ファイヤーウォール設定の確認

ここでのファイヤーウォールは、「firewalld」を使用しています。
今までの設定を確認してみます。

$ firewall-cmd --get-active-zones
admin
  sources: 192.168.0.0/24
public (default)
  interfaces: wlp8s0

$ sudo firewall-cmd --list-all --zone=public | grep services
  services: dhcpv6-client http https
$ sudo firewall-cmd --list-all --zone=admin | grep services
  services: dhcpv6-client http https ssh

「https」の許可は完了しています。

sslモジュールを有効化

「ubuntu」では、有効なモジュールは「/etc/apache2/mods-enabled/」にシンボリックリンクとしてファイルが存在すれば、有効になっています。
私の環境では、有効になっていないようですので、「a2enmod ssl」で有効にします。

$ sudo a2enmod ssl
Considering dependency mime for ssl:
Module mime already enabled
Considering dependency socache_shmcb for ssl:
Enabling module socache_shmcb.
Enabling module ssl.
See /usr/share/doc/apache2/README.Debian.gz on how to configure SSL and create self-signed certificates.
To activate the new configuration, you need to run:
  systemctl restart apache2

$ sudo systemctl restart apache2

Certbot クライアントのインストールと証明書取得

Let’s Encrypt から証明書を取得するには、「Certbot」を利用するので、パッケージを確認してみます。

$ apt list | grep certbot
WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

certbot/noble 2.9.0-1 all
　　・
　　・
python3-certbot-apache/noble 2.9.0-1 all
　　・
　　・

パッケージの確認ができたので、インストールします

$ sudo apt update
$ sudo apt upgrade
$ sudo apt install certbot
$ sudo apt install python3-certbot-apache

インストールが完了したら、証明書をゲットします。
コマンドオプションは「certonly」「–webroot」で取得できますが、
対象のサーバでWebサーバーが動作しており、外部から８０番ポートへアクセスできる必要があります。

$ sudo certbot certonly --webroot -w /home/www/html/ -d www.hogehoge.com -d hogehoge.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices)
 (Enter 'c' to cancel): hoge@hogehoge.com <------自分のEメールアドレスを入力

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https:// letsencrypt.org/documents/LE-SA-v1.4-April-3-2024.pdf. You must agree in
order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y　<----- 利用規約を読んでください

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y  <--------- 電子フロンティア財団からEメールが届いてもいいか？
Account registered.
Requesting a certificate for www.hogehoge.com and kazuban.com
Requesting a certificate for www.hogehoge.com and kazuban.com

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/www.hogehoge.com/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/www.hogehoge.com/privkey.pem
This certificate expires on 2024-09-12.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
 * Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
 * Donating to EFF:                    https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Successfullyで取得できました。またコメントにより、
証明書ファイル：/etc/letsencrypt/live/www.hogehoge.com/fullchain.pem
鍵ファイル：/etc/letsencrypt/live/www.hogehoge.com/privkey.pem
が保存された事がわかります。
証明書の設定は「/etc/apache2/sites-available」の「default-ssl.conf」を編集し
「a2ensite default-ssl」で有効にします。

$ cd /etc/apache2/sites-available
$ sudo cp -p default-ssl.conf default-ssl.conf.org
$ sudo vi ./default-ssl.conf
<VirtualHost *:443>
        #ServerAdmin webmaster@localhost
        ServerAdmin root@hogehoge.com

        #DocumentRoot /var/www/html
        DocumentRoot /home/www/html
　　　　　　・
　　　　　　・
        #   A self-signed (snakeoil) certificate can be created by installing
        #   the ssl-cert package. See
        #   /usr/share/doc/apache2/README.Debian.gz for more info.
        #   If both key and certificate are stored in the same file, only the
        #   SSLCertificateFile directive is needed.
        #SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem
        #SSLCertificateKeyFile   /etc/ssl/private/ssl-cert-snakeoil.key
        SSLCertificateFile  /etc/letsencrypt/live/www.hogehoge.com/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/www.hogehoge.com/privkey.pem
　　　　　　・
　　　　　　・
</VirtualHost>

$ sudo a2ensite default-ssl

PHPのインストール

インストール

$ sudo apt install php
$ sudo apt install php-fpm
$ php -v
PHP 8.3.6 (cli) (built: Apr 15 2024 19:21:47) (NTS)
Copyright (c) The PHP Group
Zend Engine v4.3.6, Copyright (c) Zend Technologies
    with Zend OPcache v8.3.6, Copyright (c), by Zend Technologies

WordPressサイトを参考に拡張モジュールをインストールします
パッケージ管理が違うので、すでに違うパッケージでインストール済みだったり
パッケージ名が見つからない場合がありましたが、とりあえず、このまま進みます

インストール済み
$ sudo apt install php-exif
$ sudo apt install php-fileinfo
$ sudo apt install php-opcache
$ sudo apt install php-iconv
$ sudo apt install php-ftp
$ sudo apt install php-sockets
$ sudo apt install php-shmop

インストール実行
$ sudo apt install php-curl
$ sudo apt install php-dom
$ sudo apt install php-mbstring
$ sudo apt install php-xml
$ sudo apt install php-igbinary
$ sudo apt install  php-intl
$ sudo apt install php-imagick
$ sudo apt install php-zip
$ sudo apt install php-redis
$ sudo apt install php-ssh2

パッケージが見つかりません
$ sudo apt install php-hash
$ sudo apt install php-openssl
$ sudo apt install php-pcre
$ sudo apt install php-filter
$ sudo apt install php-bc
$ sudo apt install php-image

fpm版のphpインストールと切り替え

ApcheのMPMは、「preforkMPM」「workerMPM」「eventMPM」の３種類あるようですが
Apache2.4系から導入されたのが「eventMPM」で、CPUとメモリの使用量が少ないようです。
「centos」ではデフォルトで「eventMPM」になっていますが、「Ubuntu」は「preforkMPM」がデフォルトのようなので、下記サイトを参考に「eventMPM」に切り替えたいと思います。
https://qiita.com/Nelson605/items/e3a8d10c1415dd0c5c0b
https://doudonn.com/saba/2491

$ sudo apt install php8.3-fpm
$ sudo a2enmod proxy_fcgi setenvif
$ sudo a2enconf php8.3-fpm
$ sudo a2dismod php8.3
$ sudo systemctl restart apache2

$ sudo a2dismod mpm_prefork
$ sudo a2enmod mpm_event
$ sudo systemctl restart apache2
$ sudo systemctl restart php8.3-fpm

php-fpm設定ファイルの変更

php-fpmの設定は「/etc/php/8.3/fpm/pool.d/www.conf」で行います。
php-fpmを動作させるユーザーとグループについては、Apache側での設定に合わせる必要があります。また、listenオーナーとlistenグループも、Apacheに合わせます。
バックアップ後編集していきます。

$ sudo cp -p www.conf www.conf.org
$ sudo vi /etc/php/8.3/fpm/pool.d/www.conf
　　・
　　・
;user = www-data
;group = www-data
user = apache
group = apache
　　・
;listen.owner = www-data
;listen.group = www-data
listen.owner = apache
listen.group = apache
　　・
　　・

HTTP/2を利用する。
eventMPMモジュールとhttp2モジュールを有効

SSLサーバー証明書がとれたので、HTTP/2も利用したいと思います
有効なモジュールは「apachectl -M」で確認できます。
「mpm_event_module」は有効になっていましたが、「http2_module」はなっていなかったので有効にします。
「a2enmod http2」で有効にし、「apache2」を再起動後、「apachectl -M」で再確認します

$ sudo a2enmod http2
$ sudo  systemctl restart apache2

$ apachectl -M | grep http2
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
 http2_module (shared)

「http2」は有効になりましたが、エラーがでました。
「VirtualHost *:80」に設定したからいいと思っていましたが、メインにも設定した方がよさそうです
「/etc/apache2/apache2.conf」にも設定を追加しました
「apache2ctl configtest」で確認し、OKだったので、再起動するとエラーは消えました。

$ sudo vi /etc/apache2/apache2.conf
　　・
　　・
ServerName www.hogehoge.com
　　・
$ sudo apache2ctl configtest
Syntax OK
$ sudo  systemctl restart apache2
$ apachectl -M | grep http2
 http2_module (shared)

http2通信の確認

Google Chrome での確認方法を紹介します。
・アドレスバーにサイトのURLを入力し表示させる。
・「F12」キーを押す。
・「Ctrl」＋「R」で再読み込み
・「Network」「Protocol」・「h2」で確認

php.iniの設定

このサイトでも「RockyLinux9」での設定を説明していますが、同様に設定したいと思います。
「ubuntu」での設定は、「/etc/php/8.3/fpm/php.ini」で行います。
念のためバックアップを取り、編集します。

$ sudo cp -p /etc/php/8.3/fpm/php.ini /etc/php/8.3/fpm/php.ini.org
$ sudo vi /etc/php/8.3/fpm/php.ini

expose_php = Off

;post_max_size = 8M
post_max_size = 128M

;upload_max_filesize = 2M
upload_max_filesize = 128M

;date.timezone =
date.timezone = "Asia/Tokyo"

;mbstring.language = Japanese
mbstring.language = Japanese

;mbstring.internal_encoding =
mbstring.internal_encoding = UTF-8

;mbstring.http_input =
mbstring.http_input = UTF-8

;mbstring.http_output =
mbstring.http_output = pass

;mbstring.encoding_translation = Off
mbstring.encoding_translation = On

;mbstring.detect_order = auto
mbstring.detect_order = auto

;mbstring.substitute_character = none
mbstring.substitute_character = none

$ sudo systemctl restart php8.3-fpm
$ sudo systemctl restart apache2
$ sudo systemctl is-enabled php8.3-fpm.service 
enabled

Webブラウザで確認

PHP設定の情報を出力させるコマンド「phpinfo()」を実行させるファイル「index.php」を作成します

$ cd /home/www/html
$ su
パスワード: 
# echo '<?php phpinfo(); ?>' > index.php

「index.php」ファイルが作成されたら、Webブラウザのアドレスバーから確認できます。

「index.php」は、確認が終了したら、必ず削除しましょう。

MariaDBのインストールと設定

「ubuntu」での「MariaDB」パッケージを確認してみます。

$ apt list mariadb*
一覧表示... 完了
　　・
　　・
mariadb-server/noble-updates,noble-security 1:10.11.8-0ubuntu0.24.04.1 amd64
　　・

インストール

提供されているので、インストールします。

$ sudo apt update
$ sudo apt upgrade
$ sudo apt install mariadb-server
・

$ systemctl status mariadb　
● mariadb.service - MariaDB 10.11.8 database server
     Loaded: loaded (/usr/lib/systemd/system/mariadb.service; enabled; preset: enabled)
     Active: active (running) since Sat 2024-06-22 08:54:42 JST; 7min ago
$ sudo systemctl is-enabled mariadb
enabled

自動的に起動と自動起動設定も完了していました。

基本的なセキュリティ設定

「mysql_secure_installation」で設定します。

# mysql_secure_installation
・
Enter current password for root (enter for none): <-- パスワード入力だけど
OK, successfully used password, moving on...           設定していない場合は「Enter」
・
・                                           
Switch to unix_socket authentication [Y/n] n <--- 「unix_socket」認証に切り替えるか？
・
・
Change the root password? [Y/n] Y <---- MariaDBのrootユーザに変更するか
・
New password:               <---- パスワード入力
Re-enter new password:      <---- パスワード入力
Password updated successfully!
・
・
By default, a MariaDB installation has an anonymous user, allowing anyone
Remove anonymous users? [Y/n] Y     <----- ログインできる匿名ユーザーを削除するか？
 ... Success!
・
Disallow root login remotely? [Y/n] Y  <-- リモートからのrootログイン不許可？
 ... Success!
・
Remove test database and access to it? [Y/n] Y  <-- 「test」データベースの削除？
・
 ... Success!
・
Reload privilege tables now? [Y/n] Y  <---- 設定した特権テーブルを反映させるか？
 ... Success!
・
・
Thanks for using MariaDB!

文字コードの設定

文字コードを「utf8mb4」に設定します。
「CentOS」系では「/etc/my.cnf.d/mariadb-server.cnf」を編集しましたが、
「ubuntu」では、このファイルは見つかりません。
探してみると、「server」用と「client」用の２種類で設定するようです
・/etc/mysql/mariadb.conf.d/50-server.cnf
・/etc/mysql/mariadb.conf.d/50-client.cnf
いつものように、バックアップして編集しますが、「50-server.cnf」はデフォルトで「utf8mb4」に設定されていたのでそのまま使用し「50-client.cnf」のみ編集します。

$ cd /etc/mysql/mariadb.conf.d/
$ sudo cp -p 50-client.cnf 50-client.cnf.org
$ sudo vi ./50-client.cnf
　　・
　　・
[client-mariadb]
# ---- 2024/06/23 add
default-character-set = utf8mb4   <------- 追加
　　・
$ sudo systemctl restart mariadb
$ sudo systemctl status mariadb

確認してみます

$ mysql -u root -p
Enter password:       <------ root パスワード入力
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 31
Server version: 10.11.8-MariaDB-0ubuntu0.24.04.1 Ubuntu 24.04

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> show variables like "chara%";
+--------------------------+----------------------------+
| Variable_name            | Value                      |
+--------------------------+----------------------------+
| character_set_client     | utf8mb4                    |
| character_set_connection | utf8mb4                    |
| character_set_database   | utf8mb4                    |
| character_set_filesystem | binary                     |
| character_set_results    | utf8mb4                    |
| character_set_server     | utf8mb4                    |
| character_set_system     | utf8mb3                    |
| character_sets_dir       | /usr/share/mysql/charsets/ |
+--------------------------+----------------------------+
8 rows in set (0.004 sec)

MariaDB [(none)]> quit
Bye

「RockyLinux9」で設定した時は、システム再起動しないと反映されませんでしたが、今回はすぐに反映されていました。
ここまでで、「WordPress」を動作させる環境が整いました。
次回、「WordPress」を動作させます。

Ubuntu24.04LTSでWordPressを構築する記事一覧

インストール・SSH・ファイヤーウォール

Apache2のインストールと設定

SSL、PHP、MariaDB、Let’s Encrypt証明書でhttps化

WordPress インストール、バックアップと復元

いつものように、こちらを参考にさせていただきました

https://www.rem-system.com/mail-postfix03/

メールサーバ用の証明書発行

ホスト名でIPアドレスを解決できるかの確認

https化の時にも書きましたが、ホスト名でのアクセスが必要です
「host」コマンドで、ホスト名でIPアドレスが表示されるか確認してみます
IPアドレスが表示されればOK！

$ host mail.hogehoge.com
 mail.hogehoge.com has address 12.123.45.6

ファイヤウォールの確認

「firewall-cmd –list-all」コマンドで現状の設定を確認します
http と https が許可されていない場合には、許可が必要です

$ sudo firewall-cmd --list-all
 public (active)
   target: default
   icmp-block-inversion: no
   interfaces: wlp8s0
   sources:
   services: ssh dhcpv6-client http https smtp smtp-submission pop3 imap
   ports:
   protocols:
   masquerade: no
   forward-ports:
   source-ports:
   icmp-blocks:
   rich rules:


 　　　//http と　https が許可されていない場合には追加する
 $ sudo firewall-cmd --add-service={http,https} --permanent
 $ sudo firewall-cmd --reload

メールサーバー証明書を作成

前回までにすでに、certbot を導入し、WebサーバーについてはSSL化は終了しています。

HTTPS化

今回の自宅サーバーの再構築は、自宅サイトの「https」化ですやっとここまでたどりつきましたまたしても、こちらのサイトを参考にさせていただきました今回も流れはこのサイトに則って作業しますが、自分の環境に合わせて覚書きとして書き残しておきたいと思いますホスト名でのアクセスが必要http の場合は、IP...

www.kazuban.com

2019.07.19

この時には、「webroot」プラグインを使用しましたが、今回は参考サイトによると「standalone」を使用しているので、同様にやってみようと思います

# certbot certonly --standalone -d mail.kazuban.com

ところが、
「Problem binding to port 80: Could not bind to IPv4 or IPv6.」
のエラーが出て、うまく進んでくれません
これは、standalone と webroot プラグインの動作環境が影響してしているようです。
「standalone」では、ポート80番(http)を使用するので、このサービスを止める必要があるようです。
「systemctl stop http」でhttpサービスを停止して、再度実行してみます

# systemctl stop httpd
# certbot certonly --standalone -d mail.kazuban.com

今度は無事に、「Congratulations! 」が出てくれました

証明書の自動更新設定

Let’s Encrypt の証明書の有効期限は三ヶ月なので、「cron」を使い定期的自動的に発行してもらうように設定したほうが便利です。
参考サイトを参考に、設定しようと思います。
「renew」は一度取得した証明書を自動更新してくれるコマンドです。
「–deploy-hook」は証明書の発行が終了した後に、実行するシェルコマンドを指定するオプションです。
「crontab -e」コマンドで、「cron」の自動実行設定ファイルを編集できます
「crontab -l」で確認ができます
今回は、毎日３：００に実行するように設定しようと思います
ただし、root ユーザーで実行する必要があるので、「 crontab -e 」の前にrootになる必要がります

# su
パスワード：

# crontab -e
 00 3 * * * certbot renew -q --deploy-hook "systemctl restart httpd;systemctl restart postfix dovecot"


# crontab -l
 00 3 * * * certbot renew -q --deploy-hook "systemctl restart httpd;systemctl restart postfix dovecot"

自動更新でエラー発生

自動更新は、有効期限の３０日前になると、実際の発行手続きを行うようです。
ところが、この時にエラー発生のメールが届きました。
良く考えると、webの場合には「webroot」を使い、メールの場合には「standalone」を使って証明書を発行した事が原因のようです。
「renew」コマンドは、一度発行した時のオプションを引き継ぐようなので、違うコマンドの場合には矛盾が出てきます
具体的には、「webroot」は、webサーバー(80番ポート)が動作している必要がありますが、「 standalone 」は停止していなくてはいけません。
したがって、どちらかの環境に合わせて、再度手動実行する事で更新することができました。
さらに調べてみると、「/etc/letsencrypt/renewal」ディレクトリの中に、「renew」用の設定ファイルが作成されていました。
このファイルを「webroot」もしくは「standalone」に統一することで自動更新時のエラーが回避できるかもしれません

 # renew_before_expiry = 30 days
 version = 0.36.0
 archive_dir = /etc/letsencrypt/archive/www.hogehoge.com
 cert = /etc/letsencrypt/live/www.hogehoge.com/cert.pem
 privkey = /etc/letsencrypt/live/www.hogehoge.com/privkey.pem
 chain = /etc/letsencrypt/live/www.hogehoge.com/chain.pem
 fullchain = /etc/letsencrypt/live/www.hogehoge.com/fullchain.pem
 Options used in the renewal process
 [renewalparams]
 authenticator = webroot   <----------- プラグイン
 account = aaa_______________cg
 webroot_path = /home/hogehoge/html,
 server = https://acme-v02.api.letsencrypt.org/directory
 renew_hook = systemctl restart httpd;systemctl restart postfix dovecot
 [[webroot_map]]
 hogehoge.com = /home/hogehoge/html
 www.hogehoge.com = /home/hogehoge/html

SSL/TLS設定

PostfixのSSL/TLS設定

postfixの設定は、「/etc/postfix/main.cf」「 /etc/postfix/ master.cf」で行います。
まずは、両ファイルともバックアップファイルを作成し、編集します
「main.cf」には次の項目を追加します

# cd /etc/postfix/
# cp -p ./main.cf ./main.cf.org3
# vi ./main.cf
　　・
　　・
　　・
### SSL/TLS Settings ###
smtp_tls_security_level = may
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.hogehoge.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.hogehoge.com/privkey.pem
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_received_header = yes
smtpd_tls_loglevel = 1

「master.cf」は、 コメント（#）になっている、SMTPに関する行のコメントを外して有効にします

# cp -p ./master.cf ./master.cf.org2
# vi ./master.cf
　　・
　　・
　　・
smtps     inet  n       -       n       -       -       smtpd
# -o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
-o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING

「postfix check」コマンドでエラーが出なければ、編集は完了
「systemctl restart postfix」で再起動して設定を反映
「systemctl status postfix」で「active」を確認できます
さらに、「netstat -nat」で。465 LISTEN がある事を確認します

dovecotの設定

「/etc/dovecot/conf.d/10-ssl.conf」「 /etc/dovecot/conf.d/10-master.conf」ファイルを編集します
「10-ssl.conf」では、「ssl = no」を「ssl = required」に変更し、証明書を指定します

# cd  /etc/dovecot/conf.d/ 
# cp -p 10-ssl.conf 10-ssl.conf.org2
# vi ./10-ssl.conf
　　・
　　・
 ssl = no ----変更------->  ssl = required
 # ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
 # ssl_key = </etc/pki/dovecot/private/dovecot.pem
　　・
　　・取得した証明書を指定
　　・
 ssl_cert = </etc/letsencrypt/live/mail.hogehoge.com/fullchain.pem
 ssl_key = </etc/letsencrypt/live/mail.hogehoge.com/privkey.pem

「 10-master.conf」では、iMAP/POP3 　を無効化して、IMAPS/POP3S を有効にします

# cd  /etc/dovecot/conf.d/  
# cp -p 10-master.conf 10-master.conf.org2
# vi ./10-master.conf
　　・
　　・
 service imap-login {
   inet_listener imap {
      #port = 143
      port = 0
   }
   inet_listener imaps {
     port = 993
     ssl = yes
   }
　　　・
　　　・
 service pop3-login {
     #port = 110
   inet_listener pop3 {
     port = 0
   }
   inet_listener pop3s {
     port = 995
     ssl = yes
   }
 }

「dovecot」を再起動し確認します

$ sudo systemctl restart dovecot
$ sudo systemctl status dovecot
$ netstat -nat

ファイアウォールの設定

「firewall-cmd」コマンドで、サービスの追加、再起動、確認を行います

$ sudo firewall-cmd --add-service={smtps,imaps,pop3s} --permanent
success

$ sudo firewall-cmd --reload
success

$ sudo firewall-cmd --list-all
 public (active)
   target: default
   icmp-block-inversion: no
   interfaces: wlp8s0
   sources:
   services: ssh dhcpv6-client http https smtp smtp-submission pop3 imap  smtps imaps pop3s
   ports:
   protocols:
   masquerade: no
   forward-ports:
   source-ports:
   icmp-blocks:
   rich rules:

自宅ルータの設定

これで設定完了ですが、外部のメーラから送受信のテストをするとうまくいきませんでした。
よくわかりませんが、自宅ルータのポートフォワード設定で、143と25をサーバーに通してあげたら、受信できるようになりました。

自宅でWordPressを動かそう！