送信だけなら証明書を取得しなくても容易にSTARTTLSに対応させることができる。
メールの受信は行わず送信するだけのアプリケーションサーバなどでは、ぜひ設定しておくとよいのではないか。
設定
main.cfに以下の記述を追加する。
smtp_tls_CAfile = /etc/pki/tls/cert.pem
smtp_tls_security_level = may
smtp_tls_loglevel = 1
- smtp_tls_security_level = may を指定すると、宛先MTAが対応していればSTARTTLSを使用する。正規の証明書が使われていなくても通信する。宛先MTAがSTARTTLSに対応していない場合は平文で通信が行われる。
- smtp_tls_loglevel = 1 を指定すると、TLSで通信しているかどうかログで確認できる。
動作確認
gmailなどSTARTTLSに対応した宛先にメールを送り、ログに以下のようなTLSで接続している旨の記録があればOK。
Jan 30 19:29:31 ..... postfix/smtp[18387]: setting up TLS connection to aspmx.l.google.com
Jan 30 19:29:31 ..... postfix/smtp[18387]: Verified: subject_CN=mx.google.com, issuer=Google Internet Authority
Jan 30 19:29:31 ..... postfix/smtp[18387]: TLS connection established to aspmx.l.google.com: TLSv1 with cipher RC4-SHA (128/128 bits)
関連情報
- smtp_tls_security_level (postfix.org)
- smtp_tls_CAfile (postfix.org)
- smtp_tls_loglevel (postfix.org)