POP over SSLで安全なメール受信
2005/12/05
サイオンコミュニケーションズ株式会社
米須 渉
1.POPの種類
1.1.POP
POPでやりとりされるすべてのパケットが暗号化されずにやりとりされます。アカウント・パスワード・メール本文すべてが平文(暗号化されてない状態)で流れます。
1.2.APOP
POPで利用されるパスワードが暗号化されています。ほとんどのプロバイダで対応されている方式だと思います。しかしアカウントやメール本文は平文で流れます。
1.3.POP over SSL
通信経路がすべて暗号化されるため、アカウント・パスワード・メール本文すべて暗号化されます。外部からの読み取りが不可能になります。
今回はPOP over SSLの構築を行います。
2.今回インストール/設定を行うソフトウェア
今回はcourier-imapというソフトウェアをインストールします。
URL: http://www.courier-mta.org/imap/
2.1.courier-imapとは
Maildirを採用した、高速なIMAPサーバソフトウェアです。IMAP以外にもPOPにも対応しております。
3.マシン情報
インストールを行うマシンは下記の通りです。
| CPU | Intel(R) Pentium(R) II 400MHz |
| Memory | 128MB |
| HDD | 4G |
| OS | FreeBSD 4.10-RELEASE-p19 |
4.courier-imapのインストール
portsよりインストールを行います。
portsにより必要なアプリケーションがインストールされます
# cd /usr/ports/mail/courier-imap/ # make
POP over SSLに必要なOPENSSLもインストールしてください。
下図のようにメニュー画面よりOPENSSLを選択してください。
図 1
OPENSSLがインストールされ、下記コマンドでcourier-imapのインストールが完了します。
# make install && make clean
5.courier-imapの設定
5.1.pop3d.cnfの作成
証明書を作るために、必要項目を入力します。
設定ファイル: /usr/local/etc/courier-imap/pop3d.cnf
設定ファイルをコピーします。
# cd /usr/local/etc/courier-imap # cp pop3d.cnf.dist pop3d.cnf
設定ファイルの[ req_dn ]部分を編集してください。
[ req_dn ] C=JP (国名) ST=OKINAWA (県名) L=URUMA CITY (市町村名) O=SYON Mail Server (サーバーの役割) OU=Automatically-generated POP3 SSL key CN=localhost (マシン名 or localhost) emailAddress=postmaster@example.com (メールアドレス)
5.2.pop3d.pemの作成
mkpop3dcertにてpop3d.pemを作成します。
# cd /usr/local/share/courier-imap # ./mkpop3dcert
pop3d.pemの確認
# ls /usr/local/share/courier-imap/pop3d.pem /usr/local/share/courier-imap/pop3d.pem
5.3.POP over SSLの自動起動
courier-imapを自動起動にします。
設定ファイル: /etc/rc.conf
自動起動するように下記項目を追加してください。
courier_authdaemond_enable="YES" courier_imap_pop3d_ssl_enable="YES"
5.4.POP over SSLの手動起動
courier-imapを起動します。
# /usr/local/etc/rc.d/courier-authdaemond.sh start # /usr/local/etc/rc.d/courier-imap-pop3d-ssl.sh start
5.5.起動確認
courier-imapが起動し、POP over SSL が利用可能かは下記コマンドで確認します。
# netstat -an | grep 995 tcp4 0 0 *.995 *.* LISTEN
5.6.log確認
/var/log/maillogに通信Logがでます。
Dec 3 18:39:41 マシン名 pop3d-ssl: LOGIN, user=ユーザー名, ip=[IPアドレス] Dec 3 18:40:33 マシン名pop3d-ssl: LOGOUT, user=ユーザー名, ip=[IPアドレス], top=0, retr=2396162, time=52
6.メールソフトの設定変更
POP over SSL対応のメールであれば本文まで暗号化された形式でやりとりが可能です。例としてMicrosoft Outlook2003 と 秀丸メールでの設定変更のやり方をあげます。
6.1.Microsoft Outlook2003の場合
ツール → オプション → メールセットアップを選択し「電子メールアカウント(E)」を押下してください。
図 2
電子メールアカウント変更より「詳細設定(M)」を押下してください。
図 3
インターネット電子メール設定の詳細設定より「このサーバは暗号化された接続(SSL)が必要(E)」を選択してください。受信サーバ(POP3)(I):のポート番号が110から995に変更されます
図 4
これでPOP over SSLの設定は終了です。
POP over SSLで接続した場合下記のようなメッセージが表示されますが「はい(Y)」を押下してください。メールの本文まで暗号化された形式でのメール受信が可能となりました。
図 5
6.2.秀丸メールの場合
設定(O) → アカウント毎の設定(A) → メールサーバ詳細を押下してください。
「POP over SSL(C)」と「SSL接続で、証明書を検出しない(N)」にチェックを入れてください。
図 6
7.POP over SSLの問題点
POPとPOP over SSLしか使えないMicrosoft OutlookであればPOP over SSLの使用をおすすめいたします。しかし、APOPとPOP over SSL両方使用できるメールソフトウェアですと、個人的にはAPOPをおすすめいたします。
POP over SSLに対応したウイルス対策ソフトは現在出ておりません。ウイルスチェックがPOP時ではなくファイルに書き出された時のチェックしかできないのが現状です。となりますと複数のメールで1ファイル形式にしているメールソフトウェアではウイルス発見時にファイルの削除をされますと、複数のメールが消える可能性があります。
現状サーバ間同士のSMTPは平文でのやりとりですのでPOPサーバとクライアント間が暗号化されてものぞき見されないという問題は根本的な解決はできておりません。
メールを確実に暗号化してやりとりするには、送信時にメールを暗号化して受け取り側で復号してもらう方法が一番良いかと感じます。