前提

• SMTPサーバ、IMAPサーバ、Roundcubeサーバはすべて同一サーバにある。
• サーバのFQDNはhogehoge.hugahuga.ac.jpとする。
• サーバ証明書は所属機関を通して、UPKI電子証明書発行サービスで発行済み
  • サーバ証明書ファイル： hogehoge.crt
  • サーバ鍵ファイル：hogehoge.key
  • 中間証明書ファイル：nii-odca4g7rsa.cer

/etc/hostsの編集

現在のサーバは以下のエントリーにあるようにアクセス制限をしている。

• Debian 10 (buster)のnftablesでアクセス制御 - 発声練習
• localhost (127.0.0.1）からはすべてのアクセスを許可
• IP spoofingを防ぐため、127.0.0.0/8からのパケットはドロップ。

この際、/etc/hostsにおいて以下のように設定していると、SMTP接続に失敗してしまう（127.0.1.1からのパケットはドロップ）。

127.0.0.1	localhost 
127.0.1.1	hogehoge.hugahuga.ac.jp	hogehoge

そこで、以下のように変更する。

127.0.0.1	localhost hogehoge.hugahuga.ac.jp	hogehoge

SMTPサーバの準備（postfix）

設定は以下を参考にした。

• Postfix スパム対策メモ - 発声練習
• Debian 11 Bullseye : Postfix : インストール : Server World

% sudo apt install -y postfix sasl2-bin
% cd /etc/postfix
% sudo mkdir -p ssl/keys

/etc/postfix/ssl/keys以下に/path-to-dir/に置いてある証明書関連ファイルをコピーする。また、サーバ証明書と中間証明書が一緒になっているファイルを作成する。

% sudo cp /path-to-dir/hogehoge.crt /etc/postfix/ssl/keys
% sudo cp /path-to-dir/hogehoge.key /etc/postfix/ssl/keys
% sudo cp /path-to-dir/nii-odca4g7rsa.cer /etc/postfix/ssl/keys
% cd /etc/postfix/ssl/keys
% sudo cat hogehoge.crt >> hogehoge_full.crt
% sudo cat nii-odca4g7rsa.cer >> hogehoge_full.crt

サーバ鍵のパスフレーズを外す。

% sudo cp -p hogehoge.key hogehoge.key.with_passphrase
% sudo openssl rsa -in hogehoge.key.with_passphrase -out hogehoge.key

所有者を変更する。

% sudo chown root:root /etc/postfix/ssl/keys/*

Postfixの設定を変更する。SMTP認証と通信路暗号化（smtps）を設定する。

% sudo cp -p main.cf main.cf.org
% sudo vi main.cf

主な設定は以下のとおり。

% postconf -d > /tmp/default_setting.txt
% postconf > /tmp/current_setting.txt
% diff  /tmp/default_setting.txt /tmp/current_setting.txt
133c133
< disable_vrfy_command = no
---
> disable_vrfy_command = yes

187c187
< home_mailbox =
---
> home_mailbox = Maildir/

210,211c210,211
< inet_interfaces = all
< inet_protocols = all
---
> inet_interfaces = loopback-only
> inet_protocols = ipv4


454,459c454,459
< mydestination = $myhostname, localhost.$mydomain, localhost
< mydomain = localdomain
< myhostname = hogehoge.localdomain
< mynetworks = 127.0.0.0/8 [::1]/128 [fe80::]/64
< mynetworks_style = ${{$compatibility_level} < {2} ? {subnet} : {host}}
< myorigin = $myhostname
---
> mydestination = $myhostname, hogehoge.hugahuga.ac.jp, localhost.hugahuga.ac.jp, localhost
> mydomain = hugahuga.ac.jp
> myhostname = hogehoge.hugahuga.ac.jp
> mynetworks = 127.0.0.0/8
> mynetworks_style = subnet
> myorigin = /etc/mailname

749c749
< smtp_tls_session_cache_database =
---
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
760c760
< smtpd_banner = $myhostname ESMTP $mail_name
---
> smtpd_banner = $myhostname ESMTP
784c784
< smtpd_helo_required = no
---
> smtpd_helo_required = yes
809c809
< smtpd_recipient_restrictions =
---
> smtpd_recipient_restrictions = permit_mynetworks, permit_auth_destination, permit_sasl_authenticated, reject
814c814
< smtpd_relay_restrictions = ${{$compatibility_level} < {1} ? {} : {permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination}}
---
> smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
816c816
< smtpd_sasl_auth_enable = no
---
> smtpd_sasl_auth_enable = yes
819,820c819,820
< smtpd_sasl_local_domain =
< smtpd_sasl_path = smtpd
---
> smtpd_sasl_local_domain = $myhostname
> smtpd_sasl_path = private/auth
825c825
< smtpd_sasl_type = cyrus
---
> smtpd_sasl_type = dovecot
832c832
< smtpd_tls_CAfile =
---
> smtpd_tls_CAfile = /etc/postfix/ssl/keys/nii-odca4g7rsa.cer
838c838
< smtpd_tls_cert_file =
---
> smtpd_tls_cert_file = /etc/postfix/ssl/keys/hogehoge.crt
850c850
< smtpd_tls_key_file = $smtpd_tls_cert_file
---
> smtpd_tls_key_file = /etc/postfix/ssl/keys/hogehoge.key
859c859
< smtpd_tls_session_cache_database =
---
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
864c864
< smtpd_use_tls = no
---
> smtpd_use_tls = yes

master.cfを編集する。以下の部分をコメントインする。

smtps     inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes

設定を反映させる。

% sudo newaliases 
% sudo systemctl restart postfix 

IMAPサーバの準備

以下のサイトのIMAPの設定だけを行う。

• Debian 10 (buster)上でPostfixとDovecotを用いてSMTP認証+TLS - 発声練習
• Debian 11 Bullseye : Dovecot : インストール : Server World

Dovecotのインストール

% sudo apt install dovecot-core dovecot-imapd

設定を編集する。

% cd /etc/dovecot/conf.d
% sudo cp -p 10-mail.conf 10-mail.conf.org
% vi 10-mail.conf 

設定内容は以下の通り。

% diff 10-mail.conf.org 10-mail.conf
30c30
< mail_location = mbox:~/mail:INBOX=/var/mail/%u
---
>    mail_location = maildir:~/Maildir

以下、同様に設定を行っていく。SSLの設定。

# diff 10-ssl.conf.org 10-ssl.conf
12,13c12,15
< ssl_cert = </etc/dovecot/private/dovecot.pem
< ssl_key = </etc/dovecot/private/dovecot.key
---
> #ssl_cert = </etc/dovecot/private/dovecot.pem
> ssl_cert = </etc/postfix/ssl/keys/hogehoge_full.cer
> #ssl_key = </etc/dovecot/private/dovecot.key
> ssl_key = </etc/postfix/ssl/keys/hogehoge.key
55c57,58
< ssl_dh = </usr/share/dovecot/dh.pem
---
> #ssl_dh = </usr/share/dovecot/dh.pem
> ssl_dh = </etc/postfix/ssl/keys/hogehoge.dh.pem

SMTP認証のログイン方式の設定。

# diff 10-auth.conf.org 10-auth.conf
100c100
< auth_mechanisms = plain
---
> auth_mechanisms = login

IMAPとSMTP認証のポートの設定。

# diff 10-master.conf.org 10-master.conf
22,23c22,23
<     #port = 993
<     #ssl = yes
---
>     port = 993
>     ssl = yes
107,109c107,111
<   #unix_listener /var/spool/postfix/private/auth {
<   #  mode = 0666
<   #}
---
>   unix_listener /var/spool/postfix/private/auth {
>     mode = 0666
>     user = postfix
>     group = postfix
>   }

DovecotのDiffie-Hellman鍵を作成する。

% cd /etc/postfix/ssl/keys/
% sudo openssl dhparam 4096 > hogehoge.dh.pem

dovecotを再起動する。

% sudo systemctl restart dovecot

MariaDBのインストール

Debian 11 Bullseye : MariaDB : インストール : Server Worldに書いてある通りに設定する。

% sudo apt install -y mariadb-server
% sudo mysql_secure_installation

roundcube 1.4.13 のインストール＆設定

Debian 11 Bullseye : Apache2 : Web メール : RoundCube : Server Worldを参考にインストールする。

roundcube用のDBを準備する。

• データベース名：roundcube_db
• ユーザ名：rc_admin
• パスワード：rc_pass

% sudo su
# mysql
> create database roundcube_db; 
> grant all privileges on roundcube_db.* to rc_admin@'localhost' identified by 'rc_pass';
> flush privileges; 
> exit 

roundcubeのインストール（一緒にapacheもインストールされる）。途中のデータベースの設定は後ほど手動実行するためNoを選択する。

# apt -y install roundcube roundcube-mysql 

データベースの構築。

# cd /usr/share/dbconfig-common/data/roundcube/install 
# # mysql -u rc_admin -D roundcube_db -h localhost -p < mysql 

データベース情報を設定ファイルに記載する。

# cd /etc/roundcube
# cp -p debian-db.php debian-db.php.org
# vi debian-db.php

設定内容は以下の通り。

# diff debian-db.php.org debian-db.php
12,13c12,13
< $dbuser='';
< $dbpass='';
---
> $dbuser='rc_admin';
> $dbpass='rc_pass';
15c15
< $dbname='roundcube';
---
> $dbname='roundcube_db';
17,18c17,18
< $dbport='';
< $dbtype='';
---
> $dbport='3306';
> $dbtype='mysql';

IMAPやSMTP認証の設定を行う。

# cp -p config.inc.php config.inc.php.org
# vi config.inc.php

設定内容は以下の通り。

# diff config.inc.php.org config.inc.php
36c36,37
< $config['default_host'] = '';
---
> $config['default_host'] = 'ssl://hogehoge.hugahuga.ac.jp:993';
48c49,50
< $config['smtp_server'] = 'localhost';
---
> $config['smtp_server'] = 'ssl://hogehoge.hugahuga.ac.jp';
51c53
< $config['smtp_port'] = 587;
---
> $config['smtp_port'] = 465;
66c68
< $config['product_name'] = 'Roundcube Webmail';
---
> $config['product_name'] = 'Test Roundcube Webmail';
85a88,127
> 
> // Additional setting according to
> // https://www.server-world.info/query?os=Debian_11&p=httpd2&f=3
> 
> // IMAP ポート指定 (STARTTLS 接続)
> $config['default_port'] = 993;
> 
> // SMTP 認証タイプを指定
> $config['smtp_auth_type'] = 'LOGIN';
> 
> // SMTP HELO host を指定
> $config['smtp_helo_host'] = 'hogehoge.hugahuga.ac.jp';
> 
> // ドメイン名を指定
> $config['mail_domain'] = 'hogehoge.hugahuga.ac.jp';
> 
> // UserAgent を指定
> $config['useragent'] = 'Test Webmail';
> 
> // SMTP と IMAP の接続オプションを指定
> $config['imap_conn_options'] = array(
>   'ssl'         => array(
>     'verify_peer' => true,
>     'CN_match' => 'hogehoge.hugahuga.ac.jp',
>     'allow_self_signed' => true,
>     'ciphers' => 'HIGH:!SSLv2:!SSLv3',
>   ),
> );
> $config['smtp_conn_options'] = array(
>   'ssl'         => array(
>     'verify_peer' => true,
>     'CN_match' => 'hogehoge.hugahuga.ac.jp',
>     'allow_self_signed' => true,
>     'ciphers' => 'HIGH:!SSLv2:!SSLv3',
>   ),
> );

Apacheの設定を行う。

# cd /etc/apache2/sites-available/
# cp -p default-ssl.conf default-ssl.conf.org
# vi default-ssl.conf

変更点は以下の通り。

< ServerAdmin webmaster@localhost
---
> ServerAdmin webmaster@hogehoge.fugafuga.ac.jp

<SSLCertificateFile	/etc/ssl/certs/ssl-cert-snakeoil.pem
<SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
---
>SSLCertificateFile	/etc/postfix/ssl/keys/hogehoge_full.crt
>SSLCertificateKeyFile /etc/postfix/ssl/keys/hogehoge.key

設定ファイルとSSLを有効化する。

# a2ensite default-ssl 
# a2enmod ssl 

roundcubeの設定ファイルを編集する。」

# cd /etc/apache2/conf-available/
# cp roundcube.conf roundcube.conf.org
# vi roundcube.conf

編集は箇所は以下の通り。

# diff roundcube.conf.org roundcube.conf
3c3
< #    Alias /roundcube /var/lib/roundcube/public_html
---
>     Alias /roundcube /var/lib/roundcube/public_html

Apacheを再起動する。

# systemctl restart apache2

https://hogehoge.fugafuga.ac.jp/roundcube にアクセスする。うまくいかない場合は以下のログを見る。

• Apacheのログ：/var/log/apache2/error.log
• roundcubeのエラーログ： /var/log/roundcube/error.log
• postfixやdovecotのログ： /var/log/mail.log

2要素認証

未着手

• Tecorama LLCの有料プラグイン：Two Factor Authentication （99$）

参考

• roundcube
• Apache2 : Web メール : RoundCube
• 名古屋大学 情報連携推進本部：roundcubeの設定例
• Install Roundcube Webmail on Debian 11/10 with Apache/Nginx