cyrus-imapdのPOP3 over SSL対応
Published by M-naka on 2009/7/6 (3063 reads)
ぶっちゃけ根本的な理由は、
■訳あってAIR-EDGE接続をau one net(旧DION)経由で使うことにした
だったりする。
従来BIGLOBE経由だったので、サーバ側もAIR-EDGE端末側もBIGLOBE、つまり簡易的な閉域接続で、POP3+APOP認証でセキュリティ上は特に問題がなかった。だが、サーバ側:BIGLOBE、AIR-EDGE端末側:au one netだと、従来とは異なり、別ネットワーク同士の通信になるので、セキュリティを上げてやる必要がある。
どうしようかと考えていたのだが、ちょうど
■SSLサーバ証明書の認証局変更で、WILLCOM03を含む携帯電話にプリインストールされているルート証明書でウチのSSLサーバ証明書の正当性が確認できるようになった
のと、
■WILLCOM03のメーラー「W-ZERO3メール」は何気にSSL対応
で、POP3 over SSL(pop3s)を使うことにしてみた。
ウチのPOP3サーバはCyrus-imapで、これはデフォルトでpop3sに対応している。具体的な手順は以下。
【1】サーバ証明書の格納
もともとWebサーバ用に持っているcsr、key、crtファイルが流用できる。直接Apacheのディレクトリを指定……しても良いのだが、後述のchown cyrusとの関係で別ディレクトリにコピーすることにした。
/usr/share/ssl/certs/
に格納する。cyrusユーザーでRead可能である必要があるので、最後にchown cyrusする。
【2】/etc/imapd.confの編集
以下を追記。
tls_cert_file: /usr/share/ssl/certs/www.mythril.ne.jp.crt
tls_key_file: /usr/share/ssl/certs/www.mythril.ne.jp.key.nopasswd
cyrus-imapdを再起動。
【3】iptablesのポート開口
pop3sは995/tcpをバインドするので、そのとおりに。iptablesを再起動。
【4】ADSLモデムのルータ機能の調整
従来使っていた110/tcp(pop3)を閉鎖、代わりに995/tcpを開口し、cyrus-imapdが動作しているAmatsuにポートフォワードが掛かるように設定。モデム再起動。
【5】メーラーの設定変更
今まではmail.mythril.ne.jp をPOP3/SMTPサーバとして設定していたが、SSLサーバ証明書のFQDNはwww.mythril.ne.jp なので、証明書検証との関係で、POP3サーバもwww.mythril.ne.jp としてやる必要がある。
これでPOP3 over SSLでのメール受信ができるようになった。
問題は……、ローカルだとwww.mythril.ne.jp はAmatsuではなくGungnirなので、設定1本をローカルとリモートで併用できない、というあたり。ま、WILLCOM03をローカルで使うことはほぼないので、あまり大きなデメリットとは言えない。
追々SMTPSにもチャレンジする。
つか久々に面白かったりする。
■訳あってAIR-EDGE接続をau one net(旧DION)経由で使うことにした
だったりする。
従来BIGLOBE経由だったので、サーバ側もAIR-EDGE端末側もBIGLOBE、つまり簡易的な閉域接続で、POP3+APOP認証でセキュリティ上は特に問題がなかった。だが、サーバ側:BIGLOBE、AIR-EDGE端末側:au one netだと、従来とは異なり、別ネットワーク同士の通信になるので、セキュリティを上げてやる必要がある。
どうしようかと考えていたのだが、ちょうど
■SSLサーバ証明書の認証局変更で、WILLCOM03を含む携帯電話にプリインストールされているルート証明書でウチのSSLサーバ証明書の正当性が確認できるようになった
のと、
■WILLCOM03のメーラー「W-ZERO3メール」は何気にSSL対応
で、POP3 over SSL(pop3s)を使うことにしてみた。
ウチのPOP3サーバはCyrus-imapで、これはデフォルトでpop3sに対応している。具体的な手順は以下。
【1】サーバ証明書の格納
もともとWebサーバ用に持っているcsr、key、crtファイルが流用できる。直接Apacheのディレクトリを指定……しても良いのだが、後述のchown cyrusとの関係で別ディレクトリにコピーすることにした。
/usr/share/ssl/certs/
に格納する。cyrusユーザーでRead可能である必要があるので、最後にchown cyrusする。
【2】/etc/imapd.confの編集
以下を追記。
tls_cert_file: /usr/share/ssl/certs/www.mythril.ne.jp.crt
tls_key_file: /usr/share/ssl/certs/www.mythril.ne.jp.key.nopasswd
cyrus-imapdを再起動。
【3】iptablesのポート開口
pop3sは995/tcpをバインドするので、そのとおりに。iptablesを再起動。
【4】ADSLモデムのルータ機能の調整
従来使っていた110/tcp(pop3)を閉鎖、代わりに995/tcpを開口し、cyrus-imapdが動作しているAmatsuにポートフォワードが掛かるように設定。モデム再起動。
【5】メーラーの設定変更
今まではmail.mythril.ne.jp をPOP3/SMTPサーバとして設定していたが、SSLサーバ証明書のFQDNはwww.mythril.ne.jp なので、証明書検証との関係で、POP3サーバもwww.mythril.ne.jp としてやる必要がある。
これでPOP3 over SSLでのメール受信ができるようになった。
問題は……、ローカルだとwww.mythril.ne.jp はAmatsuではなくGungnirなので、設定1本をローカルとリモートで併用できない、というあたり。ま、WILLCOM03をローカルで使うことはほぼないので、あまり大きなデメリットとは言えない。
追々SMTPSにもチャレンジする。
つか久々に面白かったりする。
| Navigate through the articles | |
DD-WRT with LaFoneraで簡易ネットワークサーバ
|
SSLサーバ証明書のルート認証局証明書変更
|
|
The comments are owned by the poster. We aren't responsible for their content.
|
