メールサーバーのＳＴＡＲＴＴＬＳ設定ベストプラクティクス

検証環境

• FreeBSD 11.1-R

• sendmail v8.15.2

• ca_root_nss v3.32.1

目的

昨今メールのＳＭＴＰ（プロトコル）における暗号通信（ＳＳＬ／ＴＬＳ）のｒｙ。

+--------+ SMTP +------+ SMTP +------+ SMTP +------+ SMTP等 +------+ IMAP/POP3等 +--------+
|メーラー| →→ |ＭＳＡ| →→ |ＭＴＡ| →→ |ＭＴＡ| →→→ |ＭＤＡ| →→→→→  |メーラー|
+--------+      +------+      +------+      +------+        +------+             +--------+

目標

• High-Tech Bridge SSL/TLS Server Test で「Ａ」評価を得る。

• 「Ａ＋」が取れないのは以下の点でsendmailの実装に問題がある（実装されてない）ため。

  • CLIENT-INITIATED SECURE RENEGOTIATION

  • OCSP Stapling

事前インストール

• ports/security/ca_root_nss をインストールすること。

再コンパイル

現時点（2017/10/24）で、ＯＳ標準（以後stock sendmailと呼称）およびports/mail/sendmail（以後ports sendmailと呼称） ともに8.15.1で導入された _FFR_TLS_USE_CERTIFICATE_CHAIN_FILE コンパイルオプションが有効になっていない。 そのため、別途再コンパイルが必要である。 またstock sendmailの場合、標準でＥＣＤＨＥサポートが無効になっていることもあり（_FFR_TLS_EC コンパイルオプション、8.14.8で導入）、 合わせて対応する。 こちらはports sendmailでは対応済みである。

stock sendmail の場合

• 単純には/etc/make.confに以下の設定を行い make world を実施する。

.if ${.CURDIR} == "/usr/src/usr.sbin/sendmail"
CFLAGS+= -D_FFR_TLS_EC -D_FFR_TLS_USE_CERTIFICATE_CHAIN_FILE
.endif

• ソースコードを直接修正する場合は/usr/src/usr.sbin/sendmail/Makefileの CFLAGS+= -DSTARTTLS -D_FFR_TLS_1 行を CFLAGS+= -DSTARTTLS -D_FFR_TLS_EC -D_FFR_TLS_USE_CERTIFICATE_CHAIN_FILE に変える。-D_FFR_TLS_1 オプションは8.15.0リリース時に無くなっている（有効コードになった）。

.if ${MK_OPENSSL} != "no"
# STARTTLS support
CFLAGS+=        -DSTARTTLS -D_FFR_TLS_EC -D_FFR_TLS_USE_CERTIFICATE_CHAIN_FILE
LIBADD+=        ssl crypto
.endif

ports sendmail の場合

ports sendmailでは/usr/ports/mail/sendmail/files/site.config.m4.tlsファイルを編集して -D_FFR_TLS_EC の後ろに -D_FFR_TLS_USE_CERTIFICATE_CHAIN_FILE を加えた後、make installを実施する。

APPENDDEF(`conf_sendmail_ENVDEF', `-DSTARTTLS -D_FFR_TLS_EC -D_FFR_TLS_USE_CERTIFICATE_CHAIN_FILE')
APPENDDEF(`conf_sendmail_LIBS', `-lssl -lcrypto')

設定ファイルの変更

sendmail.mc

define(`confSERVER_CERT', `/usr/local/etc/dehydrated/certs/mail.example.jp/fullchain.pem')dnl
define(`confSERVER_KEY', `/usr/local/etc/dehydrated/certs/mail.example.jp/privkey.pem')dnl
define(`confSERVER_SSL_OPTIONS', `SSL_OP_NO_SSLv3,SSL_OP_NO_TLSv1,SSL_OP_CIPHER_SERVER_PREFERENCE')dnl
define(`confCACERT', `/usr/local/etc/dehydrated/certs/mail.example.jp/chain.pem')dnl
define(`confCACERT_PATH', `CERT_DIR')dnl
define(`confCIPHER_LIST', `ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA')dnl
define(`confDH_PARAMETERS', `CERT_DIR/dh.param')dnl

/etc/rc.conf

以下の設定を追加する。

sendmail_cert_create="NO"

作成済みファイルの削除

sendmail_cert_create="YES" （デフォルト）によって既に作成済みのＳＳＬサーバー証明書関連のファイルを削除する。

# rm -f /etc/mail/certs/host.cert /etc/mail/certs/host.key
# rm -f /etc/mail/certs/cacert.pem /etc/mail/certs/*.0

ＤＨパラメータの生成

# openssl dhparam -out /etc/mail/certs/dh.param 2048
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
...................................................（略）............................................++*++*++*++*

ルートＣＡ証明書の展開

/etc/mail/certsディレクトリ以下にports/security/ca_root_nssでインストールされた/usr/local/share/certs/ca-root-nss.crtより１証明書毎にファイルを作成（分解）して、openssl x509 -noout -hash -fingerprint を通した結果をファイル名（拡張子は.0）を作成する。