PleskでCentOS7以降から有効化されているSTARTTLSを強制使用する設定の無効化方法をご案内します。
※※STARTTLSを利用せず認証することは安全ではございませんので、お客様の責の元作業実施をお願いします。※※
STARTTLSとは
暗号化されていない平文での通信を、SSL/TLSを利用した暗号化通信に切り替える仕組みのことです。STARTTLSでは、SMTPと同じ25番もしくは587番ポートを使用します。暗号化通信のために専用のポートが不要であるため、ファイアーウォールなどのセキュリティ設定の負担も少なく済みます。
STARTTLS強制設定とは
[ツールと設定] > [メールサーバ設定] 内の設定で「ポート 587 とすべての IP アドレスで SMTP サービスを有効にする」をオンにしている場合、ポート587はSTARTTLSが強制的に使用される設定となります。
STARTTLSが強制されている時の設定内容
対象ファイル 『 /etc/postfix/master.cf 』
コマンド:cat /etc/postfix/master.cf | grep security_level
コマンド結果:# -o smtpd_tls_security_level=encrypt
submission inet n – n – – smtpd -o smtpd_enforce_tls=yes -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
STARTTLSが強制されていない時の設定内容
コマンド:cat /etc/postfix/master.cf | grep security_level
コマンド結果:# -o smtpd_tls_security_level=encrypt
または、
コマンド:cat /etc/postfix/master.cf | grep security_level
コマンド結果:# -o smtpd_tls_security_level=encrypt
submission inet n – n – – smtpd -o smtpd_enforce_tls=yes -o smtpd_tls_security_level=may -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
STARTTLSの強制設定の無効化方法
- 対象サーバへSSHログイン
- 対象ファイル/etc/postfix/master.cfのバックアップを取得
コマンド:cp -a /etc/postfix/master.cf /etc/postfix/master.cf.bak - viコマンドでファイルの修正
コマンド:vi /etc/postfix/master.cf
変更内容:-o smtpd_tls_security_level=encrypt → -o smtpd_tls_security_level=may - postfixの再起動
コマンド:systemctl restart postfix
※※必ずご確認ください※※
STARTTLS無しで認証することは安全ではないため、どうしても無効化が必要な場合のみ行ってください。手動でmaster.cfを編集した後、Pleskの管理画面上で何かしらの操作をした際に、設定が上書き、又は元に戻ってしまう可能性があります。
以上となります。