2.3. Postfix サーバーの TLS 設定のカスタマイズ
電子メールトラフィックを暗号化してよりセキュアにするために、自己署名証明書の代わりに、信頼できる認証局 (CA) からの証明書を使用し、Transport Layer Security (TLS) セキュリティー設定をカスタマイズするように Postfix を設定できます。RHEL 9 では、TLS 暗号化プロトコルが Postfix サーバーでデフォルトで有効になっています。基本的な Postfix TLS 設定には、受信 SMTP 用の自己署名証明書と、発信 SMTP の日和見 TLS が含まれています。
前提条件
- root アクセスがある。
-
サーバーに
postfixパッケージがインストールされている。 - 信頼できる認証局 (CA) によって署名された証明書と秘密鍵を持っている。
以下のファイルを Postfix サーバーにコピーしている。
-
サーバー証明書:
/etc/pki/tls/certs/postfix.pem -
秘密鍵y:
/etc/pki/tls/private/postfix.key
-
サーバー証明書:
- サーバーが RHEL 9.2 以降を実行し、FIPS モードが有効になっている場合、クライアントが Extended Master Secret (EMS) 拡張機能をサポートしているか、TLS 1.3 を使用している必要があります。EMS を使用しない TLS 1.2 接続は失敗します。詳細は、ナレッジベースの記事 TLS extension "Extended Master Secret" enforced を参照してください。
手順
以下の行を
/etc/postfix/main.cfファイルに追加して、Postfix が実行されているサーバー上の証明書と秘密鍵ファイルへのパスを設定します。smtpd_tls_cert_file = /etc/pki/tls/certs/postfix.pem smtpd_tls_key_file = /etc/pki/tls/private/postfix.key
/etc/postfix/main.cfファイルを編集して、受信した SMTP 接続を認証されたユーザーのみに制限します。smtpd_tls_auth_only = yes
postfixサービスをリロードして変更を適用します。# systemctl reload postfix
検証
TLS 暗号化を使用してメールを送信するようにクライアントを設定します。
注記Postfix クライアント TLS アクティビティーに関する追加情報を取得するには、
/etc/postfix/main.cfの次の行を変更して、ログレベルを0から1に増やします。smtp_tls_loglevel = 1
