 |
|
 |
| |
 |
「導入後の製品FAQ」セレクション
ここではふだん「サポート2」に収録されている「導入後の製品FAQ」の記事の中から、毎週火曜日に週替わりで3つの記事をランダムにセレクトしてご紹介いたします。E-Postシリーズ製品の機能に対する定番的な質問やより習熟するための使い方だけでなく、製品を取り巻く解決ノウハウの豊富さなどを感じ取っていただければ幸いです。
|
2023年3月第3火曜日分
|
 |
|
 |
|
「VRFY,EXPNコマンドに応答」チェックボックスはオフのままでよいですか?
E-POSTコントロールセンターのメールサーバ管理から[システム管理メニュー]をクリック、[SMTP受信詳細]を選択すると表示される「VRFY,EXPNコマンドに応答する」チェックボックスはデフォルトでオフになっています。
VRFY,EXPNという命令は、クライアントからの接続時に、このメールサーバに指定したメールアカントの存在有無を確認するための機能です。
近年、このコマンドを悪用し、存在するアカウントを抜き出し、スパムやウイルスメール送信の踏み台に利用されることが多発するようになってしまいました。つまり、比較的平穏だった過去には便利に使われることもあったコマンドなのですが、最近の迷惑メールの増加や不正利用の増大にあわせ、運用セキュリティの観点から無効にしておくのが一般的になっています。
なお、「VRFY,EXPNコマンドに応答する」をオフ=無効にしたからと言って、一般的なメールクライアントでは、このコマンドはまず使用されておらず、運用上問題は全く発生しません。VRFY,EXPNコマンドについてはIPA情報など参考になさってください。
(参考サイト)
◆電子メールのセキュリティに関するガイドライン-IPA(PDF)
| |
 |
|
 |
|
|
|
|
|
個人アカウント単位で受信を禁止する【effect.dat】を有効にするには
E-Post Mail Serverシリーズ での個人メールフィルタ設定では、アカウント単位で設定が可能な個人の「メールフィルタ設定」を行っているとき、個人のメールフィルタ設定により受信制限をかけているユーザーと、かけていないユーザー両方に同報されたメールを受ける場合、同報されたどちらのメールも同じ受信制限がかかるという課題がありました。
これについて、2015年8月20日に公開された最新差分アップデートで組み込まれるEPSTRSのバージョンv4.89以降で、個人アカウント単位でのエンベロープレベルでの条件を判定して拒絶できる個人アカウント単位での【effect.dat】に該当する機能が追加実装されました。
個人アカウント単位での【effect.dat】機能を使うと、個人アカウント単位で受信するメールドメインが決まっている場合、受信許可するよう記述されたドメイン名からの受信だけが許可され、その他外部からのすべてのドメインからやってくるメールを拒絶することができるようになります。エンベロープFROMレベルでチェックされるので強力です。
基本的な書き方は、「マシン毎の中継」【effect.dat】の書式に準じます。この設定ファイルの中で、許可をするドメインを先に記述し、最後に拒絶をするその他のドメインをワイルドカード指定する方法で、同報されたときでも、他のアカウントと一緒に扱われることなく、受信許可と拒絶を明確に分けることができるようになります。設定ファイルのサンプル事例は下記を参照してください。
1.この機能を使うための準備
この機能を利用するには、「サポート2」に公開されている2015年8月20日掲載以降の最新差分アップデートを適用してください。これ以降の最新差分アップデートにも含まれております。差分適用によりEPSTRS v4.89以降になれば個人アカウント単位での【effect.dat】が有効です。
2.設定方法と設定値の事例
個々のアカウントのメールボックスフォルダに個別メールフィルタ設定ファイルである【mail.dat】がある場合は、ファイルを削除するか、ファイル内の設定部分をコメントアウトするか、どちらかにしてください。
この個々のアカウントのメールボックスフォルダ内に、下記の内容に従いテキスト形式で【effect.dat】を作成してください。
[アカウント単位の中継の制限【effect.dat】設定例]−aドメインからだけ受信するパターン
'-----------------------------------
*@a-domain.jp ← 受付けたいエンベロープの送信元ドメイン
* false ← その他はすべて拒否
'-----------------------------------
※受け付けたいドメインを記述する1行目の部分については、次のように書いても等価であり有効です。
'-----------------------------------
*@a-domain.jp true ← 受付けたいエンベロープの送信元ドメイン
'-----------------------------------
※ワイルドカード指定は1行内に2箇所を指定するような下記のような設定でも有効です。
'-----------------------------------
*@a-domain*.jp true ← 受付けたいエンベロープの送信元ドメイン
'-----------------------------------
なお、受け付けたいドメインが複数ある場合は、行を続けて記述し、最後に拒絶するパターンを記述するようにしてください。
[アカウント単位の中継の制限【effect.dat】設定例]−aドメインとbドメインからだけ受信するパターン
'-----------------------------------
*@a-domain.jp ← 受付けたいエンベロープの送信元ドメイン1行目
*@b-domain.jp ← 受付けたいエンベロープの送信元ドメイン2行目
* false ← その他はすべて拒否
'-----------------------------------
上記の設定例にもあるように、個人アカウント単位での【effect.dat】の設定で使用できる設定値は、true(省略時も等価),false ,default の3種類のみになります。個人アカウント単位での【effect.dat】の設定では、only ,norelay は使えませんのでご注意ください。
ちなみに拒絶時には、個人アカウント単位での【effect.dat】による受信拒否のエラー応答として "550 5.1.7 Please, mail from a valid IP or Domain address." が送信元MTAに返されます。
3.運用上の注意・補足事項
設定内容が同じものは、個々のアカウントのメールボックスフォルダ内にある【effect.dat】のファイルを他のアカウントのメールボックスフォルダにコピーをしてください。ファイルをコピーする方法で有効になるのは、【mail.dat】や【IMS.CTL】など、ファイルコピーすると有効でしたが、【effect.dat】でも動作上同等です。【effect.dat】のファイルが置かれていないアカウントについては、通常通りであり特に何も受信の制限はされません。
なお、基本的にプログラムインストールフォルダ内にあるメールサーバ全体の【effect.dat】と書式は同一ですが、上記の内容をそのままメールサーバ全体の設定である「中継の制限」−[マシン毎の中継]【effect.dat】の方には決して書かないように注意してください。この書き方は個々のアカウント単位であれば支障はありませんが、メールサーバ全体で任意のドメイン名を無条件許可する書き方をしてしまうと、セキュリティが格段に下がってしまいます。
ちなみに、最新差分を適用すると更新される該当モジュールは Epstrs.exe です。Account ManagerやWeb管理ツールの画面は変更されません。どちらにも個人アカウント単位の【effect.dat】を呼び出すためのメニューやコマンドは、準備されておりません。現時点では、運用管理について、手動でのファイル作成・ファイルコピーの操作を行っていただくようお願いいたします。
|
|
|
|
|
|
|
|
|
|
パフォーマンス上負荷のかかるAD連携・IMAP4使用時の性能検証について
パフォーマンス上負荷のかかるActive Directory連携で、なおかつIMAP4使用時のメールの性能検証について試験を実施するとき、パフォーマンス上デメリットとなる側面があります。Active Directory連携の点、さらにIMAP利用の点について、それぞれパフォーマンス上負荷がかかったり、遅くなる要因をあげてみます。
1.Active Directory連携の問題点と課題について
Active Directoryのドメインコントローラとの通信、応答時間がかかることによって、SMTPの送受信や、POP3/IMAP4の認証に結果的に時間がかかってしまって、エラーとなってしまうケースが起こり得ます。
下記の記事の通り、Active Directory連携時の設定で、タイムアウト値や問い合わせ回数などの変更ができるようになっています。速くなるように設定することより、確実性のある通信ができるように調整する必要があります。
(関連FAQ)
●Active Directoryへの問い合わせリトライ間隔と時間を調整するには
●Active Directory連携時にまれに送信エラーになったり、POP受信エラーが発生するとき
●Active Directoryへの問い合わせ負荷の軽減方法について
もし、Active Directory連携を行った場合にパフォーマンスがどうしても改善できないときには、Soft Account(E-Post方式)のアカウント管理に変更することも検討してください。
2.IMAP4使用時の問題点と課題−適正ユーザー数・適正流量について
メールサーバ導入時にはアドバイスさし上げることもありますが、IMAP4をメールサーバで利用するには、適正ユーザー数や適正流量をサイジングする必要があります。
POP3利用で1サーバ、5000ユーザー規模程度であれば、まったく問題にはならないと考えていますが、IMAP4利用で1サーバ、1000ユーザー程度内におさめるべきではないかと弊社では考えます。もし、そうした数字を超えるユーザー規模であれば、サブドメインなどを作成し、サーバを複数台に分けて運用すべきではないかと考えます。いずれにしても、想定したユーザー規模数でのパフォーマンス見きわめが大事です。
また、IMAP4では、メールクライアントの製品種類によって、コマンドの出し方や流儀がかなり異なります。無理なコマンドの出し方をしたりするような“方言”の強いメールクライアントの対策をこれまで数多く取ってきています。そうした対策機能を有効にするため、状況に応じてE-Post側の設定を変更することが必要な場合もあります。
メールクライアントを実運用で想定する台数分だけ用意して試してみない限り、どういう問題やパフォーマンス上の課題が出てくるのか、実際のところはなかなかわからないと言えます。
(関連FAQ)
●IMAPサーバで扱うメールデータ数や同時接続数、運用パフォーマンスとの関係について
●Outlook 2013で使用するとIMAP4サーバ同期中メッセージが出たまま処理が進まない現象について
●IMAP4でメールを検索する際、SEARCHコマンドを使って複雑な検索をする一部メールクライアントへの対策
●UID値の上限に達していたときの非対応メーラーの動きとその対応方法について
IMAP4のパフォーマンス課題があり、サーバを分けるなどの物理的な解決方法が取れないようであれば、POP3での利用をお薦めいたします。なお、POP3とIMAP4混在利用自体には問題ありません。たとえば、大部分のアカウントはPOP3で運用し、一部共用アカウントだけIMAP4で運用する方法もあります。
|
|
|
|
|
|
|
| |
|
|
|
|
|
