sendmail設定(2)Submissionポート（サブミッション・ポート）＆ SMTP-AUTH(認証)を使ってみる

2011年10月14日 2017年8月10日

ご利用のブラウザは、JavaScript が無効となっていませんか？
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない、検索ができないことがあります。

前回までの関連記事

前回までで、簡単なSendmailの動作確認まで行いました。
今回は、Submissionポート（サブミッション・ポート）＆ SMTP-AUTH(認証)を使ってみます。

Outbound Port25 Blocking (OP25B)とは、
TCPポート25を使ってメールの送信を規制することです。
SPAM対策の一つで、一般的にISP管理下のIPアドレスに関してOP25B対象となり、ISP管理下のPCからいきなりTCPポート25を使って他のサーバーへメール送信できなくなります。つまり、メール送信は、ISPが運用するSMTPを経由しないと送信できないようになっています。
ただ、これでは、出先でいつも利用しているISP以外のISPでインターネットに接続した場合、メール送信できなくなります。（いつも利用しているISP以外のISPのOP25Bの規制により、TCPポート25を使っていつも利用しているISPが運用するSMTPへ接続できません。）その対策として、Submissionポート（サブミッション・ポート）があります。

Submissionポート（サブミッション・ポート）とは、
いかなるインターネット接続状態からのメール送信のための TCPポート25と異なるTCPポート(TCPポート587)のことを言います。
このSubmissionポートを使う（tcpポート番号を違える）ことで、OP25Bの規制を回避し、メール送信ができるようになります。
一般的に、このSubmissionポートを利用するには、認証（ユーザ、パスワード）が必要になります。

SMTP Authentication (SMTP-AUTH) とは、
メール送信に使うプロトコルであるSMTPにユーザ認証機能を追加した仕様のことで、RFC 2554によって規定されています。

目次
1. Submissionポートのための設定
履歴

2011年10月14日初版

Submissionポートのための設定

Submissionポートを利用するためのSMTP-AUTH(認証)にSASLを利用します。

手順として、まずは、

SASLをインストールし、
SASLを用いた認証用ユーザ、パスワードを設定
sendmailのSubmissionポート、SMTP-AUTH(認証)の設定
動作確認

の順で設定していきます。

[ 用語の解説 ]

Outbound Port25 Blocking(OP25B)とは
Submissionポート（サブミッション・ポート）とは
SMTP Authentication (SMTP-AUTH)とは
Simple Authentication and Security Layer（SASL）とは
STARTTLS / SMTPs とは

Simple Authentication and Security Layer（SASL）とは、
インターネットプロトコルにおける認証とデータセキュリティのためのフレームワークである。アプリケーションプロトコルから認証機構を分離することを可能にし、理論上はSASLでサポートする任意の認証機構を任意のアプリケーションプロトコルで使うことができる。あるユーザーが別の者のアイデンティティを仮定できる「プロキシ認証」もサポートできる。データ一貫性/データ機密性サービスを提供する「データセキュリティ層」も提供できる。データセキュリティ層を提供する機構の例として DIGEST-MD5 がある。 SASLをサポートするアプリケーションプロトコルは、Transport Layer Security (TLS) もサポートしてSASLの提供するサービスを補完するのが一般的である。
(出典:Wikipedia)

要は、インターネットにおける認証システムの１つです。
SendmailのSubmissionポートを利用する上での認証にSASLを用います。

SASLをインストールする

以下の３つのパッケージがインストールされていればOKです。

cyrus-sasl
cyrus-sasl-plain
cyrus-sasl-md5

インストールされていないようなら、以下のようにインストールします。

$ yum install cyrus-sasl
...
$ yum install cyrus-sasl-plain
...
$ yum install cyrus-sasl-md5
...

$  rpm -qa | grep sasl
cyrus-sasl-2.1.22-5.el5_4.3
cyrus-sasl-md5-2.1.22-5.el5_4.3
cyrus-sasl-plain-2.1.22-5.el5_4.3
$

SASLのユーザ、パスワードを設定する

インストールを終えたら、SASLのユーザ、パスワードを設定します。
ここでのユーザはメールアドレスになります。

例）

$ /usr/sbin/saslpasswd2 -u example.com hoge
Password: 
Again (for verification): 
$

上記の例では、ユーザ名:hoge@example.comとなります。
パラメータの指定順（ドメイン名、ユーザの順）に注意してください。
あとは、指示に従ってパスワードを入力し、完了となります。

ここで設定された情報は、/etc/sasldb2 というファイルに書き込まれます。
このデータを使う場合、saslの設定を一部設定しておき必要があります。

32 bit OS : /usr/lib/sasl2/Sendmail.conf
64 bit OS : /usr/lib64/sasl2/Sendmail.conf

#pwcheck_method:saslauthd
pwcheck_method: auxprop

auxprop : sasldb2 を使って認証する。を指定します。
saslauthd : デーモンのsaslauthd を使って認証する。の場合がデフォルト設定なので注意が必要です。
saslauthdは、基本的にCentOSのユーザID、パスワードでの認証になるのも注意が必要です。

登録したユーザは、以下のコマンドで確認することができます。

$ /usr/sbin/sasldblistusers2
hoge@example.com: userPassword

$

登録したユーザを削除したい場合は、ユーザの指定の仕方に注意してください。sasldblistusers2で表示されるユーザIDのように user@domain のように指定します。

$ /usr/sbin/saslpasswd2 -d hoge@example.com
$

sendmail.mcを設定する

/etc/mail/sendmail.mc を編集します。

...
dnl --- コメントアウトしてあるものを解除します --- dnl
dnl TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
dnl define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
...
dnl --- 25portは認証しないように設定します --- dnl
dnl DAEMON_OPTIONS(`Port=smtp, Name=MTA')dnl
DAEMON_OPTIONS(`Port=smtp, Name=MTA, M=A')dnl
...
dnl --- Submission Port 587portは認証するように設定します --- dnl
dnl DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl
DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl
...

編集を終えたらsendmail.cfを更新します。

$ m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf

次に、TCPポート587がiptableなどで閉じている場合は、開いておきます。

$ /sbin/iptables -A INPUT -p tcp --dport 587 -j ACCEPT

最後にsendmailを再起動します。

$ /etc/init.d/sendmail restart
sendmail を停止中:                                         [  OK  ]
sendmail を起動中:                                         [  OK  ]
$

Submission Port + SMTP-AUTH (認証)を確認する

別のサーバーから、telnetを使って確認してみましょう。
対象となるSMTPサーバーのIPアドレスは、12.34.56.78とします。

$ telnet 12.34.56.78 587
Trying 12.34.56.78...
Connected to 12.34.56.78.
Escape character is '^]'.
220 host.example.com ESMTP Sendmail 8.13.8/8.13.8; Thu, 13 Oct 2011 14:44:27 +0900
AUTH LOGIN
334 VXNlcm5hbWU6
aG9nZUBleGFtcGxlLmNvbQ==
334 UGFzc3dvcmQ6
cHBwd3d3
235 2.0.0 OK Authenticated
mail from:hoge@example.com
250 2.1.0 hoge@example.com... Sender ok
rcpt to:test-user@yahoo.co.jp
250 2.1.5 test-user@yahoo.co.jp... Recipient ok
data
354 Enter mail, end with "." on a line by itself
TEST Relay 587
.
250 2.0.0 p9D5iRKZ015644 Message accepted for delivery
QUIT
221 2.0.0 host.example.com closing connection
Connection closed by foreign host.
$

ユーザ、パスワードに関しては、Base64によるエンコードされた文字列になります。(Base64でデコードすると..)
334 VXNlcm5hbWU6 → Username:
334 UGFzc3dvcmQ6 → Password:
のようにプロンプトの表示から、Base64によるエンコードされているのに注意してください。

また、ここでの入力は、(Base64によるエンコードする)
ユーザに hoge@example.com → aG9nZUBleGFtcGxlLmNvbQ==
パスワードに pppwww → cHBwd3d3
のようにBase64によるエンコードされた文字列を入力します。

Base64によるエンコード、デコードは、http://ostermiller.org/calc/encode.htmlにて行うことができます。

以下は、TCPポート25を使ったメールのリレーが、正しく規制されるか確認しています。

$ telnet 12.34.56.78 25
Trying 12.34.56.78...
Connected to 12.34.56.78.
Escape character is '^]'.
220 host.example.com ESMTP Sendmail 8.13.8/8.13.8; Thu, 13 Oct 2011 11:57:21 +0900
mail from:hoge@example.com
250 2.1.0 hoge@example.com... Sender ok
rcpt to:test-user@yahoo.co.jp
550 5.7.1 test-user@yahoo.co.jp... Relaying denied
data
503 5.0.0 Need RCPT (recipient)
QUIT
221 2.0.0 host.example.com closing connection
Connection closed by foreign host.
$

最後にSubmission Portから送信したメールが正しく届いたか確認できたらOKです。

いかがだったでしょうか？
一番簡単なSubmission Portの設定について、簡単ながら解説してみました。
次回は、SSLプロトコルを使ったメールの暗号化(STARTTLS)を行ってみましょう。

STARTTLSとは、
広い意味でのSTMP over SSL (SMTPs) の１つの方法で、最初の接続時においては、SMTP が利用され、その後、SSL(or TLS)にて暗号化が施されます。
それに対して、SSL/TLSとは、
最初の段階から、SSL(or TLS)による暗号化が図られており、より安全と言われています。

先にも書いたようにいずれも広い意味での、STMPs ( STMP over SSL )といわれています。
狭い意味でSTMPs ( STMP over SSL )という場合は、後者を指します。

STARTTLSは、一般的にSubmission Port (587) と共に用いることが多く、
SSL/TLSは、別のSubmission Port (465) が用いられます。

(amazon )	インフラエンジニア教本2――システム管理・構築技術解説 (SoftwareDesign別冊)に寄稿しました。「ログを読む技術」の再掲載になります。 8月号を見逃された方は、是非、ご一読くださいませ。
(amazon )	Software Design 8月号に寄稿しました。「ログを読む技術」について寄稿しました。興味のある方は、是非、ご一読くださいませ。
また、執筆や当サイトにおける広告のご依頼などございましたら、お問い合わせページよりご一報ください。

sendmail設定(2)Submissionポート（サブミッション・ポート）＆ SMTP-AUTH(認証)を使ってみる

Submissionポートのための設定

SASLをインストールする

SASLのユーザ、パスワードを設定する

sendmail.mcを設定する

Submission Port + SMTP-AUTH (認証)を確認する

最近投稿の記事

さくらのVPS 全プランリニューアルです。（石狩(北海道)も選択可）

カテゴリ

Serverman@VPS 完全1ヶ月無料キャンペーン実施中です。

リンク

KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。

KVM採用お名前.com VPS(KVM) 2G プラン初期設定費無料キャンペーン実施です。

sendmail設定(2)Submissionポート（サブミッション・ポート）＆ SMTP-AUTH(認証)を使ってみる

Submissionポートのための設定

SASLをインストールする

SASLのユーザ、パスワードを設定する

sendmail.mcを設定する

Submission Port + SMTP-AUTH (認証)を確認する

最近投稿の記事

さくらのVPS 全プラン リニューアルです。（石狩(北海道)も選択可）

カテゴリ

Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。

リンク

KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。

さくらのVPS 全プランリニューアルです。（石狩(北海道)も選択可）

Serverman@VPS 完全1ヶ月無料キャンペーン実施中です。

KVM採用お名前.com VPS(KVM) 2G プラン初期設定費無料キャンペーン実施です。