Edited at

Postfixからのメール送信をSTARTTLSに対応させる

More than 5 years have passed since last update.

送信だけなら証明書を取得しなくても容易にSTARTTLSに対応させることができる。

メールの受信は行わず送信するだけのアプリケーションサーバなどでは、ぜひ設定しておくとよいのではないか。


設定

main.cfに以下の記述を追加する。

smtp_tls_CAfile = /etc/pki/tls/cert.pem

smtp_tls_security_level = may
smtp_tls_loglevel = 1


  • smtp_tls_security_level = may を指定すると、宛先MTAが対応していればSTARTTLSを使用する。正規の証明書が使われていなくても通信する。宛先MTAがSTARTTLSに対応していない場合は平文で通信が行われる。

  • smtp_tls_loglevel = 1 を指定すると、TLSで通信しているかどうかログで確認できる。


動作確認

gmailなどSTARTTLSに対応した宛先にメールを送り、ログに以下のようなTLSで接続している旨の記録があればOK。

Jan 30 19:29:31 ..... postfix/smtp[18387]: setting up TLS connection to aspmx.l.google.com

Jan 30 19:29:31 ..... postfix/smtp[18387]: Verified: subject_CN=mx.google.com, issuer=Google Internet Authority
Jan 30 19:29:31 ..... postfix/smtp[18387]: TLS connection established to aspmx.l.google.com: TLSv1 with cipher RC4-SHA (128/128 bits)


関連情報