執筆者
M.O.
メールサーバー移行案件の調査開始
チームにメールサーバー移行の案件が回ってきそうとのことで、やり方を調べておいてとの指令が来ましたので、まずは調べてみました。
現状はお客様への詳細ヒアリング前とのことでしたので、何を考えたら良いのだろうというのを、AIに聞いてみました。
AIへの質問と大量の回答
いっぱい書いてねと言ったら本当に大量に回答が来ました。解答だけで2000字ほどの文章量になってしまったので、なるべく気になる物から、小分けにして見ていこうと思います。
【問】仮想環境に移行しようと考えています
物理のメールサーバーを老朽化に伴い、仮想環境に移行しようと考えています。注意すべき点や考慮すべき点は何でしょうか。箇条書き等でなるべく細かく、思いつく限りを教えてください。
【回答】仮想環境への移行に関する注意点・考慮事項
1. 性能(リソース)設計とサイジング
最初の一点は既存の仮想基盤があればという形でしょうか。聞き方が悪かったのかもしれないですが、移行と聞いていますので、単純に仮想サーバーを建てる想定です。
三つ目のオーバーコミットについても、環境全体を考慮する必要はないかと思います。一方で、サーバー自体にどの程度のリソースが必要かという点は考慮が必要で、サーバーのレスポンス低下を起こさないようなリソース設定は必要でしょう。
これは、二点目、四点目の負荷予想という点から考える必要がありそうです。既存のサーバーがあるので、ピークタイム時のリソース使用状況は、把握できるようであれば参考になりそうです。
リソース共有の考慮
物理サーバーのリソース(CPU、メモリ、I/O)を複数の仮想マシンで共有するため、メールサーバーに十分なリソースを割り当てる必要があります。
メールのI/O負荷
大量の送受信やスパムフィルタリングなどにより、メールサーバーはディスクI/Oの負荷が高くなりがちです。ホストとなるストレージの性能(SSD/NVMeの使用など)を確保し、他のVMの影響を受けないようにリソースを確保します。
オーバーコミットの回避
仮想環境全体でCPUやメモリのオーバーコミット(物理リソース以上のリソースを仮想マシンに割り当てること)をしすぎると、メールサーバーのレスポンスが極端に低下するリスクがあります。
ピーク時の負荷予測
始業直後や一斉メール送信時など、ピークタイムの負荷を予測し、その負荷に耐えられるサイジングを行います。
2. ライセンスとコスト
Windows Server
OSは現在がWindows OSとは聞いていますので、Windows Serverを購入することになるでしょう。メールサーバー1台であれば、standardエディションでしょうか。20万前後だと思いますが、datacenterだと80万前後なので、大きく費用が変わりそうですね。
メールサーバーソフトウェア
メールサーバーソフトウェアは、サーバーマネージャーからインストール可能とのこと。費用面で新たにということは無さそうですし、ライセンス要件にも大きな影響は無いでしょう。
仮想化の費用という面では、AWSの利用を想定していますので、その分の費用は月額でかかりますので、想定する必要があります。
OSライセンス
仮想化に対応したOSのライセンス形態(特にWindows Server)を確認し、コストを算出します。
メールソフトウェア
移行先の仮想環境で利用可能なメールサーバーソフトウェアのライセンス要件(物理コア数ベースか、VMベースかなど)を確認します。
仮想化ソフトウェア
利用するハイパーバイザー(VMware vSphereなど)のライセンス費用を考慮します。
3. セキュリティと設定
サーバー自体への接続自体は、ファイヤーウォールの設定と、ポート開放の設定ですればいいのかなと。
それよりもDKIMやDMARC当たりの設定は最近よく聞く気がします。
GmailやOutlookといった主要なメールサービスで必要になっていると聞いていますので、このあたりの設定に関して、今回の作業で知見が欲しいです。
DKIMについても、調べて出てくる以上の情報を知らないので、ざっくりこういう物ですというのをAIに紹介してもらいます。
スパム、ウイルス対策
仮想環境でも、従来の物理サーバーと同等以上のスパム対策機能やウイルスチェック機能が正しく動作することを確認します。
送信者認証設定
なりすましを防ぐための以下の設定を、新サーバーのIPアドレスに合わせて正確に設定し直します。
-SPFレコード
-DKIM署名
-DMARCポリシー
【紹介】DKIMの仕組み
単純ななりすまし防止設定として、SPFの設定となる可能性もありますが、この辺りは要件次第でしょうか。
DKIM(DomainKeys Identified Mail)
送信されたメールが途中で改ざんされていないこと、そしてなりすましではないことを証明するための、メール認証技術の一つです。
ざっくり言うと、メールにデジタル署名を付けて、受信側でその署名が正しいかを確認する仕組みです。
署名(秘密鍵)
メールを送信するサーバー(あなたの会社のメールサーバーなど)は、秘密鍵と呼ばれる、公開されていない暗号データを使って、メールのヘッダー情報と本文の一部にデジタル署名を付けます。この署名はメールのヘッダーに埋め込まれます。
検証(公開鍵)
受信側のメールサーバーは、送信ドメインのDNS(ドメインネームシステム)に登録されている公開鍵を取得します。
この公開鍵を使って、メールに付いている署名を検証します。
残りの項目は構築後の要素が強いので、触れる機会があればまたご紹介したいと思います。
また、次回以降は実際に構築にあたって得た知識をご紹介できればと思います。
