RHEL8 での SSL/TLS を使用した sendmail のセキュリティー保護
更新 -
openssl を使用する sendmail (sendmail-8.15.2-34.el8) のセキュリティー保護
この記事は、Securing Applications Collection の一部です。
注記 sendmail は RHEL8 では非推奨 であり、RHEL の次のメジャーリリースに組み込まれる可能性はほとんどありません。 今後のリリースに向けて、postfix への移行を計画することを推奨します。
設定ファイル
/etc/mail/sendmail.mc
短縮形
define(`confCACERT_PATH', `/etc/pki/tls/certs')dnl
define(`confCACERT', `/etc/pki/tls/certs/sendmail.int.crt')dnl
define(`confSERVER_CERT', `/etc/pki/tls/certs/sendmail.pem')dnl
define(`confSERVER_KEY', `/etc/pki/tls/private/sendmail.key')dnl
DAEMON_OPTIONS(`Port=smtp, Name=MTA')dnl
DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl
DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl
また、ファイルの最後に以下を含めます。
LOCAL_CONFIG
O ServerSSLOptions=+SSL_OP_CIPHER_SERVER_PREFERENCE
プロトコルおよび暗号
sendmail の暗号とプロトコルは、システム全体の crypto-policies パッケージで制御されます。
RHEL8 の暗号
RHEL8 には、マシンの暗号化デフォルトを一元化する新しいメカニズムがあります。
これは、crypto-policies パッケージによって処理されます。 理由と更新ポリシーの詳細は、他のドキュメントを参照してください。
- Strong crypto defaults in RHEL-8 and deprecations of weak crypto algorithms
- System-wide crypto policies in RHEL 8
- crypto-policies コマンドの man ページ
証明書処理
sendmail は、キーと証明書用の個別の PEM 形式のファイルと、CA チェーン用の別の PEM 形式ファイルを想定しています。 また、クライアントとして運用する場合は、検証用の CA バンドルが必要です。
キーファイル
define(`confSERVER_KEY', `/etc/pki/tls/private/sendmail.key')dnl
キーは、root でのみ読み取り可能でなければなりません。
証明書ファイル
define(`confSERVER_CERT', `/etc/pki/tls/certs/sendmail.pem')dnl
認証局チェーン
define(`confCACERT', `/etc/pki/tls/certs/sendmail.int.crt')dnl
CertificateFile の中間証明書およびルート証明書
Comments