ビュー:

自己署名証明書または公的な認証局 (CA) により発行された証明書が正しくインストールされているかどうか、以下を参考に確認してください。

管理コンソールとエンドユーザメール隔離 (EUQ) コンソールへのアクセス

実際にブラウザで管理コンソール (ポート 8445) または EUQ コンソール (ポート 8447) にアクセスします。鍵マークをクリックすると証明書の内容を確認できます。

公的な認証局により発行された証明書であれば、証明書の警告画面が表示されないことを確認してください。適切な中間証明書がインストールされていなければ、証明書の警告画面が表示される場合があります。正しく SSL 証明書と中間証明書がインストールされているか、見直してください。

通常、自己署名証明書の場合、証明書の警告画面が表示されます。自己署名証明書をブラウザの証明書ストア (Internet Explorer であれば Windows の証明書ストア) に信頼するルート証明機関としてインポートした場合でも警告画面が表示される可能性があります。ブラウザの動作について詳しくはブラウザのサポートに確認してください。

STARTTLS を用いた SMTP 接続の暗号化 (SMTP over TLS)

InterScan MSS 9.1 Linux版

InterScan MSS がインストールされている Linux サーバのシェルにログインして以下のコマンドを実行します。

# echo "" | openssl s_client -connect localhost:25 -starttls smtp

自己署名証明書の場合、-CAfile のオプションに自己署名証明書を指定します。

# echo "" | openssl s_client -connect localhost:25 -CAfile 自己署名証明書 -starttls smtp

IMSVA 9.1

IMSVA の場合、自己署名証明書であれば証明書をまずエクスポートします。管理コンソールの 管理 > IMSVA設定 > Transport Layer Security > SMTPおよびHTTPS証明書 の画面を開き、作成した自己署名証明書にチェックを入れた上で [エクスポート] ボタンをクリックしてください。証明書のファイルが 名前.pem の形式で生成されるので保存します。

また、公的な認証局により発行された SSL 証明書であれば認証局のルート CA 証明書を用意します。

その上で 管理 > IMSVA設定 > Transport Layer Security > 信頼するCA証明書 の画面を開き、[インポート] ボタンから自己署名証明書または認証局のルート CA 証明書をインポートしてください。

最後に IMSVA サーバに root でログインして次のコマンドを実行します。

# echo "" | openssl s_client -connect localhost:25 -CApath /opt/trend/imss/postfix/etc/postfix/cacerts -starttls smtp

コマンドの実行結果

自己署名証明書の場合、特に問題がなければ、"depth=0" に証明書の subject が表示され、"verify return:1" と表示されます。

CONNECTED(00000003)
depth=0 C = JP, ST = Tokyo, L = Shibuya, O = Trend Micro Inc., CN = imss.trendmicro.com
verify return:1
...

公的な認証局により発行された証明書の場合、特に問題がなければ、"depth=0" に SSL 証明書、"depth=1" に中間証明書、そして "depth=2" にルート証明書の subject が表示され、それぞれ "verify return:1" と表示されます。

CONNECTED(00000003)
depth=2 ルート証明書の subject
verify return:1
depth=1 中間証明書の subject
verify return:1
depth=0 SSL 証明書 の subject
verify return:1
...

TLS 接続の状況を確認するには

必要に応じて Postfix の設定ファイル main.cf に smtpd_tls_loglevel や smtpd_tls_received_header などのパラメータを追加して、postfix reload で設定を反映します。

/etc/postfix/main.cf または /opt/trend/imss/postfix/etc/postfix/main.cf:
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
smtpd_tls_received_header = yes

smtpd_tls_loglevel と smtp_tls_loglevel のパラメータを設定した場合、メールログ (/var/log/maillog) には次のようなログが出力されます。

(受信時)
Mar 25 15:54:15 imsva postfix/smtpd[15337]: Anonymous TLS connection established from unknown[IPアドレス]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)
(配送時)
Mar 25 15:54:18 imsva postfix/smtp[15387]: Trusted TLS connection established to ホスト名[IPアドレス]:25: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)

また、パラメータ smtpd_tls_received_header を設定した場合、TLS 接続の詳細が以下のように受信したメッセージの Received ヘッダに追加されます。

...
Received: from imsva.trendmicro.com (imsva.trendmicro.com [IPアドレス])
        (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
        (No client certificate requested)
        by mail.trendmicro.com (Postfix) with ESMTPS id BC015C0048
...
Received: from mail.example.com (unknown [IPアドレス])
        (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
        (Client did not present a certificate)
        by imsva.trendmicro.com (Postfix) with ESMTPS
...

OpenSSL の s_client や Postfix のパラメータの仕様について詳細はWebのリソース等を確認してください。

関連リンク

キーワード: InterScan Messaging Security Suite,InterScan Messaging Security Virtual Appliance