15-6. メ−ルサ−バ・システム `22/03 (1) メ−ルサ−バの最近の動向 * 商用 Sendmail の利用 `21/06 の資料から メ−ルサ−バの sendmail、 できればフリ−ソフトでない方の商用版を使うようにした方 がそろそろいいのでないか。"NetWorld+Interop 2001 TOKYO" でちょうど日本語化したば かりで、国内で発売を開始するところだと言っていた。 扱いはトランス コスモス(株)で ある。本書のような メ−ルゲ−トウェイ <--> メ−ルサ−バ という中継構成もできると その時係員の人はいっていた。その後説明資料を送ってきて、それにはこうした中継構成 の方が望ましいと書いてあった。 http://www.trans-cosmos.co.jp/prod_f/sendmail/ か ら Sendmail 製品評価版をダウンロ−ドできる。ともかく本書構成で必要なのは、 Relay サ−バの Sendmail Single Switch、Store サ−バの Sendmail Advanced Message Server である。費用は最低のライセンスの500アカウント用で、初年度約100万円、2年目 からのは保守で 25.4 万円である。商用は大文字で Sendmail と区別するようである。 □ router ■ Relay サ−バ | | Sendmail Single Switch 2.1J ( MTA ) ------------------ | FireWall □ ■ Store サ−バ | | Sendmail Advanced Message Server ( POP3/IMAP ) ------------------ Sendmail Mobile Message Server ( Web Mail ) ・Sendmail Single Switch 2.1J, TierI 69.8(価格)/17.5(保守)万円 sendmail 8.11 をベ−スに強化されている。SMTP のみ対応。OSは Solaris、Linux 各種、Windows NT/2000 などに対応。21/06/01〜08/31まで 39.8万円でキャンペ−ン。 ・Sendmail Switch Attachment Filter, TierI 108.0/28.0 万円 ライセンスキ−のみ、機能は Sendmail Single Switch に入っている。件名の文字列 マッチングをしてSPAMも少し防止できる。 ・Sendmail Advanced Message Server ( 500 Mailboxes ) 30.4/7.9 万円 SMTP + POP3/IMAP4 対応サ−バ。対応OSは Solaris、Red Hat Linux 6.2 など。 ・Sendmail Mobile Message Server ( 500 Mailboxes ) 10.1/2.6 万円 Web Mail サ−バ。i-mode/EZweb/J-SKY 対応。Advanced と一緒に購入すること。 ・Sendmail Multi Switch 複数の Sendmail Single Switch サ−バを1ヵ所から管理できる。大規模ネット向け。 その他カタログから。設定はWWW画面からできる。サ−バの監視、ログ監視もWWW画 面で見える。ユ−ザアカウントの管理もWWW画面でできる。SMTP ユ−ザ認証、 TLS に よる暗号化、LDAP 対応。InterScan VirusWall と連携できる。 名前空間が完全に独立し たマルチドメイン、マルチユ−ザアカウントに対応。tomo@sample.com と tomo@test.org のユ−ザを、1台のホストで管理できる。Berkeley hash 構造の独自DBにて、複数ドメ インをサポ−トする。独自DB形式のため、アカウント名前空間は独立していて、1台の サ−バで重複ユ−ザの設定が可能になっている。1メッセ−ジ1ファイル+Index ファイ ル、キャッシュファイル。高速にメ−ルスプ−ルのディレクトリにアクセスできる。10 万人程度までのアカウント対応。マルチスレッドで同時接続ユ−ザの数も多くできる。 * その他市販メ−ルサ−バ&アプライアンス ・Mirapoint ミラポイント http://www.mirapoint.com/jp/ 世界初 e-mail 専用サ−バ・アプライアンス。約500万円から。POP/IMAP/Webメ− ル/WAP/iモ−ド/XML。トレンドマイクロによる AntiVirus 機能。AntiSpam 機能など。 OSは FreeBSD、ディスクは RAID 5、LDAP と同期。ユ−ザでメ−リングリスト開設、 メンテが容易とのこと。1998/12 末からアメリカで発売開始。1999/12 からCTCが 国内で販売開始。2000/04 日本法人設立。2001/03 に Message Director, Directory Server 発表。i-mode Direct 2002/10 から販売予定。大規模ユ−ザ向け製品である。 ・iPlanet Messaging Server http://ja.iplanet.com/ iPlanet シリ−ズのメ−ルサ−バのソフト。元は Netscape Messaging Server とSun の Internet Mail Server が一緒になった製品である。バ−ジョン 5.0 が2001/05末 から出ている。対応OSは Sun Solaris 2.6,8 に Windows NT 4.0 など。100クライ アントで 38.5 万円から。LDAP対応, SSL/TLS, APOP 認証, WebMail, IMAP4, スパム 防止機能, 仮想ドメイン, メ−リングリスト開設など。 他の製品に Directory, Web, Proxy, デジタルID発行管理する Certificate Management System などがある。 ・HDE Linux Controller http://www.hde.co.jp/ (株)ホライゾン・デジタル・エンタ−プライズ。バ−チャルドメインのWWW、メ− ルサ−バの設定ソフト。iDC 向けと言うことで、最近よく目につく。メ−ルサ−バは qmail を使用。2001/07/27 発売。Version 2.4 ISP Edition は 12.8 万円。 `25/08 再度見てみた。WWW画面でおよそインタ−ネットのサ−バに必要なことは何でもで きる。Webmin、Usermin に類する製品。HDE Controller 4 Linux版 ISP Edition、サ ポ−ト3年付きの場合 194,880 円。他たくさん製品がある。 * これまでの WIDE Project の CF ツ−ルと今後の sendmail.cf 作成 98年9月の CF-3.7Wpl2 で、開発およびメンテナンスはとまり、sendmail 8.10.0 以降 に対応してない。つまり 8.10 で入ったユ−ザ認証の SMTP AUTH 機能、8.11 で入った暗 号化機能には CF ツ−ルでは、もはや対応できないということである。ただし、これら新 しい sendmail でも、SMTP AUTH や暗号化を使わないのであれば、それ以外の互換性は崩 れていないので使用は可能である。 しかし、今後は sendmail 自体の sendmail.cf 作成 ツ−ルを使っていくことになるだろう。万能 sendmail.cf 作成の元にもなった、m4 ファ イル形式による作成方法である。ここ何ヶ月か、この制御ファイルの書き方を見ているの だが、何とも分かりにくい。インタ−ネットで断片的に資料を集め、見ているせいか。一 度ちゃんと整理する必要がある。商用の Sendmail では、Web画面を使って簡単に作成 できるとか。お試しで Sendmail はダウンロ−ドできるので、それも参考にするといい。 * sendmail の最新機能など cf による sendmail.cf の設定 ・ユ−ザ認証 define(`confAUTH_MECHANISMS',`PLAIN CRAM-MD5 DIGEST-MD5')dnl SMTP( Service Extension for Authentication, RFC2554 )。 SMTP AUTH ユ−ザ認証。 sendmail 8.10.x から対応する。Cyrus SASL ライブラリを使う。Netscape は PLAIN のみ、Outlook Express は LOGIN にのみ対応する。 これらはパスワ−ドは平文で流 れる。Becky! Ver.2 は PLAIN/LOGIN/CRAM-MD5 に対応、シェアウェア 4,000 円。 ・暗号化 define(`confSERVER_CERT',`CERT_DIR/cert.pem')dnl など STARTTLS( SMTP Service Extension for secure SMTP over TLS )。sendmail 8.11.x から対応した。OpenSSLパッケ−ジを組み込み、TLS( Transport Layer Security )で 暗号化する。メ−ルの発信、受信の双方のメ−ルサ−バが暗号化対応していると、そ の間が暗号化される。パソコンのメ−ルソフトからの発信とメ−ルストア間も同様。 ・ユ−ザ制限 FEATURE( blacklist_recipents ) 自サイトの特定ユ−ザへのメ−ルを受け付けないようにする。 /etc/mail/access フ ァイルに、例えば "katou@nix.co.jj ERROR:550 dame" と書いておくと、katou 宛の メ−ルは届かなくなる。ただのユ−ザ名 katou、またはホスト名 hostX.nix.co.jjと いうのでも有効である。ホスト名では /etc/hosts にIPアドレスを記しておくこと。 ・SPAM対策 FEATURE( dnsbl ) デフォルトのブラックリストは relays.ordb.org SPAMのブラックリストのデ−タベ−スを使う。8.9.x までは FEATURE( rbl ) の 定義だった。メ−ルサ−バは来たメ−ルが、ブラックリストに載っていれば、メ−ル を受け付けない。幾つでもブラックリストを参照できる。引き数2番目にブラックリ ストのあるサイト名を記す。3番目の引き数はコメントになる。 FEATURE( `dnsbl',`relays.ordb.org',`Rejected - see http://ordb.org' )dnl ・受信制限 FEATURE( accept_unresolvable_domain,ON ) 発信元ドメインを "MAIL FROM:" からとり、実際にそのドメインがあるか DNSを検索 する。DNS になければ受け取らない。Cobalt Qube3 のデフォルトの sendmail.cf も そうなっていた。実インタ−ネットの世界では、やって来たメ−ルはどこかのドメイ ンに属していて、JPRS など公的な DNS に登録されているのが正常なはずである。 ・最大サイズ define(`confMAX_MESSAGE_SIZE',`inifinite')dnl これはメ−ルのサイズが無制限の場合。この記述をしなかった場合も、どうやら無制 限みたいである。1000 と入れたら 1000 byte になる。ただしメ−ルを分割して送れ ば、この制限はひっかからなくなる。気軽に PowerPoint や Excelなどのでかいファ イルを添付できないように、1メガ位に制限するのが運用上、実際的かも知れない。 ・その他 define(`confPRIVACY_FLAGS',`goaway')dnl、SMTP の VRFY コマンドなどが効かない ようにする。そのようにした方がいいだろう。FEATURE( relay_based_on_MX )、これ は複数ドメインのメ−ルを受ける場合などに便利な機能だが、明示的に access ファ イルで、例えば nix.co.jj と nix.com 宛のメ−ルは受けるとした方がいいだろう。 * 商用 Sendmail の利用の続き `27/12 Mailstream Flow Control。http://www.sendmail.co.jp/ の抜粋、DoS/DDoS攻撃、アドレ スハ−ベスティングなどの脅威から、メ−ルシステムを守る。特定のホストからの異常な 接続を察知して、自動的に拒否、遅延、接続数の制限などを行なう。 Mailstream Switch MTA および Mailcenter Store と統合して、Web画面でメ−ルのユ−ザ情報、メ−ルの 送信情報を管理できる。http://www.sendmail.co.jp/ ここの"用語集" は現状のメ−ルに まつわる問題などがよくまとまっている。しかしこの商用 sendmail とオ−プンソ−スの 違いが分かるSI業者はいるのか。またそもそも、商用 sendmail をちゃんと設定できる 業者はいるのだろうか。流量制限などの高度な設定はGUIなら簡単という訳ではない。 (2) 部門用メ−ルストアの設置 * ユ−ザ数の増加に対処する ユ−ザが100とか200人とかなったら。 そして全員が POP で5分間隔でメ−ルスト アの POP3 サ−バにアクセスするとしたら。このホストはだいじょうぶか。とりあえずは top や ntop コマンドなどで負荷の状態をみてみる。多分、対策としては POP3 サ−バを inetd 起動から、常時稼働化に持っていくのがいいのでないか。その次に考えられるのが メ−ルストアを分離して、POP3アクセスを分散させることである。ちなみに、小生のとこ では今、SPARCstation 5, Solaris 2.6, メモリ 128 Mbyte, ディスク 2 Gbyte のマシン。 inetd はそのまま、InterScan も稼働。POP ユ−ザ数は約200人で、POP アクセス間隔 10分で運用しているが、これまでのところ、これで別に問題は起きていない。 inetd で処理できるプロセスの数を増やす。 ↓ POP3 サ−バをデ−モン モ−ドにする。 ↓ 部門用メ−ルストアと POP3 サ−バを設置する。 メ−ルストアを大きくは、部門毎に設ける。そこの人らは、そのメ−ルストアの POP3 サ −バにアクセスするのである。例えば次のように、元のメ−ルストアのホストで設定する。 user1, user2 の人は bumon1 というホストに POP & SMTP アクセスする。 これで POP3 サ−バを分けて負荷を分散できることになる。従来は、こうしたことをするにはサブドメ インにして、サブドメイン単位でメ−ルストアを持つということだった。よい子では内部 ネットワ−クはドメインによる DNS 管理はしてないので、それはできない。 □メ−ル /etc/aliases /etc/hosts 部門用 メ− |リレ− -------------------- ------------------- メ−ル ルス --------------- |user1: user1@bumon1 |192.168.1.5 bumon1 ストア トア | |user2: user2@bumon1 |192.168.2.7 bumon2 □ <--- □ □ FireWall-1 |user3: user3@bumon2 | |.10 |.1 | |user4: user4@bumon2 ---------------------------------- bumon1 hostB 192.168.1.0 ( Qube3 ) * Cobalt Qube3 を使うとどうなるか Webメ−ルの設定とほとんど一緒である。メ−ルをどこへ転送するかということである。 ユ−ザ tomo さんと hana さんがいて、ちょっと離れた工場にいるとしよう。tomoさんと hana さんは、メ−ルを送るのも取るのも、 その工場に設置したメ−ルストアに対してア クセスする。tomo さんから hana さんにメ−ルを送るには、 いったん本社のメ−ルスト アに来て、また工場のメ−ルストアに戻っていくことになる。一見無駄な動きのように思 えるが、それでいい。社内間のメ−ルといえども、ウィルスチェックは必要である。この ために本社のメ−ルストアでウィルスチェックができる。工場設置のメ−ルストアに、ウ ィルスチェックのソフトを買って入れるというわけにはいかない。ただ、ウィルスチェッ クということがなければ、でかいファイルのメ−ルをやりとりするような場合、その工場 内で処理できれば、電話回線などの資源節約にはなる。 [ Qube3 の設定 ] qub3# hostname qub3.nix.co.jj /etc/resolv.conf /etc/host.conf ----------------------------- ------------------ |# Auto-generated file. |order hosts, bind |nameserver 202.241.128.3 |multi on |search nix.co.jj |domain nix.co.jj |#END of auto-generated code. /etc/hosts ---------------------------------------------- |# Auto-generated file. |127.0.0.1 localhost localhost.localdomain |192.168.1.10 qub3.nix.co.jj qub3 |#END of auto-generated code. |192.168.1.1 hostB << hostB を追加してある。 qub3# /etc/rc.d/rc2.d/S80sendmail stop << sendmail を停止、起動する。 qub3# /etc/rc.d/rc2.d/S80sendmail start << qub3# grep hostB /etc/mail/*.cf DShostB.nix.co.jj << Qube3 のメ−ル設定画面の[スマ−トリレ−サ−バ]で指定。 /etc/mail/access /etc/mail/local-host-names /etc/mail/aliases ------------------------------ ------------------------------ ----------------- |# Cobalt Access Section Begin |# Cobalt System Section Begin | | |nix.co.jj RELAY |qub3.nix.co.jj |tomo: tomo |192.168.1 RELAY |# Cobalt System Section End |hana: hana |# Cobalt Access Section End [ hostB の設定 ] /etc/aliases << # newaliases をやること。 ---------------- | | |tomo:tomo@qub3 << これら追加のこと。 tomo@qub3.nix.co.jj と言う名前にす |hana:hana@qub3 << るとダメ。なかなか設定は微妙である。 /etc/hosts -------------------------------------- |127.0.0.1 localhost |192.168.1.1 hostB hostB.nix.co.jj |202.241.128.3 hostA |192.168.1.10 qub3 << 追加のこと。 hostB# /usr/ucb/Mail -v tomo@nix.co.jj Qube3 の sendmail は DNSを見るタイプ Subject: 111 のである。 Qube3 で /etc/resolv.conf 222 でネ−ムサ−バのIPアドレスは書いて . おかないといけない。 送信終了 # tomo@nix.co.jj... aliased to tomo@qub3 tomo@qub3... Connecting to qub3.nix.co.jj via tcp... 220 qub3.nix.co.jj ESMTP Sendmail 8.10.2/8.10.2; Fri, 15 Mar 2002 13:00:44 +0900 >>> EHLO hostB.nix.co.jj 250-qub3.nix.co.jj Hello hostB [192.168.1.1], pleased to meet you 250-ENHANCEDSTATUSCODES 250-8BITMIME 250-SIZE ※EHLO( Extended Hello ), 拡張 SMTP。 250-DSN 250-ONEX 250-ETRN 250-XUSR 250-AUTH PLAIN CRAM-MD5 250 HELP >>> MAIL From: SIZE=62 250 2.1.0 ... Sender ok >>> RCPT To: # 250 2.1.5 ... Recipient ok >>> DATA 354 Enter mail, end with "." on a line by itself >>> . 250 2.0.0 g2F40ib17354 Message accepted for delivery tomo@qub3... Sent (2.0.0 g2F40ib17354 Message accepted for delivery) Closing connection to qub3.nix.co.jj >>> QUIT 221 2.0.0 qub3.nix.co.jj closing connection (3) sendmail のリレ−制限とユ−ザ認証 * メ−ル配送の中継の制限 << sendmail 純正 sendmail.cf 作成ツ−ル "cf" より >> 再び Cobalt の電子メ−ルの管理画面に登場願う -------------------------------------------------- |電子メ−ルサ−バの設定 |================================================= |スマ−トリレ−サ−バ [ hostA.nix.co.jj ] << ル−ル1。 |------------------------------------------------- |電子メ−ルのリレ−を許可する [ 192.9.9.9 ] << ル−ル2。 |ホスト/ドメイン/IPアドレス |------------------------------------------------- |これらのホスト/ドメイン宛の [ ] << ここ例えば nix.co.jj と記 |電子メ−ルを受信する 入すると local-host-names |------------------------------------------------- に nix.co.jj が追加される。 |これらのホスト/ドメインから [ waruiko.domain ] << ル−ル3。 |の電子メ−ルの受信を拒否する |------------------------------------------------- |これらのユ−ザからのメ−ルの [ ikken@tcpip.jj ] << ル−ル4。 |受信を拒否する -------------------------------------------------- a) define(`SMART_HOST',`hostA.nix.co.jj') << ル−ル1。 メ−ルストアからメ−ルリレ− hostA.nix.co.jj のホストへメ−ルを送る。 IPア ドレスでもいい。Cobalt の画面では、ホスト名でないとだめだった。 この設定は部 門用メ−ルストアから主メ−ルストアへメ−ルを送るのにも使う。 /etc/mail/sendmail.cf ---------------------- | | |DShostA.nix.co.jj | | b) FEATURE(`mailertable',`hash -o /etc/mail/mailertable')dnl メ−ルリレ−からメ−ルストアのホストへメ−ルを送る。メ−ルリレ−のホストで使 用する。自分とこのドメイン、nix.co.jj 宛のメ−ルは、192.168.1.1 ホストヘその まま送る。DNS は関係しない、IPアドレスまたはホスト名により直接メ−ルを送る。 /etc/mail/mailertable ------------------------------ |nix.co.jj smtp:[192.168.1.1] c) FEATURE(`access_db',`hash -o /etc/mail/access')dnl /etc/mail/access -------------------------------------------------------- |waruiko.domain 550 Mail rejected due to possible SPAM << ル−ル3。 |ikken@tcpip.jj 550 Mail rejected due to possible SPAM << ル−ル4。 |192.9.9.9 RELAY << ル−ル2。 |nix.co.jj RELAY << これら2つは Qube3の設定画面 |192.168.1 RELAY << で、何もしなくてもできていた。 どこどこからのメ−ルを中継したり、拒否したりする設定である。このファイルをい じったら # makemap hash access < access とやっておくこと。Qube3 では画面操作 で勝手にやってくれている。access ファイルは、sendmail 8.9.x から入ったという 中継制御のファイルである。 それまでは中継制限をするのは relay-domains だけだ った。access は relay-domains より細かな設定ができるようになっている。 MTA or MUA MTA ikken@tcpip.jj 550 .. の設定により、送信者に □ ----> □ access "Mail rejected ..." を返し、メ−ルを受け付け | | ない。ikken@tcpip.jj REJECT とすると "Access ---------------------------- denied"を返し、メ−ルを受け付けない。DISCARD ikken@tcpip.jj katou@nix.co.jj にすると何も返事をせずに、メ−ルを破棄する。 d) define(`confCR_FILE',`/etc/mail/relay-domains') /etc/mail/relay-domains Cobalt Qube3には、デフォルトではこの制御ファ ------------------------ イルは無かった。accessファイル一本で、中継制 |192.168.1 限のル−ルを記述した方がいいのでないか。その |henomohe.co.jj 方が分かり易いし、小生はそうするつもりである。 e) define(`confCW_FILE',`/etc/mail/local-host-names')dnl /etc/mail/local-host-names xxx@nix.co.jj 宛のメ−ルを受ける。このファイ --------------------------- ルを置いたホストに、メ−ルボックスがある。ユ |nix.co.jj −ザは、このホストから直接メ−ルを引き出すか、 他ホストから POPアクセスしてメ−ルを取り出す。 f) define(`confAUTH_MECHANISMS',`LOGIN PLAIN CRAM-MD5 DIGEST-MD5')dnl メ−ルサ−バが SMTP AUTH 認証をするようになっていて、 メ−ルクライアントもユ −ザ認証に対応していれば、先ずユ−ザを認証しようとする。それで認証がOKとな ればメ−ルサ−バはメ−ルを中継する。そこで認証が失敗した。あるいはメ−ルクラ イアントが、認証機能はあってもメ−ルサ−バが認証できる方法でなかった。はたま た、そもそも認証機能がメ−ルクライアントになかった。このような場合 access や relay-domains ファイルで制限にかからなければ、メ−ルを中継してしまう。つまり メ−ルサ−バは、極力メ−ルを通そうとするようになっている。注意したい。小生こ の動きが最初分からなくてかなりとまどった。このため、もしユ−ザ認証をちゃんと 実行したいのなら、access と relay-domains でいっさいメ−ルの中継はできないよ うに設定した方がいいということである * メ−ルサ−バへの制限適用の絵 メ−ルリレ− SPAM対策 : ------- /etc/mail/mailertable : |hostA| /etc/mail/access □ Router ------- | | DNS1次, sendmail-BIND ----------*----------*--------- | ユ−ザ認証 ------- ------- define( `SMART_HOST',`hostA' ) |hostG| メ−ルストア |hostB| /etc/mail/local-host-names ------- ------- | | sendmail-HOSTS, POP3 デ−モン ----------*-----------------------*-------- ユ−ザ認証は、やるとすればメ−ルストアでである。メ−ルリレ−でやる必要はない。社 内のユ−ザといえども、これからはちゃんとメ−ルを出す本人を確認することが必要にな るだろう。メ−ルリレ−で認証する場合というのは、自社の社員が外からメ−ルクライア ントで、このメ−ルリレ−にアクセスし、その社員を認証して、メ−ルをどこかに送る場 合である。よい子では、そうした場合はWebメ−ルを使うことを考えている。メ−ルリ レ−のホストの安全性は非常に重要である。 またその後、注意深く SMTP AUTH の動作を 見たところ、このユ−ザ認証というのは、MUA -> MTA で働くのであって、 MTA 同士では 無視されることが確認できた。考えてみれば当然、 メ−ルを送る相手 MTA が SMTP AUTH 対応で、自分とこはそうでない場合、メ−ルが送れないかといえば、そんなことはない。 * SMTP AUTH 認証の確認 □ メ−ルリレ− 部門用メ− | Windows ルストア。 メ−ル INDY --------------- Netscape 認証の設定 ストア Zmail | □ ---> □ ---> □ ---> □ □ FireWall-1 | |.10 |.1 | | -------------------------------------------------------------- 192.168.1.0 ユ−ザ tomo qub3 hostB ユ−ザ katou Qube3 に入っている sendmail は、 最初から SMTP AUTH 認証が使えるようになっている。 telnet によりメ−ルを送信する際のメッセ−ジを見ると、 250-AUTH PLAIN CRAM-MD5 と 出ているので、Netscape Messenger が対応する PLAIN 認証はできるはずである。ここで は Netscape から Qube3 にユ−ザ tomo で、SMTP アクセスする際のユ−ザ認証を試して みる。Netscape のバ−ジョンは Netscape Communicator 4.75 である。 qub3# hostname << Qube3 の設定は上記、"(2) 部門用メ−ルストアの qub3.nix.co.jj 設置" のままである。 qub3# cd /usr/sbin qub3# ./saslpasswd tomo << 認証するユ−ザのパスワ−ドを設定する。 Password: henomohe Again (for verification): henomohe qub3# ./sasldblistusers << SMTP AUTH で認証可能なユ−ザをリストする。 user: tomo realm: qub3.nix.co.jj mech: PLAIN user: tomo realm: qub3.nix.co.jj mech: CRAM-MD5 user: tomo realm: qub3.nix.co.jj mech: DIGEST-MD5 qub3# ./saslpasswd -d tomo << ユ−ザとパスワ−ドを消去する場合。 フル指定する場合。-u の所はデフォルトで hostname の qub3.nix.co.jj をとっている。 qub3# ./saslpasswd -d tomo -u qub3.nix.co.jj qub3# ./saslpasswd saslpasswd: usage: saslpasswd [-a appname] [-p] [-c] [-d] [-u DOM] userid -p pipe mode -- no prompt, password read on stdin -c create -- ask mechs to create the account -d disable -- ask mechs to disable the account -a appname use appname as application name -u DOM use DOM for user domain qub3# ls -al /etc/sasldb -rw------- 1 root root 20480 Mar 20 15:50 /etc/sasldb /usr/lib/sasl/Sendmail.conf --------------------------- |pwcheck_method: PAM << デフォルトの状態。これを変えるのかな?。 |auto_transition: true 最初の Qube3 の設定では pwcheck_method: PAM となっている。一応メ−ルを送る時にも パスワ−ドのチェックをするということか。PAM ということは、つまり /etc/passwdファ イルなどを見るということである。これは POP のパスワ−ドになる。それに Qube3 のユ −ザ登録をすると、ついで saslpasswd も自動的に実行するようである。これにより POP と saslpasswd でのパスワ−ドは一緒ということになってしまう。 気になることがテストする前からあった。Netscape Messenger の設定項目には、 ユ−ザ 認証するしないがない。SMTP サ−バがユ−ザ認証するようになっていたら、Netscape の 方も極力ユ−ザ認証しようとするという動きなのか。Outlook Express 5.5 では、ユ−ザ 認証の項目があった。[ツ−ル]->[アカウント]->[メ−ル] の [プロパティ]->[サ−バ−] で"送信メ−ルサ−バ− □このサ−バ−は認証が必要" とチェック項目があった。 * やってみました /usr/lib/sasl/Sendmail.conf ---------------------------- |pwcheck_method: sasldb << これに変更。 この Qube3 にユ−ザ登録してない tomo という名前で、saslpasswd 登録してみた。これ は /etc/passwd ファイルが関係しないことを、先ず確認するためである。 そして Qube3 の POP サ−バは停止させておく、 POP before SMTP も働いてないとことを確認するため である。これで Windows パソコンから、 ユ−ザ tomo として Netscape Messenger から Qube3 に SMTP アクセスしてみる。つまりメ−ルを送ってみる。一番初めにメ−ルを送る 際、画面がでてきて tomo のパスワ−ドを入れよと出る。そこで saslpasswd で入れたパ スワ−ドを入れると、めでたくメ−ルを送る。パスワ−ドが違うと何べんでも画面がでて くる。いったんパスワ−ドを受け付けると、パソコンの電源が入っている限り、二度と画 面はでてこない。これは困る、毎回パスワ−ドを入力するようにとか、構わないとか選択 することはできない。ユ−ザ認証を実際に行なったのか確認するには、届いたメ−ルのヘ ッダ−に "(authenticated)" の文字が出ているのを見ればよい。 これを同じパソコンの Outlook Express でやるとどうなるか。この sendmail はOutlook Express 対応の LOGIN 認証が入ってないので、そもそもできない。 試してみたところパ スワ−ド画面が出て来て、適当な文字をパスワ−ドとして入れてやると、メ−ルをそのま ま送ってしまった。何じゃこれ。 Sendmail.conf の auto_transition をなくすとどうな るか、これも関係なし。どうも全体的に挙動不審である。使えないなというのが試してい る時の感じだった。この時、幾つか疑問に思ったことをそのまま挙げておく。 SMTP AUTH 対応の sendmail をコンパイルして作ったら、メ−ルクライアントの方は、認証するよう にしか使えないのかな。認証を利用してもいいし、しなくてもいいという。しかし、認証 しなくても使えるということならば、まるで意味がないような気がするが。認証しなけれ ば使えないのであってこそ、意味がある。幾つかある認証方法のどれかを選択できるとい うのなら、まだ意味はあるが。 INDY の Zmail でみたところ Windows 98 の Netscape から送信 --------------------------------------------------------- |From: tomo@nix.co.jj |Date: Tue Jan 14, 6:28am +0900 |To: katou@nix.co.jj |Cc: |Subject: kkk |-------------------------------------------------------- |From tomo@nix.co.jj Tue Mar 26 13:15:32 2002 |Return-Path: |Received: from hostB.nix.co.jj (mail [192.168.1.1]) | by indy2.nix.co.jj (8.9.1/3.7W) with ESMTP id NAA29795 | for ; Tue, 26 Mar 2002 13:15:32 +0900 (JST) |From: tomo@nix.co.jj |Received: from qub3.nix.co.jj by hostB.nix.co.jj (8.8.5/nix.1.0) | id NAA25732; Tue, 26 Mar 2002 13:14:32 +0900 (JST) |Received: from nix.co.jj ([192.168.1.7]) | (authenticated) << これがユ−ザ認証された印し。 | by qub3.nix.co.jj (8.10.2/8.10.2) with ESMTP id g2Q4CGc25697 | for ; Tue, 26 Mar 2002 13:12:16 +0900 |Message-ID: <3C9FF4F5.D5F82B36@nix.co.jj> |Date: Tue, 26 Mar 2002 13:11:34 +0900 |X-Mailer: Mozilla 4.75 [ja] (Win98; U) |X-Accept-Language: ja |MIME-Version: 1.0 |To: katou@nix.co.jj |Subject: kkk |Content-Type: text/plain; charset=iso-2022-jp |Content-Transfer-Encoding: 7bit | |222 * LOGIN 認証と PLAIN 認証について `2b/05 いろいろ雑誌に断片的に説明が載っているのをこれまで見た。次の記事が的確に説明して くれていたので紹介する。「Software Design」2009/09, "SD巻末リファレンス Vol.20 SMTP,POP3コマンド/レスポンス リファレンス"。先ず POP3/IMAP4 で使われる通常認証は 文字列はそのまま流れる。LOGIN認証は SMTP Auth で使われる、メ−ルソフトの Outlook や Outlook Express がデフォルトでサポ−トする。SMTP の PLAIN認証はほとんどのメ− ルソフトがサポ−トする。LOGIN認証とPLAIN認証はユ−ザ名とパスワ−ドを base64 エン コ−ディングする、PLAIN認証の方は文字列の出し方を少し工夫している。 しかしどちら も可逆可能なので容易に復号できる、パスワ−ドとしてとてもや安全とはいえない。 (4) メ−ルサ−バの二重化の検討 * メ−ルストアのサ−バの場合 [ クラスタ構成 ] いろいろ検討してみたが、メ−ルストアを二重化するのには、フェイルオ−バ型のクラス タ構成を採るしか方法がない。これは2台のサ−バから1台の外付けディスクを共有する。 外付けディスクは共有ディスクと呼ばれる。共有ディスクを RAID にすれば、コンピュ− タ本体とディスクを冗長化したことになる。2つのコンピュ−タ本体には sendmail など MTA ソフトを、共有ディスクにはメ−ルのデ−タを置く。そしてクラスタリングのソフト の働きによって、メ−ルストアへは仮想IPアドレスに対してアクセスする。これはル− タの VRRP の仕組みと似ている。さて実際これが現時点でできるのか、それが問題である。 デルコンピュ−タには Windows 2000 用でクラスタのパッケ−ジ商品があった。話による とメ−ルサ−バが Exchange ならクラスタリングできるという。 しかし Linux 用はとい うと、共有ディスクとの接続確認もこれから、ましてや sendmail なども含めての確認は 何も成されていない。いっそ、メ−ルサ−バは Windows 2000 にする?。それで、ざくっ と出た価格は500万円を超える。クラスタというとそれなりのスペックになる。 Linux にはフリ−、市販のクラスタソフトが種々出てきたが、どうもまだこなれていない。 やっと Linux プリ・インスト−ルモデルが売られるようになってきた。Cobalt のような マシンで、クラスタモデルが発売されるというのは、まだ程遠い。クラスタについて調べ ていたら、Sun に Cluster という商用品があることが分かった。 すでに実績もあるよう である。こっちを検討した方が現実的かも知れない。それに負荷分散のクラスタ構成にし て二重化する手もあると、懇意にしているSEさんから話を聞いた。こうして何人かと議 論したところ、2つの意見があった。メ−ルストアでメ−ルを溜めずに、通過させるだけ なら、クラスタまでは必要なくディスクの RAID 化で十分である。もう1つはメ−ルを溜 めておく運用なら1人当たり、数百メガはいる。そのため、できるだけマシンの信頼性を 高めるべきだと、クラスタ構成にする意見だった。そして小生の考えは、適当な費用、多 分200万円位でクラスタ化できるなら、どちらにせよ、やった方がいいように思う。 メ−ル 共有デ メ−ルリレ− □ ストア ィスク | ※HA( High Availability ) ------- ----- ------- ---------------- 型のクラスタ構成という。 | |--| |--| | | ------- | | ------- □ ファイアウォ−ル |.3 ----- |.2 | ----------------------------------------------- 192.168.1.0 仮想的には 192.168.1.1 ヘアクセス [ CTCが以前から販売しているサ−バ ] Resilience 社開発の Resilient という名前のコンピュ−タ。メ−ルサ−バやファイアウ ォ−ルサ−バの二重化にもってこいの製品である。大学関係によく納入されているとのこ とである。一番下位のタイプが、UltraSPARC2 300 MHz 128MB, 9.1 GBx2 のミラ−構成で、 これで負けてもらっても500万円位する。OSのカ−ネルは Solaris 2.5.1/2.6をベ− スにした Resilient Kernel という。3台のマシンがあって、2台にディスクが付き、デ ィスクは互いにミラ−リングしている。これらが1つの筐体に入っている。三重冗長ア− キテクチャ、フォルト・トレラント・サ−バのストレ−ジ&ネットワ−クという。同一の ホストID、IPアドレス、MACアドレスを持つ。トラブル発生時には数秒で切り替わ るということである。このマシン、FireWall-1をビルトインしたのもある。ライセンスは マシン全体で単一のホストIDを持つため、1つだでけでよい。 □ メ−ルリレ− ※`21/09 入手の メ−ルストア | カタログから。 ---------------- ------------------ | | | | | ---------------- □ ファイアウォ−ル | | | | ----------------------------------------------- 192.168.1.0 [ メ−ルストアをもう1つ用意する ] メ−ルストアをもう1つ用意する。 ping でお互い生きているかどうか定期的にチェック する。IPアドレスを付け替えるスクリプトを用意して、再起動してメ−ルサ−バのIP アドレスにする。しかし、うまく働かせるのはかなり難しいように思う。マシンの arp情 報はどうなるか。クライアントからの POP アクセスの間隔は。ping のチェックの間隔は。 メ−ルストアに入ってきたメ−ルを、2つのホストで同期させないけない。単に rsyncを 使うとかで問題ないか、どうしたって取りこぼしが出てしまうのでないか。メ−ルが個々 のファイルの方が、まだいいかも知れない。qmail のそのタイプか、商用の Sendmail だ と個々のファイルになっている。しかし qmail の個々のメ−ルのファイルでは、 マシン など固有のIDが付くらしい。このため予備のマシンにそのままコピ−しても、読み出す ことはできないと、プロバイダをやっている友人から聞いた。 メ−ルストア □ メ−ルリレ− ※クラスタリング 予備 稼働 | のミラ−型でで ------- <---- ------- ---------------- きないか?。 | | ping | | | ------- ----> ------- □ ファイアウォ−ル |.2 |.1 | ----------------------------------------------- 192.168.1.0 * メ−ルリレ−のサ−バの場合 [ DNS の MX レコ−ドによる ] もう1つメ−ルリレ−のサ−バを作り、DNS の MX レコ−ドにセカンダリとして記載する。 このメ−ルリレ−は、プロバイダなど外で担ってもらうのが信頼性を上げる上では望まし い。ここの例では自分とこに設置することにする。メインのメ−ルリレ−がダウンしたら、 予備にメ−ルはいく。予備の MTA、つまり sendmail や qmail だが、 静的配送で主 MTA にメ−ルを送るように設定する。定期的に予備の MTA は、主 MTA にメ−ルを再送し続け る。主 MTA が復旧したところで、メ−ルは正常に配送されることになる。sendmail の場 合、再送してあきらめるまでの日数というのが、デフォルトで設定されている。8.9.1 で は5日間になっているのを確認した。この間に主 MTA を復旧させないと、 最終的にメ− ルは差出人に戻そうとする。しかし MTA の設定いかんで、 破棄されてしまうかも知れな い。実際に動きを検証してみたい。基本的な設定は、予備のメ−ルリレ−の sendmail.cf の "SMART_HOST" を、主メ−ルリレ−のホストIPに向けるだけである。 MX20 MX10 DNS /etc/named.hosts 予備 □ □ メ−ルリレ− -------------------------------- |.4 |.3 202.241.128.0 |$ORIGIN nix.co.jj. ------------------------------ | IN SOA ns.nix.co.jj. 仮想IP | □ □ 実ホスト | | ------- |.2 |.1 | IN MX 10 mail1.nix.co.jj. メ−ルストア | |------------ | IN MX 20 mail2.nix.co.jj. □ ------- 192.168.2.0 |mail1 IN A 202.241.128.3 | | |mail2 IN A 202.241.128.4 ------------------------------ | | [ 負荷分散装置を用いれば可能かも ] "4-6.ネットワ−クの再構築から、(5)再構築のネットワ−ク・モデル" を参照のこと。か つては負荷分散装置はF5ネットワ−ク社の BIG-IP といった500万円以上する製品し かなく、WWWサ−バやアプリケ−ションサ−バに適用する特殊な装置というイメ−ジだ った。しかし100万円程度の製品も出てきて、機能もよくよく考えたらメ−ルリレ−な んかにも適用できる。ファイルを溜め込まないようなサ−バのホストには有効である。 * Mr. Ikken Katou のアイデアによる方式 `25/05 多分こういうことができる。通常は MX レコ−ドのプライオリティ 10 の Mail-Relay ホ スト●が外からのメ−ルを受ける。そしてすぐに Mail-Store のホスト◆にメ−ルを転送 する。ホスト●に問題が起こった場合は、プライオリティ 20 の Mail-Relay ○がメ−ル を受けて、直ちに Mail-Store ◇に転送する。社内から外へメ−ルを送る場合はその逆の 動きをする。ユ−ザのパソコンなどのメ−ルソフトからのメ−ルは、Mail-Storeの◆か◇ どちらでも受けるようにする。そして◆なら●へ、◇なら○へ送り外へ抜けて行くように する。内から外への発信は、実際にその動作を確認してみた。現行 Mail-Store のホスト SS5 を V210 に置き換える予備作業で、V210を下記のように別なIPアドレスで設置した。 V210 では InterScan VirusWall も動いていて、ホストをネットワ−クにつないだら律義 にパタ−ンファイルも取りに行った。ウィルスチェックもする。V210のメ−ルリレ−先は Mail-Relay の●である。V210 から外にメ−ルを試しに送信したらできた。 さてこれでメ−ルソフトにちょっとした機能があれば、メ−ルサ−バを二重化することが できる。メ−ルソフトがメ−ルの送受信に当たって、複数の Mail-Store のホストを同等 に扱うこと。メ−ル送信に当たっては◆または◇のホストの sendmail、 どちらかに送る ようにする。それにはメ−ルソフトの中で2つのIPアドレスを記入してもいいし、ある いは内部ネットワ−ク用の DNS を設け、そこに記載した MXレコ−ドを見るようにしても いいだろう。メ−ル受信に当たっては◆または◇のホストの POPサ−バに、両方等しくア クセスするようにする。要は外からのメ−ルは◆か◇に届いているので、取り込めばいい だけである。このアイデアは Mail-Store に各自のメ−ルを溜め込まないことを前提にし ている。よって Mail-Store では POP サ−バの利用であり、IMAP4サ−バは使うことはで きない。以上はクラスタにするとかせず、単純な仕組みでメ−ルサ−バを二重化する方法 である。このアイデアは無料ではない、有償とする。使いたい方は連絡されたい。 : MX20 MX10 ●と◆はペア、外から●に来た □ Router 予備 ○ ● Mail-Relay メ−ルは◆に送る。内から◆に | |.4 |.3 仮想IP 来たメ−ルは●に送る。○と◇ ---------------------------------- 202.241.128.0 はペアで働きは同じである。 | □ □ 実ホスト ------- |.2 |.1 Mail-Relay,-Store のsendmail メ−ルソフト | |------------- 192.168.2.0 等MTA を工夫すればクロス・ア △ △ ------- ◇ ◆ Mail-Store クセスできるかも知れない。そ | |ユ−ザ | |.2 |.1 うなれば信頼性はより上がる。 ---------------------------------- 192.168.1.0 | メ−ルを中継しない、1台のメ □ 内部ネットワ−ク用 DNS MX 1 192.168.1.1 −ルサ−バでも同じ原理である。 MX 2 192.168.1.2 よい子の推奨は中継方式である。 内部ネットワ−ク用 DNS の MXレコ−ドは、内部のパソコンのメ−ルソフトがメ−ルを送 る先を決めるのに利用したらどうかという話である。こんな機能を持つメ−ルソフトは今 はないと思う。しかし実装するのは難しい話ではない。それに DNSでなくてもメ−ルソフ トの中で Mail-Store のIPアドレスを 192.168.1.1 と 1.2 を記述し、pingでも何でも いい、Mail-Store の sendmail が動いているか確認するようにしてもいい。`25/05 いや勘違いだ。内部ネット用の DNSを設けて、パソコンのメ−ルソフトの設定で送信SMTP サ−バと受信POP3サ−バのIPアドレスを、MXレコ−ドで制御しようというのはできる話 ではない。メ−ルソフトに設定するSMTPとPOP3サ−バの指定を ms.nix.co.jj というよう にFQDN 記述した場合、これはDNS の Aレコ−ドであって MXレコ−ドではない。内部ネッ トのDNS では ms.nix.co.jj IN A 192.168.1.1、ms.nix.co.jj IN A 192.168.1.2 と記述 して、どちらかホストが止まっていても、もう1つの方を通ってメ−ルが行くことを期待 したいのだがそれはできない。DNS はどちらかのIPアドレスを返すのみで、いわゆるこ れがラウンドロビンの動きであって、冗長構成的な動きではないのである。休みの日にこ の事にふと気付いて月曜日、Cobalt Qube3 を引っ張り出し上記の Aレコ−ドを Qube3 の DNSに設定してみた。久しぶりに Qube3 は触ったがすぐに設定はできた。手元のパソコン と Apollo で ms.nix.co.jj に ping を打って、その動作を確認した訳である。`28/09 (5) システムとしてのメ−ルサ−バへ `22/10 sendmail 調整 * これまでのメ−ルサ−バの設定 Webメ−ル メ−ルリレ− | hostA,G,B は ………… ………… -------- Solaris 2.6 |hostM'| |hostA'| 仮想IP |Router| ………… ………… アドレス -------- | .4 | .3 | .1 -----------------------*---------*--------------------------- 202.241.128.0 | | ------- ------- in.named 4.9.7 DNS1次 (WWWサ−バ) hme0 |.2 |hostM| |hostA| sendmail 8.12.5-BIND ------- ------- ------- cf 作成 sendmail.cf SPAM対策 FireWall-1 |hostG|.2 |.4 |.1 | |------*---------*------ ------- sendmail 8.8.5-HOSTS -------hme2 192.168.2.0 |hostB| 万能 sendmail.cf indy □ hme1 |.2 ------- qpopper 3.0.2 |.3 | |.1 InterScan VirusWall ----------------------------------------------*----- hostC 管理者 192.168.1.0 メ−ルストア ・hostA の in.named 4.9.7 は BIND 9.x 系列の最新に、 sendmail は最新バ−ジョンで cf によるSPAM対策 sendmail.cf にする。MTA はまだ sendmail でいいと思う。 ・メ−ルリレ−の hostA の sendmail は SMTP AUTH や暗号化は無しとする。両者の機能 を使わないのなら、cf でなくとも CF ツ−ルの sendmail.cf でも、まだ構わないが。 ・メ−ルストアの hostB の sendmail での、SMTP AUTH と POP アクセスのユ−ザ認証は 今後の課題とする。いっそ、商用の Sendmail などにして対応した方がいいのか?。 ・プロバイダにセカンダリ MX になってもらう。これで先ずはメ−ルリレ−の二重化を計 る。しかしどこばりセカンダリ MX のサ−ビスをやってない。探すのが本当は大変かも。 ・hostB のクラスタ構成は諦め。ディスクの RAID 化が現実的な解である。見積りを取っ たところ Sun Cluster では何と1千万円。業者もお勧めではなかった。甘かった。 ・hostB にはメ−リングリストの fml を入れる。 これは顧客向けのメ−ルマガジンなど 情報発信に用いる。社内用には簡便に使える QuickML はどうか。http://quickml.com/。 ・hostB にはメ−ル転送のWWW画面を用意すること。個人で契約しているプロバイダの メ−ルアドレスに転送するとか、Webメ−ルに転送するとか、この画面で設定する。 * hostA の設定 ( "15-7.メ−ルサ−バの運用は大変" がここでの最終設定 ) ../sendmail-8.12.5/cf/cf/TTT.mc /etc/mail/mailertable --------------------------------------- ------------------------------- |Dwmail |nix.co.jj esmtp:[192.168.1.1] |Dmnix.co.jj |VERSIONID(`Katou:2002/10/02') /etc/mail/access |OSTYPE(solaris2)dnl ------------------------------ |dnl DOMAIN(generic)dnl |Connect: 192.168.1.1 RELAY |undefine(`UUCP_RELAY')dnl |To: nix.co.jj RELAY |undefine(`BITNET_RELAY')dnl |nix.co.jj RELAY |FEATURE(`nouucp',`reject')dnl |define(`confPRIVACY_FLAGS',`goaway')dnl # cd ../sendmail-8.12.5/cf/cf |define(`confDOMAIN_NAME',`$w.$m')dnl # sh Build TTT.cf |define(`always_add_domain')dnl # cp TTT.cf /etc/mail/sendmail.cf |define(`DATABASE_MAP_TYPE',`dbm')dnl |FEATURE(`mailertable')dnl SPAMに完全対策の sendmail.cfです。 |FEATURE(`access_db')dnl これで ORDB のブラックリストから削除 |MAILER(local)dnl された。結構 ORDB で引っかかるケ−ス |MAILER(smtp)dnl が多くなってきていた。困ったもんだ。 /etc/hostname.le0 /etc/defaultrouter /etc/resolv.conf ------------------ ------------------- ---------------------- |hostA |192.168.2.2 |domain nix.co.jj |nameserver 127.0.0.1 /etc/hosts ---------------------------------------------- /etc/nsswitch.conf << hostB,G |127.0.0.1 localhost ------------------- も同様。 |#202.241.128.3 hostA mail.nix.co.jj loghost | | |192.168.2.1 hostA mail.nix.co.jj loghost |hosts: files dns |192.168.1.1 hostB | | /etc/named.hosts ------------------------------------------------------ |$ORIGIN nix.co.jj. | IN SOA ns.nix.co.jj. netmaster.nix.co.jj. ( | | | IN MX 0 mail.nix.co.jj. << メ−ルリレ−。 |hostA IN A 202.241.128.3 |ns IN A 202.241.128.3 << ネ−ムサ−バ。 |mail IN A 202.241.128.3 << メ−ルストア。 |www IN CNAME hostA.nix.co.jj. << WWWサ−バ。 |hostG IN A 202.241.128.2 * hostB の設定 InterScan VirusWall を稼働させる。トレンドマイクロからのメ−ルに注意し、検索エン ジンを適宜バ−ジョンアップすること、ウィルスのパタ−ンファイルをちゃんと取りに行 っているかも見ること。ウィルスが見つかった時のアクションだが、送り手にも受け手に も警告メ−ルは出さないようにした。最初は出す設定にしていたのだが、ウィルスの数が 多くなっているのと、ともかくメ−ルは出さないようにした方が安全という判断である。 /etc/hostname.hme0 /etc/defaultrouter /etc/resolv.conf ------------------- ------------------- -------------------------- |hostB |192.168.1.2 |domain nix.co.jj |nameserver 202.241.128.3 /etc/hosts --------------------------------------------- |127.0.0.1 localhost |192.168.1.1 hostB hostB.nix.co.jj loghost |202.241.128.3 hostA /etc/sendmail.cf 万能 sendmail.cf 使用 --------------------------------------------- |DDnix.co.jj |Dj$w | | |# [ 2. メ−ルサ−バのホスト用 ] |R$*<@$-.$D>$* $#$M $@$2.$D $:$1<@$2.$D>$3 |R$*<@$+>$* $#$M $@hostA $:$1<@$2>$3 |R$+%$+ $@$>29$1@$2 |R$+ $#local $:$1 * hostG のWebメ−ル・ホストに関する設定 /etc/rc2.d/S99NAT ------------------------------------------------------ |/usr/sbin/arp -s 202.241.128.3 00:05:04:a2:00:01 pub << メ−ルリレ−用。 |/usr/sbin/route add host 202.241.128.3 192.168.2.1 << |/usr/sbin/arp -s 202.241.128.4 00:05:04:a2:00:01 pub << Webメ−ル用。 |/usr/sbin/route add host 202.241.128.4 192.168.2.4 << /etc/resolv.conf /etc/defaultrouter 00:05:04:a2:00:01 は FireWall-1 ------------------------- ------------------ ホストの hme0 のMACアドレス。 |domain nix.co.jj |202.241.128.1 |nameserver 202.241.128.3 FireWall-1 の fwpolicy で hostM オブジェクトの設定。 ------------------------------------ ------------------------------------------- | Workstation Properties | | Workstation Properties | |--------- | | ------- | |General | Interfaces SNMP NAT VPN| | General Interfaces SNMP | NAT | VPN | | --------------------------| |----------------------------- -------| | Name: hostA | | Values for Address Trabslation | | IP Address: 192.168.2.4 | |〆Add Automatic Address Translation Rules| | Location Type | | Translation Method: ▽Static | |○Internal ●External ●Host○Gate| | Valid IP Address: 202.241.128.4 | | | way| | Install On: @All | ------------------------------------ ------------------------------------------- ル−ル設定に追加する。Any -> 202.241.128.4 へ TCP/444 を通す。hostB <-> hostM で SMTP を通す。ファイアウォ−ル hostG のオブジェクトで、DMZ ネットワ−クのインタ− フェ−スに対して、アンチスプ−フィングに制限をかけている場合は、 hostM' オブジェ クトも追加しておくこと。この設定は非常に分かりにくいので、注意したい。 * Webメ−ルの設定 Qube3 の管理画面に http://192.168.2.4:444/login とアクセスする。ネットワ−クの設 定は、[システム]->[TCP/IP] と [インタ−ネット] のところで、ホスト名:qub3、ドメイ ンネ−ム:nix.co.jj、DNS サ−バ:192.168.2.1、サ−バゲ−トウェイ: 192.168.2.2 とす る。メ−ルサ−バ関係では SMTP と IMAP だけを有効にし、"スマ−トリレ−サ−バ"のと こを先ず次のように設定する。これで Qube3のユ−ザに入って来たメ−ル、発信メ−ルは tomo@qub3.nix.co.jj というメ−ルアドレスが付く。"送信者ドメインの強制使用"のとこ ろに [ nix.co.jj ] と記入すると tomo@nix.co.jj になる。 ------------------------------------------ /etc/hosts |電子メ−ルサ−バの設定 -------------------- |========================================= | | |送信者ドメインの強制使用 [ nix.co.jj ] |192.168.1.1 smail |----------------------------------------- | | |スマ−トリレ−サ−バ [ smail.nix.co.jj ] Webメ−ルを使いたい希望者のユ−ザを登録する。ロッグイン名とパスワ−ドは管理の 容易さを考慮し、メ−ルストアのと同じとする。Qube3 でのパスワ−ドは、ユ−ザ自身で 画面から変更できる。後は、WebMail にメ−ルを溜めておかないように利用上の注意を説 明しておくこと。メ−ルストアからメ−ル転送の設定をしたまま、知らずにいると、どん どん WebMail にメ−ルが溜まる恐れがある。 次はユ−ザ tomo さんが希望した場合の転 送設定である。この設定をユ−ザ自身でできるように、"14-5. 電子メ−ルのユ−ザ支援" でのWebプログラムを使えるようにしたい。 [ hostB 設定 ] /usr/people/tomo/.forward /etc/hosts ---------------------------- ----------------------------- |\tomo, tomo@qub3.nix.co.jj |192.168.2.4 qub3.nix.co.jj 注.Qube3 の管理者 admin のパスワ−ドをデフォルトから変えておくこと。adminでロッ グイして、[個人プロフィル]->[アカウント情報]で新しいパスワ−ドを入れる。root パスワ−ドも、この新しいパスワ−ドに同時に変更される。管理者用の画面にも TCP 444 番ポ−トで入るのは、ちょっと問題である。ポ−ト番号を変更できれば、外から は管理者画面にアクセスできないようにできるのだが。他、安全のため telnet など Qube3 の使わないサ−ビスは、無効にするなり全部止めておくこと。 * メ−ルサ−バ・システム全体の見直しに参考になりそうな文献やサイト メ−ルサ−バ全般で参考になりそうな文献など。付録も参照のこと。 「UNIX Network sendmail メ−ルサ−バの構築と管理」 寺尾英作 > 3,000 円+税金。ソフトバンク。2002/02/25 初版発行。 メ−ルサ−バの本は初めて購 入した。オライリ−の sendmail の本とかも出ているが、これまで買わずじまいだった。 「Software Design」 2000/02, P.43〜56 > モバイルユ−ザにおくるメ−ルサ−バ活用テクニック。携帯電話へメ−ルやWebペ− ジを転送!〜実用すくりぷとん sky.pl series。Webブラウザでメ−ルの送受信を! 〜、http://www.nurs.or.jp/~siizuka/、Webベ−スの POP3/SMTP サ−ビスのソフト。 「UNIX MAGAZINE」 2002/02, P.83〜122 > 特集:ネットワ−クの基礎知識4、情報の共有(2)−メ−ルの活用。メ−リングリストを 使いこなそう。sendmail での SMTP AUTH 認証。 http://www.sendmail.org/~ca/email/auth.html > Sendmail 8.10.0 の SMTP AUTH の英語説明。 http://www.elephanet.com/~ozi/mta は、 ここの日本語訳。mta には STARTTLS や Cyrus SASL ライブラリの日本語説明もある。 「日経コミュニケ−ション」 '99/04/05, P.71〜89。この記事も参考にするとよい。 > 特集:インタ−ネット・メ−ル7年目の試練。この時点では、ほとんどのプロバイダは フリ−の sendmail を使っていた。大量のメ−ルを速くさばく技術やソフトについて。 ------------------------------------------------------------------------------------ [ 付録 ] メ−ルサ−バ・システム全体の見直しに参考になりそうな文献やサイト * メ−ルサ−バの関係 「UNIX Network sendmail メ−ルサ−バの構築と管理」 寺尾英作 > 3,000 円+税金。ソフトバンク。2002/02/25 初版発行。 メ−ルサ−バの本は初めて購 入した。オライリ−の sendmail の本とかも出ているが、これまで買わずじまいだった。 「Software Design」 2000/02, P.43〜56 > モバイルユ−ザにおくるメ−ルサ−バ活用テクニック。携帯電話へメ−ルやWebペ− ジを転送!〜実用すくりぷとん sky.pl series。Webブラウザでメ−ルの送受信を! 〜、http://www.nurs.or.jp/~siizuka/、Webベ−スの POP3/SMTP サ−ビスのソフト。 「UNIX MAGAZINE」 2002/02, P.83〜122 > 特集:ネットワ−クの基礎知識4、情報の共有(2)−メ−ルの活用。メ−リングリストを 使いこなそう。sendmail での SMTP AUTH 認証。 http://www.sendmail.org/~ca/email/auth.html > Sendmail 8.10.0 の SMTP AUTH の英語説明。 http://www.elephanet.com/~ozi/mta は、 ここの日本語訳。mta には STARTTLS や Cyrus SASL ライブラリの日本語説明もある。 「日経コミュニケ−ション」 '99/04/05, P.71〜89。この記事も参考にするとよい。 > 特集:インタ−ネット・メ−ル7年目の試練。この時点では、ほとんどのプロバイダは フリ−の sendmail を使っていた。大量のメ−ルを速くさばく技術やソフトについて。 * クラスタ構成の関係 「Software Design」 2001/07, "第2特集:Linux でクラスタリング"、P.142〜171。 > 冒頭を引用させてもらおう、簡潔でとても分かりやすい。 "クラスタとは、本来1台の サ−バマシンが行うべき処理を複数のサ−バに分散し、かつ、そのサ−バにアクセスす るユ−ザからは仮想的に1台のサ−バにアクセスしているように見せる技術、あるいは そのように構成されたサ−バの集まりのことである"。 フリ−ソフトの Linux Virtual Cluster、商用ソフトの Turbolinux Cluster Server の記事がある。 「N+I Network Guide」 2001/10 ソフトバンク。初めてこの雑誌買ってみた。 > "クラスタリングで高負荷と障害に耐えるシステムを作る"、P.72〜92。本書のファイル サ−バのとこで、SGI の Origin 200 二重化のシステムを提案したが、この仕組みがこ れでよく分かる。フェイルオ−バ−の共有ディスク型のクラスタシステムで、2台のサ −バからディスクを共有する説明がある。 Turbolinux CLUSTERPRO Server 6 を用いた フェイルオ−バ型で、PostgreSQL のデ−タを共有ディスクにおく記事などがある。 http://www.ace.comp.nec.co.jp/CLUSTERPRO NEC製 > CLUSTERPRO for Linux Ver2.0 フェイルオ−バ型クラスタ、共有ディスク、マシン2台 で 60 万円。サポ−トは月1万円。これを使ったメ−ルサ−バの設定、動作チェックの 記事がある。sendmail-8.9.3, ipop3dはクラスタのソフトが管理し、スプ−ルとキュ− を共有ディスクにおいた。1MB の添付ファイルを千人に配送し、途中マシンの電源を切 っても、ほとんど問題なかったとある。この他、Windows NT/2000 版もあり、ネットワ −ク経由のミラ−ディスクに対応するクラスタソフトもある。 http://www.turbolinux.co.jp/ > Turbolinux Cluster Server, 対応OSは Turbolinux Sever。WWWコンテンツなどを 同期するためのソフトもある、内部的には rsync を使っている。 このクラスタソフト はロ−ドバランシング型である。2サ−ビスノ−ド版 16.8 万円。もう1つ、フェイル オ−バ型のが、NECからの OEM で、Turbolinux CLUSTERPRO SE がある。動作確認し たハ−ドウェアのリストがあり、DELL PowerEdge 1400 などが記載されている。サポ− ト料金は年 48 万円である。 http://www.10art-ni.co.jp/ (株)テンア−トニ > LifeKeeper for Linux Ver4.1。HA クラスタソフト、48 万円〜、12 万円/年サポ−ト 契約必須。トレ−ニングに、ベ−シック 5 万円/1日、 アドバンスト 30 万円/2日 がある。米 IBM, COMPAQ 採用。米 SteelEve Technology Inc. 製。 GUI設定できる。 Sendmail, SSL 対応 Apache, Oracle, NAS, NFS サ−バ などに対応。以前見た時 Cell というクラスタソフトをテンア−トニは開発していたように見えたが。 http://www.chall.ne.jp/nss/Vox/Vox1.htm (有)ネットワ−クシステムズ 扱い > デジタル・ボックス(株)開発の Linux 高集積クラスタリングサ−バ Vox1、2002/02 発 表。ラックサイズ5Uに20の CPU を搭載できる省スペ−スが特徴。 中小企業向けの ファイアウォ−ルやWWWサ−バなど、これで1台済む。高速演算クラスタリング・ソ フトに MOSIX を採用、http://www.mosix.com/。期待したい。今メ−ルストアの二重化 用にチュ−ニングできんかと、話しているところである。 http://cybernetech.co.jp/ (株)サイバネテック > モデル( IDE-to-SCSI RAID ベ−ス 2 Servers + 1 RAID Cluster System ) 170.8 万円。 構成は1Uラックサイズの筐体が2台、Linux RedHat ベ−ス、40 GBx2 ミラ−。 フェ イルオ−バ用の共有ディスクは 40GBx8。HA Clustering Software、"Data Ware"、2ラ イセンス(37 万円)。Windows NT/2000 用もあり。この会社 RAID、NAS、SAN、ファイバ チャネル製品など一杯扱っている。これまで、あまり知らんかった。 http://www.dell.com/jp/ > PowerEdge 2550 のカスタマイズ&お見積りのところを見る。Windows 2000 クラスタパ ッケ−ジ(SE400)、約 332 万円。サ−バは PowerEdge 2550 2台と、クラスタ用の共有 ディスク PowerVault 220S 1台による構成。2550 はディスク 18 GBx2 RAID 0/1/5 な ど対応、メモリ 256 MB。220S は 18 GBx2、RAID 0/1/5 など対応。専用ラックは約 50 万円。Linux モデルは特注になる、MIRACLE Linux、クラスタソフトは Progart を使用。 ちょっと見積り取ってみた。まあ−、ようけの枚数あること。何なのかよく分からん。 http://www.atmarkit.co.jp/flinux/ 2002/04 発見 > クラスタリングの参考資料はここがいい。"Linux クラスタリングの招待"。NECの人 が自社製品の CLUSTERPRO の記事を書いている。共有ディスクタイプとデ−タミラ−タ イプの説明。後者はデ−タミラ−エンジンにより、現用系ディスクにデ−タを書き込む と同時に、インタ−コネクトを通して待機系にも書き込むという。これで2台のサ−バ のディスクでデ−タの同期がとれる。これは話だけ、それとも実際にできるのかな?。 http://www.linux.nttcom.ne.jp/ NTTコムウェア http://www.polyserve.com/ > 米 POLYSERVE 社のクラスタソフトを扱う。下位のから underSTUDY、ロ−ドバランシン グ機能と独自のフェイルオ−バ機能を持つ。 次の Local Cluster はデ−タレプリケ− ション機能が加わる。一番上の Progart/Local Cluster Enterprise は、大規模なEC サイト向けである。Linux、Solaris、Windows NT などに対応。2000/10発売開始、価格 はオ−プンプライス。30日間のお試し版あり。Linux の有料サポ−トもしている。 http://www.sun.co.jp/software/serverperf/clusters > Sun Cluster 3.0、2001/03/14 出荷、Solaris 8 用。PDF ファイルに詳しい説明がある。 以前の雑誌を見ていたら、Solaris 2.6,7 用で Sun Internet Mail Server 4.0 に Sun Cluster 2.2 を併用してダウンタイムを低下させることができると、1行書いてあった。 他、調べていたら Solaris 用のクラスタソフト FULL MOON、2000/12/06 出荷という記 事もあった。Linux のクラスタリングはまだまだという感触だ。Sun に期待したい!。 http://www.3wave.co.jp/ サ−ドウェア製 > Zmas メ−ルアプリケ−ションサ−バ、セミオ−ダメ−ド製品。Zmas クラスタ−システ ム、298万円から。2004/03 頃発表。Z-Linux クラスタ−システムをベ−スにしたメ −ルサ−バ SMTP 認証、POP before SMTP。SSL 対応Webメ−ル、IMAP/POP over SSL。 ネットワ−ク RAID 方式(ミラ−ディスク方式)。従来のディスク共有方式だと1千万円 以上かかった。1分以内で切り替わる。1Uラックサ−バ 73 GBx2。いいような気がす る。もう少し詳しく知りたい。Z-Linux はなかなかタフみたいだし。 * IMAP4 やメ−ル転送など 「Software Design」 2001/04, P.127〜139。"Cyrus IMAP で IMAP4 を使ってみよう"。 > Active! mail のインスト−ルも2ペ−ジ書かれている。 「Software Design」 2002/12, P.82〜89, iモ−ドユ−ザ必見!,http://www.brise.org/。 > メ−ル転送テクニック、procmail、t_Mail シェアウェア。 「UNIX MAGAZINE」 2003/05, P.177〜181, "インタ−フェイスの街角 IMAPを利用した > 楽々メ−ル管理"、増井俊之。 「UNIX MAGAZINE」 2001/08, P.61〜66, "UNIX Communication Notes 情報整理の技術(11) > Cyrus IMAP サ−バ−"。P.130〜133, "連載フリ−ソフトウェアの小径2 Nomail"。 「UNIX MAGAZINE」 2004/03, P.172〜, "コマンドメ−ルの活用について"。 > メ−ルの自動分類、転送、コマンドの実行。