## page was copied from DnsTemplate
##master-page:HelpTemplate

<<Navigation(children,1)>>

<<TableOfContents()>>

Bard の 正確とは言えない説明:

MTA TLS 設定手順を解説します。

前提条件
 *  MTA が TLS をサポートしていること
 *  MTA に証明書がインストールされていること

== 手順 Postfix ? ==
    MTA の設定ファイル（通常は main.cf）を開く。
    以下の設定を追加する。
{{{
smtp_tls_security_level = may
smtp_tls_CAfile = /etc/pki/tls/certs.pem
}}}
    MTA を再起動する。

設定の意味
   smtp_tls_security_level は、TLS の使用を許可するかどうかを指定します。
   ここでは、送信先の MTA が STARTTLS 対応している場合に STARTTLS を使い、
   未対応の場合は通常の SMTP で送信することを指定しています。
    smtp_tls_CAfile は、接続先の証明書を検証するためのルート証明書を指します。

確認方法
   MTA が TLS で通信していることを確認する。

# telnet smtp.example.com 25

接続が成功すると、以下のような応答が表示されます。
{{{
220 smtp.example.com ESMTP Postfix
}}}
    MTA が送信先の MTA の証明書を検証していることを確認する。
{{{
# openssl s_client -connect smtp.example.com:25
}}}
接続が成功すると、以下のような応答が表示されます。
{{{
CONNECTED(00000003)
...
Verify return code: 0 (ok)
}}}}

応用
    smtp_tls_security_level を required に設定すると、
    送信先の MTA が STARTTLS に対応していない場合、メールを配信しないようになります。
    smtp_tls_CAfile に、信頼できるルート証明書のディレクトリを指定すると、より高いセキュリティを実現できます。

注意点

    MTA のバージョンによっては、TLS の設定方法が異なる場合があります。
    MTA と送信先の MTA の両方が TLS をサポートしている必要があります。

以上です。

== history ==
{{{

}}}
----
CategoryDns CategoryWatch CategoryTemplate