授業資料/09 の変更点

追加された行はこの色です。
削除された行はこの色です。
授業資料/09 へ行く。
授業資料/09 の差分を削除
#contents

* 認証システムについて一般的な話 [#kb02c802]

unix サーバに限らず，コンピュータ一般に「認証」という仕組みは不可欠である.
基本的に，危険な領域であるインターネット上をパスワードをどのようにやりとりするか，パスワードとユーザ名などの照合をどのように行うのかの二点について様々な方法があり，これらを柔軟に選べるようになっているものが多い. 
そのために初学者には混乱があるかと思うが，実際はこの二カ所の選択だという構図が分かれば分かりやすいだろう.
実際，おおまかには，unix 上でのソフトウェアは通常は以下の図のような構造をしているので，この構図を頭にいれて以下の話を読めばわかるだろう.

&ref(./authentication-structure_s.png);
CENTER:認証の一般的な仕組み

* SMTP Auth を使う [#f34bae12]

** SMTP Auth を使う準備…の準備 [#v122533f]

より自由に MTA を使うために SMTP Auth を利用することを想定しよう.
さて，まずは postfix の smtp auth が使うとされている cyrus-sasl2 であるが，最初からインストールされているものは少しだけ古い(2.3.1)ためバージョンアップしておこう(2.3.1_1 になるはず)．
いつものように

  portsnap fetch; portsnap update

で ports 情報を更新しておいてから，

  portupgrade cyrus-sasl

とすればよい．

さて，まずはこのインストールログを調べよう．
/var/log/ports/security::cyrus-sasl2.log がインストール時のログのはずなのでこれを読むと，

>  ----------------------------------------------------------------------
>  Libraries have been installed in:
>     /usr/local/lib/sasl2
>  　
>  If you ever happen to want to link against installed libraries
>  in a given directory, LIBDIR, you must either use libtool, and
>  specify the full pathname of the library, or use the `-LLIBDIR'
>  flag during linking and do at least one of the following:
>     - add LIBDIR to the `LD_LIBRARY_PATH' environment variable
>       during execution
>     - add LIBDIR to the `LD_RUN_PATH' environment variable
>       during linking
>     - use the `-Wl,-rpath -Wl,LIBDIR' linker flag
>  　
>  See any operating system documentation about shared libraries for
>  more information, such as the ld(1) and ld.so(8) manual pages.
>  ----------------------------------------------------------------------

というライブラリに関するいつもの記述が何回かあった後，

>  You can use sasldb2 for authentication, to add users use:
>  　
>          saslpasswd2 -c username
>  　
>  If you want to enable SMTP AUTH with the system Sendmail, read
>  Sendmail.README
>  　
>  NOTE: This port has been compiled with a default pwcheck_method of
>        auxprop.  If you want to authenticate your user by /etc/passwd,
>        PAM or LDAP, install ports/security/cyrus-sasl2-saslauthd and
>        set sasl_pwcheck_method to saslauthd after installing the
>        Cyrus-IMAPd 2.X port.  You should also check the
>        /usr/local/lib/sasl2/*.conf files for the correct
>        pwcheck_method.

というメッセージが見つかる．
これは，
- smtp auth をつかうならば，ユーザパスワードを saslpasswd2 コマンドで追加せよ
- この port はパスワード照合として pwcheck_method (専用ファイルによる照合)機能を提供するが，他の照合方法を使いたければそれに対応する port もインストールせよ.
- cyrus sasl の設定ファイルは /usr/local/lib/sasl2/ 以下にある(という示唆)

などのことが書いてある．
ただ，これでは様子がまだ掴めないので，情報をさらに調べよう．

まずは一次情報源ということで，本家 http://www.postfix.org/ で確認したい．
Documentation を見ると，該当しそうなものがすぐ見つかる.

具体的には http://www.postfix.org/SASL_README.html をチェックすることになる. 
&ref(/materials/warning.png); なお，この web は一般向けに書いてあるので FreeBSD の場合は /etc はそのままか /usr/local/etc に読み替え，/usr/lib は /usr/local/lib に読み替えることになる．留意しよう．

すると，まずはイントロダクションとして，

>  &size(20){How Postfix uses SASL authentication};
>  　
>  SMTP servers need to decide whether an SMTP client is authorized to send mail to remote destinations, or only to destinations that the server itself is responsible for. Usually, SMTP servers allow mail to remote destinations when the client's IP address is in the "same network" as the server's IP address.
>  　
>  SMTP clients outside the SMTP server's network need a different way to get "same network" privileges. To address this need, Postfix supports SASL authentication (RFC 4954, formerly RFC 2554). With this a remote SMTP client can authenticate to the Postfix SMTP server, and the Postfix SMTP client can authenticate to a remote SMTP server. Once a client is authenticated, a server can give it "same network" privileges.
>  　
>  Postfix does not implement SASL itself, but instead uses existing implementations as building blocks. This means that some SASL-related configuration files will belong to Postfix, while other configuration files belong to the specific SASL implementation that Postfix will use. This document covers both the Postfix and non-Postfix configuration.
>  　
>  You can read more about the following topics:
>  　
>     * Configuring SASL authentication in the Postfix SMTP server
>     * Configuring SASL authentication in the Postfix SMTP/LMTP client
>     * Building Postfix with SASL support
>     * Using Cyrus SASL version 1.5.x
>     * Credits

とある．とりあえず最初の

>     * Configuring SASL authentication in the Postfix SMTP server

だけ読めばよさそうだとわかる．
そこでそこを読み始めよう．すると，

>  &size(20){Configuring SASL authentication in the Postfix SMTP server};
>  　
>  As mentioned earlier, SASL is implemented separately from Postfix. For this reason, configuring SASL authentication in the Postfix SMTP server involves two different steps:
>  　
>      * Configuring the SASL implementation to offer a list of mechanisms that are suitable for SASL authentication and, depending on the SASL implementation used, configuring authentication backends that verify the remote SMTP client's authentication data against the system password file or some other database.
>      * Configuring the Postfix SMTP server to enable SASL authentication, and to authorize clients to relay mail or to control what envelope sender addresses the client may use.
>  　
>  Successful authentication in the Postfix SMTP server requires a functional SASL framework. Configuring SASL should therefore always be the first step.

とあり，二段階(cyrus saslと postfix)の設定が必要で，cyrus sasl の設定を先にしろと言っている．
そして，詳細な項目は以下の通り．

>  You can read more about the following topics:
>  　
>      * Which SASL Implementations are supported?
>      * Configuring Dovecot SASL
>    &nbsp;&nbsp; o Postfix to Dovecot SASL communication
>      * Configuring Cyrus SASL
>    &nbsp;&nbsp; o Cyrus SASL configuration file name
>    &nbsp;&nbsp; o Cyrus SASL configuration file location
>    &nbsp;&nbsp; o Postfix to Cyrus SASL communication
>      * Enabling SASL authentication and authorization in the Postfix SMTP server
>    &nbsp;&nbsp; o Enabling SASL authentication in the Postfix SMTP server
>    &nbsp;&nbsp; o Postfix SMTP Server policy - SASL mechanism properties
>    &nbsp;&nbsp; o Enabling SASL authorization in the Postfix SMTP server
>    &nbsp;&nbsp; o Additional SMTP Server SASL options
>      * Testing SASL authentication in the Postfix SMTP server

** Cyrus SASL の設定 [#z6403bac]

ここからしばらくは Cyrus sasl の設定となる．順に読み進めよう．まずはどんなソフトウェアが sasl用に使えるのかというと，

>  &size(16){Which SASL Implementations are supported?};
>  　
>  Currently the Postfix SMTP server supports the Cyrus SASL and Dovecot SASL implementations.
>  　
>      Note
>  　
>      Before Postfix version 2.3, Postfix had support only for Cyrus SASL. Current Postfix versions have a plug-in architecture that can support multiple SASL implementations.
>  　
>  To find out what SASL implementations are compiled into Postfix, use the following commands:
>  　
>      % postconf -a (SASL support in the SMTP server)
>      % postconf -A (SASL support in the SMTP+LMTP client)
>  　
>  These commands are available only with Postfix version 2.3 and later. 

とある．実際に ''postconf -a'' としてみると(今回はサーバの話なのでこちらのみ考えて)，

>  cyrus
>  dovecot

と出力されるので，postfix サーバが cyrus-sasl と dovecot-sasl の両方に対応していることがわかる．
&ref(/materials/notes.png); 確認しておこう．

次に，今回関係する cyrus-sasl の設定項目まですすめて読むと，

>  &size(16){Configuring Cyrus SASL};
>  　
>  The Cyrus SASL framework supports a wide variety of applications (POP, IMAP, SMTP, etc.). Different applications may require different configurations. As a consequence each application may have its own configuration file.
>  　
>  The first step configuring Cyrus SASL is to determine name and location of a configuration file that describes how the Postfix SMTP server will use the SASL framework.

とあって，cyrus sasl はいろんなアプリケーションから使われるから，各アプリケーション向けの設定ファイルが必要だ，だから，まずは postfix 向けの設定ファイルの名前と場所を設定しろよと言っている．
そして，その詳細については以下のとおり．
まず名前については

>  Cyrus SASL configuration file name
>  　
>  The name of the configuration file (default: smtpd.conf) is configurable. It is a concatenation from a value that the Postfix SMTP server sends to the Cyrus SASL library, and the suffix .conf, added by Cyrus SASL.
>  　
>  The value sent by Postfix is the name of the server component that will use Cyrus SASL. It defaults to smtpd and is configured with one of the following variables:
>  　
>      /etc/postfix/main.cf:
>          # Postfix 2.3 and later
>          smtpd_sasl_path = smtpd
>  　
>          # Postfix < 2.3
>          smtpd_sasl_application_name = smtpd

postfix 向けの名前はデフォルトでは ''smtpd.conf'' だと言っている．
詳しくは postfix サーバーが cyrus sasl ライブラリに通知する「名前」に .conf という拡張子をつけたものであり，この「名前」は /usr/local/etc/postfix/main.cf (もしくはデフォルトで)で設定されている．
特に変える必要はないだろうからこれはデフォルトのままでいこう．

次にこのファイル ''smtpd.conf'' の置いてある場所については

>  Cyrus SASL configuration file location
>  　
>  The location where Cyrus SASL searches for the named file depends on the Cyrus SASL version and the OS/distribution used.
>  　
>  You can read more about the following topics:
>  　
>      * Cyrus SASL version 2.x searches for the configuration file in /usr/lib/sasl2/.
>      * Cyrus SASL version 2.1.22 and newer additionally search in /etc/sasl2/.
>      * Some Postfix distributions are modified and look for the Cyrus SASL configuration file in /etc/postfix/sasl/, /var/lib/sasl2/ etc. See the distribution-specific documentation to determine the expected location.
>  　
>      Note
>  　
>      Cyrus SASL searches /usr/lib/sasl2/ first. If it finds the specified configuration file there, it will not examine other locations.

と，「環境によって違うよ．まあ一般的にはこんなことが多いけど」という話が書いてある．
これについては先の sasl2 インストールログの話と合わせて，
/usr/local/lib/sasl2
が ''smtpd.conf'' の置き場所だということがわかる．

そこで /usr/local/lib/sasl2 を覗いてみると，smtpd.conf というファイルは無いので，自分で作らないといけないことがわかる．
&ref(/materials/notes.png); 今作っておこう．空っぽでよければ，ファイルを作る一番簡単な方法は touch コマンドを使うものだ．だから

  cd /usr/local/lib/sasl2
  touch smtpd.conf

とすればよい．

さて，次の項目へ進もう．

>  Postfix to Cyrus SASL communication
>  　
>  As the Postfix SMTP server is linked with the Cyrus SASL library libsasl, communication between Postfix and Cyrus SASL takes place by calling functions in the SASL library.
>  　
>  The SASL library may use an external password verification service, or an internal plugin to connect to authentication backends and verify the SMTP client's authentication data against the system password file or other databases.
>  　
>  The following table shows typical combinations discussed in this document:
>  　
>      authentication backend 	password verification service / plugin
>      /etc/shadow 	saslauthd
>      PAM 	saslauthd
>      IMAP server 	saslauthd
>      sasldb 	sasldb
>      MySQL, PostgreSQL, SQLite 	sql
>      LDAP 	ldapdb
>  　
>      Note
>  　
>      Read the Cyrus SASL documentation for other backends it can use.

とあって，認証システム sasl として，「ユーザ名とパスワードの照合をどう行うか」の方法にいくつか種類があるということについて述べている．
今回は一番簡単な「sasl 専用のパスワード格納ファイルを作って使う」方法を採用する．
これは上の sasldb という方法である(そのプラグイン名も sasldb だね)．

このあとは今回は関係ない saslauthd の説明が続くのでスキップして，関係しそうな項目へ読み進めよう．すると次の項目にゆきあたる．

>  Cyrus SASL Plugins - auxiliary property plugins
>  　
>  Cyrus SASL uses a plugin infrastructure (called auxprop) to expand libsasl's capabilities. Currently Cyrus SASL sources provide three authentication plugins.
>  　
>      Plugin 	Description
>      sasldb 	Accounts are stored stored in a Cyrus SASL Berkeley DB database
>      sql 	Accounts are stored in a SQL database
>      ldapdb 	Accounts are stored stored in an LDAP database
>  　
>      Important
>  　
>      These three plugins support shared-secret mechanisms i.e. CRAM-MD5, DIGEST-MD5 and NTLM. These mechanisms send credentials encrypted but their verification process requires the password to be available in plaintext. Consequently passwords cannot (!) be stored in encrypted form.

どうやら，sasldb, sql, ldapdb の3つのプラグインは auxprop という仕組みでさらに束ねられているようだ．
&ref(/materials/warning.png); ''Important'' としてとても大事な注意書きが書いてあるのできちんと読んでおこう．

さて，われわれが使う sasldb プラグインの説明が次に続く．

>  The sasldb plugin
>  　
>  The sasldb auxprop plugin authenticates SASL clients against credentials that are stored in a Berkeley DB database. The database schema is specific to Cyrus SASL. The database is usually located at /etc/sasldb2.
>  　
>      Note
>  　
>      The sasldb2 file contains passwords in plaintext, and should have read+write access only to user postfix or a group that postfix is member of.

この情報は重要だ．
&ref(/materials/notes.png); パスワード格納ファイルがどうなっているか確認しておこう．
このファイルは既に作られてあって，''/usr/local/etc/sasldb2.db'' という名前で置いてある．そこでこれの「持ち主とパーミッション」を

  ls -lg /usr/local/etc/sasldb2.db

として確認する．すると

>  -rw-r-----  1 cyrus  mail  16384 11月 29 21:59 /usr/local/etc/sasldb2.db

などとなり，

- 持ち主: cyrus
- グループ: mail

で，パーミッションは

- 持ち主: 読み書き可
- グループ: 読み可
- 他: 読み書き全て不可

となっている．

そして ''/etc/group'' ファイルを見るとわかるが，mail グループには postfix が所属しているので，postfix はこのファイルを読めるので動作には支障がないことがわかる．
また，それ以外の者からはこのファイルを読むことができず，パスワード漏れもないことがわかる．

&ref(/materials/notes.png); このような持ち主とパーミッションになっていない場合は修正しておこう．使うコマンドは ''chown'' と ''chmod'' だ．使い方を知らない人は web を検索するなどして調べよう．

さて，次に sasl 用のパスワードの設定方法が書いてある．

>  The saslpasswd2 command-line utility creates and maintains the database:
>  　
>      % saslpasswd2 -c -u example.com username
>      Password:
>      Again (for verification):
>  　
>  This command creates an account username@example.com.
>  　
>      Important
>  　
>      users must specify username@example.com as login name, not username.
>  　
>  Run the following command to reuse the Postfix mydomain parameter value as the login domain:
>  　
>      % saslpasswd2 -c -u `postconf -h mydomain` username
>      Password:
>      Again (for verification):
>  　
>      Note
>  　
>      Run saslpasswd2 without any options for further help on how to use the command.

正しく設定されていれば同じはずなので，上のどちらの方法を使っても良い．
気になる人は，
通常はパスワードの realm が mydomain に相当するよね，だからこうしようね，と言っている．
ただ，この realm はpostfix 側ではデフォルトではホスト名であるので，この文章は少し齟齬を生じている．

  postconf -h mydomain
&ref(/materials/warning.png); メールサーバはドメインのメールを扱うのが通常であるので，これは上の文章のほうが実態に近い．
しかし，postfix のデフォルト値はおそらく「間違って設定しても他のマシンに迷惑をかけない」という意図があるのでこれもしかたはないだろう．
今回のこの授業では，各マシンでメールを扱うので realm はホスト名(デフォルト)にしておくことにしよう．

でドメインが正しく表示されることを確認しておけば安心だろう．
// 気になる人は，
//   postconf -h mydomain
// でドメインが正しく表示されることを確認しておけば安心だろう．

&ref(/materials/notes.png); ここでユーザとパスワードを設定しておこう．例えばユーザ名 test，パスワード password で設定するなら
&ref(/materials/notes.png); ここでユーザとパスワードを設定しておこう．
われわれはパスワードの realm をホスト名にするので，例えばユーザ名 test，パスワード password で設定するなら

  saslpasswd2 -c -u `postconf -h mydomain` test
  saslpasswd2 -c -u `postconf -h myhostname` test

とすればよい．あとは設定パスワードの入力を要求されるのでそこでパスワードを入れる．
&ref(/materials/warning.png); mydomain ではなく ''myhostname'' を用いていることに注意せよ．

ちなみにユーザ登録がうまくいったかどうかを確かめる方法についてはすぐ記述があり，

>  The sasldblistusers2 command lists all existing users in the sasldb database:
>  　
>      % sasldblistusers2
>      username1@example.com: password1
>      username2@example.com: password2

と書かれている．
&ref(/materials/notes.png); 早速 ''sasldblistusers2'' を実行してみよう．例えば

>  &color(blue){登録したユーザ名};@&color(blue){ホスト名}; userPassword

という出力が出れば，登録されていることが確認できたということになる.

さて，こうして作ったユーザ名とパスワードを格納したファイルだが，これを使えとsasl に指示する必要がある．
そのための記述が次に続く．

>  Configure libsasl to use sasldb with the following instructions:
>  　
>      /etc/sasl2/smtpd.conf:
>          pwcheck_method: auxprop
>          auxprop_plugin: sasldb
>          mech_list: PLAIN LOGIN CRAM-MD5 DIGEST-MD5 NTLM
>  　
>      Note
>  　
>      In the above example adjust mech_list to the mechanisms that are applicable for your environment.

&ref(/materials/notes.png); 注意書きにもあるように，認証メカニズムとして使うものだけリストするべきなので，NTLM (古い Windows 用の認証の方法)は外して，''/usr/local/lib/sasl2/smtpd.conf'' に次のように書きこんでおこう．

>  pwcheck_method: auxprop
>  auxprop_plugin: sasldb
>  mech_list: PLAIN LOGIN CRAM-MD5 DIGEST-MD5

あとは cyrus sasl については関係ない記述が続くので，結局 cyrus sasl 側の設定は終了だ．
(結局，ファイルをひとつ作って3行書き込む作業と，ユーザを登録する作業のみだった)

** Postfix で smtp auth を使うための準備 [#re853a58]

次に，postfix 側の設定が必要だ．web を続けて読むと，

>  &size(16){Enabling SASL authentication and authorization in the Postfix SMTP server};
>  　
>  By default the Postfix SMTP server uses the Cyrus SASL implementation. If the Dovecot SASL implementation should be used, specify an smtpd_sasl_type value of dovecot instead of cyrus:
>  　
>      /etc/postfix/main.cf:
>          smtpd_sasl_type = dovecot
>  　
>  Additionally set the path where the Postfix SMTP server can find the Dovecot SASL socket:
>  　
>      /etc/postfix/main.cf:
>          smtpd_sasl_path = private/auth
>  　
>      Note
>  　
>      This example uses a pathname relative to the Postfix queue directory, so that it will work whether or not the Postfix SMTP server runs chrooted.

とあるが，今回はデフォルトの cyrus sasl を使うのでこれは関係ない．
次に
>  Enabling SASL authentication in the Postfix SMTP server
>  　
>  Regardless of the SASL implementation type, enabling SMTP authentication in the Postfix SMTP server always requires setting the smtpd_sasl_auth_enable option:
>  　
>      /etc/postfix/main.cf:
>          smtpd_sasl_auth_enable = yes
>  　
>  After a "postfix reload", SMTP clients will see the additional capability AUTH in an SMTP session, followed by a list of authentication mechanisms the server supports:
>  　
>      % telnet server.example.com 25
>      ...
>      220 server.example.com ESMTP Postfix
>      EHLO client.example.com
>      250-server.example.com
>      250-PIPELINING
>      250-SIZE 10240000
>      250-AUTH DIGEST-MD5 PLAIN CRAM-MD5
>      ...
>  　
>  However not all clients recognize the AUTH capability as defined by the SASL authentication RFC. Some historical implementations expect the server to send an "=" as separator between the AUTH verb and the list of mechanisms that follows it.
>  　
>  The broken_sasl_auth_clients configuration option lets Postfix repeat the AUTH statement in a form that these broken clients understand:
>  　
>      /etc/postfix/main.cf:
>          broken_sasl_auth_clients = yes
>  　
>      Note
>  　
>      Enable this option for Outlook up to and including version 2003 and Outlook Express up to version 6. This option does not hurt other clients.
>  　
>  After "postfix reload", the Postfix SMTP server will propagate the AUTH capability twice - once for compliant and once for broken clients:
>  　
>      % telnet server.example.com 25
>      ...
>      220 server.example.com ESMTP Postfix
>      EHLO client.example.com
>      250-server.example.com
>      250-PIPELINING
>      250-SIZE 10240000
>      250-AUTH DIGEST-MD5 PLAIN CRAM-MD5
>      250-AUTH=DIGEST-MD5 PLAIN CRAM-MD5

とある．
これによると，smtpd_sasl_auth_enable を yes にするだけで使えるようになるが，某マイクロソフトのメーラーがこのままだと smtp auth をきちんと扱えないので broken_sasl_auth_clients も yes にしておいた方が良いよということが書いてある．
そして，postfix に設定を再読込みさせてから telnet サーバ 25 をやれば様子が見えるよということも書いてある．

&ref(/materials/notes.png); そこで，まずはこの二行

>  smtpd_sasl_auth_enable = yes
>  broken_sasl_auth_clients = yes

を postfix の main.cf に書きこんでおこう．
その後，postfix の設定を再読込みさせよう．具体的には

  /usr/local/etc/rc.d/postfix reload

とすればよい．
このあと前回と同様に

  telnet localhost 25

として

  EHLO localhost

とすると

>  250-&color(blue){ホスト名};
>  250-PIPELINING
>  250-SIZE 10240000
>  250-VRFY
>  250-ETRN
>  &color(blue){250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5};
>  &color(blue){250-AUTH=LOGIN PLAIN DIGEST-MD5 CRAM-MD5};
>  250-ENHANCEDSTATUSCODES
>  250-8BITMIME
>  250 DSN

となり，250-AUTH で始まる二行が増えていることがわかる．
これで，postfix が smtp auth 対応になったことがわかる．

&ref(/materials/notes.png); もしうまくいっていないようならばこれまでの作業を見なおそう．

次に，セキュリティのポリシーについての説明がある．

>  Postfix SMTP Server policy - SASL mechanism properties
>  　
>  The Postfix SMTP server supports policies that limit the SASL mechanisms that it makes available to clients, based on the properties of those mechanisms. The next two sections give examples of how these policies are used.
>  　
>      Property 	Description
>      noanonymous 	Don't use mechanisms that permit anonymous authentication.
>      noplaintext 	Don't use mechanisms that transmit unencrypted username and password information.
>      nodictionary 	Don't use mechanisms that are vulnerable to dictionary attacks.
>      forward_secrecy 	Require forward secrecy between sessions (breaking one session does not break earlier sessions).
>      mutual_auth 	Use only mechanisms that authenticate both the client and the server to each other.
>  　
>  Unencrypted SMTP session
>  　
>  The default policy is to allow any mechanism in the Postfix SMTP server except for those based on anonymous authentication:
>  　
>      /etc/postfix/main.cf:
>          # Specify a list of properties separated by comma or whitespace
>          smtpd_sasl_security_options = noanonymous
>  　
>      Important
>  　
>      Always set at least the noanonymous option. Otherwise, the Postfix SMTP server can give strangers the same authorization as a properly-authenticated client.

デフォルトから変えるにしても少なくとも noanonymous は設定しておけと言っている．
一応 ''/usr/local/etc/postfix/main.cf.default'' を見てデフォルト値を確認すると確かに

>  smtpd_sasl_security_options = noanonymous

と書いてあるので，とりあえずこれは何もしないでも最低限の設定は出来ていることになる．

次に TLS/SSL とのからめての設定について書いてある．

>  Encrypted SMTP session (TLS)
>  　
>  A separate parameter controls Postfix SASL mechanism policy during a TLS-encrypted SMTP session. The default is to copy the settings from the unencrypted session:
>  　
>      /etc/postfix/main.cf:
>          smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
>  　
>  A more sophisticated policy allows plaintext mechanisms, but only over a TLS-encrypted connection:
>  　
>      /etc/postfix/main.cf:
>          smtpd_sasl_security_options = noanonymous, noplaintext
>          smtpd_sasl_tls_security_options = noanonymous
>  　
>  To offer SASL authentication only after a TLS-encrypted session has been established specify this:
>  　
>      /etc/postfix/main.cf:
>          smtpd_tls_auth_only = yes

これもデフォルトでよければ何もしなくても良いが，他にこうしたければ…という例が二つ書いてある．
まあ今回はこれもデフォルトでよかろう．

次に

>  Enabling SASL authorization in the Postfix SMTP server
>  　
>  After the client has authenticated with SASL, the Postfix SMTP server decides what the remote SMTP client will be authorized for. Examples of possible SMTP clients authorizations are:
>  　
>      * Send a message to a remote recipient.
>      * Use a specific envelope sender in the MAIL FROM command.
>  　
>  These permissions are not enabled by default. 

とあり，他へのメール転送を許すか，差出人名を自由にさせるかどうかについて設定が必要なことがわかる．
まず，

>  Mail relay authorization
>  　
>  The permit_sasl_authenticated restriction allows SASL-authenticated SMTP clients to send mail to remote destinations. Add it to the list of smtpd_recipient_restrictions as follows:
>  　
>      /etc/postfix/main.cf:
>          smtpd_recipient_restrictions =
>          ...
>          permit_mynetworks
>          permit_sasl_authenticated
>          reject_unauth_destination
>          ...

とあり，smtp auth で認証されたユーザのメールを他のサーバに送る(転送, relay)ことを許可するには permit_sasl_authenticated という1行を postfix の main.cf のsmtpd_recipient_restrictions に含めろ，ということがわかる．
&ref(/materials/notes.png); これは許可しておくのが通常の使い方だろうから，書き足すことになる．
具体的には，デフォルト値を main.cf.default から main.cf にコピーしてそこに書き足すことになるので

>  smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

という1行(改行なしにしておいたほうが無難かな)を書き込むことになる．

次に，

>  Envelope sender address authorization
>  　
>  By default an SMTP client may specify any envelope sender address in the MAIL FROM command. That is because the Postfix SMTP server only knows the remote SMTP client hostname and IP address, but not the user who controls the remote SMTP client.
>  　
>  This changes the moment an SMTP client uses SASL authentication. Now, the Postfix SMTP server knows who the sender is. Given a table of envelope sender addresses and SASL login names, the Postfix SMTP server can decide if the SASL authenticated client is allowed to use a particular envelope sender address:
>  　
>      /etc/postfix/main.cf:
>          smtpd_sender_login_maps = hash:/etc/postfix/controlled_envelope_senders
>  　
>          smtpd_recipient_restrictions =
>              ...
>              reject_sender_login_mismatch
>              permit_sasl_authenticated
>              permit_mynetworks
>              reject_unauth_destination
>              ...
>  　
>  The controlled_envelope_senders table specifies the binding between a sender envelope address and the SASL login names that own that address:
>  　
>      /etc/postfix/controlled_envelope_senders
>          # envelope sender           owners (SASL login names)
>          john@example.com            john@example.com
>          helpdesk@example.com        john@example.com, mary@example.com
>          postmaster                  admin@example.com
>          @example.net                barney, fred, john@example.com, mary@example.com
>  　
>  With this, the reject_sender_login_mismatch restriction above will reject the sender address in the MAIL FROM command if smtpd_sender_login_maps does not specify the SMTP client's login name as an owner of that address.
>  　
>  See also reject_authenticated_sender_login_mismatch and reject_unauthenticated_sender_login_mismatch for additional control over the SASL login name and the envelope sender. 

という感じで smtp auth のユーザ名と実際に出すメールの差出人名が一致するかどうかをチェックするかなどについて書いてある．
まあこれについては今回はここまで厳しくしないでもよいので，ここはスキップしよう．

次に，細かいオプション3つについて説明がある．

>  Additional SMTP Server SASL options
>  　
>  Postfix provides a wide range of SASL authentication configuration options. The next section lists a few that are discussed frequently. See postconf(5) for a complete list.
>  Default authentication domain
>  　
>  Postfix can append a domain name (or any other string) to a SASL login name that does not have a domain part, e.g. "john" instead of "john@example.com":
>  　
>      /etc/postfix/main.cf:
>          smtpd_sasl_local_domain = example.com
>  　
>  This is useful as a default setting and safety net for misconfigured clients, or during a migration to an authentication method/backend that requires an authentication REALM or domain name, before all SMTP clients are configured to send such information.
>  Hiding SASL authentication from clients or networks
>  　
>  Some clients insist on using SASL authentication if it is offered, even when they are not configured to send credentials - and therefore they will always fail and disconnect.
>  　
>  Postfix can hide the AUTH capability from these clients/networks:
>  　
>      /etc/postfix/main.cf:
>          smtpd_sasl_exceptions_networks = !192.0.2.171/32, 192.0.2.0/24
>  　
>  Adding the SASL login name to mail headers
>  　
>  To report SASL login names in Received: message headers (Postfix version 2.3 and later):
>  　
>      /etc/postfix/main.cf:
>          smtpd_sasl_authenticated_header = yes
>  　
>      Note
>  　
>      The SASL login names will be shared with the entire world.

&ref(/materials/notes.png); 一つ目はなかなか便利そうだ．設定しておこう．
ただし，この設定は postfix が使う sasl パスワードの realm そのものを指定するので，間違えると認証がうまくいかなくなるので注意しよう．
具体的には，今回は

  smtpd_sasl_local_domain = qほげほげ.cl.math.sci.osaka-u.ac.jp

とホスト名で設定することになる．

これで設定は終了のはず．
&ref(/materials/notes.png); postfix に設定を再読込みさせておこう．


** SMTP Auth の動作確認 [#m78b185d]

*** 準備 [#s741ac2d]

後で用いるコマンド mmencode を，今のうちにインストールしておこう.
具体的には，いつものように portsnap で ports コレクションを新しくしておいてから，
psearch & portinstall でインストールするという手順だ．

*** 実際に手で接続してみる. [#u53457bc]

SMTP Auth で接続する際の認証方法にもいくつかあり，自由に設定で選ぶことができる.
今回のインストールでは上で設定したように login認証, plain認証，Digest-MD5認証, CRAM-MD5認証 が使えるようになっているはずだ.

そこで，このうちの plain認証と CRAM-MD5認証を試してみよう.
ちなみに，plain認証は簡単に利用できるが暗号化されていないもので，CRAM-MD5認証はその逆と思えばよい.


*** 手で SMTP Auth を試す : Plain 認証の場合 [#c6cdb4c6]

Plain 認証はお気楽なモノで，SMTP Auth 時に文字列 "\0ユーザ名\0パスワード"((\0 はヌルバイト))を base64 でエンコードしたものをサーバに渡すという簡単な仕組みだ.
&ref(/materials/warning.png); base 64 は暗号化ではなくて(コンピュータで扱うのに便利になるような)単なる変換((ちなみに，base64 エンコードしたテキストは，"mmencode -u" で元に戻すことができる.))なので，セキュリティは全く確保されない. つまり，パスワード等を base64 エンコードしたもの(後述の mmencode をかけたもの)を人に教えたりしてはいけない.

&ref(/materials/notes.png);
さて，接続前に接続に必要な文字列を作ってしまおう.
具体的には，コマンドラインで
  printf '\0000ユーザ名\0000パスワード' | mmencode 
とすればよい((\0000 となっているところは \0 でもよいのだが，パスワードの1文字目が数字だったりするとうまくいかないので，念の為にこうしてある.)).
  printf '\0ユーザ名\0パスワード' | mmencode 
とすればよい.
ユーザ名とパスワードはさきほど SMTP Auth 用に saslpasswd2 コマンドで設定したものである.

こうすると，'\0ユーザ名\0パスワード' が base64 エンコードされた文字列が出力されるので，これをどこかへ保存しておこう((文字端末エミュレータに覚えさせてしまえば楽だろう)).
ちなみに，例えば '\0test\0password' を mmencode すると "AHRlc3QAcGFzc3dvcmQ=" となる.

&ref(/materials/notes.png); あとはいつものように telnet localhost 25 で自前の MTA に接続してみる. 
前にもやったように "EHLO localhost" として応答を進め，

>  250-&color(blue){ホスト名};
>  250-PIPELINING
>  250-SIZE 10240000
>  250-VRFY
>  250-ETRN
>  250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>  250-AUTH=LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>  250-ENHANCEDSTATUSCODES
>  250-8BITMIME
>  250 DSN

この段階で SMTP Auth の Plain 認証を試してみよう.
具体的には，ここで
>  AUTH PLAIN 先ほどbase64エンコードして作った文字列

と入力すればよい. Plain 認証はこれだけで済む.
そして
>  235 2.7.0 Authentication successful

などと "success" の意がメッセージで返ってくれば，認証が通ったということで OK である.
あとは前と同様に ^], quit で抜けよう.

うまくいかない人は丁寧にこれまでの作業を振り返ろう.

*** 手で SMTP Auth を試す : CRAM-MD5 認証の場合 [#s8cca840]

CRAM-MD5認証は先の Plain認証と違って，パスワードを平文で送らない形式である. plain 認証と異なり，ネットワークを盗聴されてもまあ安全といえよう.
具体的には，接続するとサーバが適当な文字列を送ってくるので，これをパスワードをキーにして hmac-md5 でハッシュを求め(これがパスワードを圧縮, 暗号化したことに相当する), ユーザ名とあわせて base64 エンコードして送り返し，サーバで同様に作ったハッシュと同じなら認証 OK という感じになる.

ややこしいが，実は CRAM-MD5 をテストするためのスクリプト "userdb-test-cram-md5" が存在するので，これをインストールして用いればよい.
ただし，このスクリプトは後述の courier-imap のインストールによってインストールされるので，その作業をしてから戻ってこないといけない.
&ref(/materials/warning.png); というわけで，''初めてここを読む場合は，後述の courier-imap のインストールまでジャンプし，インストールした後に戻ってくること''. 

以下の作業にはコンソールが二つ以上あった方が便利なので，X で適当な文字端末エミュレータを二つ起動するなど，工夫して作業しよう.
コンソールが1つしか用意できない場合でも，マウス操作でコピー(左クリックで選択) and ペースト(真ん中クリック)が可能な場合が多いので，マウス操作を試みてみるとよい.

以降，状況を分かりやすくするために 2つの文字端末エミュレータを用意した状況を想定し，その各々の端末上で動くシェルを各々 Shell-A, Shell-B として話を進めよう.

&ref(/materials/notes.png); まず，''Shell-A'' で telnet localhost 25 して，EHLO localhost と対応して先と同じように

>  250-&color(blue){ホスト名};
>  250-PIPELINING
>  250-SIZE 10240000
>  250-VRFY
>  250-ETRN
>  250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>  250-AUTH=LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>  250-ENHANCEDSTATUSCODES
>  250-8BITMIME
>  250 DSN

まですすめよう. そしてここで
>  auth cram-md5

と入力する. すると，
>  334 PG5hbmlrYW5vLXNlcnZlcj4=

などと出力が返ってくる.
この ''PG5hbmlrYW5vLXNlcnZlcj4='' がサーバが base64 で送ってきた文字列((これを "mmencode -u" にかけると実際の文字列がわかる))であるので，これをユーザのパスワードをキーにして hmac-md5 でハッシュを計算してユーザ名とあわせて base64 で送り返せばよい. この文字列の生成は面倒にみえるが，なんのことはなくて先のコマンドを使えばよい.

具体的には ''Shell-B で'' userdb-test-cram-md5 を実行して，以下のように対応すればよい.

>  Username? test   &color(blue){← (SMTP Auth に使う)ユーザ名を入力する};
>  Password?  password  &color(blue){← (SMTP Auth に使う)パスワードを入力する};
>  Send: AUTH CRAM-MD5 (or for imap, A AUTHENTICATE CRAM-MD5)
>  Paste the challenge here:
>  + PG5hbmlrYW5vLXNlcnZlcj4= &color(blue){← Shell-A でサーバが送ってきた文字列を入力する};
>  Send this response:
>  dGVzdHVzZXIgY2NiNjc4YmZjZGY1YWRlMGUyYmE2MmM3ODA3OTA1NGI=  &color(blue){← 返すべき文字列が出力される};

となり，最後に返答すべき文字列を生成してくれる. 

そこでこの文字列(この例の場合は ''dGVzdHVzZXIgY2NiNjc4YmZjZGY1YWRlMGUyYmE2MmM3ODA3OTA1NGI='')をさっきの ''Shell-A での作業の続きに'' 入力する. 
認証が通ればこのあと
>  235 2.7.0 Authentication successful

などと "success" の意がメッセージで返ってくれば，認証が通ったということで OK である.
あとは前と同様に ^], quit で抜けよう.

うまくいかない人は丁寧にこれまでの作業を振り返ろう.


* SMTP over TLS を使う [#z36c4b17]

** SMTP over TLS の設定 [#rad62324]

&ref(/materials/notes.png); TLS の利用については，設定のまえに鍵と証明書を用意しないといけない.
二度手間なので，web server の設定の時に作った鍵と証明書をそのままコピーして使おう．

  cd /usr/local/etc/postfix
  cp ../apache22/apache.key ./postfix.key
  cp ../apache22/apache.crt ./postfix.crt

パーミッションにも気をつけて，

  chmod 400 postfix.key
  chmod 400 postfix.crt

としておこう.

さて，Postfix の設定は，本家のドキュメント( http://www.postfix.org/TLS_README.html )を読んで自分なりに取捨選択することになる.
サーバかクライアントかや認証をどうするかなど多少ややこしくてよくわからないかと思うので，今回は設定を書いてしまおう.
&ref(/materials/notes.png); 今回は， /usr/local/etc/postfix/main.cf に

>  smtpd_tls_cert_file = /usr/local/etc/postfix/postfix.crt
>  smtpd_tls_key_file = /usr/local/etc/postfix/postfix.key
>  smtpd_tls_loglevel = 1
>  smtpd_tls_received_header = yes
>  smtpd_tls_security_level = may
>  　
>  smtp_tls_loglevel = 1
>  smtp_tls_security_level = may
>  smtp_tls_note_starttls_offer = yes

などと加えれば良い.
ただし，これは経路の暗号化だけでよい，という設定なので，認証まできちんとしたい人はドキュメントをきちんと読もう.
&ref(/materials/warning.png); Postfix の設定方法が近年変わったため，web 上で参照できる設定の多くは既に古く，あまり推奨できないので留意すること.

この編集が終わったら，postfix に設定を再読込させれば良い．

** SMTP over TLS の動作確認 [#o08df4d1]

&ref(/materials/notes.png); telnet localhost 25 で確認してみよう.
これまでと同様に EHLO localhost して, 応答が

>  250-&color(blue){ホスト名};
>  250-SIZE 10240000
>  250-VRFY
>  250-ETRN
>  250-STARTTLS  &color(blue){← この対応が TLS/SSL 用のもの};
>  250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>  250-AUTH=LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>  250-ENHANCEDSTATUSCODES
>  250-8BITMIME
>  250 DSN

などとなる.
上のように "250-STARTTLS" という部分があれば，とりあえず TLS 対応の動作をしていることがわかる.
あとは前と同様に ^], quit で抜けよう.

これが出ないようなら何かおかしいのでこれまでの作業を振り返ろう.

&ref(/materials/notes.png);
さて，ここで SMTP の動作チェックに便利なツールを導入しよう. 以降の確認作業が楽になる.
それは ''swaks'' (Swiss Army Knife SMTP) とよばれるものであり，これまでの telnet localhost 25 という一連の作業を自動的にやってくれる便利なものである.

というわけでいつものように(psearch で探して) swaks をインストールしよう.

  portinstall mail/swaks

とすればよい. インストール時にオプション選択画面
&ref(./swaks-install.png);  
が出たら，少なくとも "MX lookup support" と "TLS support" とを ON にしておいてからインストールしよう.
NTLM は今回は関係ないので外したままでよいだろう.
先へ進むと，p5-Net-DNS のインストール時に IPv6 を有効にするかというオプションを聞かれるが，これは外しておこう．
さらに，p5-Net-SSLeay のインストール時にテストをするかどうか聞かれることがあるが，これは "n" のままで構わない.

あとはインストールが終わるのをまとう.
インストール時の最後に，親切にも
>  Try
>    `swaks --help'
>  to list the available options and
>    `swaks --support'
>  for a list of capabilities.

と教えてくれるので，覚えておこう．
さて,まずはおさらいも兼ねてこれまでのテストを再現してみよう.
// swaks の使い方は swaks --help とするとマニュアルが読めるのでそれをみてもらうとして，

&ref(/materials/notes.png); まずは単に MTA が動作しているかの確認をしよう.
  swaks --server localhost
とすると，テストメールの宛先を聞いてくるので, 自分のアカウント名を答えよう. すると
>  === Trying localhost:25...
>  === Connected to localhost.
>  <-  220 &color(blue){ホスト名}; ESMTP Postfix
>   -> EHLO &color(blue){ホスト名の頭部分};
>  <-  250-&color(blue){ホスト名};
>  <-  250-PIPELINING
>  <-  250-SIZE 10240000
>  <-  250-VRFY
>  <-  250-ETRN
>  <-  250-STARTTLS
>  <-  250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>  <-  250-AUTH=LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>  <-  250-ENHANCEDSTATUSCODES
>  <-  250-8BITMIME
>  <-  250 DSN
>   -> MAIL FROM:<&color(blue){差出人@ホスト名の頭部分};>
>  <-  250 2.1.0 Ok
>   -> RCPT TO:<&color(blue){宛先ユーザ名};>
>  <-  250 2.1.5 Ok
>   -> DATA
>  <-  354 End data with <CR><LF>.<CR><LF>
>   -> Date: Tue, 30 Nov 2010 20:19:53 +0900
>   -> To: &color(blue){宛先ユーザ名};
>   -> From: &color(blue){差出人@ホスト名の頭部分};
>   -> Subject: test Tue, 30 Nov 2010 20:19:53 +0900
>   -> X-Mailer: swaks v20100211.0 jetmore.org/john/code/swaks/
>   ->
>   -> This is a test mailing
>   ->
>   -> .
>  <-  250 2.0.0 Ok: queued as B8D822865
>   -> QUIT
>  <-  221 2.0.0 Bye
>  === Connection closed with remote host.

と MTA とやり取りして，その途中経過をきちんと出力してくれる. 
いまはテストメールを実際に送ったはずなので，アカウントのホームディレクトリの Maildir/new にメールが届いているはずである. 確認してみよう.

次に，SMTP Auth の plain認証を試してみよう. 
ただし，いちいちメールが届く必要ももうないので，動作確認のみでメールは送らないようにしよう. 
それには次のようにすればよい.
  swaks --auth PLAIN --server localhost --quit RCPT
すると最初に(実際には送らないが)テストメールの宛先を聞いてきて，その後に SMTP  Auth の認証に必要なユーザ名とパスワードを聞いてくるので答えよう.  
そして，その後のやりとりの途中に
> …略…
>   -> AUTH PLAIN &color(blue){パスワードをbase64化したもの};
>  <-  235 2.7.0 Authentication successful
> …略…

というように Auth plain での SMTP Auth がうまくいった，ということが確認できれば OK だ.

次に SMTP Auth の CRAM-MD5 認証を試してみる. それには
  swaks --auth CRAM-MD5 --server localhost --quit RCPT
とすればよい. 入力は上と同様だ.
そして，その後のやりとりの途中に
> …略…
>   -> AUTH CRAM-MD5
>  <-  334 PDI3NTg4NzIyNTMuNDY4OTgzOUBGcmVlQlNENy5jYXMuY21jLm9zYWthLXUuYWMuanA+
>   -> cGFvb24gMTgyODJmNzRhNjZhOWMwY2FjN2YzZTliNDQ2NzQ3Y2Y=
>  <-  235 2.7.0 Authentication successful
> …略…

というように Auth CRAM-MD5 での SMTP Auth がうまくいった，ということが確認できれば OK だ.

さて，やっと肝心の SMTP over TLS をテストしよう. といってもここまでくればテストはもう簡単で，
  swaks -tls --server localhost
とすればよい. ただし，念の為にテストメールを実際に送ろうとしている.
これを実行して，swaks の出力が
> …略…
>   -> STARTTLS
>  <-  220 2.0.0 Ready to start TLS
>  === TLS started w/ cipher DHE-RSA-AES256-SHA
> …略…

というように TLS を使って無事に動いているようならば大丈夫だ.
もちろん, Maildir/new に実際にメールが届いているかもチェックし，そのメールのヘッダ部分に
> (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))

という記述があることも確認しておこう.

最後に，SMTP Auth と SMTP over TLS を組み合わせてみよう. SMTP Auth の認証はなんでもよい. 好きなものを使ってやってみよう.
具体的には，例えば次のようにすればよい(SMTP Auth は自動的に選んでもらう設定).
  swaks --auth -tls --server localhost --quit RCPT
ここで出力を丁寧に読んでみよう.
&ref(/materials/warning.png); この出力を読むと ''starttls してから SMTP Authしている'' こと, つまり，「暗号化を始めてからパスワードをやり取りする」順番になっていることに注目せよ.
これは SMTP over TLS と組み合わせるならば認証(パスワードのやり取り)は平文でも安全なはずということである.
逆に言えば，over TLS していないならばネットワークを介して Plain認証を使うと危ないよということになる

// *** 実習 
// SMTP over TLS/SSL には上記の StartTLS の他にもうひとつ SMTPS と呼ばれるものがあり，今回も設定次第ではそれを動かすことができる.
// では，SMTPS とは何か，StartTLS と比べての利点/欠点は何か調べよ.

* courier-imap のインストール [#b23053e6]

ユーザ宛に届いたメールを MUA に渡すのに広く使われている POP/IMAP のサーバについては次回に授業で扱うが，その内部ツールを今使う必要があるため，ここでインストールしてしまおう．
IMAP サーバとして courier-imap が広く使われているのでこれを用いる．
なお，courier-imap をインストールすると一緒に courier-pop もインストールされるので，POP サーバをインストールしたい，というときに courier-imap を選択してもよい.

&ref(/materials/notes.png); さて，いつものように ports コレクションからインストールしよう.
ただし，imap サーバのインストールの前に courier-authlib(courier-imap の認証関係だけ抜き出したmeta ports) のインストールを行っておく(そうしないと実質的に使えない).
いつものように

  portsnap fetch; portsnap update

としてから，psearch で courier-authlib を探してから portinstall を使ってインストールしよう．
まあ書いてしまえば，

  portinstall security/courier-authlib

ということだ．この過程で必要な他のツールも一緒にインストールされるので，しばらく待とう.
具体的には，
- devel/sysconftool
- security/courier-authlib-base
- security/courier-authlib

がインストールされる(こういう情報は後でログを漁る際に必要になることがあるので，自分で作業するときはメモしておこう)
また courier-authlib のインストールの段階で出るオプション画面
&ref(./courier-authlib-install.png);
ではとりあえず "Userdb support" を選んでおこう. あとはスムーズに進むだろう.

次に courier-imap 本体を(psearch で探してから)

  portinstall mail/courier-imap

として courier-imap 本体をインストールする. 最初にオプション選択画面
&ref(./courier-imap-install.png);
が出るが，多分デフォルトで IPv6 が選ばれているだろう.
IPv6 は使わないので外し，逆に先と同様に "Userdb support" を選択して先に進もう.
しばらく待っているとインストールが終わるだろう.

さて，念の為にいつものように今回インストールされた複数のソフトのログを /var/log/ports の下から探してみて，メッセージを抜き出すと，

(devel::sysconftool から … 特に無し)
(security::courier-authlib-base.log から)
>        Set WITH_AUTHPIPE_PROG to a program you want to use instead of
>        authProg for libauthpipe

>  configure: WARNING: -----------------------------------------------------
>  configure: WARNING: expect not found - will not be able to change passwds
>  configure: WARNING: in webmail
>  configure: WARNING: -----------------------------------------------------

>  Added group "courier".
>  Added user "courier".

>  ----------------------------------------------------------------------
>  Libraries have been installed in:
>     /usr/local/lib/courier-authlib
>  　
>  If you ever happen to want to link against installed libraries
>  in a given directory, LIBDIR, you must either use libtool, and
>  specify the full pathname of the library, or use the `-LLIBDIR'
>  flag during linking and do at least one of the following:
>     - add LIBDIR to the `LD_LIBRARY_PATH' environment variable
>       during execution
>     - add LIBDIR to the `LD_RUN_PATH' environment variable
>       during linking
>     - use the `-Wl,-rpath -Wl,LIBDIR' linker flag
>  　
>  See any operating system documentation about shared libraries for
>  more information, such as the ld(1) and ld.so(8) manual pages.
>  ----------------------------------------------------------------------

>  ===> SECURITY REPORT:
>        This port has installed the following files which may act as network
>        servers and may therefore pose a remote security risk to the system.
>  /usr/local/libexec/courier-authlib/authdaemond
>  　
>        This port has installed the following startup scripts which may cause
>        these network services to be started at boot time.
>  /usr/local/etc/rc.d/courier-authdaemond
>  　
>        If there are vulnerabilities in these programs there may be a security
>        risk to the system. FreeBSD makes no guarantee about the security of
>        ports included in the Ports Collection. Please type 'make deinstall'
>        to deinstall the port if this is a concern.
>  　
>        For more information, and contact details about the security
>        status of this software, see the following webpage:
>  http://www.Courier-MTA.org/authlib/

(security::courier-authlib.log から)
>  configure: WARNING: -----------------------------------------------------
>  configure: WARNING: expect not found - will not be able to change passwds
>  configure: WARNING: in webmail
>  configure: WARNING: -----------------------------------------------------

>  ----------------------------------------------------------------------
>  Libraries have been installed in:
>     /usr/local/lib/courier-authlib
>  　
>  If you ever happen to want to link against installed libraries
>  in a given directory, LIBDIR, you must either use libtool, and
>  specify the full pathname of the library, or use the `-LLIBDIR'
>  flag during linking and do at least one of the following:
>     - add LIBDIR to the `LD_LIBRARY_PATH' environment variable
>       during execution
>     - add LIBDIR to the `LD_RUN_PATH' environment variable
>       during linking
>     - use the `-Wl,-rpath -Wl,LIBDIR' linker flag
>  　
>  See any operating system documentation about shared libraries for
>  more information, such as the ld(1) and ld.so(8) manual pages.
>  ----------------------------------------------------------------------

(mail::courier-imap.log から)
>  In case you use authpam, you should put the following lines
>  in your /etc/pam.d/imap
>  auth    required    pam_unix.so         try_first_pass
>  account required    pam_unix.so         try_first_pass
>  session required    pam_permit.so
>  　
>  You will have to run /usr/local/share/courier-imap/mkimapdcert to create
>  a self-signed certificate if you want to use imapd-ssl.
>  And you will have to copy and edit the *.dist files to *
>  in /usr/local/etc/courier-imap.

>  ===> SECURITY REPORT:
>        This port has installed the following files which may act as network
>        servers and may therefore pose a remote security risk to the system.
>  /usr/local/libexec/courier-imap/couriertcpd
>  /usr/local/bin/couriertls
>  　
>        This port has installed the following startup scripts which may cause
>        these network services to be started at boot time.
>  /usr/local/etc/rc.d/courier-imap-imapd
>  /usr/local/etc/rc.d/courier-imap-pop3d
>  /usr/local/etc/rc.d/courier-imap-pop3d-ssl
>  /usr/local/etc/rc.d/courier-imap-imapd-ssl
>  　
>        If there are vulnerabilities in these programs there may be a security
>        risk to the system. FreeBSD makes no guarantee about the security of
>        ports included in the Ports Collection. Please type 'make deinstall'
>        to deinstall the port if this is a concern.
>  　
>        For more information, and contact details about the security
>        status of this software, see the following webpage:
>  http://www.courier-mta.org/imap/


というメッセージが見つかる.

courier-authlib 関連のログファイルの内容は特に問題ない.
courier-imap のログファイルには設定に関わる部分があるので重要だ(詳しくは次回後述する). 

&ref(/materials/warning.png); SMTP Auth の途中から courier-imap のインストールへ飛べ，と言われてここへ来ている場合は，元のところへ戻ろう.

* レポート [#yaf3481a]
途中で「調べよ」と指示された事項について調査を行い，報告せよ.
もちろん各自の

+ 所属(学部，学科)
+ 学籍番号
+ 学年
+ 氏名
+ 日時
+ 肝心のレポート内容(得た知見，作業について気づいたこと等)

を書くのを忘れないように.


* about Icons, ClipArts [#o77d59a5]
Some icons in this page are downloadable at [[ICONFINDER:http://www.iconfinder.net/]].

The "note" icon &ref(/materials/notes.png); designed by [[Marco Martin:http://www.notmart.org/]] is distributed with the LGPL licence,
the "warning" icon &ref(/materials/warning.png); designed by [[Alexandre Moore:http://nuovext.pwsp.net/]] with the GPL licence
and the "triangle" icon &ref(/materials/JNorth_arrow-right-sm.png); designed by [[Joseph North:http://sweetie.sublink.ca/]] is distributed with the [[Creative Commons (Attribution-Noncommercial-Share Alike 3.0 Unported):http://creativecommons.org/licenses/by-nc-sa/3.0/]] licence.

Some clip arts used in this page are downloadable at [[Open Clip Art Library:http://www.openclipart.org/]].
We deeply appreciate their superb works. With licence, they describe that "the actual clipart content on open clipart library is Public domain" in the web.

// ━┃┏┓┛┗┣┳┫┻╋


// コマンドライン入力は「行頭をブランクで始める」.
// コマンドライン出力は「行頭を > で始める」.

// 実習アイコン
// &ref(/materials/notes.png);

// 注意アイコン
// &ref(/materials/warning.png);

// Link アイコン
// &ref(/materials/JNorth_arrow-right-sm.png);

// OK アイコン
// &ref(/materials/OK.png);

// NG アイコン
// &ref(/materials/NG.png);

// 大文字での強調
// CENTER:&size(24){''ほげほげ''};

// programu source 表記
// #highlighter(language=ruby,number=on,cache=on){{}}