ＣｙｒｕｓＩＭＡＰｄとの連携運用

前提条件

• 動作試験環境： ＦｒｅｅＢＳＤ１２．２および１３．０

• 事前に ＯＳのインストール および 環境構築 が済ませてあること。

• 以下の観点からＳＡＳＬＡＵＴＨＤを使用しない。
  • 平文パスワード（ＬＯＧＩＮおよびＡＵＴＨ ＰＬＡＩＮ）でしか使えないため。
  • 暗号パスワード（ＳＣＲＡＭ、ＤＩＧＥＳＴ－ＭＤ５、ＣＲＡＭ－ＭＤ５等）では、ＳＡＳＬＡＵＴＨＤを参照させることができない。
  • このことから認証（ＳＭＴＰ ＡＵＴＨ）は全てＳＡＳＬＤＢを直接参照するものとする。
  • またＳＡＳＬＤＢを参照するにあたって、ｓｅｎｄｍａｉｌおよびｃｙｒｕｓ ｉｍａｐｄ双方に権限上のミスマッチは存在していない。
  • よってＳＡＳＬＡＵＴＨＤの導入の動機として、権限分けにともなう、権限ミスマッチを解消する目的があるが、本構成では不要である。

• ports/mail/sendmail をインストールするが現時点（２０２１年０３月２５日）でいくらか不備がある。

  • ＳＳＬ回りの設定方法がいびつなので、これも修正していきたいです。
    • 現在のｓｅｎｄｍａｉｌのＳＳＬ証明書の指定方法がよろしくない。
    • ＥＣＣ暗号の使用がｐｒｉｍｅ２５６ｖ１のみに限定されている。
    • 本問題を解消するために、ＣＦＬＡＧＳに細工して対応しています。
  • ｍｉｌｔｅｒをインストール（コンパイル）する順番（依存）が存在しているが、見えにくい。
    • ｓｅｎｄｍａｉｌをインストール後にｍｉｌｔｅｒをインストールする必要がある。

設定目標

• バーチャルドメインでの運用を前提とし、サーバー側のアカウント情報や各種設定とは独立した運用を目指す。
• 各種資料を読み解くと、この辺りが混在していて暗黙のウチに動作しているケース（エイリアスの適用など）があるが、今回それを一切許さない。
• サーバー側はサーバー側で（ｒｏｏｔ宛のメールなど）、バーチャルドメイン側はバーチャルドメイン側で、切り離された環境を構築する。
• その効能の一つとして、ｃｙｒｕｓ ｉｍａｐｄ側で持つメールボックスの存在確認をリアルタイムで行えるようにする。
  • メールボックスが存在しない宛先への受信拒否が行える。
  • 従来、一旦受信してから受信拒否という流れになるが、その場合の対応がバウンスメールの発行となる。
  • いわゆるスパムメールに対するバウンスメールの送信は無意味なので、その分、キューイングや再送といった負荷が無くなる。

インストール

/etc/make.conf

以下の内容を追記する。

# for sendmail
mail_sendmail_SET=    LA NIS SEM TLS DANE SASL SHMEM MILTER SMTPUTF8
mail_sendmail_SET+=   SOCKETMAP BLACKLISTD CYRUSLOOKUP PICKY_HELO_CHECK
mail_sendmail_UNSET=  BDB LDAP SASLAUTHD

/usr/local/etc/ports.conf

以下の内容を追記する。

mail/sendmail: CFLAGS=-O2 -pipe -DTLS_EC=2 -D_FFR_TLS_USE_CERTIFICATE_CHAIN_FILE -D_FFR_TLS_ALTNAMES -D_FFR_QUEUE_GROUP_SORTORDER

• TLS_EC=2： ＥＣＣ暗号サポート／ＥＣＣ暗号（特にキー交換の）指定無し（ＯｐｅｎＳＳＬデフォルトに準拠）

• （参考）TLS_EC： ＥＣＣ暗号サポート／ＥＣＣ暗号（特にキー交換は）ｐｒｉｍｅ２５６ｖ１のみ指定（変更不可）

• _FFR_TLS_USE_CERTIFICATE_CHAIN_FILE： いわゆる一般的なＴＬＳサーバーと同じ指定（フルチェイン）の仕方にする

• _FFR_TLS_ALTNAMES： コモンネームだけでなくＳＡＮｓも評価する

• _FFR_QUEUE_GROUP_SORTORDER： キューグループ単位でソート順を指定可能にする（本運用では取り上げない）

インストール

cd /usr/ports/mail/sendmail && make install

セットアップ

/usr/local/lib/sasl2/Sendmail.conf

以下の内容のファイルを作成する。

pwcheck_method: auxprop
auxprop_plugin: sasldb

• ＳｅｎｄｍａｉｌのＳＡＳＬサポートコードにはＳＡＳＬ関連の設定に関するコードが含まれておらず、

ＳＡＳＬライブラリがケアしてる設定ファイルにて設定を行う必要がある。

• 平文パスワードでは pwcheck_method 設定が参照されるが、暗号パスワードでは直接 auxprop_plugin 設定が参照される。

• つまり pwcheck_method: auxprop として強制的に解釈されることを意味する。

• pwcheck_method: saslauthd と設定しても、上記振る舞いから期待しない動作をするため、設定を変更しないこと。

本条件において適用可能なオプションとしては、下記の物があるが、ＣｙｒｕＩＭＡＰｄ側の設定との調整を考えるとデフォルトのままとする。

• 特に sasldb_mapsize と sasldb_maxreaders の設定はユーザー数が多くなってきたときに調整が必要となる。

• ※ＩＭＡＰサーバー側で同時アクセス数のリークを確認。再起動で改善する。

/etc/mail/Makefile.local

以下のファイルを作成する。

SENDMAIL_CF_DIR=/usr/local/share/sendmail/cf

/etc/mail/ホスト名.mc

いわゆるｓｅｎｄｍａｉｌ．ｃｆ作成準備

ln -s freebsd.submit.mc /etc/mail/$(hostname).submit.mc
cd /etc/mail && make

切り替え

cd /usr/ports/mail/sendmail && make mailer.conf

なお切り戻しは make mailer.base の実行となる。

よくある質問とその答え

Ｑ．ｐｏｒｔｓで入れないと駄目なんですか？

Ａ．ベースシステムにＳＡＳＬライブラリが無いのでしょうがないです。 ベースシステムにインストールされたＳＡＳＬライブラリ付でビルドすることもできないでもないですが、 ＯＳのバージョンアップ時等のメンテナンスがめんどくさくなるのでオススメしません。

Ｑ．以下のエラーが出てメールの送信ができません

AUTH failure (XXXXXXXX): generic failure (-1) SASL(-1): generic failure: Unable to open MDB transaction, user=...

Ａ．以下のコマンドを実行して、ＬＭＤＢファイルに接続しているセッション数およびプロセスＩＤを確認する。

# mdb_stat -ne /usr/local/etc/sasldb2
Environment Info
    :
  Max readers: 126
  Number of readers used: 101
Status of Main DB
    :

上記の例の場合、最大１２６セッション中１０１セッション使用していることが分かる。

# mdb_stat -nr /usr/local/etc/sasldb2
Reader Table Status
    pid     thread     txnid
     15223 801e12000 -
     15229 801612000 -
   :

上記のように、具体的にＬＭＤＢファイルをつかんでるＰＩＤのリストが取得できる。

# pgrep -lf -F <(mdb_stat -nr /usr/local/etc/sasldb2 | awk '/[0-9]/ { print $1 }')
15223 imapd: imaps: XXXXXX.XXXXXXXXXX.XXX [XXX.XXX.XXX.XXX] nork@ninth-nine.com ninth-nine.com!user.nork Idle

※ＺＳＨ／ＢＡＳＨ拡張を使用しているので、ＳＨ等では実行できない点に注意。

ここで表示されるＰＩＤのプロセスに対して、とりあえず再起動で。 ＳＡＳＬＤＢライブラリに接続リークを起こすことを確認。

参考文献

• Cyrus SASL documentation — Options

• sasl_server_init - SASL server authentication initialization

• Real Time Cyrus Integration Version 2 (sendmail,cyrus)

• Mailertable Rule Sets (sendmail)

• cyrusv2 mailer - release B (sendmail)