19.5. メールユーザーエージェント
Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux は、Evolution のようなグラフィカル電子メールクライアントプログラムと、にわたようなテキストベースの電子メールプログラムなど、様々な電子メールプログラムを提供し ます。
本セクションでは、クライアントとサーバー間の通信のセキュリティー保護について重点的に説明していきます。
19.5.1. 通信のセキュリティー保護
Evolution や Mutt など、Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux に含まれる一般的な MUA は、SSL で暗号化された電子メールセッションを提供します。
暗号化されていないネットワークを行き来する他のサービスと同様に、ユーザー名、パスワード、メッセージ全体などの電子メールに関する重要な情報は、ネットワーク上のユーザーによって傍受、閲覧される可能性があります。また、標準の
POP
プロトコルおよび IMAP
プロトコルは認証情報を暗号化せずに渡すため、ユーザー名とパスワードはネットワーク経由で渡される際に攻撃者がそれらを収集して、ユーザーアカウントにアクセスできる可能性があります。
19.5.1.1. セキュアな電子メールクライアント
リモートサーバー上の電子メールを確認するように設計されている Linux MUA のほとんどは、SSL 暗号化に対応しています。電子メールを取得する時に SSL を使用するためには、SSL は電子メールクライアントとサーバーの両方で有効である必要があります。
SSL はクライアント側で簡単に有効にできます。多くの場合、MUA の設定ウィンドウでボタンをクリックするか、MUA 設定ファイルのオプションを使用して実行できます。セキュアな
IMAP
および POP
には、MUA がメッセージの認証およびダウンロードに使用する既知のポート番号(993
および 995
)があります。
19.5.1.2. 電子メールクライアントの通信のセキュリティー保護
電子メールサーバー上の
IMAP
および POP
ユーザーに SSL 暗号化を行うことは簡単です。
最初に SSL 証明書を作成します。これは、SSL 証明書の 認証局 (CA)に適用するか、自己署名証明書を作成するという 2 つの方法で実行できます。
自己署名証明書の使用の回避
自己署名証明書は、テスト目的のみで使用することをお勧めします。実稼働環境で使用するサーバーは、CA が付与する SSL 証明書を使用する必要があります。
IMAP
または POP
に自己署名 SSL 証明書を作成するには、/etc/pki/dovecot/
ディレクトリーに移動し、/etc/pki/dovecot/dovecot-openssl.cnf
設定ファイルの証明書パラメーターを編集し、root
で以下のコマンドを入力します。
dovecot]# rm -f certs/dovecot.pem private/dovecot.pem dovecot]# /usr/libexec/dovecot/mkcert.sh
完了したら、
/etc/dovecot/conf.d/10-ssl.conf ファイルに以下の設定があることを確認します。
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem ssl_key = </etc/pki/dovecot/private/dovecot.pem
service dovecot restart コマンドを実行して、dovecot デーモンを再起動します。
または、stunnel コマンドを
IMAP
サービスまたは POP
サービスへの標準的なセキュアでない接続で暗号化ラッパーとして使用することもできます。
stunnel ユーティリティーは、Red Hat Enterprise Linuxnbsp;Hat Enterprise Red Hat Enterprise Linuxnbsp;Linux に含まれる外部 OpenSSL ライブラリーを使用して強力な暗号化を提供し、ネットワーク接続を保護します。SSL 証明書を取得するためには、CA に申請することが推奨されますが、自己署名証明書を作成することも可能です。
stunnel のインストール方法と基本設定の作成方法については、『Red Hat Enterprise Linux 6nbsp;Hat Enterprise Linux 6nbsp;Linux Red Hat Enterprise Linux 6nbsp;6 セキュリティーガイド』の「 stunnel の使用 」を参照してください。stunnel を
IMAPS
と POP3S
のラッパーとして設定するには、以下の行を /etc/stunnel/stunnel.conf
設定ファイルに追加します。
[pop3s] accept = 995 connect = 110 [imaps] accept = 993 connect = 143
セキュリティーガイドでは、stunnel の起動および停止の方法を説明します。起動後は、
IMAP
または POP
の電子メールクライアントを使用し、SSL 暗号化を使用して電子メールサーバーに接続できます。