メールサーバー「PMailServer2」導入メモ

A.K.I Softwareの「PMailServer2」のフリー版を
インストールしてテスト運用・評価した結果,
問題なかったので本番環境で使用するこことした。

A.K.I Software – SMTP/POP3/IMAP4/Webmail のオールイン Windows用メールサーバー PMailServer2 (akisoftware.com)

インストール

オンラインマニュアルがあるので問題なくインストール・初期設定ができた。
基本的な設定で運用しながら詳細設定をしていこうと思うが,サーバー証明書をWindowsのストアにインポートしたので,そこだけは動作確認しておく。
あと,既存のクライアントパソコンとのアカウント認証の設定変更も必要だった。

証明書の設定

「PMailServer2」のサーバーマネージャーを立ち上げて,
「サーバー管理」-「TLS通信」-「証明書」と開いて「デフォルト FQDN」欄に証明書に登録されている「ホスト名(FQDN)」を入力し「証明書ストア」欄に「信頼された発行元」を指定。

証明書ストアの確認

PMailServer2からWindows証明書ストアにインポートした証明書が認識されているか確認する。
メニューのツールから「証明書ストア参照」を選択,証明書ストア欄の「信頼された発行元」を選んで,「更新」ボタン押下。
Windowsの証明書ストアにインポートした証明書が表示されているか確認する。

アカウント認証設定

今までのメールサーバーソフトとクライアントパソコンとの認証方法がメールアドレスで行っており,これが違うとクライアントパソコン全ての設定変更が必要となるのでそれは避けたい。しかし暗号化設定はいずれ必要となるが,今はクライアントパソコンは触りたくないので,互換性を保つため認証方法を合わせた設定とする必要がある。
「サーバー管理」-「全体」-「基本設定2」で開いて「認証設定」欄を「アカウントで認証する」(デフォルト)から「アカウントとメールアドレスで認証する」に変更。

クライアントPC側設定

この設定は急いで行う必要も無いが,設定変更しないとメールは今まで通り平文通信のままとなる。せっかくサーバー証明書を使用した暗号化に対応したのでぜひ早めに実施したい。
設定はクライアントパソコンのメールソフト「アカウントの設定」で
「使用する暗号化接続の種類」を「なし」から「STARTTLS」に変更する。
STARTTLS:平文通信で開始して相手が暗号化可能であれば暗号化に切替,不可であれば平文のまま通信する。

POP3での設定は送信のSMTPでSTRTTLSの選択が可能だか,受信は選択できない。
IMAPでは送受信共STRTTLSの選択が可能。出先から自宅サーバーに接続する際はIMAPで行う。

自宅メールサーバーの問題点・対策

自宅メールサーバーならではの問題点と対策をまとめてみた。

1.動的IPアドレスからのメールを拒否するメールサーバーがある。

 ISPのメールサーバーを中継させることで,ISPの固定IPアドレスとして相手に届くので解決出来るが,メール中継を許可しているISPが必要であり中継させた場合にはGmail宛て等のスパムメール対策がされたメールサーバーで拒否される。そもそも固定IPアドレスであれば問題ないのだが・・・
【対策】
メール転送機能(SMTPゲートウェイ)を設定する。

2.GMail宛てのメールは追加設定が必要。(暗号化やSPF認証設定等)

 自宅メールサーバーにサーバー証明書をインポートして暗号化させる必要あり。ISPのメールサーバーを中継させる場合は,DNSにSPF認証用のレコード登録等グーグル推奨対策が必要。google設定確認ツール未設定時はエラーとなるがgoogleサーバーを指定すればエラーが消える。しかしメール送信でエラーとなるので,ISPのサーバーも指定が必要。SPFレコードチェックツールでgoogleサーバーとISPサーバーの設定が確認できる。
googleサーバーの指定については,Gmail宛てのメールをgoogleネットワーク内でさらに中継しているので必要のようだが,無くても良いみたい。
暗号化についてはISP経由であれば,暗号化されており問題ない。
【対策】
サーバー証明書をインポート
・SPF認証対策
 dnsに下記追加(ISPのサーバーとgoogleサーバーを中継サーバーとして承認する)

txt @ v=spf1 a:自ドメイン include:ISPメールサーバー名 include:_spf.google.com ~all

上記設定してもワーニングが残るが,gmail宛てのメール送信が出来るのでとりあえず使ってみることとする。

3.セキュリティ対策を独自で実施する必要あり。

 新たにサーバーを立ち上げて,インターネットに接続したとたんにあらゆる不正アクセスが数分でやってくる。
【対策】
フィルター設定をしっかり行ってログ等を解析して個別に地道な対策が必要となる。これはメールに限らず自宅にWEBサーバー・FTPサーバーを立ち上げている以上は仕方がない。

メール通信概要

考察

「PMailServer2」は細かな設定が可能でまだ完全に全体像を把握しきれてないが,とりあえずセキュリティは強めに設定して,メールの暗号化に対応した外部との送受信は可能となった。
グーグル推奨対策DKIMも設定すれば良いのだが,現状問題ないので次期対策とする。
今後,今までの運用に合わせた設定に変えていく必要がある。