんとユーザー作成しておかないと送受信できないので注意。info使うにはパスワードの設定も忘れずに。
今回の解説で利用したVPSはこちら
「GMOクラウドのVPS」
以上で6回に渡った解説も終了です。
長らくお付き合いいただきありがとうございました。