"OK、話は分かった。 で、どうすればいい?" という人のための速攻メモです。
あなたの XMail をインターネットに接続して公式の SSL/TLS サービスをセットアップするためには以下のようにしてください。
ただし以下のメモでは、あなたの XMail サーバのインターネットドメイン名が mx.soopoo.jp であると仮定しています。
あなたの XMail で SSL/TLS を運用可能にします。XMail はデフォルトインストールで SSL/TLS 機能がオンになっているはずですが、念のため以下を確認します。
- OpenSSL コマンドと関連ライブラリがインストールされているか確認します。XMail の Windows バイナリ配布版にはそれら(openssl.exe、libeay32.dll、ssleay32.dll)が同梱されており、そのまま使えますが、バージョンが古いので、OpenSSL サイト(https://www.openssl.org)などから最新版を入手してインストールしてください。最新版の通常インストール後、openssl.exe と関連ライブラリを [XMailCFG環境設定] メニューの "XMail インストールフォルダ" 項目で指定する場所に上書きコピーしてください。関連ライブラリは、OpenSSL 1.1.x では libcrypto-1_1.dll、libssl-1_1.dll ですが、ファイル名は OpenSSL のバージョンによって異なる可能性があります。なお、OpenSSL の最新バージョンを使う場合でも旧版ライブラリの libeay32.dll と ssleay32.dll はそのまま残しておく必要があります。さもないと XMail が起動しません。
- [環境設定]-[XMail環境設定] で、"POP3 TLS をサポートする" と "SMTP TLS をサポートする"、"自己署名による証明書を許可する" を "有効" にします。
- [環境設定]-[XMailCFG環境設定] で、"POP3S ポート"(通常は 995) と "SMTPS ポート"(通常は 465) を設定する。
あなたの XMail サーバのためのインターネットドメイン名(mx.soopoo.jp)を準備します。
- すでに WWW サービスなどのためのドメイン名を持っているならそれをそのまま使えます(メールサーバの名前が www.soopoo.jp では変?)。
- 友人が所有するドメインにサブドメインを作ってもらい、それを借用する手もあります。
- 各社のダイナミック DNS サービスで割り当てられるドメイン名でもかまいません。
- どうしても適切なドメイン名が準備できない場合、任意のレジストラ(ドメイン名発行機関)から新たに取得してください。
あなたが準備したドメイン名でインターネットのどこからでもあなたの XMail に接続できるようにします。
- DNS(Domain Name System) の設定が必ず必要です。mx.soopoo.jp の A リソースレコードを登録してください。
- あなたの XMail でサービスを行う予定のすべての公式ドメインについて、それらの MX リソースレコードが共通の値(mx.soopoo.jp)になるように DNS を構成してください。
- あなたのサーバがファイアウォール(ルータ等)内のローカルネットワーク上にある場合は、そこでポート変換やマスカレーディングの設定を行い、インターネットから XMail に到達可能にしてください。この場合、ファイアウォールのグローバル IP アドレスが mx.soopoo.jp の A リソースレコードになります。
コモンネーム mx.soopoo.jp のための秘密鍵、証明書(公開鍵)、中間 CA 証明書を準備します。中間 CA 証明書はなくてもよい場合もあります。また、同じコモンネームですでに WWW サービス等で証明書等を準備済みである場合、それらを XMail のためにそのまま使うことができます。その場合はこのステップは無視できます。
- [公的運用] メニューの "秘密鍵、証明書署名要求(CSR)の新規作成" フォームを利用し、秘密鍵と証明書署名要求を作成します。
- 作成した証明書署名要求ファイルを証明書発行機関に提出して mx.soopoo.jp のための証明書を発行してもらいます。このとき、中間 CA 証明書も同時発行されることがあります。
[証明書の管理] メニューの "証明書をインストール" フォームから秘密鍵、証明書、(もしあれば)中間 CA 証明書をあなたの XMail にインストールします。
XMail のローカルユーザに SSL/TLS サービスの開始をアナウンスします。
- 各メーラの POP3/SMTP サーバの設定ではサーバ名を前記コモンネーム名(mx.soopoo.jp)にしてもらいます。
- サーバへの接続オプションで "STARTTLS" をオンにしてもらいます。
あなたの XMail をもっぱらローカルネットワークで利用する場合、あるいはインターネットに接続するものの限られたメンバー間でのみ利用する場合は以下のようにしてください。
公式サービスの場合と同様、あなたの XMail でSSL/TLS を運用可能にします。しかし、通常は何もする必要はありません。
あなたの XMail サーバのためのインターネットドメイン名(コモンネーム)を決定し、ネットワークのどこからでもその名前の XMail サーバに接続できるようにします。これは、本格的には DNS の設定を行いますが、ユーザ側の HOSTS ファイルの利用でも間に合います。
[私的運用(私的認証局署名)] メニューを利用して以下の作業を行います。
- "私的認証局(自己認証局)をセットアップ" フォームを利用して認証局をセットアップします。
- 作成された CA 証明書(DER ファイル)を全ユーザの証明書ストアにルート証明機関としてインストールします。
- 引き続き、同ページの "私的認証局によるサーバ証明書を作成" フォームを利用して XMail のための秘密鍵やサーバ証明書(公開鍵)を作成します。
[証明書の管理] メニューの "証明書のインストール" フォームから秘密鍵、サーバ証明書をあなたの XMail にインストールします。
XMail のローカルユーザに SSL/TLS サービスの開始をアナウンスします。
- 各メーラの POP3/SMTP サーバの設定ではサーバ名を前記コモンネーム名にしてもらいます。
- サーバへの接続オプションで "STARTTLS" をオンにしてもらいます。
どうですか? やっぱり SSL/TLS はめんどくさい?
もっと簡単に? しかし、公式のサービスは前述のようにするしかありませんね。
限られたメンバー間でのみ暗号通信を利用するだけ? それなら以下のようにしてください。
あなたの XMail で SSL を運用可能にします。しかし、通常は何もする必要はありません。
XMail のローカルユーザに SSL サービスの開始をアナウンスします。
- 各メーラの POP3/SMTP サーバの設定ではサーバ名はドメイン名でも IP アドレスでもかまいません。
- サーバへの接続オプションで "SSL" をオンにしてもらいます。POP3S/SMTPS の使用ポートは "XMailCFG 環境設定" で指定したものにします。