• Save
帰ってきたメールサーバ勉強会 Feat. AWS +α
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

帰ってきたメールサーバ勉強会 Feat. AWS +α

  • 89 views
Uploaded on

 

More in: Internet
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
Post
    Be the first to comment
No Downloads

Views

Total Views
89
On Slideshare
81
From Embeds
8
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
1

Embeds 8

https://twitter.com 8

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 帰ってきたメールサーバ勉強会 Feat. AWS +α 2014/11/26 ナギー
  • 2. 注意事項 余計なことを口走らないよう、お目付役として上司 も参加予定でしたが、AWSとは別の障害対応で参 加不能になりました。。 散々スベり散らかしていこうと思いますので、ご了 承ください#ナギン
  • 3. AboutMe ナギー 某Web制作会社のインフラエンジニア ・AWS(EC2/ELB/RDS/Route53) ・MailServer(qmail/postfix/dovecot) ・DNS(BIND9/PowerDNS) ・Network(everything) ・ZABBIX/rsyslog/splunk ・WS(2003|2008)+SQLServer ・LAMP 某この木なんの木系 SIer 某ISP 暗黒時代 (21ヶ月の間に3社) 2014年7月より現職
  • 4. 宣伝(1) 冬コミ受かりました 12/30(火)西く-11a 西く11-bは自宅ラック友の会 メインはDNSサーバ本「バイバイBIND」 「内資系SIerのExcel作成術」と「この木なんの木系 Sierのメール作成術」は加筆のうえ2分冊にする予定 それ以外に何書くかもしれないけれども気分次第で す。コピー本は前日に思いついて前日に作成、印刷、 製本とかできるんで
  • 5. 宣伝(2) なんと某Webメディアデビューが決定しました 企画書2つ書いて通りました 1つは2014年12月から、もう1つは2015年1月から 開始予定 両方月1連載なのでいきなり月刊連載2つ 予定通り始まらなかったら何か問題があったとお考 えください 問題おきないようにがんばります 定期的に記事執筆の仕事もらえるように頑張ります
  • 6. メールサーバ勉強会とは? キユーピー3分インフラクッキング#qpstudyから スピンアウトした、電子メール(を主としたコン ピュータによるメッセージング)に特化した勉強会 です。 第1回:2011/10/01開催 メールシステムのおはなし@ar1さん POP3/IMAP入門@ttkzwさん 第2回:2012/2/18開催(logstudyと共催) logstudyメインセッション「rsyslog入門」@ttkzwさん mailerstudyメインセッション「メール暗号化入門」@ttkzwさん 「logと監視の微妙な関係」~こんなlogはイヤだ~@qryuuさん 以降開催されておりません。。
  • 7. バッドノウハウ(1)その1 EC2にqmailでメールサーバたてたらフルボッコにさ れた話 オープンリレーにはなってなかったが踏み台にされ てた(AWSサポートから「お前のところのメール サーバ、踏み台にされてるから何とかしろ」ってチ ケットあげられる始末) qmailのパッチ当てが不十分だったのが根本原因 社内でもqmailの構築手順が共有されていない (大丈夫だったサーバもある)←我々の問題
  • 8. qmail構築は一子相伝の職人芸 qmailのセキュリティは 有志作成のパッチ頼み
  • 9. これのどこが堅牢なMTAなのか
  • 10. バッドノウハウ(1)その1 そもそもAWSのEIPはウォッチャーが多い(らし い) オンプレの時には同じ構築手順でも問題にならな かった Postfixに置き換えて万事解決
  • 11. 結論:qmailはオワコン
  • 12. バッドノウハウ(2)その1 オンプレからEC2にメールサーバ移行する時の話 AWSは簡単に使えるので、悪い奴も使う EIPは逆引き書かないとgmailとかに弾かれる そこで英語のフォームから逆引き申請 で、凡人の発想だと、同じ名前使いたい オンプレでmail.example.comならEC2でも mail.example.comにしたい なので切り替え前に逆引き申請した Aレコードと一致しないから却下された →当然と言えば当然 結局2つの案を提示された ①Aレコード書き換えてから逆引き申請 →Aレコード書き換えるのは切替時だから遅すぎる ②別のホスト名で逆引き申請 →サーバ移行でホスト名変更は説明しづらい
  • 13. Elastic IP① 1)EC2 インスタンス①を起動し、EIP①を確保 して頂きます。 2) EC2 インスタンス①のホスト名は、 mail2.example.com などお客様管理下の任意 のドメイン名を指定頂きます。 3) mail2.example.com はEIP①のアドレスと したA レコードをお客様にてDNS 登録頂きま す。 4) EIP①の逆引きのホスト名は mail2.example.com として逆引き申請頂きま す。(申請終了後にmail2.example.com の正 引きと逆引きが可能になります) 5) mail2.example.com にメールサーバとして のセットアップが完了した時点で、 mail2.example.com を宛先とした mail.example.com のMX レコードをご登録頂 きます。 6) メールが全てmail2.example.com 上で送受 信されることを確認後に、オンプレミスサーバ のmail.example.com の正引きと逆引き登録を 削除して頂きます。 Elastic IP① mail2.example.com Elastic IP①PTR mail2.example.com example.com MX 10 mail2.example.com mail.example.com A mail.example.com PTR 削除 追加 申請
  • 14. 7) EC2 インスタンス②を起動し、EIP②を確保 して頂きます。(今回の場合、54.92.33.26か と存じます) 8) EC2 インスタンス②のホスト名は、 mail.example.com を指定頂きます。 9) mail.example.com はEIP②のアドレスと したA レコードをお客様にてDNS 登録頂きま す。 10) EIP②の逆引きのホスト名は mail.example.com として逆引き申請頂きます。 (この時点でEIP②を使用した mail.example.com の正引きと逆引きが可能に なります) 11) mail.example.com にメールサーバとして のセットアップが完了した時点で、 mail.example.com を宛先とした mail.example.com のMX レコードをご登録頂 き、またMX レコードから mail2.example.com を削除頂きます。 12) メールが全てmail.example.com 上で送受 信されることを確認後に、EC2 インスタン ス①をTerminate 頂きます。 Elastic IP② mail.example.com Elastic IP① mail2.example.com Elastic IP②PTR mail.example.com example.com MX 10 mail.example.com example.com MX 10 mail2.example.com mail.example.com mail2.example.com 追加削除 terminate 申請
  • 15. バッドノウハウ(2)その2 そういえば、AWSのサポートチケットには「この回 答は役に立ちましたか?」という5段階評価がつけ られますよね 「役に立ったか立ってないかと問われれば立ってい ない」ので、全部★☆☆☆☆にしました 「これはやばい」と思ったのか、「な、何か不手際 がありましたか・・・?」とサポートの偉い人から メールが来ました 偉い人は「星印はサポートの回答内容ではなく、サ ポートエンジニアの対応品質の評価になります」と おっしゃっておりました。確かに対応品質は問題あ りませんでした。 でも「この回答は役に立ちましたか?」って聞かれ たら「立ってない」と評価せざるを得ないw
  • 16. バッドノウハウ(2)その3 そして最大限の譲歩「Aレコード書き換えた後に連 絡もらえればベストエフォートで逆引き設定しま す」という回答をいただきました 結果としては、AWS移行時にホスト名を変更するこ とにしたのですが、AWSのサポート品質の高さを実 感することができたので、チケットクローズ時の質 問では★★★★★にしておきましたのでお許しくだ さい。。
  • 17. バッドノウハウ(3)その1 AWSのアカウントを複数使用されている会社さんも あるかと思われます 弊社は自社サービスではなく受託開発運用なので、 顧客の本番サーバを動かすアカウントと、開発環境 兼テスト環境用のアカウントを使用しているわけで す。 で、開発環境から本番環境のメールサーバを使って メール送ろうとすると、何通か届かない。メール フォームでメール送信ボタン押下後、画面が真っ白 になる(アカン) AWSアカウント① (本番環境) AWSアカウント② (テスト環境) Webサーバ メールサーバ メールフォーム からメール送信 何通か ロストする
  • 18. バッドノウハウ(3)その1 AWSのアカウントは簡単に作れてしまうので、初期 状態ではメールの送信制限がかかっています EIPの逆引き申請に使うのと同じフォームから送信 制限解除の申請ができます 解除申請して一件落着 忘れがちなので覚えておきましょう 覚えておいて役に立つかどうかは微妙ですが
  • 19. バッドノウハウ(4) RDSにはMulti-AZというすばらしい機能があります すばらしい機能なのでおもむろに有効にしました 一晩たっても終わってません AWSサポートからチケットがあがっていました RDSインスタンスhogehogeのMulti-AZ化を実施されておりますが、 RDSインスタンスのVPC(vpc-hogehoge)にてDB Subnet Groupに所属するSubnetが 複数AZに作成されていないため処理が完了しておりません。 以下のドキュメントの通り、Multi-AZをご利用の場合には 複数AZのSubnetがDB Subnet Groupに存在する必要があります。 現在作成済みのAZ以外のSubnetをDB SubenetGroupに追加する ご対応をお願い致します。 \(^o^)/ クラウドとはいえ ネットワークの知識は必要なんや(怒)