Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

27.6. メールユーザーエージェント

Red Hat Enterprise Linux では、メールプログラムスコアがあります。フル機能のグラフィカル電子メールクライアントプログラム( Ximian Evolution など)と、mutt などのテキストベースの電子メールプログラムがあります。
このセクションの残りの部分では、クライアントとサーバー間の通信のセキュリティー保護に重点を置いています。

27.6.1. 通信のセキュリティー保護

Red Hat Enterprise Linux に備わっている MustRunAss は、Ximian Evolutionmutt など、SSL で暗号化された電子メールセッションを提供します。
暗号化されていないネットワークを流れる他のサービスと同様に、ユーザー名、パスワード、メッセージ全体などの重要な電子メール情報は、ネットワーク上のユーザーが傍受して表示できます。また、標準の POP プロトコルおよび IMAP プロトコルは、認証情報を暗号化せずに渡すため、ユーザー名とパスワードはネットワーク経由で渡されるため、攻撃者がユーザーアカウントにアクセスできる可能性があります。

27.6.1.1. セキュアな電子メールクライアント

リモートサーバー上の電子メールを確認するように設計されている Linux MUA のほとんどは、SSL 暗号化に対応しています。メールの取得時に SSL を使用するには、メールのクライアントとサーバーの両方で SSL を有効にする必要があります。
SSL はクライアント側で簡単に有効にできます。多くの場合、MUA の設定ウィンドウでボタンをクリックするか、MUA の設定ファイルのオプションを使用して実行できます。セキュアな IMAP および POP には、MUA がメッセージの認証およびダウンロードに使用する既知のポート番号(993 と 995)があります。

27.6.1.2. 電子メールクライアントの通信のセキュリティー保護

メールサーバー上の IMAP および POP ユーザーに SSL 暗号化を提供することは簡単です。
最初に SSL 証明書を作成します。これには、SSL 証明書の 認証局 (CA)に適用するか、自己署名証明書を作成する方法の 2 つの方法があります。
注意
自己署名証明書は、テスト目的のみで使用することをお勧めします。実稼働環境で使用するサーバーは、CA によって付与された SSL 証明書を使用する必要があります。
IMAP の自己署名 SSL 証明書を作成するには、/etc/pki/tls/certs/ ディレクトリーに移動し、root で以下のコマンドを入力します。 
rm -f cyrus-imapd.pem make cyrus-imapd.pem
すべての質問に答えて、プロセスを完了してください。
POP の自己署名 SSL 証明書を作成するには、/etc/pki/tls/certs/ ディレクトリーに移動し、root で以下のコマンドを入力します。 
rm -f ipop3d.pem make ipop3d.pem
もう一度、すべての質問に回答してプロセスを完了します。
重要な影響
make コマンドを実行する前に、デフォルトの imapd.pem ファイルおよび ipop3d.pem ファイルを必ず削除してください。
/etc/imapd.conf ファイルに以下の行を追加して、セキュアでない SSL プロトコルを無効にします。 
tls_cipher_list: TLSv1+HIGH:!aNull:@STRENGTH
POODLE SSL 脆弱性 (CVE-2014-3566) の影響を受けないようにするためです。詳細は、POODLE: SSLv3 脆弱性(CVE-2014-3566 )を参照してください。
完了したら、/sbin/service cyrus-imapd start コマンドを実行して、Cyrus IMAP および POP デーモンを起動します。
別の方法として、stunnel コマンドを標準の非セキュア IMAP プロトコルおよび POP プロトコルの SSL 暗号化ラッパーとして使用することもできます。ただし、Cyrus 設定ファイル /etc/cyrus.conf で IMAPS および POP3 を無効にする必要があります。これを行うには、imaps および pop3s を含む行をコメントアウトし、cyrus-imapd サービスを再起動します。
stunnel プログラムは、Red Hat Enterprise Linux に含まれる外部の OpenSSL ライブラリーを使用して、強力な暗号を提供し、接続を保護します。SSL 証明書を取得するために CA に適用することが推奨されますが、自己署名証明書を作成することも可能です。
自己署名の SSL 証明書を作成するには、/etc/pki/tls/certs/ ディレクトリーに移動し、以下のコマンドを入力します。 
make stunnel.pem
もう一度、すべての質問に回答してプロセスを完了します。
証明書を入手したら、stunnel の設定ファイルを作成します。これは、すべての行がオプションまたはサービス定義の開始を指定するテキストファイルです。コメントと空の行をファイルに残して、コメントがセミコロンで始まる読みやすさを向上させることもできます。
stunnel RPM パッケージには、設定ファイルを保存できる /etc/stunnel/ ディレクトリーが含まれています。stunnel はファイル名やその拡張子の特別な形式を必要としませんが、/etc/stunnel/stunnel.conf を使用してください。以下のコンテンツは、stunnel をセキュアな IMAP および POP の TLS ラッパーとして設定します。 
cert = /etc/pki/tls/certs/stunnel.pem
; Allow only TLS, thus avoiding SSL
options = NO_SSLv2
options = NO_SSLv3
chroot = /var/run/stunnel
setuid = nobody
setgid = nobody
pid = /stunnel.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

[pop3s]
accept  = 995
connect = 110

[imaps]
accept  = 993
connect = 143
最後に、stunnel を起動します。 
stunnel /etc/stunnel/stunnel.conf
stunnel の使用方法に関する詳細は、stunnel の man ページを参照するか、/usr/share/doc/ stunnel - <version-number > / ディレクトリーのドキュメントを参照してください。< version-number > は stunnel のバージョン番号に置き換えてください。