オレオレ証明書ならいくらでも作成できる環境になったので、メールサーバもSSLを使って通信をするように変更します。
証明書は普通のサーバ証明書を使用しますが、メールサーバには別の名前(mailなど)を使用している場合には、そのサーバ名をCNにした証明書を用意します。
dovecotの設定ファイルは/etc/dovecot/conf.d/の下にありますが、10-ssl.confがSSLの設定です。
以下の設定でSSLが有効になります。/etc/dovecot/dovecot.confでprotocolsとしてimapが有効になっていると、これでimapsが有効になります。
ssl = required
次に以下の証明書の設定を行います。これで再起動すればIMAPSでアクセスが可能になります。
ssl_cert = </etc/pki/dovecot/certs/mail.crt ssl_key = </etc/pki/dovecot/private/mail.key
IMAPSでのアクセスが可能になったら、10-auth.confのdisable_plaintext_authはyesに戻してもよいかもしれません。最後にiptablesでimapの143を閉じて変わりにimapsの993をあけたら完了です。
また、当然ながらオレオレ証明書の場合はメールソフト側で警告が出ます。
さらにdovecotの設定ファイルでは認証にクライアント認証を使うこともできるようですが、Thunderbirdでクライアント認証を使う方法が分からないので今回は保留とします。Thunderbirdの認証方式の設定でTLS証明書というのがそれっぽく見えますが、証明書も指定できないしどうも違うみたいです。