Postfixにおける暗号化したSMTP認証設定

Postfixにおける暗号化したSMTP認証設定

PosfixでSMTP認証を使ったメール送信設定の手順を説明します。
（TLS暗号化したSMTP認証の手順）

Postfixの基本設定(main.cf)

Postfixの基本設定では、SMTP認証設定と直接関係しないが、Postfixを設定する上で最低限必要と思われる 設定を行う。その設定項目は下記の通りである。

・QueueとMailboxのディレクトリ設定
・ネットワーク関連
・ホスト名、ドメイン名、受信ドメイン名、HELLOのホスト名
・携帯メール対応
・ユーザ存在の応答制限
・ローカルIPアドレス情報の漏洩防止
・バージョン情報の非表示

# vi /etc/postfix/main.cf

#・QueueとMailboxのディレクトリ設定
queue_directory = /data/spool/postfix
home_mailbox = Maildir/

#・ネットワーク関連
mynetworks = 10.7.100.0/24 , 127.0.0.0/8
inet_interfaces = all

#・ホスト名、ドメイン名、受信ドメイン名、HELLOのホスト名
myhostname = mail-01.hogehoge.com
mydomain = info.hogehoge.com
mydestination = $myhostname, localhost, $mydomain
smtp_helo_name = $myhostname

#・携帯メール対応
# 携帯メール対策　ハイフンではじまるメールアドレス
allow_min_user = yes
# 携帯メール対策　@マークの前に.が付いたメールアドレスなどRFC2822
strict_rfc821_envelopes = no

#・ユーザ存在の応答制限
disable_vrfy_command = yes

#・ローカルIPアドレス情報の漏洩防止
header_checks = regexp:/etc/postfix/header_checks

#・バージョン情報の非表示
smtpd_banner = $myhostname ESMTP

PostfixのSMTP関連(main.cf)

ここでは、main.cfファイルに記述するSMTP認証に関する設定を説明します。

・SASLによるSMTP認証を使用
・AUTHコマンドのサポートを認識できないクライアントへの対応
・証明書ファイルの指定/秘密鍵ファイルの指定
・TLS使用を宣言

# vi /etc/postfix/main.cf

#～SMTP関連抜粋～
#・SASLによるSMTP認証を使用
smtpd_sasl_auth_enable = yes
# AUTHコマンドのサポートを認識できないクライアントへの対応
broken_sasl_auth_clients=yes

#TLS設定
#証明書ファイルの指定
smtpd_tls_cert_file = /etc/postfix/tls_file/server_id.20160326

#秘密鍵ファイルの指定
smtpd_tls_key_file = /etc/postfix/tls_file/server_key.run 

# TLS使用を宣言
smtpd_use_tls = yes

# Outlook/Outlook Express用のモード設定
#smtpd_tls_wrappermode = yes

# 認証はTLSのみ許可（SMTPS以外にSMTPでも認証したい場合はコメントアウト）
smtpd_tls_auth_only = yes

# セッションキャッシュの設定
#smtpd_tls_session_cache_database = sdbm:/etc/postfix/smtpd_scache
# TLS用乱数デバイスの指定
#tls_random_source = dev:/dev/urandom

#・条件設定
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated, reject_unauth_destination
smtpd_sender_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unknown_sender_domain, reject_sender_login_mismatch
smtpd_etrn_restrictions = permit_mynetworks, reject_invalid_hostname

■TLS証明書の作成
Apacheの証明書作成と同様に作成する。
/etc/postfix/tls_file/server_id.20160326
/etc/postfix/tls_file/server_key.run
ここでは割愛する。

■Postfix設定の反映

 # service postfix restart

SMTP認証（saslauthdの設定）

■/usr/lib/sasl2/smtpd.confを編集
システムアカウント情報を認証情報として利用したいのであれば、 認証デーモンsaslauthdを使うように/usr/lib/sasl2/smtpd.confを編集する。
設定項目は下記の通りである。

・saslauthdが提供する認証データを利用する。
・認証メカニズムはPLAIN方式とLOGIN方式に限定する。

# vi /usr/lib/sasl2/smtpd.conf

  pwcheck_method: saslauthd
  mech_list: plain login

■saslauthdの自動起動設定
・自動起動スクリプトの編集
saslauthd 起動スクリプトでpamによる認証オプションを設定する

 # vi /etc/rc.d/init.d/saslauthd

   #MECH=shadow
   MECH=pam

■saslauthdの手動起動

 
　# servie saslauthd start

SMTP認証に直接関係のない設定

ローカルIPアドレス情報の漏洩防止定義(header_checks)

SMTP認証と直接関係はない設定であるが、セキュリティ強化のため ローカルIPアドレス情報が外部に漏洩しないように、IPアドレス置換の定義する。

 
# vi /etc/postfix/header_checks

# ローカルIPアドレス情報の漏洩防止
/(^Received:.*) \[[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\](.*)/ REPLACE $1$2

メールキューとメールボックスのディレクトリ作成

■メールキューディレクトリ作成

# mkdir /data/spool/postfix -p

■メールボックの作成
PostFixがユーザホームディレクトリに~/MaikeDirを自動で作成するので、 手動で作成する必要はない。(新規ユーザ)

WEBアクセスログ解析ツールの比較

WEBアクセスログ解析ツールの比較

Webアクセスログ解析ツールの代表的なAnalog,AWstats,Webalizerを比較しました。
少し古い情報かもしれませんが、比較検討する際に、役立ててください。

比較項目	Analog	AWstats	Webalizer
メニューなどの日本語表示	可能（日本語化されたプログラムを導入する）	可能（設定ファイルに日本語と指定する）	可能（インストール時に日本語指定する）
実行速度（253MBの実際のアクセスログファイル）	1分29秒	7分41秒	2分22秒
月別集計	可能（対象アクセスログのみ対象。リクエスト数、ページ数のみ）	可能（1月から12月の1年間を対象にグラフ表示される。訪問者数、訪問数、ページ数、件数、バイト数が集計される）	可能（最終月から過去12ヶ月を対象にグラフ表示される。Sites、Kbytes、Visits、Pages、Files、Hitsの月別集計がされる。他に1日あたりの平均値も表示される）
月別のアクセス詳細表示	不可能（アクセスログ全体の月別統計は可能であるが、月別のアクセスログの詳細を見ることはできない）	可能（トップページより年月を選択することで該当月の詳細な解析結果を見ることができる）	可能（トップページより年月をクリックすることで該当月の詳細な解析結果を見ることができる）
日別アクセス集計	不可能	可能（選択された該当月の1日から月末までグラフで表示される。訪問数、ページ、件数、バイト数を日別で集計した値も表示される）	可能（選択された該当月の1日から月末までグラフで表示される。Hits、Files、Pages、Visits、Sites、Kbytesを集計した値と月全体数からの割合（％）も表示される）
曜日別アクセス集計	可能（アクセスログ全体での曜日別のリクエスト数、ページ数の集計がされる）	可能（月別のページ、件数、バイト数の集計がされる）	不可能
国別アクセス集計	可能（ドメイン別、組織別のアクセス数の集計がされる）	可能（国別、ホスト別のアクセス数の集計がされる）	可能（国別、ホスト別のアクセス数の集計がされる）
ロボット／スパイダーのアクセス集計	不可能	可能（設定ファイルに指定しているロボットのリファラー文字を登録することで詳細にアクセス履歴を集計する。また、最後にロボットが訪問した日時も表示される）	不可能
訪問の長さ	不可能	可能（同一のIPアドレスからのアクセス時間の集計結果が表示される）	不可能
ファイルの種類	可能（アクセスログ全体での拡張子別のリクエスト数の円グラフが表示される。リクエスト数、バイト数の割合が表示される）	可能（月別の件数、バイト数の値が集計され、全体の割合（％）が表示される。グラフ表示はされない）	不可能
アクセスファイル集計	不可能	可能（アクセスされたHTMLやPHPファイルなどのアクセス数が多い順に表示される。入り口、出口としての集計もされる）	可能（アクセスされた全ファイルのHits数が多い順に上位20位が表示される。入り口、出口としての集計は別項目で集計される）
OS別アクセス集計	可能（Windows XP、Windows 2000、その他などのOS別の集計が表示される。また、ロボットの集計結果はこちらに表示される）	可能（Windows、Macなどの単位で集計され、さらに詳細をクリックするとWindows XP、Windows2000などの単位での集計もされる）	不可能（OS別の集計は存在しないが、ユーザエージェントから把握することができる）
ブラウザ別集計	不可能	可能（インターネットエクスプローラなどのブラウザ単位の集計がされる。また、それぞれのバージョン別の集計も表示可能である）	不可能（ブラウザ別の集計は存在しないが、ユーザエージェントから把握することができる）
リンク元の集計	不可能	可能（リファラーの情報を集計して表示し、更に検索エンジンや、リンク元の集計結果を表示される）	可能（リファラーの情報を集計して表示される。検索エンジンやリンク元もリファラーとして集計される）
ディレクトリ別集計	可能（ファイルが属するするディレクトリ単位で集計して表示される）	不可能	不可能
検索文字列集計	可能（アクセスログ全体で検索エンジンからの検索文字列を集計して表示される）	可能（検索エンジンからの検索文字を入力された文字列とそれぞれの単語に分割して集計して表示される）	可能（月別の集計として検索エンジンからの検索文字列が表示される）
お気に入り登録件数	不可能	可能（アクセスログのfaviconのアクセス数を集計して表示される）	不可能
状態コード集計	可能（HTTP状態コードの集計が表示される）	可能（HTTP状態コードのうちエラーコードが集計され、そのエラーの中でも404：Document Not Foundに関してはどのようなURLでアクセスされたのか表示することができる）	不可能
導入方法	コンパイルが必要	Perlで動作	コンパイルが必要。またGDライブラリが必要
差分集計	不可能（毎回、全アクセスログを集計する）	可能（前回集計したものは集計せずに新しいログだけを対象にする）	可能（前回集計したものは集計せずに新しいログだけを対象にする）

Live! アクセス解析&ウェブ改善 実践講座 著者：小川 卓 出版日：2013-08-28 出版社：翔泳社 ISBN-10：4798132233

新版 アクセス解析の教科書 費用対効果がみえるWebマーケティング入門 著者：石井 研二 出版日：2009-10-16 出版社：翔泳社 ISBN-10：4798120332

ESXi6.0からESXi5.1への仮想マシン複製(移行)

ESXi6.0からESXi5.1への仮想マシン複製(移行)

ESXiの新しいバージョンから古いバージョンへエクスポート、インポート(OVF)する際にエラーとなることがあります。
その原因の一つに古いバージョンで仮想マシンのハードウェアバージョンをサポートしていないことです。

ESXi/ESX ホストの互換性ハードウェア バージョンリスト

ESXi/ESX のバージョン	ハードウェア バージョン
	バージョン11	バージョン10	バージョン09	バージョン08	バージョン07
ESXi6.0	サポート	サポート	サポート	サポート	サポート
ESXi5.5	対象外	サポート	サポート	サポート	サポート
ESXi5.1	対象外	対象外	サポート	サポート	サポート
ESXi5.0	対象外	対象外	対象外	サポート	サポート
ESXi6.0	対象外	対象外	対象外	対象外	サポート

詳細はESXi/ESX ホストおよび互換性のある仮想マシンのハードウェア バージョンのリスト (2020181)へ

ESXI6.0からESXI5.1への仮想マシン複製(移行)手順

■ESXI6.0からESXI5.1への仮想マシン複製(移行)手順の概要

ESXi同バージョン、または新しいバージョンへ複製する際は仮想マシンのハードウェア バージョンについて気にする必要はありません。
しかし、ESXiバージョンが古い環境へ仮想マシンの複製(移行)する際は、上記の互換性リストを確認の上、ovfファイルを編集し、mfファイルのhashを修正が必要です。

　
　

１. 事前作業

　ovfでインポートする際にovfファイルの改ざんチェックされるため、編集後のovfファイルのhash値を、mfファイルに書かれているhash値を更新する必要があります。　
編集後のovfファイルのhash値を確認するために下記ツールをインストールしてください。　
　
・MicrosoftのFCIVインストール　
　http://support.microsoft.com/kb/841290　
　※インストールは配置のみのため割愛　
　

　

2. ovfファイルを修正（ハードウェアバージョンを変更）

上記互換性リストで複製(移行)先のESXiパージョンがサポートしているバージョンを確認し、下記のようにVirtualSystemType(vmx-11 -> vmx-09)を編集する 　

　・ovfファイル編集前(仮想システムタイプ修正)

    <VirtualHardwareSection>
      <Info>Virtual hardware requirements for a virtual machine</Info>
      <System>
        <vssd:ElementName>Virtual Hardware Family</vssd:ElementName>
        <vssd:InstanceID>0</vssd:InstanceID>
        <vssd:VirtualSystemIdentifier>Fed20-ODL</vssd:VirtualSystemIdentifier>
        <vssd:VirtualSystemType>vmx-11</vssd:VirtualSystemType>
      </System>
 

　・ovfファイル編集後(仮想システムタイプ)

    <VirtualHardwareSection>
      <Info>Virtual hardware requirements for a virtual machine</Info>
      <System>
        <vssd:ElementName>Virtual Hardware Family</vssd:ElementName>
        <vssd:InstanceID>0</vssd:InstanceID>
        <vssd:VirtualSystemIdentifier>Fed20-ODL</vssd:VirtualSystemIdentifier>
        <vssd:VirtualSystemType>vmx-09</vssd:VirtualSystemType>
      </System>
 

　

3. ovfファイルのhash値更新

　ovf ファイルを更新したので、hash値が変わってしまっているので、mfファイルを修正する必要がある。
・OVFファイルのハッシュ値の確認
更新後のovfファイルのhash値を確認する

>"c:Program Filesfcivfciv.exe" -sha1 sol-11_2.ovf
//
// File Checksum Integrity Verifier version 2.05.
//
79d7d71de41b75054b14611d6c2bb3c10efe7cd7 sol-11_2.ovf

・mfファイルの編集
上記調べたハッシュ値に変更する。

SHA1(sol-11_2.ovf)= 79d7d71de41b75054b14611d6c2bb3c10efe7cd7
SHA1(sol-11_2-disk1.vmdk)= d355068119161718e4f0f288eedf17f88c513873

４. ovfインポート

詳細はESXiで仮想マシンのOVFインポートする手順を参照してください。

VMware徹底入門 第4版 VMware vSphere 6.0対応 著者：ヴイエムウェア株式会社 出版日：2015-11-18 出版社：翔泳社

できるPRO VMware vSphere 6 (できるPROシリーズ) 著者：大久保 健一 出版日：2015-07-27 出版社：インプレス