TLS + SASLのテストは、Becky! で「証明書を検証しない」の設定でうまく行った。
しかし、Becky! に CAの証明書をインストールする方法がわからないので、検証させた場合の動作は確認できていない。
続いて、悪名高きOutlookExpressでも動作確認・・・。しようと思ったら、OEはAPOPも、CRAM-MD5も未対応と言うすばらしいMUAであることがわかった。
さらにさらに、STARTTLSにも未対応っぽいので、submissionポート(587)へのsmtpはできなかった。
そこで、smtpsポート(465)もあけることにして、master.cfに以下の記述を追加。

smtps inet n       -       n       -       -       smtpd
        -o smtpd_tls_wrappermode=yes
        -o smtpd_use_tls=yes
        -o smtpd_sasl_auth_enable=yes
        -o smtpd_sasl_security_options=noanonymous
        -o broken_sasl_auth_clients=yes
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
        -o smtpd_data_restrictions=
        -o smtpd_etrn_restrictions=reject
        -o content_filter=dksign:[127.0.0.1]:10028

これで、OEからアクセスしてみると、証明書を信用しても良いか？みたいなダイアログが出るようになった。
しかし、Yesを押しても、サーバ側で SASL LOGIN authentication failedなどとエラーが出て、うまくいかない。
どうせOEは使わないからいっか～と早々に投げる。

次は、pop側である。現在、imap/imapsは、courier-imapdを使っているが、popはqpopperを使っている。
なぜにcourier-pop3dを使わないのかは、記憶が定かではない。しかし、今動いていて、私以外の利用者もいるので、変更するのは気が引ける。
そこで、qpopperのままでpop3sを使えるようにする。
やることは、/usr/local/etc/qpopper.config ファイルを以下の内容で作成。

set tls-support = alternate-port
set tls-server-cert-file = /usr/local/etc/qpopper/qpopper.pem

そして、/etc/inetd.confを修正

pop3s   stream  tcp     nowait  root    /usr/local/libexec/qpopper      qpopper -s -f /usr/local/etc/qpopper.config

そして、前回のPostfixのTLS対応のときと同じ要領で、qpopper.keyとqpopper.crtを作成し、結合する。

# cat qpopper.key qpopper.crt > qpopper.pem

key ファイルと、pemファイルは、オーナをpopに変更してchmod 400 しておく。 inetdにHUPシグナルを送れば、pop3sのできあがり。