セキュリティーの問題がクリアできれば、独自ドメインでメールアドレス（サーバー）を運用するのにGoogle Apps（Gmail）を利用しない理由はないと思います。

無料版であるStandard Editionでは

• 無料（広告が表示されるだけ） で1アカウント7GBのメールボックスが独自ドメインで作成できる
• 50アカウントまで作成可能
• Gmailと同じUI、同等の機能（検索、スパムフィルター、POP/IMAP対応、携帯・iPhone対応など）

といった目に見える特徴と、なんと言ってもサーバーを保守する必要がないという絶大なメリットがあります。

そこで、メールサーバーとしてGoogle Appsを利用する際に行った設定（主にDNS）と、自戒を込めて、アプリケーションサーバーでメールを送信する場合のポイントを書きたいと思います。

※Google Apps の導入手順のステップ 4: ユーザー アカウントの作成以降の説明となります。

MXレコードを設定する

利用するドメインを管理しているDNSサーバーにMXレコードを追加します。

MX レコードの設定 – Google Apps ヘルプに設定すべきメールサーバーと、プライオリティーが記されているので、この通り設定します。cloudropではxxxxxx@cloudrop.jpというメールアドレスを利用するので、cloudrop.jpに対してMXレコードを以下のように設定しました。

bindの設定ファイル

cloudrop.jp.	900	IN	MX	1 aspmx.l.google.com.
cloudrop.jp.	900	IN	MX	5 alt1.aspmx.l.google.com.
cloudrop.jp.	900	IN	MX	5 alt2.aspmx.l.google.com.
cloudrop.jp.	900	IN	MX	10 aspmx2.googlemail.com.
cloudrop.jp.	900	IN	MX	10 aspmx3.googlemail.com.

上記ヘルプはたびたび更新されていて、参考にしたタイミングによっては載っているプライオリティーの値やサーバーのアドレスが増減していることがあるようです。サーバーのアドレスがいきなり変わることはないと思いますが、リスクを考えてTTLはなるべく少なくして運用します。
メールサーバーの台数を見ても、同じように自前で5台用意して運用するコストを考えると、メリットは歴然ですね。

ちなみに、digコマンドを利用するとメールサーバーにGoogle Appsを利用しているかどうかがわかります。例えば、有名な事例となっている東急ハンズのドメインを引いてみると

dig tokyu-hands.co.jp MX

; <<>> DiG 9.6.0-APPLE-P2 <<>> tokyu-hands.co.jp MX
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54632
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 3, ADDITIONAL: 5

;; QUESTION SECTION:
;tokyu-hands.co.jp.		IN	MX

;; ANSWER SECTION:
tokyu-hands.co.jp.	900	IN	MX	5 ALT1.ASPMX.L.GOOGLE.COM.
tokyu-hands.co.jp.	900	IN	MX	5 ALT2.ASPMX.L.GOOGLE.COM.
tokyu-hands.co.jp.	900	IN	MX	10 ASPMX2.GOOGLEMAIL.COM.
tokyu-hands.co.jp.	900	IN	MX	10 ASPMX3.GOOGLEMAIL.COM.
tokyu-hands.co.jp.	900	IN	MX	1 ASPMX.L.GOOGLE.COM.

;; AUTHORITY SECTION:
tokyu-hands.co.jp.	900	IN	NS	ns02.tokyu-hands.co.jp.
tokyu-hands.co.jp.	900	IN	NS	dns2.broadcenter.jp.
tokyu-hands.co.jp.	900	IN	NS	ns01.tokyu-hands.co.jp.

;; ADDITIONAL SECTION:
ASPMX.L.GOOGLE.COM.	131	IN	A	209.85.223.23
ALT1.ASPMX.L.GOOGLE.COM. 127	IN	A	209.85.210.80
ALT2.ASPMX.L.GOOGLE.COM. 211	IN	A	74.125.93.114
ASPMX2.GOOGLEMAIL.COM.	858	IN	A	209.85.135.27
ns02.tokyu-hands.co.jp.	900	IN	A	59.84.175.199

と、TTL900でGoogle AppsのMXレコードが５つ設定されているのがわかります。

SPFレコードを設定する

次に、SPFレコードを設定します。
SPFレコードについては、

• Sender ID：送信者側の設定作業 − ＠IT

が詳しいので、ご覧下さい。
この設定をしておくとことで、スパムフィルターに引っかかる確率が下がります。

SPF レコードの設定に詳細が載っていて、DNSのTXTレコードに設定をすれば済むのですが、そのドメイン内で何かしらサービスを動かしている場合、Gmailのサーバー以外からメールを送る可能性があるので、そのサーバーのアドレスも合わせてSPFレコードに登録するべきです。

例えば、Web上から入力されたフォームをinfo宛にメールで飛ばしたり、各サーバーでLogwatchのレポートメールを飛ばしたりする場合です。

cloudrop.jpでは、アプリケーションサーバー（67.23.44.103）も@cloudrop.jpとしてメールを送信するので、以下の設定をしています。

bindの設定ファイル

cloudrop.jp.	600	IN	TXT	"v=spf1 ip4:67.23.44.103 include:aspmx.googlemail.com ~all"

これを設定することで、アプリケーションサーバーが送信するメールのヘッダーが以下のように変ります（Gmailの場合）。

設定前

Received-SPF: neutral (google.com: 67.23.44.103 is neither permitted nor denied by best guess record for domain of example@cloudrop.jp) client-ip=67.23.44.103;
Authentication-Results: mx.google.com; spf=neutral (google.com: 67.23.44.103 is neither permitted nor denied by best guess record for domain of example@cloudrop.jp) smtp.mail=example@cloudrop.jp

設定後

Received-SPF: pass (google.com: domain of example@cloudrop.jp designates 67.23.44.103 as permitted sender) client-ip=67.23.44.103;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of example@cloudrop.jp designates 67.23.44.103 as permitted sender) smtp.mail=example@cloudrop.jp

MTAの設定（Postfix）

後はアプリケーションサーバーのMTAの設定です。
サーバー導入当初、Postfixの設定を間違えてメールが配送されないというミスをしてしまったので、自戒を込めて。

Postfixは受け取ったメールの送信先ドメインが/etc/postfix/main.cfの$mydestinationに設定したドメイン（FQDN）のリストに含まれているかどうかを判定します。含まれていた場合は自分自身のユーザーへ配信、含まれていない場合は該当するサーバーまで配送します。

Google Appsで設定したドメイン宛のメールはGmailのサーバーへ配送しなければいけないので、$mydestinationに含んではいけません。Google Appsに限らずメールゲートウェイでないサーバーでは当たり前の設定なんですが…。

Gmailにrelayするという選択肢

いちいちSPFレコードを追加するのも面倒くさいし、いっそのことGmailのサーバーへrelayしてしまえばいいという考えもあります。Postfixでは設定ファイルに数行追加し、パスワードファイルを作成することで簡単にrelayさせることができます。

Postfixの設定ファイルに追加します。（以下、CentOS5の場合）

> sudo vi /etc/postfix/main.cf

relayhost = [smtp.gmail.com]:587
smtp_use_tls = yes
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_tls_security_options = noanonymous

設定ファイルで追加したパスワードファイルを作成し、ハッシュ化します。

> sudo vi /etc/postfix/sasl_passwd

[smtp.gmail.com]:587    example@cloudrop.jp:password

> sudo postmap /etc/postfix/sasl_passwd
> sudo /etc/init.d/postfix restart

（ハッシュ化するとsasl_passwd.dbというファイルが生成されます。）

参考サイト

• Postfix から Gmail 経由でメールを送る linux.matchy.net: 〜Linuxで遊ぼう！〜

この設定を行うと自サーバーから送信することはなくなるのですが、Gmailの仕様に引っ張られてしまい、使いにくい面が多々あります。

まず、送信元がGmailのアカウントに上書きされてしまいます。例えば、example@cloudrop.jpというアドレス所有者としてrelayした場合、envelope fromをinfo@cloudrop.jpで送信したとしても、example@cloudrop.jpに上書きされ送信されてしまいます。アプリケーションや用途によって送信元を変えたいのが普通ですので、この仕様では使いにくいところです。

また、relayしたメールは該当メールアドレスのGmail送信箱に保存されていきます。1ユーザーのアカウントでrelay設定をした場合、システムが送ったものと人間が送ったものが混ざってしまうということです。

逆に、システム専用のアドレスを用意し、そのアドレスでrelayすればGmailの送信箱にメールが残り、検索しやすくなるなどのメリットもありそうですが、そのサーバーが送信するメールの送信元が全てrelayしたユーザーのアドレスになることを前提にシステムを構築しないといけませんし、Gmailで検索するのにシステム専用のアカウントでログインする必要があるなど、やはり使いにくさは否めません。

Gmailのメリットを享受しようとするならば、Gmailの自分宛にCC（BCC）してラベルを付けるなどした方が楽で、残念ながらrelayして活用するメリットはなさそうです。

クラウドのホスティングサービスは、一定リソースの時間極課金＋通信トラフィックの従量課金が一般的です。

CPUやメモリなどのリソースは、1%しか使わなくても100％使っても時間内の料金は同じです。
一方で通信料は使った分だけGB単位などで段階的に課金される仕組みです。

この料金体系では、なるべくリソースを使い切って、且つ通信料を抑えることが最も費用対効果のある利用方法となります。

サーバーからクライアントへのレスポンス、特にブラウザーのロードとレンダリングを高速化させるために、Yahoo!のYSlowやGoogleのPage Speedを使ってチューニングを行うのと同じようなアプローチで、なるべくCPUに仕事をさせて、トラフィックを減らしてみたいと思います。

キャッシュ機能を最大限利用する

Expires

Apacheのmod_expiresを有効にすることで、レスポンスヘッダーにExpiresフィールドが出力され、最初のアクセス以降設定した期間が経過するまでブラウザーはローカルのキャッシュを利用し続けます。
この設定は強力で、ローカルのキャッシュがなくなるか、強制リロードをしない限り、サーバーへアクセスすらしません。
（逆に、更新をかける余地のあるファイルには設定しない方がいい項目です。）

LoadModule expires_module     modules/mod_expires.so
ExpiresActive On
ExpiresByType application/javascript "access plus 1 days"
ExpiresByType application/x-javascript "access plus 1 days"
ExpiresByType text/javascript "access plus 1 days"
ExpiresByType text/css "access plus 1 days"
ExpiresByType image/jpeg "access plus 3 days"
ExpiresByType image/png "access plus 3 days"
ExpiresByType image/gif "access plus 3 days"
ExpiresByType image/x-icon "access plus 3 days"

有効期間の設定には以下の単位も利用できます。

• years
• months
• weeks
• days
• hours
• minutes
• seconds

Last-Modified、Etag

次に、キャッシュが切れていよいよブラウザーがアクセスをしてきた時のための設定を施しておきます。

特段設定をしないとApacheはLast-ModifiedとEtagフィールドをセットしたヘッダーを送信します。
この値を受け取っているブラウザーは、Last-Modifiedの値をIf-Modified-Sinceに、Etagの値をIf-None-Matchに含めてリクエストを送信します。
受け取ったサーバーは値を比較して変更が無ければコンテンツの中身は返さず、304 Not Modifiedを応答します。

コンテンツを返さない分トラフィックは抑えられるわけですが、この二つのフィールドはコンテンツを返すか、返さないかを判断するという意味では同じで、解釈の仕様によって動きが変わってきます。

Apacheにおいては、If-Modified-SinceよりもIf-None-Matchが優先されます。
If-Modified-SinceはIf-None-Matchがない場合にだけ利用され、If-Modified-Sinceの値が同じでも、If-None-Matchの値が変更されていた場合には、コンテンツを返します。

これだけ優先されるIf-None-Matchなので、ETagの値を間違ってセットするとサーバーが毎回コンテンツを返してしまいます。
この辺りでよく問題にされるのは、負荷分散環境下で複数のサーバーが同一コンテンツを返しているような場合です。
クラウドのホスティングサービスを選択するようなケースでは、スケールアウトする仕組みが期待されることが多いので、あらかじめ設定しておくべき項目です。

Apacheがデフォルトで出力するETagが「ファイルの inode番号、ファイルサイズ、更新時刻」を元に生成するので、inode番号がサーバーによって変わってしまう環境では、せっかくIf-None-Matchを送っていても受け取るサーバーごとで比較するETagが違い、毎回無駄にコンテンツを返してしまいます。

以下のサイトに解説や実例があります。

• 堀愚霊瑠の指摘で気付いた、はてなスターの静的ファイルとか想像以上にアレな件 – にぽたん研究所
• Webサイトの高速化 ルール13　ETagを正しく設定する! (Yahoo! developer netoworkより翻訳) | 株式会社インターオフィス | インターオフィス
• DSAS開発者の部屋:負荷分散環境でブラウザキャッシュが効かないときは – ETagの解説 -

これを回避するために、ETag自体を出力しない方法と、ETagの生成にinode番号を利用しないようにする方法と2通りあります。

ETag自体の出力をしない

FileETag None

ETagの生成にinode番号を利用しない

FileETag MTime Size

どちらにせよ、これらの設定では「最終更新日」が重要な要素になってきます。
ETagを出力しない場合はLast-Modified（最終更新日）での判定が有効になり、inode番号を利用しない場合はファイルサイズと最終更新日がベースとなったEtagでの判定になるからです。

最終更新日が全てのサーバーで同じになるように、ファイルをコピーする時、同じタイムスタンプになるように注意してコピーしなければなりません。rsyncであれば-tオプションを付けてコピーします。

ETagを出力しない場合は、内容に変更があったファイルでもタイムスタンプが同じであれば同一ファイルと見なされるリスクがあります。
inode番号を利用しないでETagを出力した場合は、その分リクエスト・レスポンスヘッダーともに微増し、トラフィックに若干影響があります。

トラフィックを抑えることが最優先であれば出力しない、ファイルの管理を厳密に行いたいのであれば出力する、ETagの設定をどちらにするかは状況によって変わってくると思います。
今回の趣旨では、ETagは出力しない方がいいということになります。

コンテンツは基本、圧縮

mod_deflateモジュールを有効にすると、設定に従ってレスポンスをgzipで圧縮して送信してくれます。
Deflateによる圧縮はCPUに働かせ、トラフィックを減らす、クラウド環境にもってこいの設定です。

LoadModule deflate_module modules/mod_deflate.so
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/xml
AddOutputFilterByType DEFLATE application/javascript

Webで利用される画像フォーマットはそもそも圧縮されている場合が多いので、圧縮効率の高いテキストファイルを対象にします。（WordPressの場合、WP Super Cacheを使うことで、記事自体もgzip圧縮して送信できるようになります。）

使える外部リソースを使う

これは番外編です。
RSS、各種APIなどのWebサービスからOpenIDやOAuthなどのリモート認証、Webは外部のリソースと協調する方向へと進んでいますから、利用できるリソースをどんどん活用するのもトラフィック節約になります。
flickrやYouTubeなどをホスティング的に利用するのはもちろん、JavaScriptのライブラリはGoogleのAJAX Libraries API、アバターアイコンはGravatarなど、目的に合わせて使える外部リソースを使っていきましょう。

もちろん外部リソースに依存することはリスクでもあるので、いい面ばかりでもありません。1ページに複数ドメインへのリソースがあると、名前解決に時間がかかりページのロードが遅くなるなどの問題もあります。

ご利用は計画的に。

このサイトは（本日現在）、Rackspace US社の「Cloud Servers」サービス上で
稼働しています。

Cloud ServersはAmazon EC2相当のサービスで、Slicehostなどを買収したRackspaceが運営するXenベースのホスティングサービスです。

EC2ではなくCloud Serversを選んだ理由を、使用感を元にレポートしたいと思います。

目次

安い（=スペックの選択肢が多い）

もうこれに尽きます。

EC2はスモールインスタンスが$0.1/時間で、これ以下のラインナップがありません。
メモリ1.7GB/ディスク160GBのスペックがオーバースペックだとしても、
選ばなければなりません。

1ヶ月（720時間換算）利用すると$72となり、サーバーの能力を生かしきれない場合どうしても割高な印象になってしまいます。

以下にEC2とCloud Serversのスペックと料金を表にまとめました。
ディスク容量やCPU数なども含め同じスペックとは言えないので
あくまで参考としてご覧ください。青文字の行がEC2の標準的なインスタンスです。

メモリ	ディスク	論理CPU数	アーキテクチャ	料金/時間	備考
256MB	10GB	-	64bit	$0.015	Cloud Servers
512MB	20GB	-	64bit	$0.030	Cloud Servers
1GB	40GB	-	64bit	$0.060	Cloud Servers
1.7GB	160GB	1	32bit	$0.100	EC2(Small)
2GB	80GB	-	64bit	$0.120	Cloud Servers
4GB	160GB	-	64bit	$0.240	Cloud Servers
7.5GB	850GB	4	64bit	$0.400	EC2(Large)
8GB	320GB	-	64bit	$0.480	Cloud Servers
15GB	1690GB	8	64bit	$0.800	EC2(Extra Large)
15GB	620GB	-	64bit	$0.960	Cloud Servers

Cloud Serversは、メモリ256MB/ディスク10GBのインスタンスから用意されていて、
このミニマムのインスタンスが$0.015/時間で借りることができます。1ヶ月利用で$10.8。
256MB以上のインスタンス、例えばメモリ1GB/ディスク40GBのインスタンスでも$0.06/時間。

ディスク容量がネックになる用途以外では魅力的なラインナップではないでしょうか。

特にテスト機や実験機として一時的に利用したいようなケースでは、ロースペック・ローコストはとても助かります。

自動バックアップサービスが無料

バックアップと言ってもデータ自体のバックアップではなく､LVMのスナップショットベースのバックアップになります。
ファイルを個別に取り出すことはできませんが、データを復元する上では全く問題ありません。

このスナップショットがインスタンスごとに3つまでストックできるようになっていて、Web管理ツールから日次/週次でスケジューリングすることが（しないことも）できます。

日次バックアップは「daily」、週次は「weekly」という名前が自動的につけられ、バックアップが実行される度に上書きされていきます。つまり、日次と週次の両方をセットしてもバックアップの枠が1つ余るようになっています。

実は任意のタイミング、任意の名前でもスナップショットがとれ、なおかつスナップショットから新たなインスタンスをつくる（クローンをつくる）こともできるので、EC2で言うところのAMIと同じ用途でバックアップサービスが利用できるわけです。しかも無料で！

現在はミニマムのメモリ256MBのインスタンスから、512MB、1GB、2GBまでのインスタンスがバックアップに対応していて、今後全てのインスタンスに対応する予定だそうです。
EC2と比較してディスク容量が少ないのはこういうところにあるかもしれません。

さらに、Amazon S3相当のサービスであるRackspace Cloud Filesにバックアップイメージを無料で転送できるようにもなるようです。
これが利用可能になって、Xenのゲストイメージが出し入れできるようになれば、例えば自社サーバーのXen環境をそのままクラウドに移したり、逆に戻したり、インフラに縛られることなく簡単にサービス環境を移すことができるようになりそうです。

2009/9/12 追記

重要なことを書き忘れたので追記します。
バックアップはインスタンスに結びついているものなので、インスタンスを削除すると消えてしまいます（インスタンスを停止するという操作はありません）。
つまり、EC2のようにインスタンスをイメージ化して保存することが現時点でできないため、インスタンスのクローンを作成しようとすると、インスタンスを立ち上げ続けておかなければなりません。
バックアップの保存が待ち望まれます。

スケールアップ、スケールダウンが簡単

EC2で、サービス稼働中のスモールインスタンスをラージインスタンスにスケールアップさせようとしたら、別途ラージインスタンスを立ち上げて、そこに環境を乗せ変える必要があります。
稼働中のスモールインスタンスのAMIを生成して、そのAMIからラージインスタンスを立ち上げる方法ができそうですが、これはアーキテクチャ(i386/x86_64)が違うためできません。
できたとしても、どちらも別途インスタンスを用意する必要があります。

Cloud Serversのアーキテクチャは全てx86_64なので、ミニマムからマックスまで自在にリサイズ可能です。
インスタンスのリサイズはWeb管理ツール上でほぼ自動でできます。

それでもダウンタイムが発生するので、それが許容できない場合はスナップショットから別途インスタンスを立ち上げる方法もあります。ただし、EC2のElastic IP相当の機能はないので、IPアドレスが変わることを考慮する必要があります。

DNSが無料、しかも逆引きにも対応

EC2ではサポートされていないので、外部にDNSサーバーを用意する必要があります。

Cloud ServersではWeb管理ツールでDNSレコードが登録できます。
dns1.stabletransit.comとdns2.stabletransit.comをレジストラーに登録すれば、このDNSサーバーが利用できるようになりますので、別途DNSサーバーを用意する必要は（とりあえず）ありません。
ライトユーザー向けのサービスかもしれませんが、嬉しいサービスです。

それからIPアドレスからドメイン名を引く「逆引き」をした場合に返すドメイン名の変更にも対応しています。

あまり関係ないかもしれませんが、スパム対策でメールサーバーなどが逆引きをしてドメイン名を確認する場合などがありますので、そういうケースにも安心して利用できます。

その他、補足

帯域の料金

	IN	OUT
EC2	$0.10	$0.17
Cloud Servers	$0.08	$0.22

帯域の料金は、サーバーからみてダウンロードはCloud Serverの方が安いんですが、アップロードはEC2の方が安くなっています。
EC2のように利用量によって単価がさがるプランもないので、動画配信やストリーミングなどの用途では高くつく可能性があるので注意が必要です。

回線の応答速度

気になる回線の応答速度は、同時刻にそれぞれのサーバーから日本のサーバーへpingを飛ばした平均で、EC2が193.592ms、Cloud Serverが152.008ms でした。体感としては同じで、日本からだと遅く感じるのは否めません。

セキュリティー

EC2の場合はSecurity Groupを設定することでサーバーより前でポートを閉じることができますが、Cloud Serversには用意されていません。
インスタンスがDMZに展開されますので、iptablesなどでしっかり対策する必要があります。
ちなみにCentOS5.3で起動した直後はiptablesによって22ポート以外は閉じられていました。

セキュリティーがらみで気になったのは、インスタンスのrootパスワードの発行です。
EC2ではあらかじめ用意した鍵をセキュアな通信で送信し、その鍵を使ってログインする仕様ですが、Cloud ServersではSSL通信のWeb管理ツール上にrootパスワードとIPアドレスが表示されるだけではなく、メールでも同じ内容が送られてきます。これには頭を抱えてしまいました。
自動発行されたrootパスワードはログイン後即効変更しましょう。

参考

http://www.rackspacecloud.com/cloud_hosting_products/servers/compare
http://aws.amazon.com/ec2/
http://www.rackspacecloud.com/cloud_hosting_products/servers/pricing