Fortimailの環境構築に困ってる人たちへの備忘録
はじめに、私はとあるISP事業者のメール運用保守に携わっています。ドメイン数は500ぐらいでしょうか。某社曰く中々に多いらしいです。
設定の全てを公開するわけではないですが、工夫している点などを公開するので、参考にしていただければと思います。
Fortimailを選んだ理由
構成の説明に入る前に、色んなメールのセキュリティ製品がある中で、何故Fortimailを選択したか。
費用面
要するに、会社の利益至上主義に辿り着きます(笑)ユーザーライセンスの場合、会社が抱える顧客が増えれば売り上げ増になりますが、それとともに支払うライセンス費用も増加します。Fortimailのようなデバイスライセンスであれば、ユーザーがいくら増えても、売上増=全利益(極端な言い方)となるわけです。
実際、Fortimailに切替を行ったとき、ライセンス費用や保守費など、今まで1億5千万/5年だったのが、5千万/5年まで下がりました。(私の元には1円も入らず、評価もされてませんけどね。)
セキュリティ用のMTA更新を検討している場合は、一考してみても良いかと思います。(会社と上司が喜びます。)
せめて1%(100万)ぐらい報償としてくれてもいいのにな
運用・保守面
メールサーバを運用されてる方なら分かると思うのですが、以下のような問い合わせがあった時
fromがAでtoがBのメールが届いてないんだけど!なんで!?
このような経験がある方多いと思います。FortimailでIPレピュテーションの設定をしかるべきところで設定を行えば、ログにfromとto情報が残るので調査が非常にはかどります。
また、ログに日本語の件名も残る点も良いですね。
メール構成
機能などの説明の前に、うちの簡単な構成を紹介しておきます。(詳細は社外秘なので、質問には応えれません)
- メールのネットワーク構成図
※1:少し、特殊なのが、全部のネットワーク環境をグローバルIPで構成している部分です。普通は勿体ないのでこんな環境にはしないですが、諸事情によりこういう構成を取っています。
※2:分散はDNSラウンドロビン等ではなく、ロードバランサーで負荷分散しています。そのため、ForimailのHA機能はconfig同期までとなります。
Forimailの設定ポイント
bounce対策:送受信IP変更
bounce対策:受信者検証
loopbackを利用したメールの2重判定
工事中