postfix で Gmailの暗号化への対応

Linux

いくつかメールの設定をしていたらGmailに送信したメールが暗号化されていないと警告を出している事に気がつきました。

Gmail encrypt

最近のGoogleは何かとセキュリティに厳しい方向で動いているようで、ほとんどの通信は暗号化を行うように徐々に改修されているようです。

メールはセキュリティ云々と言われるようになる遥か前からある仕組みでもあって、送信者詐称とか盗聴とかへの配慮はなかったのですが、昨今では重要な社会インフラとも言えるようになっており、様々な対策がされてきています。

この暗号化も時代を考えれば必要だとは思いますが、Googleの強引なやり方はどうなんだろうとも思います。

メールの暗号化

ググったら解説しているサイトがありました。あえてこのブログで書くまでもないぐらい簡潔に書かれています。

Gmailで「このメールは~で暗号化されませんでした」を対処する | 己で解決!泣かぬなら己で鳴こうホトトギス

ぶっちゃけ、このブログに書かれている事は上記のブログのパクリと言っても過言ではありません。

postfix の設定

postfixでメールの送付先が暗号化に対応していれば暗号化し、対応していなければプレーンテキストで送付するという設定を行います。

/etc/postfix/main.cf へ以下の2行を追加します。

smtp_tls_security_level = may
smtp_tls_loglevel = 1

postfixを再起動します。

systemctl restart postfix

smtp_tls_security_level

パラメータにnoneを指定すると暗号化されません。この値がデフォルトです。

パラメータにmayを指定すると、暗号化可能なら暗号化され、不可能ならプレーンテキストになります。サーバ証明書が誤っていてもメール送信されます。古いシステムなどへの後方互換のモードですね。

パラメータにencryptを指定すると、暗号化できないときにはメール送信が中断されます。ただし、サーバ証明書が信頼できなくても暗号化通信は行われてしまいます。

パラメータにverifyやsecureを指定すると、サーバ証明書を確認するようになります。もちろんサーバ証明書関連の設定も必要になります。

smtp_tls_loglevel

TLSに関するログを記録するかどうかを指定します。

0を指定するとログ出力しません。

1を指定するとTLSハンドシェイク情報をログ出力します。

2以上の値も指定できますが、1で十分な気がします。

終わりに

メールは便利な反面spamといった厄介な問題も引き起こしています。メールシステムに関しては従来の利便性を損なう事なくSPFやDKIMといった機能拡張がなされて徐々に不正がしにくく正規と思われる通信のみが行われるように改善されてきています。

それは一方で個人が自由にサーバを立ててインターネットに自由に接続する事が難しくなっているとも言えます。企業の業務として、ある程度の規模感を持ったサービスの提供の場として、インターネットと個人のネットワークの境界を介して、それなりの設備を用意しないとインターネットとの接続ができなくなりそうな予感がするのは気のせいでしょうか。もちろん、自由と堅牢とを両立するために多くの方々が苦労されているのはわかるのですが。

コメント

タイトルとURLをコピーしました