[postfix-jp: 1382] Re: Postfix を Fedora Core4で動かしても大丈夫でしょうか？

[YAMAMOTO Hiroshi <YAMAMOTO.Hiroshi@xxxxxxxxxxxxxxx>]

柴田さんへ

山本と申します。

> SMTP用のゲートhウェイをPOSTFIXで立ち上げました。
> ユーザーは3００人でイントラネットでSMTP機能ONLYなのでとくにSPAM対策は
> IPでのフィルターぐらいしか考えていません。
> 
> １０M以上のファイルを送信させないようにして
> 最低限のログをとるようにします。
> 不要なフィルターなどはかけないつもりです。
> 
> なにかこのような中規模でのPOSTFIXの事例はあるでしょうか。
> （特に失敗例など）

うちは、400メールボックス程度で、
postfix + OpenLDAPで、
Sun Fire V250(1GHz CPU×2, 4GB memory, Solaris 10)ですが、
CPUはほとんど遊んでます。
メモリも、普段は1GBほど使ってるだけです。
(Linuxでなくてごめんなさい)

なので、うちでは、チューニングは、とくにおこなってません。

Trendmicroのウィルス対策ソフト(InterScan Messaging Security Suite)を
メールのウィルス対策・spam対策に併用してますが、
こいつが動くときだけ(添付ファイルの解凍・ウィルス解析)、CPUが何秒か、働いてます。
(こいつの推奨メモリが、標準設定で1GB以上、というので、メモリをたくさん積みました。)


postfixのspam対策で、
main.cfのsmtpd_recipient_restrictionsにて、
        warn_if_reject reject_unknown_sender_domain,
        warn_if_reject reject_unknown_client,
        warn_if_reject reject_unknown_hostname,
        reject_invalid_hostname,
        warn_if_reject reject_unknown_recipient_domain,
        warn_if_reject reject_non_fqdn_sender

のあたりですが、実際に、うちで"warn_if_reject"をはずして運用してみると、
弊社の取引先に、

・HELOに、FQDNでないhostnameだけのを言ってきたり、
 メールサーバのドメイン名が、firewallの内側でだけ有効なFQDNを言ってくるのがあった

・メールサーバのIP addressからの、DNSの逆引が定義されていない

・通常メールは問題ないが、error通知メールのFrom:が、
  firewallの内側でだけ有効なドメイン名を使っていた

といったメールサーバが、いくつか存在して、
メールが届かなかったり、error通知メールが届かなかったりしたことがありました。

これらの設定はspam対策に効果があったのですが、
しかたなく、"warn_if_reject"(警告をlogに記録するだけ)に、戻しました。


> 普通のパフォーマンスで

postfixからはハズレますが、POP/IMAPサーバで、
メールボックスを1ユーザ1ファイルのようなもので運用していたころは、
(postfix以前は、sendmail+mail.localとqpopperで、MBOX形式で運用してました)
CPUを非常に消費し、処理時間もかかっていました。
それらの選定にも、注意された方がよろしいかも。

うちでは、cyrus imapd/pop3dに切り替えてからは、CPUをほとんど消費しなくなりました。

courier imapd/pop3dなどのmaildirを使うサーバは運用してませんが、
MBOX形式よりは性能が高いのではなかろうか、と思います。

あ、
> SMTP機能ONLY
とあるので、関係なかったですかね？

> 高い信頼性を維持するためにしたほうがしたほうがいいことはあるでしょうか？

ハードウェア以外では、ISPがsecondary mail serverをお願いしてます。

ハードウェアでは、
比較的故障しやすいHDDはRAID 5かRAID 1などにして、
予備HDDを用意してます。(ホットスペアにした方が、もっと良いでしょうけど)

メモリも、たまに壊れるので、メモリが1枚壊れたときに1枚抜いてしまっても
極端に性能が落ちないように、余分にメモリを積んでます。

ハードが故障したとき、すぐには壊れた部品を購入する予算が確保できなかったり、
ハードの保守契約を結んでいても、部品の取り寄せに何日かかかることがあるので。
おなじハード構成の予備機があるのがいちばんいいかもしれませんね。

ただ、HDDをRAIDにしたり、冗長構成にしても、
機器が故障したのに気づかなければ、
予備ハードに切り替わったあと、ほったらかしてしまい、
さらにハードが故障して、ほんとにサーバが動かなくなるまで気づかない、ということもあるのでは。

部品が故障したとき、ランプやブザーや、警告メールやSNMPなどで、管理者が気づくようにするか、
管理者が、定期的に、部品が故障していないかどうかを、管理ツールの画面で確かめる、といった運用が必要では。

それ以上は、postfixの話題からハズレそうなので
システム管理関係の書籍など参考にされたら良いかと。
-- 
株式会社システムズナカシマ
	システム本部 オープン システム グループ 山本 宏
	Tel: 086-234-8111(代表)  Fax: 086-234-8338
	mailto:Yamamoto.Hiroshi@xxxxxxxxxxxxxxx
_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list