公開日:2022年04月12日
本手順につきましては、弊社サポート対象外となります。
弊社では作業の結果を保証できかねます為、お客様の責の元でご実施くださいますようお願いいたします。
1.事前準備
1.1.メール用のSSL証明書を事前に取得
1.2.設定ファイルのバックアップを事前に取得(SSH接続の場合)
送信メールサーバと受信メールサーバの設定ファイルのバックアップを取得します。
・Postfixの設定ファイルのバックアップ
cp -a /etc/postfix/main.cf /etc/postfix/main.cf.date +%Y%m%d.bak
・Dovecotの設定ファイルのバックアップ
cp -a /etc/dovecot /etc/dovecot.date +%Y%m%d.bak
2.送信メールサーバ(postfix)のSSL設定工程
2.1.Webminへログイン
2.2.画面左の『サーバ』を選択
2.3.『Postfixの設定』を選択
2.4.『SMTP 認証と暗号化』を選択
2.5.『TLS 認証ファイル』、『TLS 秘密鍵ファイル』の項目に、以下のディレクトリ配下に設置した .pem 形式のファイルのフルパスを入力し、『保存して適応』を選択
▼証明書ファイル・中間証明書セットの設置先ディレクトリ
/etc/pki/dovecot/certs/配下
▼秘密鍵の設置先ディレクトリ
/etc/pki/dovecot/private/配下
3.受信メールサーバ(dovecot)のSSL設定工程
3.1.画面左の『Dovecot IMAP/POP3 Server』を選択し、『SSL 設定』を選択
3.2.『SSL 証明書ファイル』、『SSL 秘密鍵ファイル』の項目に、上記2.5.と同様のファイルをフルパスで入力し、『保存』を選択
3.3.『設定の適用』を選択
4.メールサーバの再起動
4.1.システム項目の『起動および、シャットダウン』を選択
4.2.『postfix.service および、dovecot.service』の左側のチェックボックスを選択
4.3.画面下の『選択したものを再起動』を選択
上記サーバ側の設定が完了いたしましたら、メールソフト側のSSL設定を実施し、メールサーバ設定内の『送信メールサーバ』及び『受信メールサーバ』をSSL証明書のコモンネームと完全一致させることで、SSLを利用したメールの送受信(POPS/IMAPS)が可能となります。
Pleskから以下の操作をおこなっていただくことで、受信メールサーバをCourier-IMAPからDovecotへ変更できます。
受信メールサーバのソフトの変更にあたり受信メールサーバのサービス再起動が発生致します。
※本作業中につきましては、ブラウザは絶対にブラウザを終了しないでください。不整合が起きる可能性がございます。
また、メールソフトの設定でPOP接続の場合かつ、メールサーバにメールを残していた場合に限り、仕様上、既読メールが再度受信される場合がございます。
1.Pleskにログイン(adminユーザでログイン)
2.ログイン後、[ ツールと設定]を選択
3.[アップデートとアップグレード]を選択
4.[コンポートを追加/削除]を選択 
5.[Mail hosting]の[+]を選択し、以下のようなツリー表示になることをご確認をいただき、IMAP/POP3 seversの項目から[Dovecot]側にチェックボックス選択し、[続ける]ボタンを選択します。 
6.しばらくすると、処理中となりますのでそのまま待ちます。 
7.以下の画面になりましたら、[OK]ボタンを選択します。
8.次に受信メールサーバの変更後SSL証明書(例:弊社標準の自己証明書(default2048) )を再適応する必要がございます。お客様側で個別でメール用のSSL証明書を適応されている場合も下記手順をおこなってください。
9.Pleskに再度ログイン(adminユーザでログイン)
10.画面左の「ツールと設定」を選択
11.次に、[SSL/TLS証明書]を選択 
12.メールのセキュリティ強化用の[変更]ボタンを選択 
13.次の画面に何も変更せず[OK]ボタンを選択 
14.最後にメールの送受信に問題がないかご確認をいただきますようお願い致します。
2019年10月1日(火)
■問題の概要
平素は弊社サービスをご利用いただきましてありがとうございます。
弊社提供のFlex Mini Cubeサービス(Webminもしくは、コントロールパネルなし)、Flex Mini 2サービスWebminもしくは、コントロールパネルなし)で標準採用しております受信メールサーバ(Dovecot)の脆弱性(CVE-2019-11500)でサービス運用妨害 (DoS) 攻撃の公表がございました。いずれのサービスのコントロールパネル(Plesk)につきましては、今回の脆弱性の対象外となります。
詳細につきましては、以下のURLをご参照ください。
Dovecot および Pigeonhole における境界外書き込みに関する脆弱性
RedHat社のページ(CVE-2019-11500)
■脆弱性を受ける可能性が高いサービス名
Flex Mini Cubeサービス もしくは、Flex Mini 2サービスを利用している、かつ受信メールサーバにDovecotを動作させているサーバ
※Flex Mini サービスも脆弱性の対象となりますが、OSサポート(CentOS5)が終了しているため修正パッチの提供はありません。早急にサーバのご移行をご検討ください。
■脆弱性の影響を受けるバージョン
- Dovecot 2.2.36.4 未満
- Dovecot 2.3.7.2 未満の 2.3.x
なお、今回の脆弱性におきましては、 Dovecot関連のパッケージのアップデートをお勧めいたします。
本ページでは、お客様ご自身にてDovecot関連のパッケージのアップデートをおこなう方法をご案内いたします。
※2019年10月1日現在の情報となります。
アップデートに関する注意事項
・本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
・お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
・本手順のアップデート中につきましては、通常の場合は数秒程度メールの受信が行えなくなりますのであらかじめご了承ください。
Dovecot 関連のパッケージのアップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). インストールされているパッケージの確認
| #rpm -qa | grep dovecot |
特に何も表示されない場合には、Dovecotのパッケージが入っておりません。脆弱性影響の対象外となります。
脆弱性の対象バージョンは以下のようなコマンドの出力結果となります。
例)
# rpm -qa | grep “dovecot”
dovecot-2.2.36-3.el7.x86_64 ←作業をおこなう必要がある対象バージョン
(3). Dovecot関連のパッケージアップデートの実施
以下のコマンドを実行し、KUSANAGI関連のパッケージのアップデートを行います。
| #yum update dovecot |
(4). アップデート後のパッケージバージョンの確認
| #rpm -qa | grep dovecot |
上記コマンドを再度実行し、セキュリティパッチが適用されているパッケージのバーション(以下の青文字を参照)かどうかを確認します。
■セキュリティパッチが適用されているDovecotのパッケージのバーション
Flex Mini 2サービス (CentOS6) dovecot-2.0.9-22.el6_10.1.x86_64
Flex Mini Cubeサービス(CentOS7) dovecot-2.2.36-3.el7_7.1.x86_64
(5). アップデート後のDovecotのサービス再起動
CentOS6の場合のDovecotのサービス再起動コマンド
| #/etc/init.d/dovecot restart |
CentOS7の場合のDovecotのサービス再起動コマンド
| #systemctl restart dovecot |
(7). メールの送受信の確認
以上、となります。
なお、お客様にて作業が難しい場合は、弊社サポート宛て(support@clara.ne.jp)までご依頼をいただきますようお願い致します。
弊社営業時間内(平日10:00-18:00)にて、弊社の任意のタイミングにて作業を実施させていただきます。
ご依頼の際のメールにつきましては、以下の内容を必ずご記載をいただきますようお願い致します。
□メールのご依頼フォーマット
メールの件名:Dovecot のアップデート依頼
メールの本文
・更新対象サーバのホスト名および、IPアドレス
・パッケージの更新作業後のメールのご連絡の有無(必要 or 不要)
※「必要」、「不要」のいずれかのご記載をいただきますようお願い致します。