iPlanet Messaging Server は、メールボックスへのクライアントアクセス用に POP3 (Post Office Protocol 3)、IMAP4 (Internet Mail Access Protocol 4)、および HTTP (HyperText Transfer Protocol) をサポートします。IMAP および POP は、ともにインターネット標準のメールボックスプロトコルです。Web 対応の電子メールプログラムである Messenger Express を使用すると、エンドユーザがインターネットに接続したコンピュータ上のブラウザ (HTTP を使用) を介してメールボックスにアクセスできます。
この章では、iPlanet Console またはコマンドラインユーティリティを使って、これらのサービスを使用できるようにサーバを設定する方法について説明します。SMTP (Simple Mail Transfer Protocol) サービスの設定については、第 6 章「MTA サービスと設定について」を参照してください。
一般的な設定
Messaging Server の POP、IMAP および HTTP サービスに関する一般的な設定には、サービスの有効化/無効化、ポート番号の割り当て、および接続したクライアントへ送信するサービスの見出し修正 (オプション) などが含まれます。この項では予備知識としての情報を提供していますが、設定の手順について知りたい場合は、「POP サービスを設定する」、「IMAP サービスを設定する」、および「HTTP サービスを設定する」を参照してください。
サービスを有効または無効にする
特定の Messaging Server インスタンスが POP、IMAP または HTTP サービスを使用できるかどうかを制御することができます。これはサービスの起動/停止とは異なり (「サービスを起動/停止する」を参照)、POP、IMAP または HTTP が有効になっており、かつ起動していなければなりません。
サービスの有効化は、サービスを起動/停止するよりもグローバルなプロセスです。たとえば、[有効化] の設定はシステムを再起動した場合でも維持されますが、以前停止したサービスはシステムを再起動した後にもう一度起動しなければなりません。
使用する予定のないサービスを有効にする必要はありません。たとえば、Messaging Server のインスタンスをメッセージ転送エージェント (MTA) としてのみ使用する場合は、POP、IMAP および HTTP を無効にします。また、POP サービスだけを使用する場合は IMAP および HTTP を無効にし、Web ベースの電子メールだけを使用する場合は POP および IMAPを無効にします。
ポート番号を指定する
各サービスに対して、サーバがサービスの接続に使用するポート番号を指定できます。
-
POP サービスを有効にする場合は、サーバが POP 接続に使用するポート番号を指定できます。デフォルトは 110 です。
IMAP サービスを有効にする場合は、サーバが IMAP 接続に使用するポート番号を指定できます。デフォルトは 143 です。
HTTP サービスを有効にする場合は、サーバが HTTP 接続に使用するポート番号を指定できます。デフォルトは 80 です。
暗号化通信用のポート
Messaging Server は、SSL (Secure Sockets Layer) プロトコルを使用することにより、IMAP および HTTP クライアントの暗号化通信をサポートします。Messaging Server の SSL サポートに関する詳細については、「暗号化と証明書に基づく認証を設定する」を参照してください。
SSL を使用した IMAP
「SSL を使用した IMAP」のデフォルトポート番号 (993) を使用するか、または「SSL を使用した IMAP」に別のポートを指定することができます。
現在の IMAP クライアントの多くが個別の IMAP ポートおよび SSL を使用した IMAP ポートを必要としているため、Messaging Server ではオプションとしてそれぞれに個別のポートを使用できます。最近では、同じポートによる IMAP および「SSL を使用した IMAP」の通信が新たな標準となってきています。お使いの Messaging Server に SSL の証明書 (「証明書を入手する」を参照) がインストールされていれば、同じポートを使って IMAP および「SSL を使用した IMAP」の通信を行うことができます。
SSL を使用した HTTP
「SSL を使用した HTTP」のデフォルトポート番号 (443) を使用するか、または「SSL を使用した HTTP」に別のポートを指定することができます。
サービスの見出し
クライアントがはじめて Messaging Server の POP または IMAP のポートに接続すると、サーバがクライアントに確認用のテキスト文字列を送信します。このサービスの見出し (通常、クライアントのユーザには表示されません) は、サーバが iPlanet Messaging Server であることを証明するもので、そこにはサーバのバージョン番号が表示されます。一般に、この見出しはクライアントのデバッグや問題を突きとめるために使われます。
接続中のクライアントに異なるメッセージを送信したい場合は、POP または IMAP サービスのデフォルトの見出しを変更できます。
サービスの見出しを設定するには、iPlanet Console または configutil ユーティリティを使用します。configutil についての構文の詳細については、『Messaging Server リファレンスマニュアル』を参照してください。
ログインの必要条件
ユーザは POP、IMAP、または HTTP サービスにログインしてメールを取り込みます。このユーザによるログインの方法は制御できます。この場合、パスワードに基づくログイン (全サービス)、または証明書に基づくログイン (IMAP または HTTP サービス) のいずれかをユーザに対して許可します。この項では予備知識としての情報を提供していますが、設定の手順について知りたい場合は、「POP サービスを設定する」、「IMAP サービスを設定する」、「HTTP サービスを設定する」を参照してください。
パスワードに基づくログイン
一般的なメッセージングシステムの場合、ユーザはメールクライアントにパスワードを入力して POP、IMAP または HTTP メールボックスにアクセスします。クライアントがサーバにパスワードを送信すると、サーバはそのパスワードを使ってユーザを認証します。ユーザが認証されると、アクセス制御規則に基づき、そのサーバに保存されている特定のメールボックスへのアクセスを許可するかどうかが決定されます。
パスワードログインを認めると、ユーザはパスワードを入力することにより POP、IMAP または HTTP にアクセスできるようになります (POP サービスにおける認証方法は、パスワードに基づくログインのみです)。パスワードは、LDAP ディレクトリに保存されます。パスワードの必要最小文字数などのポリシーは、ディレクトリポリシーによって決まります。
IMAP または HTTP サービスに対してパスワードログインを認めない場合は、パスワードに基づく認証が許可されません。その場合、次の項で説明するように、ユーザは証明書に基づくログインを行わなければなりません。
IMAP および HTTP サービスにおけるパスワード送信のセキュリティを強化するために、サーバに送信する前にパスワードを暗号化するように要求できます。これを行うには、ログインに対する符号化の必要条件を選択します。
-
暗号化の必要がない場合にはゼロを選択します。クライアントポリシーによって、パスワードは平文で、または暗号化されて送信されます。
ゼロ以外の値を選択すると、クライアントは指定した値を満たすキー長の符号化方式を使って、サーバとの SSL セッションを確立しなければなりません。これにより、クライアントが送信する IMAP または HTTP のユーザパスワードがすべて暗号化されます。
証明書に基づくログイン
パスワードに基づくログインのほかに、iPlanet サーバはユーザのデジタル証明書を確認することにより認証を行うことができます。サーバとの SSL セッションを確立する際に、クライアントはパスワードの代わりにユーザの証明書を提示します。証明書の妥当性が確認されると、ユーザが本人であると見なされます。
IMAP または HTTP サービスに対し、証明書に基づくログインを認めるように Messaging Server を設定する方法については、「証明書に基づくログインを設定する」を参照してください。
証明書に基づくログインを有効にするために、IMAP または HTTP システムフォームの [パスワードログインの許可] チェックボックスをオフにする必要はありません。チェックボックスが選択されていても (デフォルト)、証明書に基づくログインの設定を行った場合は、パスワードに基づくログインと証明書に基づくログインの両方がサポートされます。その場合、クライアントが SSL セッションを確立し、証明書を提示すると、証明書に基づくログインが使用されます。クライアントが SSL を使用しない場合や、クライアント証明書を提示しない場合には、代わりにパスワードが送信されます。
パフォーマンスパラメータ
Messaging Server の POP、IMAP、および HTTP サービスに対し、いくつかの基本的なパフォーマンスパラメータを設定できます。これらのパラメータを調整すれば、ハードウェアの容量に基づきユーザベースで最も効率的なサービスを実行できます。この項では予備知識としての情報を提供していますが、設定の手順について知りたい場合は、「POP サービスを設定する」、「IMAP サービスを設定する」、または 「HTTP サービスを設定する」を参照してください。
プロセス数
Messaging Server は、作業をいくつかの実行プロセスに分けることができ、それによって効率が上がることがあります。この機能は、特にマルチプロセッササーバマシンにおいて効果があり、サーバプロセス数を調整することにより、ハードウェアプロセッサ間で複数のタスクを効率よく分配できます。
ただし、複数のプロセスにタスクを分散したり、1 つのプロセスから別のプロセスに切り替えたりする際には、パフォーマンスオーバーヘッドが発生します。プロセスが 1 つ追加されるごとに、複数のプロセスを持つ利点が薄れていきます。ほとんどの設定では、サーバマシンの各ハードウェアプロセッサ当たり 1 つのプロセス (最大限 4 つのプロセスまで) を割り当てるのが原則です。用途によっては最適とされる設定が異なることがあるため、この原則はあくまでも参考として把握しておいてください。
注 : プラットフォームによっては、パフォーマンスに影響を与える可能性のある、そのプラットフォーム固有のプロセスに対する制限 (最大ファイルディスクリプタ数など) を緩くするために、プロセス数を増やしたほうがよいこともあります。
POP、IMAP、および HTTP サービスのデフォルトのプロセス数は、1 です。
プロセス当たりの接続数
POP、IMAP、または HTTP サービスが同時に持てるクライアント接続の数が多いほど、クライントにとっては有利になります。空いている接続がないためにクライアントがサービスにアクセスできない場合、別のクライアントが接続を切断するまで待たなければなりません。
一方、各オープン接続がそれぞれメモリリソースを消費し、サーバマシンの入出力サブシステムに負担をかけるため、実際にサーバがサポートできる同時セッションの数には限界があります (サーバのメモリを増やすか入出力を拡大すれば、制限枠を上げることができます)。
IMAP、HTTP および POP には、それぞれ以下のような違いがあります。
-
IMAP 接続は、POP 接続や HTTP 接続に比べ、一般的に長く維持できます。メッセージをダウンロードするためにユーザが IMAP に接続すると、接続は通常ユーザが終了するか、タイムアウトになるまで維持されたままです。これに対し、POP 接続や HTTP 接続は、通常 POP または HTTP リクエストが満たされると同時に閉じられます。
一般に、IMAP および HTTP 接続は、POP 接続に比べて非常に効率的です。POP 接続の場合は、再接続するたびにユーザの認証を必要とします。これに対し、IMAP 接続の場合は認証が必要なのは 1 回のみで、IMAP セッション (ログインからログアウトまで) が終わるまで接続が維持されます。HTTP 接続は短いですが、1 回の HTTP セッション (ログインからログアウトまで) で複数の接続が許可されているため、ユーザは接続するたびに再び認証を行う必要はありません。そのため、POP 接続は IMAP 接続や HTTP接続よりも大幅なパフォーマンスオーバーヘッドを生じます。iPlanet Messaging Server は、オープン IMAP 接続 (ただし、アイドル接続) と複数の HTTP 接続によって、オーバーヘッドを減らすように設計されています。
注
HTTP セッションのセキュリティの詳細については、「HTTP のセキュリティについて」を参照してください。
プロセス当たりの接続数は、IMAP のデフォルトが 4000、HTTP のデフォルトが 6000、POP のデフォルトが 600 です。これらの値は、一般的な設定のサーバマシンが処理できる要求の概略値です。用途によっては最適とされる設定が異なることがあるため、これらのデフォルト値はあくまでも一般的なガイドラインとして参考にしてください。
プロセス当たりのスレッド数
複数のプロセスをサポートするほかに、Messaging Server では複数のスレッドにタスクを分配することにより、さらにパフォーマンスを上げることができます。サーバがスレッドを使うと、処理中のコマンドがほかのコマンドの実行を妨げることがなくなるため、実行の効率性が向上します。コマンドの実行中、必要に応じてスレッドが作成され破棄されます。スレッドは、設定した最大数まで作成できます。
同時に実行されるスレッドがより多いほど、多くのクライアントのリクエストを遅滞なく処理することができ、より多くのクライアントに迅速にサービスを提供できます。ただし、スレッド間のディスパッチがパフォーマンスオーバーヘッドになるため、実際にサーバが使用できるスレッド数には限界があります。
POP、IMAP、および HTTP のプロセス当たりの最大スレッド数は、デフォルトで 250 です。IMAP および HTTP のデフォルトの接続数が POP のデフォルト値より大きいにも関わらず、この数値は同じになります。同じ最大スレッド数で、より多くの IMAP および HTTP 接続が、より少なく、ただし頻度の高い POP 接続と同じくらい効率よく処理されると考えられます。用途によっては最適とされる設定が異なることがありますが、これらのデフォルト値は十分高いため、設定値を大きくする必要はおそらくありません。通常、これらのデフォルト値で十分なパフォーマンスが得られます。
アイドル接続を切断する
応答のないクライアントへの接続に使用されているシステムリソースを回復するために、IMAP4、POP3、および HTTP プロトコルは、一定の時間が過ぎたアイドル接続をサーバが一方的に切断することを許可します。
それぞれのプロトコル仕様により、サーバはアイドル接続を指定されている最小時間オープンにしておくことが要求されます。最低時間のデフォルト値は、POP が 10 分、IMAP が 30 分、HTTP が 3 分です。デフォルト値を増やすことはできますが、減らすことはできません。
POP 接続または IMAP 接続が切断された場合、ユーザは新たに接続するときに再び認証される必要があります。これに対し、HTTP 接続が切断された場合は、HTTP セッションがオープンされたままなので、再認証の必要はありません。HTTP セッションのセキュリティの詳細については、「HTTP のセキュリティについて」を参照してください。
POP のアイドル接続は、通常クライアントが応答できない何らかの問題 (クラッシュやハングするなど) により起こります。一方、IMAP のアイドル接続は、正常な状態で起こります。IMAP ユーザが一方的に切断されるのを防ぐため、通常 IMAP クライアントは IMAP サーバに 30 分以下の一定間隔でコマンドを送信します。
HTTP クライアントをログアウトする
HTTP セッションは、複数の接続にわたって維持されます。HTTP クライアントは、接続が切断されてもログアウトされません。ただし、HTTP セッションが指定された時間以上アイドル状態であると、サーバは自動的に HTTP セッションを切断し、クライアントはログアウトされます (デフォルトは 2 時間)。セッションが切断されると、クライアントのセッション ID が無効になり、クライアントは新たにセッションを確立するために、再び認証されなければなりません。HTTP セッションのセキュリティおよびセッション ID の詳細については、「HTTP のセキュリティについて」を参照してください。
クライアントアクセスの制御
iPlanet Messaging Server には、POP、IMAP、または HTTP メッセージングサービス (および SMTP) にアクセスできるクライアントを決定するためのアクセス制御機能があります。さまざまな条件に基づき、クライントのアクセスを許可または拒否する柔軟なアクセス フィルタを作成できます。
クライアントアクセスの制御は、iPlanet Messaging Server に備わっている重要なセキュリティ機能です。クライアントアクセスの制御フィルタおよびその使用法の例については、「POP、IMAP、および HTTP サービスへのクライアントアクセスを設定する」および「SMTP サービスへのクライアントアクセスを設定する」を参照してください。
POP サービスを設定する
Messaging Server の POP サービスに関する基本的な設定は、configutil コマンドまたは iPlanet Console を使って行うことができます。
-
「サービスを有効または無効にする」
コンソール- iPlanet Console を使って POP サービスを設定するには :
-
iPlanet Console で、設定する Messaging Server を開きます。
[環境設定] タブをクリックし、左側のパネルで [サービス] フォルダを開きます。
サービスを有効にするには、[ポートで POP サービスを有効化] チェックボックスをオンにし、ポート番号を指定します。
-
プロセス当たりの最大ネットワーク接続数を設定します。詳細については、「プロセス当たりの接続数」を参照してください。
接続の最大アイドル時間を設定します。詳細については、「アイドル接続を切断する」を参照してください。
-
プロセス当たりの最大スレッド数を設定します。詳細については、「プロセス当たりのスレッド数」を参照してください。
最大プロセス数を設定します。詳細については、「プロセス数」を参照してください。
コマンドライン- 以下に示すように、コマンドラインから POP 属性の値を設定できます。
configutil -o service.pop.enable -v [ yes | no ]
configutil -o service.pop.port -v 番号
configutil -o service.pop.maxsessions -v 数値
configutil -o service.pop.idletimeout -v 数値
configutil -o service.pop.maxthreads -v 数値
configutil -o service.pop.numprocesses -v 数値
configutil -o service.pop.banner -v 見出し
IMAP サービスを設定する
Messaging Server の IMAP サービスに関する基本的な設定は、configutil コマンドまたは iPlanet Console を使って行うことができます。関連項目 :
-
「サービスを有効または無効にする」
コンソール- iPlanet Console を使って IMAP サービスを設定するには :
-
iPlanet Console で、設定する Messaging Server を開きます。
[環境設定] タブをクリックし、左側のパネルで [サービス] フォルダを開きます。
サービスを有効にするには、[ポートで IMAP サービスを有効化] チェックボックスをオンにし、ポート番号を指定します。
-
プロセス当たりの最大ネットワーク接続数を設定します。詳細については、「プロセス当たりの接続数」を参照してください。
接続の最大アイドル時間を設定します。詳細については、「アイドル接続を切断する」を参照してください。
-
プロセス当たりの最大スレッド数を設定します。詳細については、「プロセス当たりのスレッド数」を参照してください。
最大プロセス数を設定します。詳細については、「プロセス数」を参照してください。
コマンドライン- 以下に示すように、コマンドラインを使って IMAP 属性の値を設定できます。
configutil -o service.imap.enable -v [ yes | no ]
configutil -o service.imap.port -v 番号
「SSL を使用したIMAP」用に別のポートを有効にするには :
configutil -o service.imap.enablesslport -v [ yes | no ]
「SSL を使用したIMAP」 のポート番号を指定するには :
configutil -o service.imap.sslport -v 番号
IMAP サービスでパスワードログインを有効/無効にするには :
configutil -o service.http.plaintextmincipher -v
-1 - パスワードログインを無効にする
0 - 暗号なしのパスワードログインを有効にする
40 - パスワードログインを有効にし、暗号の強さを指定する
128 - パスワードログインを有効にし、暗号の強さを指定する
configutil -o service.imap.maxsessions -v 数値
configutil -o service.imap.idletimeout -v 数値
configutil -o service.imap.maxthreads -v 数値
configutil -o service.imap.numprocesses -v 数値
configutil -o service.imap.banner -v 見出し
HTTP サービスを設定する
POP および IMAP クライアントは、ルーティングまたは配信するためにメールを直接 iPlanet Messaging Server の MTA に送信します。これに対し、HTTP クライアントはメールを iPlanet Messaging Server の一部である特殊な Web サーバに送信します。その後、HTTP サービスは、図 4-1 に示すように、ルーティングまたは配信するためにメッセージをローカル MTA またはリモート MTA に送信します。
図 4-1 HTTP サービスのコンポーネント
HTTP 設定のパラメータの多くは、POP および IMAP サービスで提供されるパラメータに似ています。これらには、接続の設定やプロセス設定のパラメータが含まれています。関連項目 :
-
「サービスを有効または無効にする」
メッセージ設定- HTTP クライアントが添付ファイル付きのメッセージを構成すると、添付ファイルはサーバーにアップロードされ、ファイルに保存されます。ルーティングまたは配信するためにメッセージを MTA に送信する前に、HTTP サービスは添付ファイルを取得し、メッセージを構成します。この場合、デフォルトの添付スプールディレクトリを使用するか、または代わりのディレクトリを指定することができます。また、添付ファイルの最大サイズを指定することもできます。
MTA 設定- デフォルトにより、HTTP サービスはルーティングまたは配信するために、送信 Web メールをローカル MTA に送信します。しかし、サイトがホストサービスで、ほとんどの受信者がローカルホストマシンと同じドメインに入っていないような場合には、メールをリモート MTA に送信するように HTTP サービスを設定できます。Web メールをリモート MTA に送信するには、リモートホスト名およびリモートホストの SMTP ポート番号を指定します。
コンソール- iPlanet Console を使って HTTP サービスを設定するには :
-
iPlanet Console で、設定する Messaging Server を開きます。
-
詳細については、「メッセージ設定-」を参照してください。
-
詳細については、「MTA 設定-」を参照してください。
[環境設定] タブをクリックして、左側のパネルで [サービス] フォルダを開きます。
サービスを有効にするには、[ポートで HTTP サービスを有効化] チェックボックスをオンにし、ポート番号を指定します。
-
プロセス当たりの最大ネットワーク接続数を設定します。詳細については、「プロセス当たりの接続数」を参照してください。
接続の最大アイドル時間を設定します。詳細については、「アイドル接続を切断する」を参照してください。
クライアントセッションの最大アイドル時間を設定します。詳細については、「HTTP クライアントをログアウトする」を参照してください。
-
プロセス当たりの最大スレッド数を設定します。詳細については、「プロセス当たりのスレッド数」を参照してください。
最大プロセス数を設定します。詳細については、「プロセス数」を参照してください。
-
必要に応じて、添付スプールディレクトリを指定します。
必要に応じて、送信メールの最大サイズを指定します。このサイズは base64 でエンコードされたすべての添付ファイルを対象にしていること、およびbase64 でエンコードするには 33% 増しの容量が必要になることから、注意が必要です。コンソールでの 5M バイトという容量制限を考慮すると、1 つのメッセージと添付ファイルの最大サイズは 3.75M バイト になります。
コマンドライン- 以下に示すように、コマンドラインを使って HTTP 属性の値を設定できます。
configutil -o service.http.enable -v [ yes | no ]
configutil -o service.http.port -v 番号
「SSL を使用したHTTP」 用に別のポートを有効にするには :
configutil -o service.http.enablesslport -v [ yes | no ]
「SSL を使用したHTTP」 のポート番号を指定するには :
configutil -o service.http.sslport -v 番号
configutil -o service.http.plaintextmincipher -v 値
-1 - パスワードログインを無効にする
0 - 暗号なしのパスワードログインを有効にする
40 - パスワードログインを有効にし、暗号の強さを指定する
128 - パスワードログインを有効にし、暗号の強さを指定する
configutil -o service.http.maxsessions -v 数値
configutil -o service.http.idletimeout -v 数値
configutil -o service.http.sessiontimeout -v 数値
configutil -o service.http.maxthreads -v 数値
configutil -o service.http.numprocesses -v 数値
クライアントの送信メールに対する添付スプールディレクトリを指定するには :
configutil -o service.http.spooldir -v ディスパッチ
configutil -o service.http.maxmessagesize -v size
size には、メッセージの最大サイズをバイト単位で指定します。このサイズは base64 でエンコードされたすべての添付ファイルを対象にしていること、およびbase64 でエンコードするには 33% 増しの容量が必要になることから、注意が必要です。コンソールでの 5M バイトという容量制限を考慮すると、1 つのメッセージと添付ファイルの最大サイズは 3.75M バイト になります。
configutil -o service.http.smtphost -v ホスト名
configutil -o service.http.smtpport -v ポート番号