26-3. FortiMail でメ−ル暗号化の検討 `2h/04/m (1) Outlook で暗号化メ−ルのテスト * テストの開始 □FortiMail △PC FortiMail の予備機を用いて暗号化メ−ルのテストをやっ | | てみる。先ずは出来た時の状態の設定を以下に書いた。そ ---------------------- れから設定の詰めを書くことにした。パソコンは Outlook | を用いたり、FortiMail のWebメ−ルで送信したり受信 --------- したりした。このWebメ−ルは FortiMail へ https 通 | FG80C | PC 信ができるので、暗号化になっている。メ−ル内容の暗号 --------- △Outlook 化をするのに一番簡単なやり方である。ここではメ−ルク | | ライアントとメ−ルサ−バ、メ−ルサ−バ間での暗号化に ---------------------- ついて調べてみる。結果から言えばまるで簡単ではない。 [ポリシ−]->[アクセス制御] -------------------------------------------------------------------------------- | 受信 | 送信 | | ------------------------------------------------------------------------- | 新規 編集 移動 削除 |------------------------------------------------------------------------------- |有効|ID|送信者 |受信者 |送信者IP/ |リバ−スDNS|認証ス |TLSプロ |アクション | | |パタ−ン|パタ−ン|ネットマスク|パタ−ン |テ−タス|ファイル| |------------------------------------------------------------------------------- | 〆 1 ¢ ¢ 0.0.0.0/0 ¢ 不問 Angou リレ− -------------------------------------------------------------------------------- [プロファイル]->[セキュリティ]->{TLS} ----------------------------------------- | TLSプロファイル | プロファイル名: [Angou ] | TLSレベル: [ベ−シック ▽] << "なし/推奨/証明書認証" あり。 | 失敗時のアクション:[一時的なエラ− ▽] | □暗号強度の確認 | 最小の暗号強度:[256 ] ----------------------------------------- Outlook のアカウントの設定からメニュ−を辿って。 プロトコルの指定は設定メニュ ----------------------------------------------- −の奥深い所にある。かなり分 |インタ−ネット電子メ−ル設定 かりにくい。 |---------------------------------------------- | 全般 | 送信サ−バ− | 接続 | 詳細設定 | 受信サ−バ−は初期設定 [110]。 |----------------------------- ------- □このサ−バ−は暗号化された | 受信サ−バ−(POP3): [995 ] 接続(SSL)が必要。 ここ〆して | 〆このサ−バ−は暗号化された接続(SSL)が必要 受信サ−バ−は [995]になった。 | 送信サ−バ−(SMTP): [25 ] | 使用する暗号化接続の種類: [TLS ▽] << "なし/SSL/TLS/自動" あり。 ----------------------------------------------- 上記のテストでメ−ル送信を相手サ−バに 25 番ポ−トにアクセスしているのか、そうみ たい。ファイアウォ−ルでパケットを制御して確認した。25 番ポ−トで TLS で出来たが、 本当に暗号化になっているのか確認のこと。 Outlook を起動すると毎回出てくる画面。 [証明書の表示..]をクリックすると --------------------------------------------- 発行先FortiMail というのが出てき | インタ−ネット セキュリティ警告 | た。多分これをインスト−ルすれば |-------------------------------------------| 次からは警告画面は出なくなると思 | /!\ 接続しているサ−バ−は、確認できない | うが。証明書はIEに入ると思う。 | セキュリティ証明書を使用しています。 | | | メ−ルストアの FortiMailとメ−ル | 対象のプリンシパル名が間違っています。| クライアントの Outlook間は、これ | | で暗号化通信になる。 | [ 証明書の表示.. ] | | | インスト−ルしてみた。IEはバ− | このサ−バ−の使用を続けますか? | ジョン9。[ツ−ル]->[インタ−ネッ | | トオプション]->[コンテンツ] 画面 | [ はい ] [ いいえ ] | [証明書]の[ほかの人]に入った。し --------------------------------------------- かし相変わらず警告画面は出てきた。 * パケットの暗号化の確認 一応 Outlook と FortiMail で暗号化の設定は出来てメ−ル送受信もやれた。これが本当 にパケットが暗号化になっているのかテスト環境用にかました FortiGate-80Cでパケット をキャプチャしてみる。Outlook、FortiMail では証明書うんぬんの設定はしてない。 □FortiMail #config vdom | (vdom)#edit root ---------------------- (root)#diag sniffer packet internal1 'tcp port 25' 3 | interfaces=[internal1] --------- filters=[tcp port 25] | FG80C | PC --------- △Outlook FortiGateのroot->[ログ&レポ−ト]->[トラフィックログ] | | ->[スニファ−トラフィック]、ここにキャプチャしたパケ ---------------------- ットが出て来ると思うのだが出ない。 Outlook から本文 "1111111111" というメ−ルを送信した。(root)#diag sniffer ... で 14個目のログに Content-Language:.ja....1111111111.. というのがあった。平文で流 れているのかこれで分かる。暗号化の設定をしたらログに Ready.to.start.TLS.. という 文字がでてきた、メ−ル本文は暗号化になっているので書かれたのは分からない。 FortiGate の CLIコンソ−ルで (root)# diag sniffer ... でパケットをキャプチャする。 ここで CLIコンソ−ルのバッファ長さ:[50] がデフォルトのところ、[1500]にした。1通 のメ−ルの送受信のログでは500行では足りず "1111111111" というのは見えなかった。 1500行にしたら (root)# diag sniffer ... からのログが見えた。 * 暗号化設定の詰め [プロファイル]->[セキュリティ]->{TLS} ----------------------------------------- | TLSプロファイル | プロファイル名: [Angou ] | TLSレベル: [ベ−シック ▽] A << "なし/推奨/証明書認証" あり。 | 失敗時のアクション:[一時的なエラ− ▽] | □暗号強度の確認 | 最小の暗号強度:[256 ] ----------------------------------------- Aは英文マニュアルでは None/Preferred/Encrypt/Secure となっていた。 Encrypt が日 本語メニュ−のベ−シックに対応。 Encrypt の説明は Require a basic TLS connection。 Secure の説明には CA certificates must be installed on the FortiMail ...。 Outlook のアカウントの設定からメニュ−を辿って。 -------------------------------------------------- |インタ−ネット電子メ−ル設定 |------------------------------------------------- | 全般 | 送信サ−バ− | 接続 | 詳細設定 | |----------------------------- ---------- | 受信サ−バ−(POP3): [995 ] | 〆このサ−バ−は暗号化された接続(SSL)が必要 | 送信サ−バ−(SMTP): [25 ] | 使用する暗号化接続の種類: [TLS ▽] B << "なし/SSL/自動" あり。 -------------------------------------------------- ・Aをベ−シック、Bを TLS/自動 にしたらできた。 ・Aをベ−シック、Bを SSL にしたらエラ−になった。 ・Aをなし、 Bを SSL/TLS はサポ−トしてませんと出た。 ・Aを推奨、 Bを TLS にしたらエラ−になった。 ・Aを証明書認証、Bを TLS/SSL/自動 にしたらエラ−になった。 送信サ−バ−(SMTP): [465 ] にして、使用する暗号化接続の種類: [TLS ] はエラ−にな った。使用する暗号化接続の種類: [SSL ] はできた。 送信サ−バ−(SMTP): [587 ] にして、使用する暗号化接続の種類: [TLS ] はエラ−にな った。TCP/587 は FortiGate に"サ−ビス"が無かったので作った。 * FortiMail 本番機のメ−ルストアの設定状態 [モニタリング]->[システム]->{ステ−タス} ----------------------------------------- | システム情報 |---------------------------------------- | | | ファ−ムウェアバ−ジョン v5.3.1 | 動作モ−ド: [サ−バ− ▽] << ゲ−トウェイとトランスペアレント。 | | [メ−ル設定]->[設定]->{メ−ルサ−バ−設定} ----------------------------------------- |---△ロ−カルホスト -------------------- || ホスト名: [hostB ] << この装置のホスト名。`2h/06/E までは || ロ−カルドメイン: [nix.co.jj ] fmail と書いていた。間違いだと思う。 || SMTPサ−バ−ポ−ト番号: [25 ] || SMTP over SSL/TLS 〆 << 今は暗号化は使ってないが,チェックが || SMTPSサ−バ−ポ−ト番号: [465 ] 入っていた。これで特に問題なかった。 || SMTP MSAサ−ビス 〆 << MSA(Message Submission Agent)、これ || SMTP MSAポ−ト番号: [587 ] << は SMTP AUTH 認証をやる場合に使う。 || POP3サ−バ−ポ−ト番号: [110 ] || 認証用デフォルトドメイン:[nix.co.jj ] |---------------------------------------- | --▽メ−ルキュ− ---------------------- | |---△送信メ−ル ------------------------------------- || 〆リレ−ホストへ配送: [relay ▽] [新規][編集] || □ESMTPを無効 ↑クリック | [メ−ル設定]->[設定]->{リレ−ホストリスト} が出てくる。リスト名:[relay ]、ホスト 名/IP:[xxx ]、ポ−ト:[25 ]、SMTPS使用 □、□ 認証要求。[xxx ] のところはDMZ上 の Mail-Relay のIPアドレスで 192.168.2.1 を記入する。 (2) メ−ルの暗号化について調べた事 * メ−ルの暗号化いろいろメモ メ−ルリレ−間の暗号化は TLS を使うはず。 デジタル証明書がいるはず、証明書は何で もいいのか。FortiMail の暗号化に関するヘルプを見たが、どうすればいいのか分からん。 インタ−ネットを調べたがまるで情報がない。出てくるのは自分が書いた記事ばかりだ。 暗号化のためにメ−ルのサ−バ証明書がいるのなら、半年位前だったか触ったPKIのフ リ−ソフトk9pca が使えるのでないか。テスト利用のオレオレ証明書を作るのだけど。公 的な証明書を取るにはシマンテックSSL情報センタ−か、VeriSign を買収したのだったか。 パソコンのメ−ルソフトと FortiMail のサ−バモ−ドでの動作で、 メ−ルを暗号化でき ないのか。これができれば一番簡単に暗号化の確認がやれる。検討2日間で、暗号化した のを確認した。証明書は何も作ったりせずに、とりあえずメ−ル暗号化してたぞ。 Cobalt Qube3 のメ−ル機能は暗号化できたか。 マニュアルを見たけど暗号化うんぬんの 記載はなかった。手元で簡易ファイル共有のため Qube3 動かしているので、 今一度メニ ュ−を見てみること。だめだな、OpenBlockS はどうかな、こっちの方は使うには厄介。 BlackJumboDog はどうか、[メ−ルサ−バ]->{SMTPサ−バ}->{ホスト設定} には "□SSLで 接続する" というメニュ−はある。ウェアポ−タル(株)にMDaemon というメ−ルサ−バの ソフトがあり試しで使える、メ−ルサ−バ間の SMTP 通信での STARTTLS にも標準対応。 証明書を発行してくれる。Let's Encrypt 総合ポ−タル https://letsencrypt.jp/。60 日間毎にSSL/TLSサ−バ証明書を更新することを推奨。2016年4月12日に正式サ−ビス開始。 それでIEのCA証明書に letsencrypt.jp なる物がないと警告画面が出るのでないか。 FortiMail のWebメ−ルを使えば、今すぐにメ−ルサ−バとパソコンなどメ−ルソフト の間は暗号化通信になる。https://xxx/mail でブラウザから FortiMail にアクセスする。 でも IE11 でWebメ−ル使用でバグがあるみたい、受信メ−ルを表示しない場合がある。 PGP と S/MIME はここでは取り上げない。これらは個々のメ−ルソフトでの設定がそれな りに必要である。社内の人が外部の特定の人とそれぞれ銘々がやる分には構わない。我々 は関知しないことにする。FortiMail の IBE 暗号化は余裕があれば一度やってみたい。 キャノンITソリュ−ション(株)の添付ファイル ZIP 暗号化サ−ビス。Zenlok プレミア ムのメ−ル暗号化、添付ファイルを自動的に暗号化する、暗号化されたファイルはブラウ ザでダウンロ−ドする。パスワ−ドを自動生成するのは日付なんか使うより安全。 NSAに勤務していたスノ−デン氏がアメリカ政府が通信傍受してることを暴露した事件。 スノ−デン氏が利用していた暗号化電子メ−ルサ−ビス Lavabit。アメリカ政府の影響が あってかサ−ビス停止していたのを再開した 2017/01。 Google のメ−ル暗号化、Chromeアプリケ−ションの E2EMail がオ−プンソ−スになった。 2017/03/01 実験的に。エンドツ−エンドでメ−ルを暗号化する。Chrome の拡張機能とし て Gmail で OpenPGP を利用できるようにする。 Gmail は S/MIME と TLS に対応、いつから?。このTLSはSTARTTLS 暗号化のこと、Gmail のヘルプに書かれてあった。 相手が Outlook とかでも暗号化してメ−ルを送受信できる。 "非暗号化受信メ−ルの警告表示を開始 2016年2月9日" の記事は一杯出てくるけど。 http://docs.fortinet.com/fortimail、 "Fortinet Document Library" の FortiMail の 所にいろいろマニュアルあり。「FortiMail 5.3.1 Administration Guide」752ペ−ジ。 とりあえずこれのメ−ルリレ−と暗号化の TLS に関する部分を見てみるとしよう。 POODLE 脆弱性、SSL 3.0暗号が解読されてしまうことが判明。2015年6月に SSL 3.0 利用 禁止する RFC が IETF よりリリ−スされた。この後、Webサ−バの Apache やSSL-VPN 装置などで暗号化方式が SSL を止めて TLS への変更が世界中で行なわれた。 多分メ−ルストアの FortiMail の設定をみると、 このままでメ−ルクライアントのソフ トで POP3 と SMTP の暗号化の設定をすれば、そのまま暗号化通信になるのでないか。ざ っと予備の FortiMail でテストしてそう思った。Outlook では警告画面が出てきたけど。 FortiMail の予備機は今、動作モ−ド:[サ−バ−] で Mail-Store としてテスト。これを [ゲ−トウェイ] に変えて Mail-Relayとしてテストしたい。変えた際におかしなことにな らないか弱干心配、ネットワ−ク上の他の機器に影響はないか。多分全然問題ないと思う。 Let's Encrypt が発行する証明書はドメイン認証(DV)で、デ−タの暗号化のみ行なう。組 織認証(OV)、EV SSL 証明書。企業等の実存証明はしない。アメリカの認証局 IdentTrust からクロス署名されて、主要ブラウザで信頼された証明書と扱われるようになっている。 * STARTTLS の検討の仕切直し `2h/05/S〜 JPRSサ−バ−証明書 なるものがあることを知った。(株)日本レジストリサ−ビス が発行 している。https://jprsサ−バ−証明書.jp/。IE9ブラウザには JPRS のル−ト証明書 はらしいのは入ってないけど、中間証明書で辿るようになっているのかな。 何だかんだ言ってもまだインタ−ネットの電子メ−ルのメ−ルサ−バの多くで使われてい る sendmail での挙動を確かめておくのが必要かも。MDaemon で STARTTLS を試して出来 たとしても。しかし MDaemon はどうもやらしい、扱いにくいというか。 メ−ルサ−バのテスト環境のこと。メ−ルリレ−とメ−ルストアを OpenBlockS で作って みるか。いや OpenBlockS は止めておこう、めんどい。 Amazon EC2 のお試しでやってみ るか、閉じた環境それに開いた環境でのテスト。仮想マシンでの Linux でやってみるか。 インタ−ネットでの暗号化を推進している Google 社の Gmail はどうか。 だいぶ前にア カウントを取得した。まだ使えるのかと思った。パスワ−ドも手元になかった。でも有効 ならメ−ルを送ってエラ−で返えって来ないはず。一発で送ることができました。 FortiMail の予備機は今、動作モ−ド:[サ−バ−] で Mail-Store としてテスト。これを [ゲ−トウェイ] に変えて Mail-Relayとしてテストしたい。変えた際におかしなことにな らないか弱干心配、ネットワ−ク上の他の機器に影響はないか。多分全然問題ないと思う。 手元のパソコンのIEには IdentTrust は入ってないけど、ブラウザのIE9には入って ないのかな。[ツ−ル]->[インタ−ネット オプション]->{コンテンツ} の [証明書]。 こ れはメ−ルストアとパソコンのメ−ルソフト間で暗号化する場合に関係する事に注意。 Let's Encrypt が公的な証明書だとしよう。有効期間は60日であるとのこと。これを入 れて60日を過ぎてもそのままにして使い続けるというのはどうだ。何らかのワ−ニング めいたものはメ−ルサ−バ内で出るかも知れないが、問題なく使えるのでないか。 STARTTLS はメ−ル送信の SMTP を TCP/25 で通信を開始し、 相手メ−ルサ−バとネゴシ エ−ションして合意したら TLS 暗号化通信に移行する。 移行には最初の Hellow やりと りからになるという。それで Start 開始が TLS の前に付けられている。 * おまけのメ−ル暗号化の検討 `2h/04/m メ−ルのパケットが暗号化されているか確認するのは。先ずはやってみる事は FortiGate でパケットをキャプチャすること。メニュ−はよく目にするが使ったことはない。簡単に 使えそうにないならパソコンのソフトを使う。ちょうどいい時に support@asteceyes.com からメ−ルがきた。ASTEC Eyes on the net をご愛用うんぬん。2017年4月7日にバ−ジョ ン7.200 を出荷しました。これまでに購入したお客様には無償で最新バ−ジョンを提供す る。https://products.rworks.jp/cgi-bin/asteceyes/update.cgi。 メ−ルの暗号化はどこまで広まっているのか。法政大学の学内向け情報ポ−タル、 "各プ ロトコルの安全性" という記事で POP3S,IMAPS,SMTPSは、クライアントマシンからメ−ル サ−バ間はメ−ルの内容も暗号化されますが、メ−ルサ−バから送信先メ−ルアドレスの メ−ルサ−バ間は、現時点では多くの場合、暗号化されません。これは現在稼働中の数多 くの SMTPサ−バが SMTPサ−バ間の暗号化通信に対応していないためです。この記事は今 のことで、国内ではそんなに広まっていないと言うことなのだろう。 最終的な動作確認はどうやるか。メ−ルリレ−を仮にDMZに置き Gmail や Office 365 と暗号化メ−ルがやりとりできるかやってみるのはどうだ。 Office 365 はお試しのを登 録して。仮のメ−ルリレ−のIPアドレスはMXレコ−ドとしたりはしないのだが、多分 外へメ−ルを送るのに相手メ−ルサ−バから認証うんぬんはないと思うので、できると思 う。パブリックな証明書がやはり必要となれば、Let's Encrypt から無料のを発行しても らう、あるいは自社Webサ−バの https アクセス用の証明書が使えるかも知れない。 Gmail が 2014年に常時 HTTPS なって、メ−ルは暗号化でしょという気運が高まってきた。 Google は Gmail のブラウザ画面で送信先のメ−ルサ−バが暗号化対応してないと赤い鍵 のアイコンが出るようにした 2016/03。これでメ−ルは暗号化と無言の圧力をかけている。 Google サイトの記事 「Google透明性レポ−トのより安全なメ−ルの送信中のメ−ル暗号 化」が目立つ。暗号化の普及度合で Gmail から他プロバイダへのメ−ルは 88%、逆は85% とか。2017年4月1日デ−タで。国内はそんな普及しているようには思えないのだが。 1週間程 FortiMail、BlackJumboDog、Outlookでメ−ルの暗号化のテストをやってみた感 想は、やはり大変。動作検証をするのは至難の業だ。付録でちょっとやって書くという代 物ではない。インタ−ネットにもまるで情報はない。Fortinet社が英文のマニュアルを取 れるようにしているのは有難いことだが。メ−ルの暗号化は添付ファイルだけでパスワ− ド ZIP でやればいい、そんな安直な話ではもはやない。 インタ−ネットの経路では各国 政府による通信傍受、組織内においてはボットによる盗聴。メ−ルの全経路に渡って暗号 化すべきだと思う。更には組織内でのイントラアクセスも https にすべきである。 勝算無きことはやらない。メ−ルサ−バ間での暗号化のテストと確認。なかなか厄介であ る。それこそミニ・インタ−ネットを作ってでないと、できないかも知れない。多分メ− ルサ−バが STARTTLS 対応していれば、特に確認とかしなくても出来るような気がしてい る。本番一発勝負でも構わないかも知れない。一番の気懸がりは公的な証明書を取得して メ−ルサ−バに入れないと問題が起こるのでないかという事。しかしそれもメ−ルサ−バ 内のログで警告が出るだけで、エンドユ−ザのメ−ルソフトでは何ら問題ないのでないか。 そんな気がしている。今は5月の連休前のことで、この1週間でメドを付けるとするか。 NHKやるな。「NHKのクロ−ズアップ現代+」2017年4月24日放送。 日本政府がアメ リカ国家安全保障局(NSA)と協力して通信傍受していた。スノ−デン氏が入手した機密 文書には XKEYSCORE というシステムをNSAが日本側に提供していたという。 関連して 検索したらサイバ−ディフェンス研究所の名和利男氏の話で秘密プロジェクト、プリズム なるもの。名和氏は以前にもNHKにサイバ−攻撃の事ででていた信頼のおける人物。オ リバ−・スト−ン映画監督がスノ−デン氏から聞いたという"スタックスネット"、社会イ ンフラを攻撃する"兵器"。映画「スノ−デン」で"スタックスネット"も出てくる。怖い!。 * メ−ルが暗号化される区間 `2h/06/S 社内のメ−ルサ−バまで暗号化されてメ−ルがきた。社内のパソコンのメ−ルクライアン トと社内メ−ルサ−バ間も暗号化。スマ−トフォンにメ−ル転送して平文でやりとりされ たら元の木阿弥になってしまう。スマ−トフォンは暗号化対応になってないのでないか。 社内にあるパソコンのメ−ルソフトからメ−ル発信。社内にあるパソコンからメ−ルスト アまでの間。メ−ルストアからメ−ルリレ−までの間。メ−ルリレ−から送信先メ−ルサ −バの間。相手会社などのネットワ−クの中で、メ−ルストア、パソコンまでの間。 STARTTLS 暗号化は相手メ−ルサ−バが対応していれば実施される。 メ−ルリレ−、メ− ルストアでの違いはない。電子証明書が暗号化のために使用される。電子証明書がパブリ ック、プライベ−トでの違い挙動はメ−ルサ−バの実装による。 FortiMail はデフォルトで STARTTLS 暗号化対応になっている。 メニュ−に TLS とかあ ルが一切いじることはない。 メ−ルリレ−、メ−ルストア共 FortiMail なら暗号化され る。電子証明書は FortiMail 内臓のプライベ−トなものが使われる。 メ−ルリレ−設定した FortiMail から Gmail には STARTTLS 暗号化でメ−ルは送信した。 Outlook から Gmail で取得したメ−ルアドレスにメ−ルを送った。 FortiMail と Gmail メ−ルサ−バが STARTTLS 暗号化対応しているためできた。 Gmail に来たメ−ルを読み書きするのは普通はブラウザを使う。デフォルトで httpsアク セスする。 つまり社内にあるパソコンのブラウザとクラウド上にある Gmail 間は暗号化 されている。Gmail ユ−ザ同士ならネットワ−クの全区間で暗号化される。 メ−ルストアと社内のパソコンのメ−ルソフト間は。Outlook は STARTTLS 暗号化対応し ていると思う。FortiMail に電子証明書をパブリックなのを入れていれば、そのCA証明 書がパソコンのIEブラウザにあるはずで、Outlook で警告は出ないはずである。 Office 365 のユ−ザ同士は暗号化される。 クラウド上の Office 365 と社内のパソコン の Outlook は MAPI プロトコルで暗号化される。 FortiMail から Office 365 ユ−ザへ のメ−ルは STARTTLS で暗号化されるはず。 絵を描いてこの区間は暗号化される、ここはされないと書こうかと思ったがそこまで親切 にすることはないか。各自、鉛筆でフリ−ハンドで描いてみて下さい。 STARTTLS のプロ トコルは通常の SMTP の TCP/25 である。ファイアウォ−ルを特にいじる必要はない。 メ−ルを送ろうとする相手の会社のメ−ルサ−バが STARTTLS 暗号化になっていなければ つまるところインタ−ネット間は暗号化されない。相手メ−ルストアまで間、相手社内の パソコンまでの間でも、暗号化されるかどうかは相手都合である。 全区間でメ−ルは暗号化されるのが望ましい。インタ−ネットではアメリカを初めとした 国家による盗聴、イントラネットではボットによる盗聴が危惧される。現状では全区間で 暗号化は望めない。ならば FortiMail の独自暗号方式の IBE を用いるかだ。 * FortiMail での証明書のこと メ−ルストアの FortiMail がメ−ルリレ−の FortiMail と暗号化通信する設定に証明書。 同じ FortiMail がパソコンのメ−ルソフトと暗号化通信する場合の設定に証明書。 これ らは同じ物なのだろうか。FortiMail がデフォルトで STARTTLS 対応になっている設定と [プロファイル]->[セキュリティ]->{TLS} の関係はどうなのか。 [システム]->[証明書]->{ロ−カル証明書} {CA証明書} {リモ−ト} など中身なし。 -------------------------------------------------------------------------------- | 名前 サブジェクト ステ−タス |------------------------------------------------------------------------------- | Factory /C=US/ST=California/L=Sunnyvate/O=Fortinet/OU=FortiMail/ デフォルト | CN=FortiMail/emailAddress=support@fortinet.com |------------------------------------------------------------------------------- | Self /CN=Fortinet/O=FortinetLtd. OK エントリの Factory をクリックすると "証明書詳細情報" が出てくる。発行者は "/C=US /ST=California/L=Sunnyvate/O=Fortinet/OU=CertificateAuthority/CN=support/emailAd dress=support@fortinet.com"、"有効期間(開始) Jul 3 17:24:18 2015 GMT"、有効期間 (終了) Jan 19 03:14:07 2038 GMT" と出てきた。 $ telnet 192.168.1.8 << "(5) メ−ルサ−バ間の暗号化のテスト" を参照のこと。下 fm2 login: admin << 記の kcert-local と Kcert 証明書はここで作った。 Password: fm2 # show full-configuration << このコマンドで FortiMail の全部の設定状態が出 config domain てくる。ダ−っと際限なく出てくる。Apollo から edit nix.co.jj のアクセスならずっと画面に残っているので、 こ next うやってカット&ペ−ストできるけど。Windowsパ end ソコンではやり方があるのだろうか。 config system certificate local edit kcert-local unset password unset comments set private-key "-----BEGIN PRIVATE KEY----- MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAKb4pPgrsb4rKfS4 | -----END PRIVATE KEY----- " set certificate "-----BEGIN CERTIFICATE----- MIIDkjCCAnqgAwIBAgICIywwDQYJKoZIhvcNAQELBQAwazEPMA0GA1UEBgwG5pel | -----END CERTIFICATE----- " unset csr next end config system global set disclaimer-per-domain disable set operation-mode gateway set default-certificate Factory << デフォルトの証明書のことか。 set hostname fm2 set local-domain-name nix.co.jj set admin-idle-timeout 450 set pki-mode disable set pki-certificate-req no | set strong-crypto disable set ssl-versions ssl3 tls1_0 tls1_1 tls1_2 << これは対応暗号化プロトコル。 | set data-loss-prevention disable end config system certificate ca edit kcert set certificate "-----BEGIN CERTIFICATE----- MIIELTCCAxWgAwIBAgIBAzANBgkqhkiG9w0BAQsFADBrMQ8wDQYDVQQGDAbml6Xm | -----END CERTIFICATE----- " next end [ このコマンドそれぞれ証明書が出て来る ] config system certificate remote end fm2 # show system certificate config system certificate crl ca CA certificate end crl certificate revokation list config user pki local local certificate configuration end remote remote certificate (3) 暗号化のテストを引き続き−その1 * BlackJumboDog(BJD) を用いて ノ−トパソコンに以前 BlackJumboDog をインスト−ルしてた。C:\BlackJumboDog\bjd と やった。いきなりメ−ルストアからメ−ルをダウンロ−ドをしだした。9千通ぐらい溜ま っている。一応テストのためにメ−ルストアにメ−ルは残すようにしてある。ノ−トパソ コンに入れてあるウィルスチェックソフトがウィルスを検知したと出てくる。まずい、ノ −トパソコンをネットワ−ク機能の"ロ−カルエリア接続"を無効にすぐにした。ネットワ −クから切り離して、どんな設定をしていたか確認しないと。ダウンロ−ドしたメ−ルは C:\BlackJumboDog\MailQueue\ に入っていた、約800個ファイルがあった。数日してみ たらメ−ルキュ−にあったファイルは無くなっていた。 [1] [2] FM□nix.con B B .2|ユ−ザ ikken と test1 ---------------------- ---------------------- .1| .1| --------- BJD nix.co.jj --------- BJD nix.co.jj | FG80C | | FG80C | --------- PC△Outlook --------- PC△Outlook A .1| .2|ikken@nix.co.jj A .1| .2|ikken@nix.co.jj ---------------------- ---------------------- * テスト1[ Outlook から BJD に平文でメ−ル送信する ] Outlook の設定。メ−ルアドレス ikken@nix.co.jj、受信メ−ルサ−バでアカウントのユ −ザ名 ikken。受信、送信メ−ルサ−バ A.2。PC 内で BJD 稼働している。 BJD の [オプション]->[メ−ルサ−バ]->[メ−ルボックス]->{利用者} でユ−ザ名 ikken、 パスワ−ド ikken を作成。 BJD の [オプション]->[メ−ルサ−バ]->[SMTPサ−バ]〆SMTPサ−バを使用する、{基本設 定} でドメイン名 nix.co.jj。{中継許可} ◎禁止リスト優先。 {ACL} 指定したアドレス からのみを ◎禁止する。 BJD の [ツ−ル]->[SMTPメ−ルボックス(メ−ルキュ−)] に、ikken@nix.co.jj 宛のメ− ルが溜まるのを確認した。キュ−を削除するのは BJD で "サ−バ停止" してやること。 * テスト2[ Outlook から BJD に平文でメ−ル送信して FM に中継する ] `2h/05/e ??? BJD の [オプション]->[メ−ルサ−バ]->[SMTPサ−バ]〆SMTPサ−バを使用する、{基本設 定} でドメイン名 nix.con、上と異なる。{ACL}指定したアドレスからのみを ◎禁止する。 テスト1の設定に加えて。{中継許可} ◎許可リスト優先 アドレス A.2。{ホスト設定}対 象ドメイン nix.co.jj、転送サ−バ B.2、ポ−ト 25。ここ設定するのに試行錯誤した。 Outlook から ikken@nix.co.jj と test1@nix.co.jj 宛に送った。BJD のメ−ルキュ−に は入らなかった。FM に送られていた、[モニタリング]->[ログ]->{ヒストリ} で確認した。 BJDの{基本設定} ドメイン名 nix.con を nix.co.jj にすると、Outlook で送信する際に 配信不能、システム管理者、サ−バ−エラ−:'550 test1...User unknown' と出た。 * テスト3[ Outlook と BJD と FM での暗号化について ] Outlook から BJD に暗号でメ−ル送信する、これはそもそもできないのでないか。BJDの メ−ルサ−バの {基本設定} の所には暗号化の設定はない。 唯一あるのは {ホスト設定} に □SSLで接続する があるのみである。これは SMTP over SSL なのか STARTTLS なのか 分からない。いろいろやっていて FortiMail に出たログで、 分類 TLS Enforcement、処 理 Reject、クライアント [B.1]、宛先IP B.2 というのがあった。あるいは FortiMailに ログはでずに、BJD のメ−ルキュ− QUEUE に入った、root@local 550 Host unknown と。 Outlook と BJD 間は暗号化なしで、BJD とFM 間は暗号化ありができればいいのだが。い ろいろやってみたができそうにない。2日間それぞれのソフトで暗号化の設定部分を組み 合わせて試したがだめだった。BJD を用いた検討はここまでか、次は MDaemon で試すか。 (4) 暗号化のテストを引き続き−その2 * MDaemon を用いてテスト ウェアポ−タル株式会社 http://www.wareportal.co.jp/ メ−ルソフト製品を扱っている。 MDaemon というのがある。製品はお試しで30日間使える。MDaemon はメ−ルサ−バ−間 での SMTP通信での STARTTLS にも標準対応しているので直ぐに安全な SMTP通信が行える。 以下は古い記事で参考まで。MDaemon Lite と MDaemon Pro がある。 MDaemon Lite は機 能に制限があり暗号化は対応してない。 MDaemon Lite の5ユ−ザまでがフリ−版で無料 で使える。MDaemon Lite は今は MDaemon Pro へ統合され、MDaemon に一本化されている。 ダウンロ−ドしてみようとした。`2h/04/e位のこと。MDaemon フリ−版を。5ユ−ザまで 利用可能で期間制限はない。30日間の利用制限があるのは評価版である。ユ−ザ登録は 必要なしと書かれているが、やってみたらたくさん個人情報を記入しないといけなかった。 MDaemon フリ−版ダウンロ−ドの画面にはお名前:[ ] とメ−ル:[ ] を入れる所があ り、インスト−ルの際には、ユ−ザ−情報の送信と、アクティベ−ションが必要になりま す、と書かれてある。パソコンの C:>ユ−ザ−>root>ダウンロ−ド にファイルは入った。 MDaemon フリ−版ダウンロ−ドの画面の左には、[ユ−ザ−ログイン]の画面がありユ−ザ 登録を促している。ユ−ザ登録は無料で技術情報や提案資料をダウンロ−ドできる。とり あえずしなかったけど。http://help.altn.com/mdaemon/jp/ 日本語情報のサイトがある。 暗号化をテストしようとして分かったこと。MDaemon の画面の上部のメニュ−の[ヘルプ] で出たバ−ジョンは v12.5.7、リリ−スノ−トによれば 2012年8月16日。日本語情報サイ ト http://help.altn.com/mdaemon/jp/ は左側の画面に MDaemon Messaging Server 16.5。 * MDaemon のインスト−ル md1257_jp.exe、78.2MB をクリックしたら、最初にエンドユ−ザ−ライセンス契約の長い 文面が出てきた。インスト−ルタイプが3つ出てきた。◎MDaemonフリ−版 を選択。お客 様情報を入れる、国名 Japan を選択し名前に会社名に住所に電話番号など。 全部を入力 しないと次へのメニュ−が有効にならない。電話番号まで正直に書いてインスト−ルした。 ちょっとばかしこんなに個人情報を入れないけないなんて困るバイ。 インスト−ルが終わると設定画面が現われた。ドメイン名を指定してください、アカウン トを設定してください、サ−ビスを設定してください。これらも入力した。Windows のメ ニュ−のプログラムから [MDaemonを起動]。アクティベ−ションをやってくれと画面がで てきた。とりあえずやらないでみたら MDaemon の画面はそのままだった。 C:\MDaemon\ 内に入った。デスクトップにアイコンはできなかった。 プログラムから [MDaemonを停止] をして、また [MDaemonを起動] をしたら画面は出なか った。[MDaemonを停止] したらDOS画面がでてきて MDaemonを停止うんぬんと出たので、 バックでは動いているのかもしれない。パソコンを再起動して [MDaemonを起動]をしたら MDaemon の画面は出てきた。パソコンを起動している間は使えるということみたい。 アクティベ−ションをやるとレジストレ−ションキ−を Alt-N Technologies に送信され ます。個人情報は送信されません。そんな画面が出てくるのだが、フリ−ソフトにしては 厳重である。ちゃんとした製品が先にあって、そのフリ−版も提供していると解釈すれば いいのか。どうも送信するのはインスト−ルしたパソコンのMACアドレスらしい。 * テスト1[ Outlook から MDaemon にメ−ル送信する ] 先ず同じパソコンの Outlook から MDaemon にメ−ル送信するのをしたらエラ−になった。 アカウントを MDaemon と Outlook で合わせるため、双方で変更したのでそれがいけなか ったのか。それは関係なかった。MDaemon に出ていたログに "Date" がおかしいようなの があった。 [設定]->[初期設定]->[ヘッダ] "存在しない場合に挿入するヘッダ □Date:" に〆した。それに POP3 のやりとりで "-ERR login must use full email address" とい うのも出ていた、[設定]->[初期設定]->[システム] "〆サ−バの認証に完全なメ−ルアド レスが必要"、この〆を外した。 これで Outlook で通常のメ−ル送信したら MDaemon へ 送信できた。おかしいのは Outlook の [アカウント設定のテスト] でやる場合で、 上記 の設定しても "Date" がおかしいとメ−ル送信できなかった。 B MDaemonの[設定]->[デフォルトドメイン/サ−バ] ---------------------- ->[ドメイン] で、ドメイン名{nix.co.jj}、この .1| ホストのFQDN{ [A.2] }、ドメインIP{127.0.0.1}。 --------- MDaemon nix.co.jj ->[配信] はデフォルトのまま◎直接すべての...。 | FG80C | --------- PC△Outlook [ファイル] 〆SMTPサ−バを有効にする、 〆POP3 A .1| .2|ikken@nix.co.jj サ−バを有効にする。 WebAdmin と WorldClient ---------------------- サ−バを有効にする、にも〆があるがどうなのか。 動作確認のためにログを見るのは。下の方にあるメニュ−で {メ−ル} をクリックすると、 すぐその上に関連するメニュ−がでてくる。 {SMTP(in)} と {POP3} をクリックするとロ グが出ていた。{SMTP(in)} は MDaemon に入って来る方向のメ−ルである。メ−ルソフト 間で暗号化しようとやりとりがあれば TLS とか STARTTLS とかログに出て来ると思う。 "MDaemonフリ−版のポイント" の5つの特徴に "メ−ル経路を自動暗号化" とある。暗号 化の設定のところを見ると限定されたものだった。[セキュリティ]->[セキュリティ設定] ->{SSL&TLS}->{MDaemon}あらかじめ〆が"使用可能時はSMTPサ−バでSTARTTLSを使用する" に入っていて、他は選択できないようになっていた。つまり既に暗号化対応になっている。 MDaemon は先にテストしたそのままの設定、しかし"使用可能時はSMTPサ−バで STARTTLS を使用する" になっている。Outlook を暗号化にした、POP3 995、SMTP 25 で TLS。メ− ル送受信したら Outlook と MDaemon どちらもエラ−がでた。POP3 110、SMTP 25 で自動 は送受信できた。つまり MDaemon と Outlook 間では暗号化できなかったということ。 * テスト2[ Outlook から MDaemon に送信して FM に送信 ] Outlook から MDaemon に平文でメ−ルを送る。 MDaemon からは FM に暗号化してメ−ル 送信する。MDaemon の [設定]->[デフォルトドメイン/サ−バ]->[配信] の画面で 配信オ プション "すべてのアウトバウンドメ−ルを下記の指定サ−バへ送信" サ−バ[B.2 ]。こ れでドメイン名が nix.co.jj 以外のメ−ルは FM に送られるようになる。 上記の設定で Outlook から ikken@nix.co.jj へのメ−ルは MDaemon が受け、nix.co.jj 以外のドメイン宛のメ−ルは B.2 へ行くようになる。つまり test1@nix.con 宛のメ−ル は FM に行く。この MDaemon から FM ヘの間で暗号化通信になっているか見てみる。 こ れができればメ−ルサ−バ間で STARTTLS 暗号化されているということになる。 FM [ポリシ−]->[アクセス制御]->{受信} TLSプロファイル、TLSレベル:[ベ−シック ▽]。 メ−ルを送った後 FM [モニタリング]->[ログ]->{ヒストリ}には、分類 TLS Enforcement、 処理 Reject とでていた。MDaemon の SMTP(out) ログには STARTTLSというのが出ていた、 送信できずキュ−に入った様なログもでていた。その後同じ条件でやったがログがでない。 FM [ポリシ−]->[アクセス制御]->{受信} TLSプロファイル、TLSレベル:[推奨 ▽]にした ら FM と MDaemon どちらもログは出てなかった。そもそも MDaemon から FM にメ−ルを 送ろうともしてないということか。 いや [ログ]->{イベント} に test1@nix.con に送ろ うとしているログが出ていた。挙動はなかなか微妙である。もう一度一つずつ確認だ!。 FM□nix.co.jj ※MDaemon を Windowsパソコンにそのままイ B .2|"サ−バ−"モ−ド ンスト−ルすると、パソコンを起動したら ---------------------- MDaemon も起動している。バックグラウン .1| ドで動いているので注意したい。 --------- MDaemon | FG80C | ※何かおかしい、できん。頭を切り換えてみ --------- PC△Outlook るとしよう。 FortiMail の IBE 暗号化を A .1| .2|ikken@nix.co.jj 取り組んでみる。 secure.txt の付録のと ---------------------- ころに書いていくことにする。`2h/04/E (5) メ−ルサ−バ間の暗号化のテスト `2h/05/E * テスト環境作成のための準備 FortiMail の予備機を {動作モ−ド} が "サ−バ−" になっているのを、"ゲ−トウェイ" に変更した。装置は社内ネットワ−クにつないだままやった、特に問題はなかった。 -------------------------------------------------------------------------- |FortiMail | | (?) 本当に動作モ−ドを変更しますか?設定は工場出荷値にリセットされます。| | | | [ Yes ] [ No ] | -------------------------------------------------------------------------- [ Yes ] 押した。続いて2回確認の画面が出た。4分位して ping の反応があった。それ から30秒位して管理画面がでた。admin,nasi で入れた。英語画面になっていた。 装置 内のDNSのIPアドレスは変わってなかった。Time Zone は変わっていた。装置ユ−ザ −が無くなっていた、[ユ−ザ−]->[ユ−ザ−][ユ−ザ−設定] のところ。[ポリシ−] に 設定したのが無くなっていた。 [メ−ル設定]->[設定]->{メ−ルサ−バ−設定} 初期値に なっていた。[メ−ル設定]->[設定]->{リレ−ホストリスト} 無くなっていた。[メ−ル設 定]->[ドメイン]->{ドメイン} は無しに、"高度なスキャンの設定" で"〆グロ−バルベイ ジアンデ−タベ−スを使用" になっていた。 [ポリシ−]->[ポリシ−]->{ポリシ−} の "IPポリシ−" こうなっていた。 -------------------------------------------------------------------------------- |有効 ポリシ−ID 送信元 宛先 セッション アンチスパム アンチウィ... |------------------------------------------------------------------------------- |〆 1 0.0.0.0/0 0.0.0.0/0 Inboud_Session |〆 2 ::/0 ::/0 Inboud_Session -------------------------------------------------------------------------------- * テスト環境 DNS1次 インタ−ネットへ Gmail と [ PC1 のOutlook設定 ] □仮想IP : user1@tcp.or.jj B |.3 : アドレス ikken@nix.co.jj。ア ---------------------- MS' : Cobalt Qube3 カウント ikken(ikken)。 メ− 202.241.128.x | MR' : FortiMail予備機 ル受信/送信 192.168.1.7。 □MR |.2 DNS': NetAttest D3 |.1 .2------- [ PC2 の BJD の設定 ] ------------|Fire | | Wall| PC1 MS' MR' DNS' PC2 〆SMTPサ−バを使用する、ドメ □MS ------- △ □ □ □ △ イン名[nnn.con]、中継許可 禁 A |.1 |.2 |.6 |.7 |.8 |.9 |.10 止リスト優先、メ−ルボックス -------------------------------------------------- 利用者 katou(katou)。Outlook 192.168.1.0 nix.co.jj で katou、katou@nnn.con 設定。 MR のDNS1次は nix.co.jj ドメインの情報をもっている。MXレコ−ドは 202.241.128.3で ある。MS にはアカウントikken があり、ikken@nix.co.jj を扱う。PC1 の Outlook のユ −ザ情報のメ−ルアドレスに ikken@nix.co.jj、サ−バ情報の受信、送信メ−ルサ−バに 192.168.1.7 として。ここから MS' をメ−ルストアとして user1@tcp.or.jj にメ−ルし た。MS' から MR' を経由して tcp.or.jj のメ−ルサ−バに行く。このように社内ネット ワ−クにあるメ−ルリレ−から外部のメ−ルサ−バにメ−ルを送ることができるのか、疑 問に思うところだができた。パケットは FireWall の NAT で 202.241.128.2 からの発信 になる。相手メ−ルサ−バが発信元を確認しようと nix.co.jj ドメインの MXレコ−ドを 調べたら 202.241.128.3 が見つかる。 実際に送ったメ−ルリレ−のIPアドレスとは異 なるのだが、そこまでのチェックはしてないということだろう。 [ テストの状況など ] PC1 の Outlook から ikken@nix.co.jj 宛にメ−ルした、MS' にメ−ルは来た。PC1 から katou@nnn.con 宛にメ−ルした、BJD にメ−ルが来たログが出た、PC1 から MS'へ行って、 MR' へ行き PC2 で稼働している BJD に来た。その時の各装置の設定は下記の通り。 外から来るメ−ルを想定して PC2 の Outlook から BJD へ、そして MR' へ送り、さらに MS' へ届けるというのはうまくいかない。PC2 の BJD の設定がどうもダメみたい。 メ− ル転送という指示でこれまでテストで設定していたが。 FireWall の FortiGate の "サ−ビス" の "SMTPS" は LAN->WAN へ TCP/465 を外に通る ようにした。暗号化の STARTTLS は TCP/25 を使うので、関係しないと思うが。本番設定 でも SMTP over TLS、TCP/465 を使って暗号化メ−ルできるかも知れないので。 PC1 からプロバイダの user1@tcp.or.jj へ MR' で何がしか暗号化設定したら全部エラ− になった。MR' のメ−ルキュ−に溜まった。"Deffered: 454 4.7.4 temporary failed to deliver message via SSL/TLS." こんなようなエラ−メ−ルが返って来た。 とりあえずできた時の様子を書き留める。かなり前に取得した Gmailのアカウントに送っ てみた。ログに STARTTLS と出てきた。インタ−ネット接続のプロバイダも暗号化メ−ル 対応していると言っていたができなかった、後から聞いたらメ−ルクライアントとだった。 FortiMail の暗号化の設定メニュ−は何もいじらなかったのができた。[プロファイル]-> [セキュリティ]->{TLS} はノ−タッチ。 SI業者の技術者が言うように FortiMail はデ フォルトで STARTTLS 暗号化はオンになっていた。それは本当だったということ。 FortiMail の [モニタリング]->[ログ]->{ヒストリ} のログの セッションID をクリック し、ログタイプのイベントのメッセ−ジに STARTTLS というのが出て来た。こちら側の証 明書は [システム]->[証明書]->{ロ−カル証明書} の Factory, Self を使うのだろうか。 下から2 STARTTLS=client,cert-subject=/C=US/ST=California/L=Moutain View/O=Goo つ目のメ gle Inc/CN=mx.google.com,cert-issuer=/C=US/O=Google Inc/CN=Google Int ッセ−ジ ernet Authority G2,verifymsg=unable to get local issuer certificate 下から3 メッセ−ジ STARTTLS=client,relay=gmail-smtp-in.l.google.com.,version= 3つのメ TLSv1.2,verify=CAFAIL,cipher=ECDHE-RAS-xxx128-SHA,bits=128/128 ッセ−ジ とりあえず暗号化の使用アルゴリズムの記載はぼかしてみた。 * MR' FortiMail予備機の設定 << これがメ−ルリレ−での FortiMail の設定 >> ファ−ムウェア v5.3,...(5.3.1 GA) ※FortiMail の {動作モ−ド} は "ゲ−トウェイ"。 FortiMail の新しいファ−ムウェア、 v5.3.4 以降ではメ−ルの無害化ソリュ−ションが できる。Fortinet 社からそのドキュメントがでている。2016/08/04 に来たメ−ル「メ− ル無害化ソリュ−ション導入ガイドを公開」。これにはメ−ルリレ−として FortiMailを 設定するところも書かれている、設定する箇所はそんなに無いことが参考になった。 [システム]->[ネットワ−ク]->{DNS} -------------------------------------- | プライマリDNSサ−バ−:[192.168.1.9 ] << 2つ書かないと跳ねられた。 | セカンダリDNSサ−バ−:[192.168.1.9 ] << [メ−ル設定]->[ドメイン]->{ドメイン} ------------------------------------------------------------------------ |ドメイン名: [nix.co.jj ] 灰色 |リレ−タイプ:[ホスト ▽] | SMTPサ−バ−: [192.168.1.7 ] ポ−ト:[25 ]SMTPSを使用 □ | 代替SMTPサ−バ−:[ ] ポ−ト:[25 ]SMTPSを使用 □ [メ−ル設定]->[設定]->{メ−ルサ−バ−設定} ------------------------------------------ |---△ロ−カルホスト --------------------- || ホスト名: [fm2 ] << この FortiMail のホスト名。 || ロ−カルドメイン: [nix.co.jj ] || SMTPサ−バ−ポ−ト番号: [25 ] || SMTP over SSL/TLS □ << STARTTLS の暗号化とは違う。 || SMTPSサ−バ−ポ−ト番号: [465 ] || SMTP MSAサ−ビス □ || SMTP MSAポ−ト番号: [587 ] << SMTP AUTH 認証をやる場合。 || POP3サ−バ−ポ−ト番号: [110] || 認証用デフォルトドメイン:[nix.co.jj ▽] |----------------------------------------- |---△送信メ−ル ------------------------- || □リレ−ホストへ配送:[--なし-- ▽] || □ESMTPを無効 || | 以下は ▼配送失敗時の制御は ◎再試行。 [メ−ル設定]->[設定]->{リレ−ホストリスト} 設定無し。 [ポリシ−]->[アクセス制御]->{受信} -------------------------------------------------------------------------------- |有効 ID 送信者パ 受信者パ 送信者IP リバ−ス 認証ス TLSプロ アクション | タ−ン タ−ン DNSパタ−ン テ−タス ファイル |------------------------------------------------------------------------------- |〆 1 * * 0.0.0.0/0 * 不問 リレ− -------------------------------------------------------------------------------- [ポリシ−]->[アクセス制御]->{送信} -------------------------------------------------------------------------------- |有効 ID 送信者パタ−ン 受信者パタ−ン TLS宛先IP TLSプロ 暗号化 | ファイル プロファイル |------------------------------------------------------------------------------- |〆 1 * * 0.0.0.0/0 -------------------------------------------------------------------------------- [ポリシ−]->[ポリシ−]->{ポリシ−} の "IPポリシ−" -------------------------------------------------------------------------------- |有効 ポリシ−ID 送信元 宛先 セッション アンチスパム アンチウィ... |------------------------------------------------------------------------------- |□ 1 0.0.0.0/0 0.0.0.0/0 Inboud_Session << これら最初からあっ |□ 2 ::/0 ::/0 Inboud_Session << て〆入っていた。〆 |〆 3 0.0.0.0 0.0.0.0 を外した。3 作った。 -------------------------------------------------------------------------------- [ポリシ−]->[ポリシ−]->{ポリシ−} の "受信者ポリシ−" -------------------------------------------------------------------------------- |有効 ポリシ−ID 方向 送信者 受信者 ドメイン名 アンチスパム .. | パタ−ン パタ−ン |------------------------------------------------------------------------------- |〆 1 受信 *@* *@nix.co.jj nix.co.jj -------------------------------------------------------------------------------- * MS' Cobalt Qube3 の設定 http://192.168.1.7:444 admin でログイン。まあよく役立ってくれたこと。残念ながら メ−ルサ−バの暗号化はなかった。SMTP over TLS も STARTTLS もメニュ−には無かった。 [ システム設定 ] TCP/IP 設定でホスト名 [qub3 ]、ドメインネ−ム [nix.co.jj ]、プライマリインタ−フ ェ−ス [192.168.1.7 ]。画面ではDNSサ−バは 127.0.0.1 になってないけど。 /etc/hosts /etc/mail/local-host-names -------------------------------------------- -------------------------- |127.0.0.1 localhost localhost.localdomain |nix.co.jj |192.168.1.7 qub3.nix.co.jj qub3 |qub3.nix.co.jj |192.168.1.8 fm2.nix.co.jj << 手で記入した。 /etc/resolv.conf /etc/host.conf /etc/mail/access --------------------- ----------------- ----------------- |nameserver 127.0.0.1 |order hosts,bind |nix.co.jj RELAY |search nix.co.jj |multi on |192.168.1 RELAY |domain nix.co.jj [ DNSの設定 ] 設定画面にて、適用ドメイン nix.co.jj、プライマリネ−ムサ−バ qub3.nix.co.jj、DNS 管理者の電子メ−ルアドレス なし。 fm2.nix.co.jj A 192.168.1.8 pc2.nix.co.jj A 192.168.1.10 qub3.nix.co.jj A 192.168.1.7 [ メ−ルの設定 ] ユ−ザのアカウント作成 ikken(ikken)。 SMTPサ−バを有効にする〆、POPサ−バを有効にする〆。 スマ−トリレ−サ−バ [fm2.nix.co.jj ]。 これらのホスト/ドメイン宛の電子メ−ルを受信する [nix.co.jj ]。 * DNS' NetAttest D3 の設定 http://192.168.1.9:2181/ 画面の [システム管理ペ−ジへ]。admin でログイン。DNS のル−トも見るようにしてある、というかそうなっていたというか。 DNS - ゾ−ン nnn.con - レコ−ド ------------------------------------------------------------ 所有者名 タイプ TTL レコ−ドデ−タ ------------------------------------------------------------ nnn.con. NS 0 katou.nnn.con. nnn.con. SOA 0 katou.nnn.con. mail.nnn.con... nnn.con. MX 60 pc2.nnn.con. pc2.nnn.con. A 60 192.168.1.10 ------------------------------------------------------------ * それぞれのメ−ルサ−バの名前解決 ・MS' が MR' のホスト名を知るには。 MS' の Qube3 のメ−ルサ−バの設定で、スマ−トリレ−サ−バを fm2.nix.co.jj として いて、ここに送ろうとする。 Qube3 の /etc/hosts で fm2.nix.co.jj のIPアドレスを 記載している。Qube3 は名前解決に初めに /etc/hosts、次にDNSの順番で調べる。 ・MR' が MS' のホスト名を知るには。 特にホスト名は分からなくて関係ないのでないか。MR' の FortiMail で "リレ−タイプ: [ホスト ▽]、SMTPサ−バ−:[192.168.1.7 ]" とIPアドレスを指定している。SMTPサ− バ−をドメイン名にしたら、対応するIPアドレスが分かるようにしないといけない。 ・MR' が PC2 の BJD 宛に送るのには。 BJD は nnn.con メ−ルサ−バで katou@nnn.con メ−ルアドレスがある。MR' は nnn.con のMXレコ−ドを "プライマリDNSサ−バ−:[192.168.1.9]" の NetAttest DNSサ−バで 知る。"pc2.nnn.con. A 192.168.1.10" であると。 * FortiMail 暗号化設定のダメ押し確認 デジタルID、証明書を使う暗号化のテストのため、 認証局作成ソフトの k9pca で "ル −ト証明局" を作り、"サ−バ−証明書" を作った。"サ−バ−証明書" はドメイン(必須) https://[nix.co.jj ]、サ−バ−種別 Apache で。k9pca で先に作った証明書に追加され る形でCA証明書 3.cer、サ−バ証明書 9004.cer と 9004.key ができた。これらのファ イルを [システム]->[証明書]->{ロ−カル証明書} {CA証明書} に入れた。{CA証明書} を 入れる際は名前を Kcert に、{ロ−カル証明書} では Kcert-local と付けた。 [ポリシ−]->[アクセス制御]->{送信} -------------------------------------------------------------------------------- |有効 ID 送信者パタ−ン 受信者パタ−ン TLS宛先IP TLSプロ 暗号化 | ファイル プロファイル |------------------------------------------------------------------------------- |〆 1 User Defined User Defined 0.0.0.0/0 Angou -------------------------------------------------------------------------------- [プロファイル]->[セキュリティ]->{TLS} ----------------------------------------------------------- | TLSプロファイル | プロファイル名: [ Angou ] | TLSレベル: [ 証明書認証 ▽] | 失敗時のアクション:[一時的なエラ− ▽] ▽をクリックする | □CA発行者の確認 1) とKcert が出てき | CA発行者:[と等しい ▽][ ] CA参照:[--なし-- ▽] << た。これを選んだ。 | □証明書サブジェクトの確認 2) | 証明書サブジェクト:[と等しい ▽][ ] << ここは何を入れればいいのか分 | □暗号強度の確認 3) からない。9004.cerの内容をカ | 最小の暗号強度:[256 ] ット&ペ−ストしたのだったか。 | [ OK ][キャンセル] ----------------------------------------------------------- 1) 2) 3) チェックなしだと証明書は使わない場合のログがでてきた。1) 2) 3) にチェッ ク、1) 2) にチェックでも失敗した。メ−ルは送れなくてメ−ルキュ−に溜まった。この 時ちょっと不思議な現象があった。ログには STARTTLS うんぬんほか10個ぐらいイベン トのログがでてきた。ログは上から下ヘの時系列で、一番上にはヒストリのログで分類が Not Spam、処理が Accept だった。これでメ−ルは出て行ったのかと思いきや、出て行っ てない。ならばメ−ルキュ−に有るはずだが無い。何分かしたらメ−ルキュ−にあったと いう。送信の制限を緩める、今の場合では暗号化をしないようにしたら、メ−ルキュ−か ら出て送信された。まだテストしてないことに [と等しい ▽] の所、 他の選択肢ではど うなるのか。ここの設定の意味が分かってない、あてずっぽうでこれ以上やっても仕方な いのでやめることにする。ともかくここはいじらなくても STARTTLS 暗号化はできる。 * エラ−で返ってきたメ−ルの様子 -------------------------------------------------------------------------------- PC1 からプロバイダの user1@tcp.or.jj へ MR' で何がしか暗号化設定したら全部エラ− になった。MR' のメ−ルキュ−に溜まった。"Deffered: 454 4.7.4 temporary failed to deliver message via SSL/TLS." こんなようなエラ−メ−ルが返って来た。 -------------------------------------------------------------------------------- ↑ このように上で書いたエラ−メ−ルの記載の状況が下。これは [モニタリング]->[メ−ル キュ−]->{メ−ルキュ−} に入ったいたのをクリックして表示したものである。真ん中辺 りに [ダウンロ−ド] のメニュ−がある、クリックするとメ−ル自体を取ることができる。 -------------------------------------------------------------------------------- | FortiMail |------------------------------------------------------------------------------- |[-]クライアントIP: 192.168.1.6 |エンベロ−プ From: postmaster@nix.co.jj |エンベロ−プ To : | 理由: Deffered: 454 4.7.4 temporary failed to deliver message via | SSL/TLS | セッションID:v4....xxxx | 最初の処理:2017 ... 10時12分59秒 JST | 最後の処理:2017 ... 10時12分59秒 JST | 試行:1 |------------------------------------------------------------------------------- |[+]件名:Warning:could not send message 日付:2017 ... 10時12分59秒 JST [ダウ..] | for past 1 hour |------------------------------------------------------------------------------- | ********************************************** | ** THIS IS A WARNING MESSAGE ONLY ** | ** YOU DO NOT NEED TO RESEND YOUR MESSAGE ** | ********************************************** | | The original message was received at Wed,24 May 2017 09:12:55 +0900 | from: | | ------ Transcript of session follows ------ | ...Deffered: 454 4.7.4 temporary failed to deliver message | via SSL/TLS. | Warning message still undelivered after 1 hour | Will keep trying until message 1 day old | | qtest7.eml --------------------------------------------------------------------------------