レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

Dovecotで POP3s,IMAPs ( STARTTLS or SSL/TLS )を使うための設定

2011年10月17日 2015年1月15日
dovecot security

以前の記事 Dovecotでメールを受信する の続きになります。
今回は、Dovecotで POP3s,IMAPs ( STARTTLS or SSL/TLS ) を使うための設定を行ってみます。

sendmail設定(3)Submissionポート(サブミッション・ポート)& SMTP-AUTH(認証)& STARTTLSを使ってみる の記事で、Sendmailで同じようにSMTPs を使うための設定を行いました。

考え方は全く同じです。利用するポート番号が異なるだけです。
では、早速、簡単に解説してみます。

SMTPにおけるSTARTTLSの利用は、
Sbumissionポートを利用している場合は、587を使います。
Sbumissionポートを利用していない場合は、SMTPが通常使用しているポートと同じ25を使います。

POP3におけるSTARTTLSの利用は、
POP3が通常使用しているポートと同じ110を使います。

SMTPにおけるSSL/TLSの利用は、一般的に465を使います。
POP3におけるSSL/TLSの利用は、一般的に995を使います。
Debian, Ubuntu は、こちらを参照してください。

POPs,IMAPs ( STARTTLS or SSL/TLS )を使うための設定

POP3s,IMAPs ( STARTTLS or SSL/TLS )を使うための設定は、メールのためのSSL用の証明書を作成する手順まで sendmail設定(3)Submissionポート(サブミッション・ポート)& SMTP-AUTH(認証)& STARTTLSを使ってみる で説明しているSTARTTLS と同じです。
以降は、サーバー証明書の作成から簡単に解説します。

メールサーバーの証明書(SSL用)を作成する。

Dovecotで POP3s,IMAPs ( STARTTLS or SSL/TLS ) に対応 する場合は、 SSLサーバー証明書ファイル 、SSLサーバー秘密鍵ファイル が必要になります。

そのSSLサーバー証明書などは、通常、会社などの公的な場面で管理・運営する場合は、公的なパブリック認証局から有料にて発行してもらうべきでしょう。
ただ、ここでは、サーバー証明書などを使った暗号化を利用したよりセキュアなDovecotの運用について解説したいだけですので、 プライベート認証局を自前で用意(もちろん無料)し、サーバー証明書を発行し使用するもとします。

大きな作成の流れは、以下のとおりです。
また、これらの作成手順は、プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について にて詳しく解説していますので、そちらを参照してください。


  1. OpenSSLをインストールします。→ 参照: OpenSSLのインストールする
  2. プライベート認証局の証明書を作成します。→ 参照: 認証局証明書を作成する
  3. サーバー証明書、秘密鍵を作成します。→ 参照: サーバー証明書を作成する。

ここでは、先の証明書作成解説記事 にて作成した PEM形式のものと利用するものとして、 以下のファイル名を使用して解説します。
(サーバー証明書作成時に、 Common Namemail.exmaple.com を指定して作成したものとします。)


  • SSLサーバー証明書ファイル ( ここで指定する証明書はPEM形式のものです ) :

    ここでは、/etc/pki/CA/certs/mail.example.com.pem を使用するものとします。

  • SSLサーバー秘密鍵ファイル :

    ここでは、/etc/pki/CA/private/mail.example.com.key を使用するものとします。



dovecot の設定を行う。

次に、dovecot の設定を行います。

CentOS 5, CentOS 6, ScientificLinux 6 までは、/etc/dovecot.conf を編集します。

$ vi /etc/dovecot.conf
...
# 対応するプロトコルを設定します。
protocols = imap imaps pop3 pop3s
...
# SSLを使用するように指定します。
ssl_disable = no
...
# SSL証明書ファイルパスを設定します。
ssl_cert_file = /etc/pki/CA/certs/mail.example.com.pem
ssl_key_file = /etc/pki/CA/private/mail.example.com.key
...

プロトコルとして、imaps,pop3s を有効にしておきます。
SSLを有効(no)にしておきます。
メールのためのSSL用証明書のありかを設定(mail.example.com.pem)します。


CentOS 7 では、/etc/dovecot/conf.d/10-ssl.conf を編集します。

$ vi /etc/dovecot/conf.d/10-ssl.conf
...
# SSLを使用するように指定します。('#'でコメントアウトされている場合は、'#'を外します)
ssl = yes
...
# SSL証明書ファイルパスを設定します。
ssl_cert_file = /etc/pki/CA/certs/mail.example.com.pem
ssl_key_file = /etc/pki/CA/private/mail.example.com.key
...

続けて、使用するプロトコルの設定は、conf.d/10-master.conf を編集することになります。

$ vi /etc/dovecot/conf.d/10-master.conf
...
# 対応するプロトコルを設定します。
service imap-login {
  inet_listener imap {
    #port = 143
  }
  inet_listener imaps {
    port = 993
    ssl = yes
  }
  ...
}
...
service pop3-login {
  inet_listener pop3 {
    #port = 110
  }
  inet_listener pop3s {
    port = 995
    ssl = yes
  }
  ...
}
...

dovecot を再起動(再読み込み)する。

dovecot の設定を終えたら、dovecot を再起動(再読み込み)を行います。
その前に、ここで使用するプロトコル(imaps,pop3s) が使用するポートが iptables などで閉じている場合は、開いておきます。

# dovecot pop , imap
$ /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
$ /sbin/iptables -A INPUT -p tcp --dport 143 -j ACCEPT
# dovecot pops , imaps
$ /sbin/iptables -A INPUT -p tcp --dport 993 -j ACCEPT
$ /sbin/iptables -A INPUT -p tcp --dport 995 -j ACCEPT

最後にDovecotを再起動(再読み込み)します。

CentOS 5, CentOS 6, ScientificLinux 6 の場合
$ service dovecot restart
...
CentOS 7 の場合
$ systemctl restart  dovecot.service
...
各サービスを起動・停止は、service コマンドを使うのが主流でしたが、CentOS 7 では、systemctl コマンドを使うようになりました。
service コマンドも自動でリダイレクトしてくれるので使えますが、これからは、systemctl へ完全移行するのでしょうね。
また、もっと古い /etc/init.d/dovecot は、完全に無くなりました。

メールクライアントからメールを受信してみる

メールの受信確認には、メールクライアントソフトを使って確認するのが間違いが少ないでしょう。

ここでは、フリーメールクライアントソフトのThunderBirdを使ってみます。


ThunderBirdでメールを受信してみる

メニューの[ ツール ] – [ アカウント設定 ]でアカウント設定画面を開きます。

ThunderBird アカウント設定

アカウント設定画面から、テストに用いるメールアカウントの [ サーバー設定 ] を選択します。

ThunderBird サーバー設定
  • サーバー名:

    正しいメールサーバー名あるいはIPアドレスを設定します。
    ここでは、例としてmail.example.comを入力しています。

  • ユーザ名:

    メールの受信ユーザ名になります。
    ここでは、例としてhogeを入力しています。

  • ポート番号:
    • pop3 の場合: 通常以下のようなポート番号の設定になります。

      接続の保護: なし の場合は、110を設定します。
      接続の保護: STARTTLS の場合は、110を設定します。
      接続の保護: SSL/TLS の場合は、995を設定します。

    • imap の場合: 通常以下のようなポート番号の設定になります。

      接続の保護: なし の場合は、143を設定します。
      接続の保護: STARTTLS の場合は、143を設定します。
      接続の保護: SSL/TLS の場合は、993を設定します。

  • 接続の保護:

    ここでは、先のポート番号時と同様、なしSTARTTLSSSL/TLSのいずれかを選択します。

  • 認証方式:

    ここでは、通常のパスワード認識を選択します。

編集を終えたら、OKボタンをクリックして変更内容を保存したら、適当な外部サーバーから(例えばYahoo!のフリーメールなど)ここで設定したメールアドレス宛てにメールを送信してみましょう。

メールクライアントでメールが受信できればOKです。


サーバー証明書に関する警告メッセージについて

接続の保護が、STARTTLSSSL/TLSの場合、初回は、以下のようなメッセージが表示され、受信できないかもしれません。

ThunderBird 信用できないサイト

このメッセージは、「証明書は、勝手に自前で作成した証明書なので、信用性がありません。」という趣旨のものです。 とりあえず、セキュリティ例外をクリックすると以降、メール送信できるようになります。
更に、その上のチェックボックスにチェックを入れておけば、それ以降、この画面は表示されません。

または、あらかじめ
プライベート認証局の証明書( こちらの記事 の例では、 CentOS : /etc/pki/CA/cacert.pem, Debian Ubuntu : /etc/ssl/CA/cacert.pem )を あらかじめメールクライアントツールにインストールしておけば、上記のようなメッセージは表示されません。
以下は、ThunderBirdでの例です。先のプライベート認証局の証明書をダウンロード済として解説します。


  1. メニュー [ツール] – [オプション] をクリックします。
    ThunderBird メニューオプション
  2. オプション画面上の[詳細]をクリック、[証明書]タブを選択します。
    ThunderBird 証明書表示

    [証明書を表示]ボタンをクリックします。

  3. 証明書マネージャ画面上の[認証局証明書]タブを選択します。
    ThunderBird 証明書インポート

    [インポート]ボタンをクリックし、先にダウンロードしたプライベート認証局の証明書を指定しインポートすれば OK です。


これで、インストールしたプライベート認証局で作成・発行したサーバー証明書を自動的に許容します。

ただし、先の記事 でサーバー証明書を作成する際に Common Name で指定した サーバー名と一致していることが前提になります。

例えば、先の記事 のように www.exmple.com と指定したにもかかわらず、 メールサーバーのIPアドレスでメール受信しようとした場合は、上記と同様、警告メッセージが表示されることがありますので、十分、気をつけましょう。


受信できない場合のチェックポイント

もし、受信できない場合は、まず、ポートの確認をしてみましょう。
クライアント側で、telnetで 先のメールクライアントの設定で指定したポート番号( 以下の例は pop3のポート 110 )を確認してみましょう。

C:\> telnet 11.22.33.44 110
+OK Dovecot ready.
quit
+OK Logging out

上記の例は、dovecotのIPアドレスが11.22.33.44だったとして記述しています。

これがOKの場合は、mail_location の設定に誤りがあるか、メールクライアントの設定に誤りがあるかも知れません。
もう一度、dovecot の設定、およびメールクライアントの設定を確認してみましょう。

これがNGの場合は、ポートがオープンされていないか、dovecotが起動していないでしょう。
ポートが開いているか確認するには、サーバー側で、iptablesを使うと良いでしょう。

$ iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

tcp dpt:pop3の状態を確認します。ここでは、ACCEPTになっていますから、ポートはオープンされていることになります。
もし、開いていないようなら、pop3のポート(デフォルト110)を開くようにしましょう。

$ iptables -A INPUT -p tcp --dport 110 -j ACCEPT

こんな感じです。



どうだったでしょうか?

メール受信側は、メール送信以上に簡単でした。

STARTTLSSSL/TLSとでは、メールの送信と同様に、SSL/TLSがよりセキュアです。

会社などのビジネスメールは、この程度のセキュリティは設定しておくできでしょうね。
もし、まだ設定していないなら、設定しましょうね。
ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

Debian(Ubuntu)でDovecotでメールを受信する ( POP3s,IMAPs ( STARTTLS or SSL/TLS ) にも対応 )

今回は、pop3 , imap によるメールの受信 を行うための dovecot の設定例です。 CentOS,Scientific Linu ...

Dovecotでメールを受信する

今回は、前回「sendmailを使って内部メールをgmailへ転送する」の続きでsendmail を使っているときのdovecot の設定例です ...

DovecotでIMAP IDLE を使った Pushメールを体験してみる

以前に Dovecotでメールを受信する でDovecotの基本設定について解説しました。 今回は、そのDovecotを使って、携帯メールのよ ...

sendmail設定(4) SMTP-AUTH(認証)+SMTPs (SSL/TLS) を使ってみる

前回までの関連記事 sendmailを使って内部メールをgmailへ転送する Dovecotでメールを受信する sendmail設定(1) ...

Postfix で Submissionポート(サブミッション・ポート)& SMTP-AUTH(認証)& STARTTLS or SSL/TLS を使ってみる

前回までの関連記事 Debian(Ubuntu)で postfix を使ってみる postfixを使って単純に全メールを1つのメールサーバー ...



コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.2025 [s]