カテゴリー: PC

DTIサーバー構築15 「俺だ!俺だよ!」

Linuxのユーザー管理には、グループと言う概念がありまして。
CentOSでは、ユーザー名と同じ名前のグループ名が自動的に作成されるそうです。
セキュリティを向上させるために、こちらで色々やりまして、自分の一般ユーザーでしかログインできなくし、sudoで管理者権限が必要なコマンドを実行するという一般的な形にしていたのですが、、、やってしまいました。

sudoersから自分を消してしまいました。。。

あ〜〜

さて、リセット!!

DTIサーバー構築14 「まだ来ないね〜」

POP3,IMAPサーバーとなるDovecotを入れてみる。
まずはインストール。

$ sudo yum install dovecot
 :(色々表示されて)
Installed:
  dovecot.x86_64 1:2.0.9-5.el6                                            

Complete!
完了。

次に設定ファイルを編集。

$ sudo vi /etc/dovecot/dovecot.conf

IPv4,IPv6の両方に対応するには、

listen = *, :: 

IPv4のみなら、

listen = *

IMAPとPOP3の両方に対応させるには、

protocols = imap pop3

LMTP (Local Mail Transfer Protocol、RFC 2033 で定義)にも対応してるけど、それはまたの機会に。

login_greeting = POP3 ready.

ハッカーの攻撃から多少守れるかも。
(と言いつつ、ブログを書いている時点で、すんごい脅威な気がする。)

次に受け付けるポートを設定する。

$ sudo vi /etc/dovecot/conf.d/10-master.conf
設定ファイル中の次の箇所を編集しよう。

service imap-login {
  inet_listener imap {
    port = 143
  }
  inet_listener imaps {
    port = 993
    ssl = yes
  }
}

service pop3-login {
  inet_listener pop3 {
    port = 110
  }
  inet_listener pop3s {
    port = 995
    ssl = yes
  }
}

メールのフォルダ位置を設定する。

$ sudo vi /etc/dovecot/conf.d/10-mail.conf

開いたら、次のように絶対パスで指定。

mail_location = maildir:~/Maildir

続いてSSLの設定。

$ sudo vi /etc/dovecot/conf.d/10-ssl.conf

次の部分を有効に。

ssl = yes
証明書は、とりあえず元々入っているサンプルを使ってみるので、設定の変更はなし。

ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
ssl_key = </etc/pki/dovecot/private/dovecot.pem

以上でメール受信が可能になったはず。

$ sudo service dovecot start
と、起動して、メーラーから受信してみる。

POP3の受信メールサーバー:
 mail.yourdomain.com
ポート番号:995
ユーザー名:VPSにログインする際に利用しているユーザー名
パスワード:VPSにログインする際に利用しているパスワード
あとは、SSLでの接続に設定。

最後に自動起動するように設定する。

$ sudo chkconfig dovecot on
よし!

DTIサーバー構築13 「だめ絶対」

メールサーバーを構築したら、絶対にチェックしておきたいのが、第三者のメール送信中継ができないかどうか。

第三者中継チェック RBL.jp

上記ページで、構築したメールサーバーのホストを入力すると、チェックしまくってくれて、

第三者中継テストの結果
全てのテストが行われました, no relays accepted.
と表示されればOK。
そうじゃなかったら、一旦メールサーバーを停止して、設定を確認しましょう。 

DTIサーバー構築12 「ね、言ったでしょ」

DTIサーバーで、ドメインの逆引きを設定しておきましょう。
逆引きできないドメインからのメールは受け取ってもらえない事もあるようです。
公式サイトに説明があります。と、またさぼる。
ServersMan@VPS 他社管理ドメインの逆引き設定

色々なサーバーを使い分けようとすると、設定がややこしい。。。
それに、DNSの情報がインターネット上に広まるまでに数時間かかるから、確認できるまでの時間がかかるし、面倒な作業だな〜。

DTIサーバー構築11 「ほんとに私なんだって」

最近はスパムメール対策のために、メール送信するための制限が多くなってきています。
その制限の一つ、SPF認証を設定しましょう。
詳しくは次のリンク先をご参照ください。と、さぼる。
なりすましメール撲滅に向けたSPF(Sender Policy Framework)導入の手引き

やる事は一つ、DNSのデータにSPFフォーマットのTXTを入れる。
私が使っているValue Domainの場合、「DNSレコード/URL転送の変更」で以下の一行を追加。

txt * v=spf1 +a:mail.yourdomain.com ~all
意味は、
*
 全てのサブドメイン(サブドメインなしを含む)からのメールに対して、

+a:mail.yourdomain.com
 mail.yourdomain.comというホストから送られたメールは信用し、
~all
 それ以外から送られたメールは信用しない。
ということ。

 

これで送信元が信頼できるかが分かってもらえる。