さくら VPS メ-ル サ-バ
POP/IMAP over SSL
SMTP と同様 SSL/TLS を使って POP3 やIMP4 の通信を安全にする事ができます。
POP over SSL(pop3s) や IMAP over SSL(imaps) を利用するには
/etc/dovecot/conf.d/10-ssl.conf
で SSL/TLS の設定を変更します。
・・・・・・・・ # SSL/TLS support: yes, no, required. <doc/wiki/SSL.txt> ssl = yes ↑要確認 # PEM encoded X.509 SSL/TLS certificate and private key. # They're opened beforedropping root privileges, # so keep the key file unreadable by anyone butroot. # Included doc/mkcert.sh # can be used to easily generate self-signed certificate, # just make sure to update the domains in dovecot-openssl.cnf ssl_cert = </etc/dovecot/private/dovecot.pem ←証明書ファイルパス① ssl_key = </etc/dovecot/private/dovecot.key ←秘密鍵ファイルパス② ・・・・・・・
の箇所があります。
証明書ファイル
秘密鍵ファイル
を Let's Encrypt のものに変更します。
具体的には
さくら VPS メ-ル サ-バ作成準備
SSL 証明書の取得 をみてください。
証明書は
/etc/letsencrypt/live/
mail.70vps.net/
Lcert.pem
Lfullchain.pem ●証明書
Lprivkey.pem ●保証秘密鍵
に配置されています。
変更①②は以下のようにします。
ssl_cert = </etc/letsencrypt/live/mail.70vps.net/fullchain.pem ssl_key = </etc/letsencrypt/live/mail.70vps.net/privkey.pem
このとき、= </ とする必要があります。
「<」を忘れないように!
シリアルコンソ-ル(β版)を開き、
yamada@********:~$
sudo nano /etc/dovecot/conf.d/10-ssl.conf
として上記修正が終わったら
Ctrl + o
Enter
Ctrl + x
で終了します。
10-master.conf 追加変更
SSL/TLS を使うか否かは次の
/etc/dovecot/conf.d/10-master.conf
も設定変更が必要です。
このファイルは SMTP 認証のため過去
SMTP 認証
のところでも変更履歴があります。
さらに追加して変更します。
SMTP 認証
メールサーバ構築メモ【CentOS6.5+Postfix+Dovecot TLS/SSL】Dovecot(Version2)の設定
が参考になります。
次の設定を変更します。
service imap-login {
inet_listener imap {
#port = 143
↓
port = 0
}
inet_listener imaps {
#port = 993
#ssl = yes
↓
port = 993
ssl = yes
}
・・・・・・・・
}
service pop3-login {
inet_listener pop3 {
#port = 110
↓
port = 0
}
inet_listener pop3s {
#port = 995
#ssl = yes
↓
port = 995
ssl = yes
}
}
暗号化をしない imap と pop3 を使えないようにするため「port = 0」と設定するのがミソですね。
シリアルコンソ-ル(β版)を開き、
yamada@********:~$
sudo nano /etc/dovecot/conf.d/10-master.conf
として上記修正が終わったら
Ctrl + o
Enter
Ctrl + x
で終了します。
その後
$ sudo systemctl restart dovecot
で Dovecot を再起動して完了です。
POP3S(995) / IMAPS(993)ファイアウォール確認
POP3S(995)/IMAPS(993)のファイアウォールを確認します。
私は、ファイアウォールは
パケットフィルタ設定・・・①
におまかせなので ufw によるファイアウォールは無視なのですが、
ufw で Firewall(ファイアウォール)をかけている人は
ポ-ト 995/993番があいているか確認してください。
$ sudo ufw allow 'Dovecot Secure POP3s'
$ sudo ufw allow 'Dovecot Secure IMAPs'
で開くようです。
$ sudo ufw status
として
非アクティブ
と表示された場合は ufw によるファイアウォールは起動していません。
さくらのパケットフィルタを採用している人は、①を参照して
995/993番が開いているか確認してください。
メールアカウント(アドレス)の作成方法
メ-ルアドレスの作成方法については
さくら VPS メ-ル サ-バ作成準備-2
のところで、adduser user_name コマンドを使用た方法のを紹介しました。
検証テストレベルではこれでよかったのですが、
沢山のメ-ルアドレスを作成するにはかなり不都合もあります。
useradd コマンドを使用するとホームディレクトリが作成されずに、アカウントを作成する事ができますが、
サ-バ-にログインできてしまいます。
$ sudo useradd tanaka1
で新しいユーザーアカウントを作成し
$ sudo passwd ユーザー名
$ sudo passwd tanaka1
新しい UNIX パスワードを入力してください:(パスワード入力)
新しい UNIX パスワードを再入力してください:(パスワード確認)
passwd: password updated successfully
でパスワードを設定します。
この場合は、
アカウント名:
"tanaka1"/メールアドレス =
"tanaka1@70vps.net"
となるはずと思っていたのですが、間違いでした。
ホームディレクトリがないとうまくいかないのです。
実際にほしいのは、ホームディレクトリが作成され、ログインができない、
アカウントがほしいのです。
ホームディレクトリがないと、POP/IMAP メ-ルフォルダがうまく形成されません。
ログインを想定しないユーザーアカウントには /usr/sbin/nologin を使います。
オプションとして -s シェル指定が必要です。
次に、-m オプションをつけると、ホームディレクトリを作成してくれます。
例として、testuser を追加します。
$ sudo useradd -m -s /usr/sbin/nologin testuser
$ sudo passwd testuser
新しい UNIX パスワードを入力してください:(パスワード入力)
新しい UNIX パスワードを再入力してください:(パスワード確認)
Nologin ユーザに切替える
とはいえ、ログインできない usr/sbin/nologin のユーザに切替えたい
ときもありますよね。
そんなときは、
--shell=/bin/bash
を付与すると、ログインできないユーザでも切替えることができます。
su コマンドで別のユ-ザ-になります。
$ sudo su - testuser --shell=/bin/bash
または、
$ sudo su -s /bin/bash testuser
例えば、yamada でログインしていたのが testuser にログインし直したことになります。
$ exit で元に戻れます。
ちなみに
usr/sbin/nologin にユーザ名そのものを変更するには
$ sudo usermod -s /sbin/nologin tanaka1
とします。
新規ユーザ追加との違いは、useradd か usermod しか違いはありません。
やっとこれで、すべての設定が終わりました。
このあとは、うまく機能するかクライアントPC のメ-ラを使用して検証していきます。