FC2ブログ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

SMTP over SSLか? SMTP STARTTLSか?

個人向けメールサービスであれば、当たり前の様に実現している SMTP over SSL (=smtps) (Port 465番) ですが…。

企業向けでは寧ろ、SMTP TLS/STARTTLS (Port 587番) を推奨している事が多く、SMTP over SSL (Port 465番) が非対応の所さえ珍しくありません。2013年7月時点で、NTTも、KDDIも、法人向けは、SMTP over SSL 非対応です。NTTの場合は、必要があれば、カストマイズで自分で開けろ、という対応です。

TLS と SSL は、実は同じSSL通信であり、安全性に違いはありません。
最初から全行程を暗号化するのが SSL (465)、
最初は平文で通信を始め、途中から暗号化に転じるのが TLS/STARTTLS (587) です。

企業向けは、メール配信自体が、迷惑メールフィルターからの転送になってるケース等もあり、一筋縄では行かない様です。最初から暗号化を求められる SSL では、前段に別のサービスを動作させるのが難しくなる為、開発する側からすると、負担になるという事がある様です。

従って、SMTP over SSL (465) は安定性に欠けるので、SMTP TLS/STARTTLS (587) の方が安心、というのが法人向けプロフェッショナル共通の認識の様です。

POP over SSL・SMTP STARTTLS | レンタルサーバーならKDDI ホスティング
http://www.kddi.com/pub/hosting-g/function/mail/over-ssl.html

メール クライアントに POP を設定する - Gmail ヘルプ
https://support.google.com/mail/answer/13287?topic=12810

OCN|Bizメール&ウェブプレミアム OCNホスティングサービス(レンタルサーバー)
http://www.ocn-info.com/hosting/mw-vps/service02.html

安定性を求められる法人向けは、メールソフトの更新も遅く、まだ大半のサービスが、sendmail です。
個人で Linux を運用している場合は、postfix に載せ替えてしまう事も多いですが、法人向けは、GUI画面が付いて来なくなる為、そこまでの独自カストマイズはなかなか出来ません。OS 自体が標準で対応するまで、旧サービスが継続するのが普通です。

sendmail は、通常 /etc/mail 以下にある sendmail.cf が設定ファイルなのですが、これを生成する為のマクロ sendmail.mc が元になっています。

サービスの設定変更等で、sendmail.cf が生成からやり直しになる事が多く、root 権限で、自己責任に於いて sendmail.mc に加工を加える事になります。

DAEMON_OPTIONS(`Name=MTA-v4, Family=inet')
DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl
DAEMON_OPTIONS(`Name=MTA5190-v4, Family=inet, Port=5190')
dnl #
dnl # The following causes sendmail to additionally listen to port 465, but
dnl # starting immediately in TLS mode upon connecting. Port 25 or 587 followed
dnl # by STARTTLS is preferred, but roaming clients using Outlook Express can't
dnl # do STARTTLS on ports other than 25. Mozilla Mail can ONLY use STARTTLS
dnl # and doesn't support the deprecated smtps; Evolution <1.1.1 uses smtps
dnl # when SSL is enabled-- STARTTLS support is available in version 1.1.1.
dnl #
dnl # For this to work your OpenSSL certificates must be configured.
dnl #
dnl DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl

上記の最後の行の dnl (コメントアウト) を外し

DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl

とする。

O DaemonPortOptions=Name=MTA-v4, Family=inet
O DaemonPortOptions=Port=submission, Name=MSA, M=Ea
O DaemonPortOptions=Name=MTA5190-v4, Family=inet, Port=5190

で、当初、smtps (SMTP over SSL) が実現していなかったのが、

O DaemonPortOptions=Name=MTA-v4, Family=inet
O DaemonPortOptions=Port=submission, Name=MSA, M=Ea
O DaemonPortOptions=Name=MTA5190-v4, Family=inet, Port=5190
O DaemonPortOptions=Port=smtps, Name=TLSMTA, M=s

となり、290行目あたりに、smtps (SMTP over SSL) が追加された。

法人向けは、これ以外に、ファイアーウォールにもポート解放が必要となります。これも、昨今はGUIが絡んでいますので、生成する sh (シェル) を見つけ出して、元ファイルに加工を加えるという、高等テクニックが必要です。

NTTコミュニケーションズのBizホスティングの場合は、外販先ラピッドサイトのRV-7 (Linux) サポート文書が参考になります。

set_fwlevel

なる独自コマンドを発見。これを頼りに、/etc/fwlevels/ 以下の設定ファイル群を見つけ出しました。

無し・あり(低・中・高)を fwlevels なるシェルで必要な設定を繋ぎ合わせて、iptables を生成します。

ラピッドサイトは、本部の側で、smtps (465) に対応した様ですが、OCN Bizホスティングは未対応なので、587 submission を参考に、465の設定を作る必要があります。
スポンサーサイト

テーマ:サーバ - ジャンル:コンピュータ

コメントの投稿

非公開コメント

プロフィール

うさP

Author:うさP
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。