[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp:03519] Re: ウィル スチェックwith postfix



中満です.

On Wed, 15 Oct 2003 01:30:34 +0900 (JST)
Takahiro Kambe <taca@xxxxxxxxxxxxxxx> wrote:

> ちょっと話題を変えて。:-)

折角なので後で検索する方のために「InterScan」という言葉も
追加しておきます(笑)

> > SMTP Authであれば(パフォーマンス高)
> > Internet--Interscan(25/tcp)--Postfix(10025/tcp)
> その代わり、postfix自身で接続してきている相手のIPアドレスとかがわから
> なくなります。(postfixでのspam避けに不利かも。)

一応InterScanのログに残るのは残りますけど,確かにsyslogに出てこないのは
不便かもしれませんね.

うちのホスティングサーバはこの方式に統一したいんですが,
いかんせんPOP Before SMTPの顧客全てをSMTP Authに持ってくるのが厳しくて・・・.

> > POP Before SMTPであれば(パフォーマンス低)
> > Internet--Postfix(25/tcp)--Interscan(10025/tcp)--Postfix(10026/tcp)
> こっちのスタイルを取ってるウィルス対抗ソフトウェアも少なくない気がします。
> (MTAとしてのpostfixの動作に与える影響は少ないと言えます。)

以前両者のパフォーマンステストをSolaris上で行いvmstatの数値をグラフに
したのですが1.5倍ほど差が出ました.殆どデフォルトの設定で行いましたので
チューニング次第では分かりません.

で,折角なのでこちらも後ほど検索される方のために
送受信チェック対応の構成をいろいろまとめてみます.
# 眠いので間違いがあったらごめんなさい.
(★はPOP Before SMTP可能)

■ InterScanとPostfixを同居(1)
コストパフォーマンスは最も高いが,送信元のIPアドレスが
変わってしまうためSMTP AuthなどPOP Before SMTP以外の
不正中継防止対策が必要

Internet -- Interscan(25/tcp) -- Postfix(10025/tcp)

■★ InterScanとPostfixを同居(2)
最初にPostfixを経由するためPOP Before SMTPとSMTP Auth両方とも使える.
ただしPostfixの処理が多くなるため(1)よりもパフォーマンスは低下.
別名サンドイッチ構成.

Internet -- Postfix(25/tcp) -- Interscan(10025/tcp) -- Postfix(10026/tcp)

■ Postfixと別にInterScanサーバを使用
Postfixサーバの負荷が大きい場合に処理を分離させ,Postfixの25/tcpには
WAN側から接続できないようにする.Postfix側のポート番号などは変更しなくて
良いが,SMTP Authなどを使用しなければ不正中継が成立してしまうのがネック.
POP Before SMTPを使用しない,かつPostfixサーバが複数存在する場合に有利

Internet -- InterScanサーバ(25/tcp) -- Postfix(25/tcp)

■★ PostfixとFW1(Firewall-1),CVPを同居
FW1が透過的に処理するため送信元のIPアドレスは変更されない.
FW1+InterScan+Postfixの同時処理のため,かなり余裕を持った
スペックが望ましい.(というか,通常であればメールサーバに
FW1をインストールするべきではないのでお勧めできない)

Internet -- FW1+InterScan+Postfix(25/tcp)

■★ Postfixと別にFW1サーバのCVP,InterScanを利用する
FW1が透過的に処理するため送信元のIPアドレスは変更されない.
FW1とInterScanの処理は結構大きいため,ある程度余裕を
持ったサーバスペックが要求される.メールサーバの台数が
多い場合に望ましい.

Internet -- FW1+InterScan -- Postfix(25/tcp)

■★ 上記FW1の負荷が大きい場合
上記同様送信元のIPアドレスは変わらないが,コスト高になる上
サーバ数も増えて管理も面倒になるのであまり使いたくないです(笑)

Internet -- FW1 -- Postfix(25/tcp)
            | |
         InterScan

その他Postfixサーバを二台用意するとか,考えられる構成は
沢山ありますが,現実的なところではこんなところだと思います.

/* -----------------------------------
Hideo NAKAMITSU <nomo@xxxxxxxxxxxxx>
http://solaris.bluecoara.net/
----------------------------------- */

Follow-Ups
[postfix-jp:03521] keyword ( Re: Re: ウィルスチェックwith postfix ), Matanuki
[postfix-jp:03525] Re: ウィル スチェックwith postfix, SATOH Fumiyasu
[postfix-jp:03538] Re: ウィル スチェックwith postfix, IWAMOTO, Kouichi
References
[postfix-jp:03518] ウィルス チェックwith postfix, Takahiro Kambe

[検索ページ] [Postfix-JP ML Home]