關於 Messaging Multiplexor

Sun Java System Messaging Multiplexor (MMP) 是專用的郵件傳送伺服器，可用做與多台後端郵件傳送伺服器之間的單一連線點。透過 Messaging Multiplexor，大型郵件傳送服務提供者可以將 POP 和 IMAP 使用者電子信箱分散在多台機器上，以增大郵件儲存容量。所有使用者都連線至單台 Multiplexor 伺服器，該伺服器會將每個連線重新導向至適當的郵件傳送伺服器。

如果您為許多使用者提供電子郵件服務，則可安裝與配置 Messaging Multiplexor，這樣，整個郵件伺服器陣列對您的郵件使用者來說將成為單台主機。

Messaging Multiplexor 作為 Messaging Server 的一部分提供。您可以在安裝 Messaging Server 或其他 Sun Java System 伺服器的同時安裝 MMP，也可以在之後單獨安裝 MMP。MMP 支援以下內容：

• 與郵件用戶端之間未加密通訊與加密 (SSL) 通訊。

• 用戶端憑證型認證，說明於基於憑證的用戶端認證中。

• 使用者預先認證，如使用者預先認證中所述。

• 可偵聽不同 IP 位址並自動向使用者 ID 附加網域名稱的虛擬網域，如MMP 虛擬網域中所述。

• 在不同伺服器上安裝多個 MMP (請參閱「Sun Java Enterprise System 2005Q4 安裝指南」)。

• LDAP 搜尋功能增強。

• 用於老舊 POP 用戶端的 POP before SMTP 服務。如需更多資訊，請參閱啟用 POP Before SMTP。

Messaging Multiplexor 的工作方式

MMP 是一種多重執行緒的伺服器，可便於跨多台伺服器機器分佈郵件使用者。MMP 處理目的地為其他伺服器機器 (使用者電子信箱所在的機器) 的送進用戶端連線。用戶端連線至 MMP 本身，MMP 確定用於使用者的伺服器正確，再連線至該伺服器，然後在用戶端與伺服器之間傳送資料。這種功能可讓網際網路服務提供者和其他大型安裝跨多台機器分布郵件儲存 (以增大容量)，同時使其對使用者以及外部用戶端來說成為一個單台郵件主機 (分別用以提昇效率和增強安全性)。Messaging Multiplexor 的工作方式顯示 MMP 安裝中伺服器與用戶端之間如何彼此聯繫的。

圖 7–1 MMP 安裝中的用戶端與伺服器

所有 POP、IMAP 以及 SMTP 用戶端都與 Messaging Multiplexor 配合工作。MMP 接受連線、執行 LDAP 目錄查詢以及適當地路由這些連線。在特定的 Messaging Server 上，每位使用者都被指定一個特定的位址與電子信箱，這一點與通常使用其他郵件伺服器安裝一樣。但是，所有連線都透過 MMP 進行路由。

以下是建立使用者連線的詳細步驟：

1. 使用者的用戶端連線接受預先認證資訊 (使用者名稱) 的 MMP。

2. MMP 查詢 Directory Server 來決定哪個 Messaging Server 包含該使用者的電子信箱。

3. MMP 連線至正確的 Messaging Server，重新進行認證，然後在連線持續期間充當傳遞通道。

加密 (SSL) 選項

Messaging Multiplexor 支援 Messaging Server 與其郵件用戶端之間未加密通訊和加密 (SSL) 通訊。目前版本的 Messaging Server 支援新的憑證資料庫格式 (cert8.db)。

啟用 SSL 後，MMP 支援 STARTTLS，還可以配置為偵聽用於 SSL IMAP、POP 以及 SMTP 連線的附加連接埠。

若要為 IMAP、POP 以及 SMTP 服務啟用 SSL 加密，請分別編輯 ImapProxyAService.cfg、PopProxyAService.cfg 以及 SmtpProxyAService.cfg 檔案。還必須編輯 AService.cfg 檔案中的 default:ServiceList 選項，以包含所有 IMAP、POP 以及 SMTP 伺服器連接埠清單，而不論這些連接埠是否安全。請參閱配置 MMP 使用 SSL，以取得詳細資訊。

依預設，由於註釋了 SSL 的配置參數，因此未啟用 SSL。若要啟用 SSL，必須安裝 SSL 伺服器憑證。然後，應該取消註釋並設定 SSL 參數。如需取得 SSL 參數的清單，請參閱「Sun Java System Messaging Server 6 2005Q4 Administration Reference」中的「Encryption (SSL) Option」。

基於憑證的用戶端認證

MMP 可使用憑證對映檔案 (certmap) 將用戶端憑證與使用者/群組 Directory Server 中正確的使用者匹配。

若要使用基於憑證的用戶端認證，還必須啟用 SSL 加密 (如加密 (SSL) 選項中所述)。

還需配置儲存管理員。為此，您可以使用郵件管理員，但建議您建立唯一的使用者 ID (例如 mmpstore)，以便依需要設定權限。

請注意，MMP 不支援 certmap 外掛程式。但它接受 certmap.conf 檔案中增強的 DNComps 和 FilterComps 特性值項目。這些增強的格式化項目使用以下格式：

mapname:DNComps FROMATTR=TOATTR  mapname:FilterComps FROMATTR=TOATTR

因此，憑證 subjectDN 中的 FROMATTR 值可以與 TOATTR =value 元素一同形成 LDAP 查詢。例如，subjectDN 為「cn=Pilar Lorca, ou=pilar, o=siroe.com」的憑證可以對映至包含以下行的「(uid=pilar)」 LDAP 查詢︰

mapname:FilterComps ou=uid

為 IMAP 或 POP 服務啟用基於憑證的認證

步驟

1. 決定您要用作儲存管理員的使用者 ID。

   儘管您可以為此使用郵件管理員，但建議您為儲存管理員建立唯一的使用者 ID (例如 mmpstore)。

2. 請確定已啟用 (或將啟用) SSL 加密，如加密 (SSL) 選項中所述。

3. 透過指定 certmap.conf 檔案在配置檔案中的位置，將 MMP 配置為使用基於憑證的用戶端認證。

4. 至少需安裝一個可信任的 CA 憑證，如安裝信任的 CA 之憑證中所述。

使用者預先認證

MMP 為您提供了一個預先認證使用者選項，您能以送進的使用者身份連結至目錄並記錄結果。

啟用使用者預先認證將降低伺服器效能

記錄項目的格式如下：

date time (sid 0xhex) user name pre-authenticated - client 
IP address, server IP address

其中，date 以格式 yyyymmdd 表示；time 是在伺服器上配置的時間，格式為 hhmmss ；hex 為階段作業識別碼 (sid)，以十六進位數字表示；user name 包含虛擬網域 (如果有)；而 IP 位址以四點格式表示。

MMP 虛擬網域

MMP 虛擬網域為與伺服器 IP 位址關聯的配置設定集。該功能的主要用途是為每個伺服器 IP 位址提供不同的預設網域。

使用者可以使用縮寫形式的使用者 ID 或完全合格的使用者 ID (格式為 user@domain) 認證至 MMP。如果提供的是縮寫形式的使用者 ID，MMP 將附加 DefaultDomain 設定 (如果已指定)。因此，支援多個託管網域的站點只需透過在伺服器 IP 位址和 MMP 虛擬網域與每個託管網域之間建立關聯，即可允許使用縮寫形式的使用者 ID。

建議使用以下方法尋找給定託管網域的使用者子樹狀結構：藉由該網域 LDAP 網域樹狀結構項目中的 inetDomainBaseDN 屬性。MMP 的 LdapUrl 設定不適用於此目的，因為後端郵件儲存伺服器還需要查詢 LDAP 中的使用者，並且不支援虛擬網域。

啟用 Sun LDAP Schema 2 時 (請參閱「Sun Java Enterprise System 2005Q4 Installation Guide for UNIX」以及「Sun Java System Communications Services 6 2005Q4 Schema Reference」)，特定網域的使用者子樹狀結構將包含該網域組織節點下子樹狀結構中的所有使用者。

若要啟用虛擬網域，請編輯實例目錄中的 ImapProxyAService.cfg、PopProxyAService.cfg 或 SmtpProxyAService.cfg 檔案，如此一來，VirtualDomainFile 設定會指定虛擬網域對映檔案的完整路徑。

虛擬網域檔案每個項目的語法如下：

vdmap name 
IPaddrname:parameter value

其中，name 只用於將 IP 位址與配置參數關聯，可以是您選擇使用的任何名稱，IPaddr 為四點格式，parameter 和 value 對用於配置虛擬網域。設定時，虛擬網域配置參數的值會置換全域配置參數的值。

下面列出了您可以為虛擬網域指定的配置參數：

AuthCacheSize and AuthCacheSizeTTL
AuthService
BindDN and BindPass
CertMap
ClientLookup
CRAMs
DefaultDomain
DomainDelim
HostedDomains
LdapCacheSize and LdapCacheTTL
LdapURL
MailHostAttrs
PreAuth
ReplayFormat
RestrictPlainPasswords
StoreAdmin and StoreAdminPass
SearchFormat
TCPAccess
TCPAccessAttr

除非正確設定 LdapURL，否則 BindDN、BindPass、LdapCacheSize 以及 LdapCacheTTL 設定將被忽略。

如需這些配置參數的詳細說明，請參閱「Sun Java System Messaging Server 6 2005Q4 Administration Reference」。

關於 SMTP 代理

MMP 包含 SMTP 代理伺服器。依預設，該代理伺服器停用。大多數站點不需要 SMTP 代理，因為網際網路郵件標準已為 SMTP 的水平延伸性提供了充分的機制 (DNS MX 記錄)。

SMTP 代理提供的安全功能很有用。首先，SMTP 代理與 POP 代理相整合以實作某些老舊 POP 用戶端所需的 POP before SMTP 授權功能。如需更多資訊，請參閱啟用 POP Before SMTP。此外，使用 SMTP 代理可以最大化在 SSL 加速硬體方面的投資收益。請參閱如何使用 SMTP 代理最佳化 SSL 效能。