SSL/TLS 証明書でウェブメールとメールを保護する
メールを使用していると、悪意あるユーザによってメールやメールクレデンシャルが盗聴、読み取り、改ざんされ、機密情報が漏えいする危険性があります。SSL/TLS 証明書でメール接続を保護すれば安心です。このトピックでは、保護すべき接続とその方法について説明します。
送信者から受信者までメールが伝送される過程で、侵害が発生する可能性がある箇所がいくつかあります。SSL/TLS 証明書は接続を暗号化することで機密情報を保護します。メールの使用中に全方位的な保護を適用するためには、SSL/TLS 証明書を使用して、次のような過程を含むメール送信チェーン全体を保護する必要があります。
- ユーザのブラウザとウェブサーバ上で動作するウェブメールとの間の接続。わかりやすくするために、「ウェブメールの保護」と呼びます。
- Plesk メールサーバと送信者の MTA との間の接続。わかりやすくするために、「Plesk メールサーバの保護」と呼びます。
1 Securing Webmail
ウェブメール経由でメールボックスにアクセスすると、ブラウザとウェブサーバ上で動作するウェブメールとの間に接続が確立されます。転送されるメールとメールクレデンシャルを漏えいから守るために、ウェブメールはデフォルトで Plesk と同じ自己署名 SSL/TLS 証明書で保護されています。この自己署名 SSL/TLS 証明書は、転送されるデータを暗号化しますが、ウェブメールにアクセスするたびに「信頼できない SSL/TLS 証明書」に関する警告メッセージが表示されます。この警告が表示されないようにするには、有効な SSL/TLS 証明書で保護してください。
SSL/TLS 証明書でウェブメールを保護するには:
-
ワイルドカード SSL/TLS 証明書、または SAN で
webmail.<domain>
を構成できる SAN 証明書を取得します。これには、次の方法があります。- Let's Encrypt から無料のワイルドカード証明書を取得する。このオプションを選ぶ場合、ステップ 2 はスキップしてください。
注釈: 1 つのワイルドカード証明書で必要なすべてのメール接続を保護できるため、このオプションをお勧めします。
-
[メール]から[メール設定]タブでドメイン名をクリックし、ウェブメール用の SSL/TLS 証明書を選択して、[OK]をクリックします。
2 Securing the Mail Server in Plesk
利用しているホスティング事業者に、Plesk メールサーバを(デフォルトでメールサーバの保護に使用される自己署名 SSL/TLS 証明書ではなく)有効な SSL/TLS 証明書で保護していることを確認します。これにより、Plesk メールサーバと送信者の MTA との間の接続が暗号化されるため、受信するメールが盗聴から保護されます。
ただし、より高額な専用サーバを利用している場合を除き、短所もあります。メールボックスにアクセスするたびに、信頼できない SSL/TLS 証明書に関する警告メッセージが表示されます。このメッセージが発生するのは、証明書が割り当てられているドメイン名(Plesk サーバのドメイン名)とメールのドメイン名が一致しないことをメールクライアントが検知するためです。その結果、ほとんどのメールクライアントがこのメールサーバ証明書を信頼できないとみなします。
Postfix または Dovecot メールクライアント(Plesk for Linux の場合)や、MailEnable(Plesk for Windows の場合)を使用している場合は、SSL/TLS 証明書をドメインの個々のメールに割り当てることで証明書の不一致を修正できます。
他のメールクライアント(qmail や Courier)の場合、現在のところドメインの個別のメールに SSL/TLS 証明書を割り当てる機能はありません。メールサーバへの接続が保護されるかどうかは、メールクライアントが信頼できない証明書をどう処理するかによって決まります。
- メールクライアントが SSL/TLS 経由でメールサーバに接続する(信頼できない証明書に関する警告は表示される可能性があります)。この場合、メールと送信者の間の接続は暗号化され、転送されるメールは盗聴されないように保護されます。
- メールクライアントがメールサーバに SSL/TLS 経由で接続することを拒否するため、暗号化されていない接続の使用を余儀なくされる。この場合、転送されるメールは盗聴される危険性があります。証明書が信頼できない場合でも SSL/TLS 経由の接続を許可するメールクライアントに変更することをお勧めします。
注釈: 証明書の不一致を修正する方法は他にもあります。Plesk のメールサーバを使用する場合、サーバのドメイン名を使用するようにメールクライアントを構成できます。たとえば、サーバのドメインが server.com
で個別のドメインが example.com
であるとします。server.com
に割り当てられた SSL/TLS 証明書でメールサーバが保護されている場合、メールクライアントの設定で、メールサーバのドメイン名を mail.example.com
から server.com
に変更します。
3 Assigning an SSL/TLS certificate to Mail for a Domain
Postfix または Dovecot メールクライアント(Plesk for Linux の場合)や、MailEnable(Plesk for Windows の場合)を使用している場合は、個別の SSL/TLS 証明書でドメインのメールを保護できます。メールサーバを保護している SSL/TLS 証明書を確認できないという警告がメールクライアントに表示される場合、これをお勧めします。個別の SSL/TLS 証明書によるドメインのメールの保護が完了したら、メールサーバはホスティング事業者に割り当てられたサーバ全体の証明書ではなく、このメールを保護している証明書を返すようになります。その結果、警告が表示されなくなります。
注釈: ドメインのメールを保護する SSL/TLS 証明書が接続を暗号化するのは、Plesk メールサーバも SSL/TLS 証明書で保護されている場合のみです。Plesk メールサーバが有効な SSL/TLS 証明書で保護されているかどうかは、ホスティング事業者までお問い合わせください。
SSL/TLS 証明書でドメインのメールを保護するには:
-
ワイルドカード SSL/TLS 証明書、または SAN で
mail.<domain>
を構成できる SAN 証明書を取得します。これには、次の方法があります。注釈: ウェブメールの保護用にワイルドカード SSL/TLS 証明書を既に取得している場合、ステップ 2 に進み、この証明書でドメインのメールを保護してください。
注釈: Let’s Encrypt の無料のワイルドカード SSL/TLS 証明書を取得することをお勧めします。この証明書で保護できるのは、ドメインのメールだけでなく、ウェブメールやドメイン自体、そして(必要に応じて)複数のサブドメインも保護できるためです。
-
[メール]から[メール設定]タブでドメイン名をクリックし、メール用の SSL/TLS 証明書を選択して、[OK]をクリックします。