Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

19.5. メールユーザーエージェント

Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux は、Evolution のようなグラフィカル電子メールクライアントプログラムと、にわたようなテキストベースの電子メールプログラムなど、様々な電子メールプログラムを提供し ます
本セクションでは、クライアントとサーバー間の通信のセキュリティー保護について重点的に説明していきます。

19.5.1. 通信のセキュリティー保護

EvolutionMutt など、Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux に含まれる一般的な MUA は、SSL で暗号化された電子メールセッションを提供します。
暗号化されていないネットワークを行き来する他のサービスと同様に、ユーザー名、パスワード、メッセージ全体などの電子メールに関する重要な情報は、ネットワーク上のユーザーによって傍受、閲覧される可能性があります。また、標準の POP プロトコルおよび IMAP プロトコルは認証情報を暗号化せずに渡すため、ユーザー名とパスワードはネットワーク経由で渡される際に攻撃者がそれらを収集して、ユーザーアカウントにアクセスできる可能性があります。

19.5.1.1. セキュアな電子メールクライアント

リモートサーバー上の電子メールを確認するように設計されている Linux MUA のほとんどは、SSL 暗号化に対応しています。電子メールを取得する時に SSL を使用するためには、SSL は電子メールクライアントとサーバーの両方で有効である必要があります。
SSL はクライアント側で簡単に有効にできます。多くの場合、MUA の設定ウィンドウでボタンをクリックするか、MUA 設定ファイルのオプションを使用して実行できます。セキュアな IMAP および POP には、MUA がメッセージの認証およびダウンロードに使用する既知のポート番号(993 および 995 )があります。

19.5.1.2. 電子メールクライアントの通信のセキュリティー保護

電子メールサーバー上の IMAP および POP ユーザーに SSL 暗号化を行うことは簡単です。
最初に SSL 証明書を作成します。これは、SSL 証明書の 認証局 (CA)に適用するか、自己署名証明書を作成するという 2 つの方法で実行できます。
自己署名証明書の使用の回避
自己署名証明書は、テスト目的のみで使用することをお勧めします。実稼働環境で使用するサーバーは、CA が付与する SSL 証明書を使用する必要があります。
IMAP または POP に自己署名 SSL 証明書を作成するには、/etc/pki/dovecot/ ディレクトリーに移動し、/etc/pki/dovecot/dovecot-openssl.cnf 設定ファイルの証明書パラメーターを編集し、root で以下のコマンドを入力します。
dovecot]# rm -f certs/dovecot.pem private/dovecot.pem
dovecot]# /usr/libexec/dovecot/mkcert.sh
完了したら、/etc/dovecot/conf.d/10-ssl.conf ファイルに以下の設定があることを確認します。
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
ssl_key = </etc/pki/dovecot/private/dovecot.pem
service dovecot restart コマンドを実行して、dovecot デーモンを再起動します。
または、stunnel コマンドを IMAP サービスまたは POP サービスへの標準的なセキュアでない接続で暗号化ラッパーとして使用することもできます。
stunnel ユーティリティーは、Red Hat Enterprise Linuxnbsp;Hat Enterprise Red Hat Enterprise Linuxnbsp;Linux に含まれる外部 OpenSSL ライブラリーを使用して強力な暗号化を提供し、ネットワーク接続を保護します。SSL 証明書を取得するためには、CA に申請することが推奨されますが、自己署名証明書を作成することも可能です。
stunnel のインストール方法と基本設定の作成方法については、『Red Hat Enterprise Linux 6nbsp;Hat Enterprise Linux 6nbsp;Linux Red Hat Enterprise Linux 6nbsp;6 セキュリティーガイド』の「 stunnel の使用 」を参照してください。stunnelIMAPSPOP3S のラッパーとして設定するには、以下の行を /etc/stunnel/stunnel.conf 設定ファイルに追加します。
[pop3s]
accept = 995
connect = 110

[imaps]
accept = 993
connect = 143
セキュリティーガイドでは、stunnel の起動および停止の方法を説明します。起動後は、IMAP または POP の電子メールクライアントを使用し、SSL 暗号化を使用して電子メールサーバーに接続できます。