Contents
Bard の 正確とは言えない説明:
MTA TLS 設定手順を解説します。
前提条件
- MTA が TLS をサポートしていること
- MTA に証明書がインストールされていること
1. 手順 Postfix ?
- MTA の設定ファイル(通常は main.cf)を開く。 以下の設定を追加する。
smtp_tls_security_level = may smtp_tls_CAfile = /etc/pki/tls/certs.pem
- MTA を再起動する。
設定の意味
- smtp_tls_security_level は、TLS の使用を許可するかどうかを指定します。 ここでは、送信先の MTA が STARTTLS 対応している場合に STARTTLS を使い、 未対応の場合は通常の SMTP で送信することを指定しています。
- smtp_tls_CAfile は、接続先の証明書を検証するためのルート証明書を指します。
確認方法
- MTA が TLS で通信していることを確認する。
# telnet smtp.example.com 25
接続が成功すると、以下のような応答が表示されます。
220 smtp.example.com ESMTP Postfix
- MTA が送信先の MTA の証明書を検証していることを確認する。
# openssl s_client -connect smtp.example.com:25
接続が成功すると、以下のような応答が表示されます。
CONNECTED(00000003) ... Verify return code: 0 (ok)
}
応用
- smtp_tls_security_level を required に設定すると、 送信先の MTA が STARTTLS に対応していない場合、メールを配信しないようになります。 smtp_tls_CAfile に、信頼できるルート証明書のディレクトリを指定すると、より高いセキュリティを実現できます。
注意点
- MTA のバージョンによっては、TLS の設定方法が異なる場合があります。 MTA と送信先の MTA の両方が TLS をサポートしている必要があります。
以上です。