Translated message

A translation of this page exists in English.

RHEL8 での SSL/TLS を使用した sendmail のセキュリティー保護

更新 -

openssl を使用する sendmail (sendmail-8.15.2-34.el8) のセキュリティー保護

この記事は、Securing Applications Collection の一部です。

注記 sendmail は RHEL8 では非推奨 であり、RHEL の次のメジャーリリースに組み込まれる可能性はほとんどありません。 今後のリリースに向けて、postfix への移行を計画することを推奨します。

設定ファイル

   /etc/mail/sendmail.mc

短縮形

define(`confCACERT_PATH', `/etc/pki/tls/certs')dnl
define(`confCACERT', `/etc/pki/tls/certs/sendmail.int.crt')dnl
define(`confSERVER_CERT', `/etc/pki/tls/certs/sendmail.pem')dnl
define(`confSERVER_KEY', `/etc/pki/tls/private/sendmail.key')dnl
DAEMON_OPTIONS(`Port=smtp, Name=MTA')dnl
DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl
DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl

また、ファイルの最後に以下を含めます。

LOCAL_CONFIG
O ServerSSLOptions=+SSL_OP_CIPHER_SERVER_PREFERENCE

プロトコルおよび暗号

sendmail の暗号とプロトコルは、システム全体の crypto-policies パッケージで制御されます。

RHEL8 の暗号

RHEL8 には、マシンの暗号化デフォルトを一元化する新しいメカニズムがあります。
これは、crypto-policies パッケージによって処理されます。 理由と更新ポリシーの詳細は、他のドキュメントを参照してください。

証明書処理

sendmail は、キーと証明書用の個別の PEM 形式のファイルと、CA チェーン用の別の PEM 形式ファイルを想定しています。 また、クライアントとして運用する場合は、検証用の CA バンドルが必要です。

キーファイル

define(`confSERVER_KEY', `/etc/pki/tls/private/sendmail.key')dnl

キーは、root でのみ読み取り可能でなければなりません。

証明書ファイル

define(`confSERVER_CERT', `/etc/pki/tls/certs/sendmail.pem')dnl

認証局チェーン

define(`confCACERT', `/etc/pki/tls/certs/sendmail.int.crt')dnl

CertificateFile の中間証明書およびルート証明書

Comments