ＣｙｒｕｓＩＭＡＰｄとの連携運用

前提条件

• 動作試験環境： ＦｒｅｅＢＳＤ１２．２および１３．０

• 事前に ＯＳのインストール および 環境構築 が済ませてあること。

• 以下の観点からＳＡＳＬＡＵＴＨＤに依存しない。
  • スケーラビリティ（スケールアウト）は考慮しない。
  • つまりｓｅｎｄｍａｉｌとｃｙｒｕｓ ｉｍａｐｄは同一サーバー内に存在するものとし、分離した構成を取らない。
  • 認証（ＳＭＴＰ ＡＵＴＨ）は全てＳＡＳＬＤＢを参照するものとする。
  • またＳＡＳＬＤＢを参照するにあたって、ｓｅｎｄｍａｉｌおよびｃｙｒｕｓ ｉｍａｐｄ双方に権限上のミスマッチは存在していない。
  • よってＳＡＳＬＡＵＴＨＤの導入の動機として、権限分けにともなう、権限ミスマッチを解消する目的があるが、本構成では不要である。

• ports/mail/sendmail をインストールするが現時点（２０２１年０３月２５日）でいくらか不備がある。

  • ＳＳＬ回りの設定方法がいびつなので、これも修正していきたいです。
    • 現在のｓｅｎｄｍａｉｌのＳＳＬ証明書の指定方法がよろしくない。
    • ＥＣＣ暗号の使用がｐｒｉｍｅ２５６ｖ１のみに限定されている。
    • 本問題を解消するために、ＣＦＬＡＧＳに細工して対応しています。
  • ｍｉｌｔｅｒをインストール（コンパイル）する順番（依存）が存在しているが、見えにくい。
    • ｓｅｎｄｍａｉｌをインストール後にｍｉｌｔｅｒをインストールする必要がある。

設定目標

• バーチャルドメインでの運用を前提とし、サーバー側のアカウント情報や各種設定とは独立した運用を目指す。
• 各種資料を読み解くと、この辺りが混在していて暗黙のウチに動作しているケース（エイリアスの適用など）があるが、今回それを一切許さない。
• サーバー側はサーバー側で（ｒｏｏｔ宛のメールなど）、バーチャルドメイン側はバーチャルドメイン側で、切り離された環境を構築する。
• その効能の一つとして、ｃｙｒｕｓ ｉｍａｐｄ側で持つメールボックスの存在確認をリアルタイムで行えるようにする。
  • メールボックスが存在しない宛先への受信拒否が行える。
  • 従来、一旦受信してから受信拒否という流れになるが、その場合の対応がバウンスメールの発行となる。
  • いわゆるスパムメールに対するバウンスメールの送信は無意味なので、その分、キューイングや再送といった負荷が無くなる。

/etc/make.conf

以下の内容を追記する。

# for sendmail
mail_sendmail_SET=    LA NIS SEM TLS DANE SASL SHMEM MILTER SMTPUTF8
mail_sendmail_SET+=   SOCKETMAP BLACKLISTD CYRUSLOOKUP PICKY_HELO_CHECK
mail_sendmail_UNSET=  BDB LDAP SASLAUTHD

/usr/local/etc/ports.conf

以下の内容を追記する。

mail/sendmail: CFLAGS=-O2 -pipe -DTLS_EC=2 -D_FFR_TLS_USE_CERTIFICATE_CHAIN_FILE -D_FFR_TLS_ALTNAMES -D_FFR_QUEUE_GROUP_SORTORDER

インストール

cd /usr/ports/mail/sendmail && make install

/usr/local/lib/sasl2/Sendmail.conf

以下の内容のファイルを作成する。

pwcheck_method: auxprop
auxprop_plugin: sasldb

※ＳｅｎｄｍａｉｌのＳＡＳＬサポートコードにはＳＡＳＬの設定に関するコードが含まれておらず、 ＳＡＳＬライブラリがケアしてる設定ファイルにて設定を行う必要がある。

適用可能なオプションとしては下記の物があるが、ＣｙｒｕＩＭＡＰｄ側の設定との調整を考えるとデフォルトのままで良いかと。

• sasldb_path： ＳＡＳＬＤＢファイル（本件ではＬＭＤＢ）のパス

• sasldb_mapsize： （ＬＭＤＢ固有）全ユーザーをオンメモリにマッピングするためのサイズ

• sasldb_maxreaders： （ＬＭＤＢ固有）ＳＡＳＬＤＢファイルを同時アクセス可能な最大セッション（プロセス）数

特に sasldb_mapsize と sasldb_maxreaders の設定はユーザー数が多くなってきたときに調整が必要となる。

※ＩＭＡＰサーバー側で同時アクセス数のリークを確認。再起動で改善する。

参考文献

• Cyrus SASL documentation — Options

• sasl_server_init - SASL server authentication initialization

• Real Time Cyrus Integration Version 2 (sendmail,cyrus)

• Mailertable Rule Sets (sendmail)

• cyrusv2 mailer - release B (sendmail)