Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

16.5. メールユーザーエージェント (Mail User Agents)

Red Hat Enterprise Linux には、多数の利用可能な電子メールプログラムがあります。Evolution のようなグラフィカル電子メールクライアントプログラムと、mutt のようなテキストベースの電子メールプログラムがあります。
本項ではこれ以降、クライアントとサーバー間の通信のセキュリティ保護について重点的に説明していきます。

16.5.1. 通信のセキュリティ保護

Evolutionmutt などの Red Hat Enterprise Linux に装備されている評判の高い MUA は、SSL 暗号化電子メールセッションを提供します。
暗号化されていないネットワークを行き来するその他のサービスと同様に、ユーザー名、パスワード、メッセージ全体などの電子メールに関する重要な情報は、ネットワーク上のユーザーによって傍受、閲覧される可能性があります。また、標準の POP 及び IMAP プロトコルは、認証情報を暗号化せずに渡すため、ユーザー名とパスワードはネームサーバー上で渡される時に攻撃者はそれらを収集して、ユーザーのアカウントに侵入することが可能です。

16.5.1.1. セキュアな電子メールクライアント

リモートサーバー上の電子メールを確認するように設計されている Linux MUA のほとんどは、SSL 暗号化に対応しています。電子メールを取得する時に SSL を使用するためには、SSL は電子メールクライアントとサーバーの両方で有効である必要があります。
SSL をクライアント側で有効にするのは簡単です。多くの場合は、MUA の設定ウインドウでボタンをクリックするか、MUA の設定ファイルのオプションで有効にすることができます。セキュアな IMAPPOP には既知のポート番号 (それぞれ 993995) があり、MUA はそれらを使用してメッセージの認証、ダウンロードを行います。

16.5.1.2. 電子メールクライアントの通信のセキュリティ保護

電子メールサーバー上の IMAP 及び POP ユーザーに SSL 暗号化を行うことはごく簡単です。
最初に SSL 証明書を作成します。これは、認証局 (CA) に SSL 証明書を申請するか、自己署名証明書を作成するか、2 つの方法で行うことができます。

警告

自己署名証明書は、テスト目的のみで使用することをお勧めします。実稼働環境で使用するサーバーは、CA により交付された SSL 証明書を使用した方が良いでしょう。
IMAPPOP に対し自己署名 SSL 証明書を作成するには、/etc/pki/dovecot/ ディレクトリに移動し、/etc/pki/dovecot/dovecot-openssl.conf 設定ファイルの証明書パラメータを希望に応じて編集し、root で次のコマンドを入力します:
dovecot]# rm -f certs/dovecot.pem private/dovecot.pem
dovecot]# /usr/libexec/dovecot/mkcert.sh
終了したら、/etc/dovecot/conf.d/10-ssl.conf ファイルに次の設定ファイルがあることを確認してください。
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
ssl_key = </etc/pki/dovecot/private/dovecot.pem
service dovecot restart コマンドを実行して、dovecot デーモンを再起動します。
別の方法として、stunnel コマンドを IMAP または POP サービスへの標準的なセキュアでない接続の周りに SSL 暗号化ラッパーとして使用することも可能です。
stunnel ユーティリティは、Red Hat Enterprise Linux に装備されている外部の OpenSSL ライブラリを使用して、強力な暗号化を実現し、ネットワーク接続を保護します。SSL 証明書を取得するためには、CA を申請することを推奨しますが、自己署名証明書を作成することも可能です。

注記

stunnel を使用するには、root で以下を実行して、最初にご使用のシステムに stunnel パッケージがインストールされていることを確認します:
~]# yum install stunnel
Yum を使用したパッケージのインストールについての詳細は、「パッケージのインストール」 を参照して下さい。
自己署名 SSL 証明書を作成するには、/etc/pki/tls/certs/ ディレクトリに移動して、以下のコマンドを入力します:
certs]# make stunnel.pem
すべての質問に回答して、プロセスを完了します。
証明書が生成されたら、以下のコンテンツを含む /etc/stunnel/mail.conf のような stunnel 設定ファイルを作成します:
cert = /etc/pki/tls/certs/stunnel.pem

[pop3s]
accept  = 995
connect = 110

[imaps]
accept  = 993
connect = 143
/usr/bin/stunnel /etc/stunnel/mail.conf コマンドを使用して作成済みの設定ファイルで stunnel を起動したら、IMAP または POP 電子メールクライアントを使用し、SSL 暗号化によって電子メールサーバーに接続することが可能となります。
stunnel の詳細は stunnel の man ページ、または <version-number>stunnel のバージョン番号である /usr/share/doc/stunnel-<version-number> ディレクトリのドキュメントを参照してください。