前提

前提としてメール保管形式は、Maildir形式にします。Postfixとdovecotの設定は、以下に設定してください。

Postfix　Maildir形式の設定

vi /etc/postfix/main.cf

#MailDir形式に設定
home_mailbox = Maildir/

設定の反映は、Postfixを再起動してください。

dovecot　Maildir形式の設定

まずdovecotのインストールします。すでにインストールされている場合は、飛ばしてください。

yum install dovecot

以下Maildir形式の設定です。

vi /etc/dovecot/conf.d/10-mail.conf

mail_location = maildir:~/Maildir

設定の反映は、dovecotを再起動してください。

バーチャルメールボックスを設定する方法

バーチャルメールボックスを実現する方法は、3つあります。それは、mydestinationを利用する方法、バーチャルエイリアスを利用する方法、バーチャルメールボックスを利用する方法です。

mydestinationを利用した場合

mydestinationは、宛先、行先を意味しここにドメインを設定するとメールの宛先を見て、設定されているドメインの場合、自サーバに配送されます。ここからどのユーザーに配送するか仕分けします。仕分けは、ドメインを完全に無視しユーザー名のみで仕分けされます。ユーザーは、Linuxで設定されているユーザーのメールボックスに配送されます。

例としてgmail.comと設定した場合、設定されたサーバから送信すると実際のgmail.com宛には配送されず自サーバに配送されます。

vi /etc/postfix/main.cf

mydestination = $myhostname, localhost.$mydomain, localhost,gmail.com

また、後に説明するバーチャルエイリアス、バーチャルメールボックスを設定してもmydestinationで設定したほうが優先され、仕分けもvirtual_alias_maps、virtual_mailbox_mapsで設定していても完全に無視され、Linuxのユーザーに仕分けされるので設定には注意が必要です。

バーチャルエイリアスを設定した場合

バーチャルエイリアスは、宛先のドメインがvirtual_alias_domainsで設定されているものと一致した場合、自サーバに配送されます。そしてvirtual_alias_mapsの記載されている内容を基に仕分けされます。virtual_alias_mapsは、宛先のメールアドレスを基に既存のどのLinuxユーザーに配送するかを記載します。

Postfixの設定

vi /etc/postfix/main.cf

virtual_alias_domains = hogehoge.com
virtual_alias_maps = hash:/etc/postfix/virtual

どのユーザーに配送するか設定する

vi /etc/postfix/virtual

#以下のように[ドメイン] anythingを記述したあとメールアドレスとユーザーを関連付ける
hogehoge.com              anything
newname@hogehoge.com      newname

hash化されたDBを作成します。以下のコマンドで設定が反映します。

postmap /etc/postfix/virtual

宛先のアカウントはadduserで作成しておきます。

バーチャルメールボックスを設定した場合

バーチャルメールボックスは、Linuxのユーザーを使わず独自にユーザーを作成しメールアドレスと関連付けます。Linuxのユーザーと切り分けができるため独立性が高まり、管理もしやすくなります。ユーザーとメールボックスは、Linuxのユーザーを使わないため独自に用意する必要があります。

バーチャルメールボックスは、宛先のドメインがvirtual_mailbox_domainsで設定されているものと一致した場合、自サーバに配送されvirtual_mailbox_mapsの記載されている内容を基に仕分けします。virtual_mailbox_mapsは、宛先のメールアドレス(ユーザー名)を基にどのメールボックスに配送するかを記載します。メールボックスのディレクトリは、virtual_mailbox_baseで設定します。メールボックスのディレクトの権限を持つユーザー、グループは、virtual_uid_maps、virtual_gid_mapsで定義します。

Postfixの設定

vi /etc/postfix/main.cf

#自サーバに配送するドメイン。複数記述する場合カンマで追加
virtual_mailbox_domains = hogehoge.com
#仕分け時に利用する関連付けファイル
virtual_mailbox_maps = hash:/etc/postfix/vmail
#メールボックスのディレクトの権限を持つユーザーID、グループID
virtual_uid_maps = static:10000
virtual_gid_maps = static:10000
#メールボックスのディレクトリ
virtual_mailbox_base = /var/www/vmailbox

メールボックスの作成

#メールボックスのディレクトの権限を持つユーザー、グループを作成
groupadd -g 10000 vmailg
useradd -u 10000 -g vmailg vmail
#バーチャルメールボックスのディレクトリを作成。このディレクトリにユーザーのメールボックスが作成される。
mkdir /var/www/vmailbox
#権限変更
chown -R 10000.10000 /var/www/vmailbox

どのユーザーに、どこのメールボックスへ配送するか記載する

ユーザー名と配送先のメールボックスのpathを記入します。ユーザー名はメールアドレスと同一にします。pathは/ドメイン名/@の前のユーザー名/Maildir/にします。これは後に設定するdovecotの設定と合わすためです。

vi /etc/postfix/vmail

test@hogehoge.com      hogehoge.com/test/Maildir/

hash化されたDBを作成します。以下のコマンドで設定が反映します。

postmap /etc/postfix/vmail

バーチャルメールボックスに対応したdovecotの設定

Postfixの設定で送信されてきたメールは、無事メールボックスに配送されます。しかしユーザーがメーラーでメールを受信するためには、バーチャルメールボックスに対応したdovecotの設定が必要です。

バーチャルメールボックスの設定

dovecotの認証関連の設定を変更します。デフォルトの認証方法は、Linuxのユーザーのみになっているので、dovecotで独自のユーザー情報を利用した認証方法に変更します。このユーザーを利用して先ほど設定したPostfixの設定に対応させます。

dovecotのアカウント情報は、ユーザーDBとパスワードDBで構成されています。DBは、外部のアカウントシステムやファイルを参照することで情報を管理します。今回は、ユーザーDBにstatic(静的にメールボックスのpathを定義)とpasswdfile(認証用ユーザー)、パスワードDBにpasswdfile(認証用ユーザーに対応したパスワード)を使用します。

以下の設定で認証方法を変更します。

vi /etc/dovecot/conf.d/10-auth.conf

#!include auth-deny.conf.ext
#!include auth-master.conf.ext
#認証時のパスフレーズの送信方法を指定。デフォルトは plain。
auth_mechanisms = cram-md5 plain login
#Linuxのアカウントを使って認証を使用する。使わない場合はコメントアウトする。
!include auth-system.conf.ext
#!include auth-sql.conf.ext
#!include auth-ldap.conf.ext
#Dovecotの認証データベースを使用する。#を外す
!include auth-passwdfile.conf.ext
#!include auth-checkpassword.conf.ext
#!include auth-vpopmail.conf.ext
#静的なPathを設定するデータベースを使用する。#を外す。この設定でPostfixのメールボックスに対応させる。
!include auth-static.conf.ext

dovecot独自のユーザーを設定する

以下の設定で独自のユーザー情報が記載されたファイルを定義します。

vi /etc/dovecot/conf.d/auth-passwdfile.conf.ext

passdb {
  driver = passwd-file
  #args = scheme=CRYPT username_format=%u /etc/dovecot/users
  args = scheme=CRAM-MD5 username_format=%u /etc/dovecot/passwd
}

userdb {
  driver = passwd-file
  #args = username_format=%u /etc/dovecot/users
  args = scheme=CRAM-MD5 username_format=%u /etc/dovecot/passwd
}

次は、ユーザーに設定するパスワードを先に作成します。

#パスワード生成コマンド
doveadm pw
Enter new password:←パスワードを入力
Retype new password:←再度パスワードを入力
#生成されたパスワードは後に貼り付けるのでコピーする
{CRAM-MD5}fe8522268d91e485ccac8f36800e4fa6b10363e2a371....

最後にユーザーを作成します。

vi /etc/dovecot/passwd

ユーザー名は、必ずメールアドレスと同一にします。これは、userdbで「username_format=%u」と設定したからです。%uは、メールアドレス全体を表します。これを「username_format=%n」とすると@の前のユーザー名で定義する必要があります。パスワードは、先ほどコピーしたパスワードを貼り付けます。

#ユーザー名:パスワード　で設定
#userdbでusername_format=%uにした場合
test@hogehoge.com:{CRAM-MD5}fe8522268d91e485ccac8f36800e4fa6b10363e2a371....

#userdbでusername_format=%nにした場合は@以降を削除する
#test:{CRAM-MD5}fe8522268d91e485ccac8f36800e4fa6b10363e2a371....

バーチャルメールボックスのPathを設定する

Postfixで設定したバーチャルメールボックスからメーラーで受信できるように設定します。
以下の設定でPostfixで設定したバーチャルメールボックス、ユーザーID、グループIDを設定します。
argsのhomeでメールボックスのpathを定義します。ユーザー名をメールアドレスにすることで変数%dと%nを使うことができます。%dは、ユーザー名の@以後のドメイン名を参照し%nは@の前のユーザー名を参照します。これでメールボックスのpathを動的に定義することができます。

vi /etc/dovecot/conf.d/auth-static.conf.ext

userdb {
  driver = static
  #args = uid=vmail gid=vmail home=/home/%u
  #Postfixで設定したバーチャルメールボックス、ユーザーID、グループIDを記載する
  #%dはユーザー名の@以後のドメイン名、%nは@の前のユーザー名
  args = uid=10000 gid=10000 home=/var/www/vmailbox/%d/%n
}

特殊変数の詳しい説明はこちら
https://doc.dovecot.org/configuration_manual/config_file/config_variables/#config-variables

dovecotを再起動すると設定が反映され、メーラーからメールを受信することができます。

前回までは「mynetworks」で設定したネットワーク内でしか外部送信できませんでしたが、今回は、「mynetworks」以外から送信をできるようにします。それを実現するためにSMTPに認証機能(SMTP-AUTH)を実装します。まずはSMTP-AUTHとはなにか理解する必要があります。

SMTP-AUTHとは

スパムメールがなかった時代、メール送信サーバは、認証などなくだれでも送信できる状態でした。しかしスパムメールが流行りだすと誰でも送信できないようにメール送信にも認証が必要になりました。当初は、そのような認証機能がなかったため、POP認証の機能を使い代用していました。それが「POP before SMTP」です。そして現在では、送信サーバは、自前の認証機能を持つようになりました。それが「SMTP AUTH」です。「SMTP AUTH」は、「SASL」をいうライブラリ(フレームワーク)を使って認証システムを実現しています。

SASL

SASLはSimple Authentication and Security Layerの略で認証システムを実現するライブラリ(フレームワーク)です。Postfixだけでなくさまざまなアプリケーションで使用されています。SASLは主に「Cyrus-SASL」と「Dovecot-SASL」というライブラリを使用しています。

Dovecot-SASL

今回は「Dovecot-SASL」ライブラリを使用して認証システムを実現します。Postfixはdovecotと親和性が高く、アカウントを共有することができます。POP認証用とSMTPの認証を一元管理することができます。ちなみに「Cyrus-SASL」はSMTP用とPOP用の2種類別々に管理する必要があります。

PostfixのSMTP AUTHの設定

まずはPostfixの設定から。「smtpd_sasl_type」をdovecotに指定することで「Dovecot-SASL」ライブラリが使用できます。

vi /etc/postfix/main.cf

##smtpauth setting
#SASL認証を有効にする
smtpd_sasl_auth_enable = yes
#RCPT TO コマンドへの対応方法を制御
#mynetworksで定義したものを許可、認証成功している場合許可、認証失敗は拒否
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
#Anonymous認証を拒否
smtpd_sasl_security_options = noanonymous
#outlookでSASL認証を使えるようにする。
broken_sasl_auth_clients = yes
#SASL認証で利用するレルム(ドメイン)を指定
smtpd_sasl_local_domain = $myhostname
#Dovecot-SASLを使用する
smtpd_sasl_type = dovecot
#Dovecot-SASLで使用するソケットファイル
smtpd_sasl_path = private/auth
#VRFYコマンドを無効化
disable_vrfy_command = yes

dovecotのインストール

まずは、POPサーバのアプリケーション、dovecotをインストールします。SMTPの認証に「Dovecot-SASL」を使用するとアカウント情報をdovecotに合わすため、dovecotをインストールする必要があります。

yum install dovecot

dovecot側のSMTP AUTHの設定

Postfix側が指定のソケットを通じてdovecotのアカウント情報にアクセスできるように設定します。
これでPostfixがdovecotのアカウントを使って認証することができます。

vi /etc/dovecot/conf.d/10-master.conf

  # Postfix smtp-auth
  unix_listener /var/spool/postfix/private/auth {
    mode = 0660
    user = postfix
    group = postfix
  }

dovecotの認証情報の確認

dovecotの認証に使っているアカウント情報がどこか確認します。デフォルトではLinuxのユーザーを使用しているので念のため確認します。「!include auth-system.conf.ext」がコメントアウトされていなければ問題ありません。ここがコメントアウトされている場合は、Linuxのユーザーを使用しない設定になっています。

vi /etc/dovecot/conf.d/10-auth.conf

#!include auth-deny.conf.ext
#!include auth-master.conf.ext
auth_mechanisms = plain login
#Linuxのアカウントを使って認証
!include auth-system.conf.ext
#!include auth-sql.conf.ext
#!include auth-ldap.conf.ext
#!include auth-passwdfile.conf.ext
#!include auth-checkpassword.conf.ext
#!include auth-vpopmail.conf.ext
#!include auth-static.conf.ext

次回はバーチャルメールボックス(バーチャルホスト)の設定を説明します。

クライアントからメールを送るとメールサーバはそのメールを送信先へ配送します。配送されたメールは最終的に送信先の受信ボックスに届けられます。送信先のクライアントはメールを受け取るためサーバにアクセスし受け取ります。

この一連の流れではそれぞれ役割が分担されていて、バケツリレーのようにメールを配送していきます。そしてそれぞれの役割を理解することでメールの技術的なことを基本から理解することができます。

その役割は4つに分けられそれぞれ名前がついています。

■MUA(Mail User Agent)
メールを送受信するクライアントのこと。Thunderbirdやoutlookなどのメーラーがその役割を担当します。プロトコルはSMTP、POP3など。

■MTA（Mail Transfer Agent）
メールの配送・転送するサーバのこと。Postfixが担当します。プロトコルはSMTP。

■MDA（Mail Delivery Agent）
メールボックスにメールを配送するサーバのこと。Postfixが担当します。プロトコルはSMTP。

■MRA（Mail Retrieval Agent ）
配送されたメールをMUAに渡すサーバのこと。dovecotが担当します。プロトコルはPOP3など。

今回設定するPostfixはMTA、MDA、dovecotはMRAになります。これらを意識して設定すると理解力が上がります。

Postfixの設定

全体像を理解した上でPostfixの設定を行っていきます。SSHでサーバにログインしPostfixを起動します。

service postfix start

ローカルからの送信時のFromの値を設定する [mydomain]と[myorigin]

起動するとメールを送信することができますが、デフォルトではローカルからでしか送信できません。とりあえずサーバからメールを送信してみましょう。mailコマンドで送信します。送信先は任意で設定し送信してください。

#メールコマンド
mail 送信先メールアドレス

mail test@hogehoge.com
Subject: test
test
.

メールを受信しメールの内容を確認すると差出人(from)がサーバのドメインになっていると思います。これはPostfixのmyoriginの設定がそのようになっているからです。この値を変えることでローカルからのメールを送信した場合、Fromの値を変えることができます。

vi /etc/postfix/main.cf

mydomain = sample.com
myorigin = $mydomain

ログインしているアカウントがrootの場合、fromの値はroot@sample.comになります。myoriginの設定はそれほど重要ではないのでデフォルトのままで結構です。mydomainの値はweb-creators-hub.comなど任意のドメインを設定します。

外部からPostfixに通信できるようにする

デフォルトではPCからPostfixに通信することができません。これを解決するためにはiptables、OP25B対策、postfixの設定を行います。
 

iptableで25番と587番を開放

iptablesの設定を変更しポートを開放します。

vi /etc/sysconfig/iptables

-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 587 -j ACCEPT

再起動し反映。

service iptables restart

ここを開放してもまだ通信できせん。次にpostfixの設定を変更します。
 

inet_interfacesの設定

この設定を変更しないと外部から送信できません。これはポートがlocalhostからしかバインドできずLISTEN状態になっていないからです。これはnetstatコマンドで確認することができます。

netstat -ant | grep LISTEN

tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN

これを外部からバインドできるように設定変更します。

vi /etc/postfix/main.cf

#inet_interfaces = localhost
inet_interfaces = all

この設定はiptablesのような効果があります。ここをallにすると25番ポートとバインドでき通信ができるようになります。
設定を反映するため再起動します。

service postfix restart

もう一度ポートの状態を確認します。

netstat -ant | grep LISTEN

tcp        0      0 0.0.0.0:25                0.0.0.0:*                   LISTEN

これで外部からバインドできるようになりました。
 

OP25B対策

OP25B対策としてPostfixに587番ポートを使って通信できるように設定します。

vi /etc/postfix/master.cf
#submission inet n - n - - smtpd
#↓
submission inet n - n - - smtpd

再起動します。

service postfix restart

これで587番ポートがListen状態になり通信できるようになります。
念のためnetstatで状態を確認します。

netstat -ant | grep LISTEN

tcp        0      0 0.0.0.0:25                0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:587                 0.0.0.0:*                   LISTEN

587番ポートがListen状態になっています。
 

通信テスト

それでは実際に通信できるかクライアントからtelnetを使って通信します。

telnet sample.com 587
220 ～ Postfix

応答が返ってきたら通信成功です。

PCからメールを送信できるようにする

Postfixと通信できるようになりましたが、まだPCから送信することができません。これはデフォルトの設定で「ローカルのみ送信可能」という設定になっているためです。この設定を変更し送信できるようにします。以下の「mynetworks」がこれにあたります。

この設定にネットワークIPをを記入すると無条件(パスワードなどの認証なし)で配送する項目になります。そのためこの設定をミスると踏み台に利用されるため注意が必要です。

vi /etc/postfix/main.cf

#mynetworks = 127.0.0.0/8
mynetworks = 192.168.0.0/16
relay_domains = $mydestination

デフォルトでは「mynetworks」に127.0.0.0/8が記入されているので自サーバからしか送信することができません。これを「mynetworks = 192.168.0.0/16」に設定すると192.168.～からのIPアドレスに限り無条件で配送する設定になります。

「relay_domains」は無条件で配送する送信先ドメイン(to)を設定します。例えばここに「gmail.com」と設定するとgmail.comを送信先とするメールは無条件で配送されます。

この二つの設定は、基本的にデフォルト設定で問題ありません。特にVPSなどで設定する場合は、プライベートアドレスを設定する場面が少ないため設定することがありません。「mynetworks」以外からの送信は、次回に紹介する認証機能(SMTP-AUTH)を使用して送信します。
 

「mynetworks」の設定する場面

プライベートネットワーク内でなにかしらのシステムが管理者にアラートを通知するときなどによく使われます。

つづきはこちら