邮件系统规划.doc

邮件系统规划邮件系统规划微软（中国）有限公司2011年2月文档控制SignoffAuthor(s), quality control and client sign-offCompanyNameSignatureAuthor(s):Microsoft (china)zhangliangyangQuality control:Client:TaslyDocument TitleCustomer:TaslyTitle:邮件系统规划Document Name: 邮件系统规划.docPreparationActionNameDateCreate By:zhangliangyang2011-02-18ReleaseVersionDate ReleasedChange NoticePages AffectedRemarks/Changes文档控制2第1章概述51.1xxx集团组织结构51.2xxx网络现状51.2.1局域网61.2.2互联网接口61.2.3用户管理61.2.4网络管理61.2.5客户端操作系统6第2章邮件-体系架构设计72.1综述72.2现状分析82.3远景考虑82.4设计原则82.5总体架构92.6安全性设计112.7可靠性设计12第3章邮件-系统框架设计133.1.1系统架构设计133.2网络带宽需求133.2.1邮件系统带宽的需求133.2.2与活动目录的关系153.3与DNS的关系16第4章邮件-服务器和存储设计204.1基本概念204.1.1Windows 2008群集技术204.1.2群集的优点224.1.3Exchange 2007群集功能234.2现状分析244.3服务器体系架构254.3.1IP 地址和网络名264.4服务器的数量274.5联机存储设计274.5.1联机存储27第5章邮件-用户接入设计295.1.1现状分析295.1.2企业本地用户邮箱访问295.1.3Internet网用户邮箱访问32第6章邮件-安全设计366.1服务器物理安全设计366.2操作系统安全设计376.2.1组策略376.3邮件安全设计386.3.1数字签名386.3.2邮件加密396.3.3身份认证406.4传输安全设计406.5系统更新升级设计426.6防病毒设计446.7反垃圾邮件及内容过滤49第1章 概述邮件系统规划项目由xxxx集团有限公司（简称“xxx集团”）的信息中心和xxx合作，通过此项目，旨在利用先进信息化技术，统一规划和实施，覆盖整个xxx集团，下属的办公、科研、生产、销售和服务等单位的电子邮件系统，使xxx集团所属各个公司能实现用户信息集中认证，电子邮件互联互通。同时，通过建立统一的电子邮件对外域名，树立xxx集团对外的统一形象。本规划，是项目组在充分了解xxx集团目前在网络带宽、管理模式、现存系统的基础上，通过测试和论证最终形成的。技术方案以微软Exchange 2007电子邮件系统为基础。本规划方案包括了需求和分析，Windows 2008域模型规划，Exchange 2007的邮件规划，实施方案和运营维护管理设计。本规范还从技术层面，阐明xxx集团的域模型，电子邮件系统的设计原则，部署实施系统及其相关的管理和维护任务。1.1 xxx集团组织结构1.2 xxx网络现状xxx集团内部网络暂时只有局域网部分。1.2.1 局域网1.2.2 互联网接口1.2.3 用户管理目前xxx集团纳入域管理的共有不到xxx用户。在xxx集团内部，已经建立有企业级的统一用户管理系统。这个域面向桌面管理，邮件管理的用户域（xxx.COM）。集团总部从桌面统一化的角度实施了桌面管理，使集团总部的用户能使用软件自动分发、远程系统支持、管理邮件，使用企业门户等用户服务，集团总部采用集中管理用户帐号。1.2.4 网络管理xxx集团目前的广域网设备维护和管理是集团信息中心负责。其他地区公司的局域网设备都是由地区公司管理和维护的。1.2.5 客户端操作系统在xxx集团中，大部分的桌面操作系统为Windows XP和Windows 7。第2章 邮件-体系架构设计2.1 综述邮件系统是一个综合性的系统。它包括了对邮件用户、邮件服务器和邮件存储方面的管理和设计。同时，邮件系统也是企业中信息共享和协作的基础。Exchange 2007 Server，同Microsoft Windows 2008操作系统无缝地集成在一起，被设计用来满足各种规模的商业需求，从小型的、集中的组织到大规模分布式企业。同它的客户端Microsoft Outlook一起，Exchange提供了一个高度可靠的、可伸缩的且易于管理的消息传送和协同工作基础结构。Exchange的Web存储系统将Exchange的可靠性和可伸缩性同Web的可访问性和开放性有机地结合在一起，从而提供了一个强大的知识信息仓库以及一个商业应用程序平台。在xxx的电子邮件系统中，将结合Windows 2008与Exchange 2007提供面向xxx集团的电子邮件解决方案。Windows 2008提供了电子邮件系统所需的基础服务。包括了：l 用户管理l AD活动目录服务l DNS域名解析服务l WINS解析服务l SMTP简单邮件传输协议支持在Windows 2008的基础上，Exchange 2007实现了安全，可靠的电子邮件系统。Exchange 2007加强并增加了对电子邮件系统的支持。包括：l 增强了SMTP的支持l 增加了邮件协议的支持（POP3/IMAP4/MAPI）l 邮件路由服务l 邮箱存储管理l 信息协作平台服务2.2 现状分析目前，由于Internet网络安全性降低，免费邮箱不稳定性，对数据保护较差，分析配置管理内部邮箱服务器。通过私有邮箱系统可以有效的保证数据安全性，稳定性，最大限度的提高了员工办工效率。2.3 远景考虑在2011年，xxx集团建立邮件系统后，大部分的客户端通过使用企业邮件系统，邮件访问速度会比较稳定。2.4 设计原则在Exchange 2007设计原则中来自实际的经验是，保持邮件结构的简单化。l 结合AD的区域设置，合理划分站点l 在2Mb的带宽下，不用划分新站点，在2Mb的带宽下，当邮件总数大于1000时，划分新站点l 适当以中心站点为基础，逐步增加分支机构站点l 安全性，可靠性，可用性2.5 总体架构xxx集团电子邮件系统的总体架构上分为一级：xxx集团邮件站点。所有发送给xxx集团的电子邮件都通过集团站点分发，而发送给xxx集团外部的电子邮件从集团站点的Internet出口发送。xxx集团站点实际上包含了DMZ区、总部的邮件站点xxx集团站点在Internet接入点和对Internet提供服务的服务器之后安装配置了两个防火墙。这样，在集团站点形成了三个区域：InternetDMZ区企业内部网DMZ区包含了OWA服务器、邮件接入服务器和邮件发送服务器。DMZ区中的邮件服务器都是需要与Internet直接通讯的服务器。在企业内部网的服务器则是不需要直接与Internet上的服务器通讯的服务器。DMZ区的邮件服务器需要特别关注其安全性。由于DMZ区中的服务器直接与Internet通讯，因此DMZ区的服务器更容易受到攻击。同时，DMZ区服务器也是xxx集团电子邮件系统对外进行交流的门户。因此，在DMZ中需要专门的设计，以确定服务器的能力、容量、安全保护等。集团站点的服务器主要分为六种角色：OWA服务器。OWA服务器对Internet提供浏览器访问邮件的功能。xxx邮件服务器采用负载均衡的方式来提高对外服务的可用性。SMTP接入服务器。接收从Internet发给的邮件。SMTP同样通过负载均衡来提高对外服务器的可用性。SMTP发送服务器。将邮件发送到Internet上的服务器。SMTP发送服务器不需要负载均衡，而通过Exchange的自动路由算法提供高可用性。域控制器。域控制器为邮件系统提供用户认证服务，同时也为用户登录用户域提供认证服务。域控制服务器都配置为GC全局编目服务器。全局编目服务器包含xxx集团用户域中所有用户的基本信息，包括用户邮箱所在服务器等对邮件系统非常重要的信息。同时，域控制服务器还兼做DNS服务器或者WINS服务器。DNS服务器为邮件系统的服务器提供域名解析服务，这是邮件系统内服务器之间能正确通讯的基础服务。WINS服务器则为服务器或者客户端提供用户域的服务器解析服务。邮件服务器。前端邮件服务器能将用户的邮件访问点与用户的实际邮箱存储隔离开，使得用户无须记得邮箱所在的服务器，而可以直接通过前端邮件服务器，利用常见的邮件协议来访问邮箱。xxx集团电子邮件系统中，邮件服务器提供POP3、SMTP、IMAP4和HTTP协议的支持。服务器通过负载均衡技术来实现用户的单点访问，同时也提高服务器的可用性。在集团站点，还配备带库，为邮件系统的备份提供服务。2.6 安全性设计由于电子邮件系统是信息系统的基础之一，因此，需要对电子邮件的安全性特别重视。Exchange 2007提供了一个安全的电子邮件系统所必须的安全特性：l 用户身份的认证。保证访问的用户是合法的用户。l 具有邮件回执功能。能有效的跟踪邮件，防止邮件丢失。l 邮件收发的跟踪功能。能用于查找问题原因并恢复邮件。l 邮件传输的加密。防止网络监听，保证邮件传输过程的安全。l 数字签名。能认证发信人的身份和信件的完整性，避免收到伪造或被篡改的电子邮件。l 邮件的访问权限。能实现针对特定用户的邮件访问设置，包括发送邮件的范围，发送邮件的大小等。通过Internet发送的邮件是基于SMTP协议的，由于SMTP本身设计上的缺陷，通常Internet邮件的加密措施都很薄弱。但在Internet中存在多种多样的电子邮件系统，为了能与其它用户的电子邮件系统互通，都需要遵循基本的标准。所以，我们将重点放在xxx集团内部的邮件系统安全，即用户在外如何安全连接内部的邮件系统，并安全阅读/发送电子邮件，以及如何安全接收来自Internet的邮件。对此，邮件系统的安全涉及到以下几个方面：l 服务器的安全l 操作系统的安全l 邮件系统的安全l 邮件传输的安全l 电子邮件的安全。包括防病毒和内容过滤等。2.7 可靠性设计电子邮件系统是一个庞大的、复杂的系统。同时，也是企业基础信息系统之一。电子邮件系统部署实施完成后，内部的通讯将越来越多地依靠电子邮件系统，成为员工日常工作中不可或缺的工具。所以，当电子邮件系统出现故障时，将直接影响到所有的邮件使用者。提高邮件系统的可靠性可以通过软硬件的冗余方式来达到，常见的方式有服务器集群和网络负载均衡。虽然Exchange 2007很好的支持这些软硬件的冗余技术，但提高软硬件的冗余度必然带来成本的增加。在xxx的电子邮件系统中，需要从性价比的方面出发，合理的考虑可靠性和成本之间的关系。以不存在明显的单点故障为基础，提高邮件系统的整体可靠性。同时，可靠性也需要有完善的运营维护和灾难恢复计划作为后盾。在可靠性的基础上，实现最快的故障处理响应服务。保证系统即使出现故障时，能在最快的时间内恢复系统，重新提供电子邮件服务。第3章 邮件-系统框架设计3.1.1 系统架构设计根据xxx集团邮件系统总体规划，xxx集团邮件系统以集团为单位建设，邮件系统采用单一服务器模式，邮箱存储以及用户内网的Outlook访问功能，达到系统冗余，最大程度地提高邮件系统的可用性；并提供用户内网和公网的HTTP/HTTPS/Outlook Internet访问/Mobile/SMTP/POP/IMAP等服务，以及入站、出站等功能；通过部署统一的防垃圾、防病毒网关/软件对Internet出站和入站邮件进行实时的防垃圾、防病毒检测；邮件系统邮箱的存储采用SAN结构的磁盘阵列，并使用磁盘阵列作为系统备份设备。3.2 网络带宽需求为了防止病毒和垃圾邮件的侵害，xxx集团统一邮件系统将采用统一的防病毒和防垃圾邮件的策略，整个邮件系统将设立1个独立的Internet邮件出入口。在出入口使用美讯智做防病毒和防垃圾邮件的控制。3.2.1 邮件系统带宽的需求基础数据根据集团邮件系统目前使用情况统计，每个用户的收发邮件情况如下：用户收发邮件情况基础数据项目单位数值每日工作时间小时8每个用户平均每日接收邮件数封20每个用户平均每日发送邮件数封15来自和发送到xxx内部的比例70%来自和发送到xxx外部的比例30%平均每封邮件大小KB50高峰流量与平均流量的比例1.50网络带宽利用率70%计算方法l 每天发到外部邮件数 = 用户数*（每用户平均每日发送邮件数*来自和发送到xxx外部的比例）l 每天发送到外部的邮件字节数（M） = 每天发送到外部邮件数*平均每封邮件大小/1024l 高峰时每小时发到外部邮件字节数(M) = 每天发送到外部的邮件字节数/每日工作时间*高峰流量与平均流量的比例l 每天收到外部邮件数 = 用户数*（每用户平均每日收到邮件数*来自和发送到xxx外部的比例）l 每天收到外部的邮件字节数（M） = 每天收到外部邮件数*平均每封邮件大小/1024l 高峰时每小时收到外部邮件字节数(M) = 每天收到外部的邮件字节数/每日工作时间*高峰流量与平均流量的比例l 高峰时实际需要带宽 =（高峰时入口带宽+高峰时出口带宽）/网络带宽实际利用率计算结果邮件系统带宽需求情况见下表：邮件系统带宽需求表名称用户邮箱数量高峰时（单位：Mbps）出口带宽入口带宽实际带宽集团站点600.53 0.40 0.93 合计600.53 0.40 0.93 3.2.2 与活动目录的关系Exchange Server 2007邮件系统与活动目录紧密集成，并且依赖活动目录完成其目录操作。活动目录可以为邮件系统提供邮箱信息、地址列表服务以及其他跟收件人相关的信息，同时邮件系统的配置信息也存储在活动目录中。通过活动目录的复制功能，可以将这些收件人相关信息和配置信息复制到各个活动目录域和站点中的域服务器，以供邮件系统就近访问。可以说活动目录是邮件系统的安全系统，活动目录的安全机制保证了只有认证通过的用户可以访问邮箱，并且只有认证通过的管理员才能更改邮件系统中的配置信息。邮件系统内置活动目录访问模块，用于和活动目录通讯(LDAP请求)以及缓存活动目录的信息，通过共享访问和缓存机制，可以减少活动目录域控制器以及全局编目服务器的负载。邮件系统可以发现活动目录拓扑，确认域控制器和全局编目服务器，并且维持可用的域服务器列表。地址簿信息存储在活动目录中，邮件系统也对Outlook客户端地址簿访问提供支持。包括活动目录请求转发（Outlook 2000以前版本）和活动目录请求代理（Outlook 2000及以后版本）两种方式。在消息传输过程中，邮件系统的SMTP Categorizer（SMTP分捡器）将根据消息头中包含的信息去查询活动目录，并且决定消息路由，即消息如何传递以及消息将被传递到何处。另外SMTP Categorizer通过查询活动目录，解析发件人、收件人，以及邮件组，并且将每个收件人和每个发件人的限制应用于消息。3.3 与DNS的关系由于 Exchange 2007 依赖 DNS 进行名称解析来进行邮件的传递，因此 DNS 的设计在邮件系统的设计中起到了至关重要的作用。 在邮件系统中，SMTP 依赖 DNS 来确定其下一个内部或外部目标服务器的 IP地址。通常，内部 DNS可以帮助邮件服务器实现内部邮件服务器的查找，但是内部DNS 名称不在 Internet 上发布。因此，SMTP 必须能够联系到可以解析外部 DNS 名称以发送 Internet 邮件的 DNS 服务器，以及可以解析内部 DNS 名称以实现组织内传递的 DNS 服务器。DNS在邮件系统中的作用DNS有以下三方面的作用： DNS 在发送和接收内部邮件时的作用在xxx集团，将在集团建立一套邮件系统，Windows Server2008 在DNS 中注册每个服务器的完全限定域名 (FQDN)。Exchange 服务器和 SMTP 虚拟服务器也使用该 FQDN。客户端在发送邮件的时候，邮件服务器的SMTP虚拟服务器在传递邮件的时候将使用DNS解析目标邮件服务器的IP地址。因此需要域中任何一台DNS服务器都可以解析全域邮件服务器的IP地址。 DNS 在接收 Internet 邮件时的作用要接收 Internet 邮件，外部 DNS 服务器必须有一个 MX 记录指向xxx集团邮件服务器（或者可以将邮件转发到邮件服务器的服务器，目前使用的方式）的 IP 地址的 A 记录。要确保 MX 记录的配置正确，可以使用 Nslookup 工具。要验证 Internet 上的其他服务器能否通过 25 端口访问邮件服务器，可以使用 telnet。 DNS 在发送 Internet 邮件时的作用在发送Internet 邮件的时候，最重要的一点是 DNS 搜索顺序中的所有服务器必须有一台能够解析外部域（也称为 Internet 域）以进行外部邮件的发送（或者可以将邮件转发到其他服务器上，在由其他服务做发送，目前使用这种方式）。DNS设计要求基于以上要求，在xxx集团对DNS进行如下设计要求：DNS设计简要说明：在xxx集团活动目录服务器，并且安装和AD集成的DNS用于解析本域IP地址，当需要解析域中服务器或其他子域的服务器IP地址时，将使用建立在本地DNS服务器上的条件转发，转发DNS的查询请求到相应的服务器上。DNS在这样建立完毕之后，可以满足xxx集团内部邮件系统的查询需要。 入站 Internet 邮件邮件以下列方式流入 Exchange 组织：1. 来自 Internet 的邮件使用 Internet IP 地址向域中的收件人发送邮件。2. 当前端服务器收到从 Internet 发往本地域内部的主机的邮件时，通过内部 NIC 与 Active Directory服务联系，以确定邮件要发往的目的地。 出站 Internet 邮件邮件以下列方式流出 Exchange 组织：1. 用户向外部收件人发送邮件。2. 由于此邮件是出站邮件，因此它使用驻留在后端服务器上的 SMTP 连接器。3. 垃圾邮件过滤服务器处理后，发送给目标地址。 第4章 邮件-服务器和存储设计4.1 基本概念4.1.1 Windows 2008群集技术计算机群集的出现和使用已经有十几年的历史。作为最早的群集技术设计师之一，G. Pfister 对群集的定义是，“一种并行或分布式的系统，由全面互连的计算机集合组成，可作为一个统一的计算资源使用”。将数台服务器计算机组合成一个统一的群集，多台服务器将可以在用户或管理员不必了解细节的情况下分担计算负载。例如，如果服务器群集中的任何资源发生了故障，则不论发生故障的组件是硬件还是软件资源，作为一个整体的群集都可以使用群集中其它服务器上的资源来继续向用户提供服务。换言之，当资源发生故障时，同服务器群集连接的用户可能经历短暂的性能下降现象，但不会完全失去对服务的访问能力。当需要更高的处理能力时，管理员可以通过滚动升级过程来添加新资源。该过程中，群集在整体上将保持联机状态，它不仅可供用户使用，而且在升级后，其性能也将得到改善。Windows Server 2008Enterprise Edition 和 Windows Server 2008Datacenter Edition 操作系统是完全针对用户和业务对群集技术的要求而设计开发的。主要目标是：开发一种能满足大多数商业机构和组织的群集需求的操作系统服务，而不是仅针对小型和特定的市场段。服务器群集基于无共享的群集架构模型。这种模型涉及群集的服务器如何管理和使用本地以及共用的群集设备和资源。在无共享的群集中，每个服务器都拥有和管理自己的本地设备。对于群集共用的设备，比如共用的磁盘阵列和连接介质，在任何给定时间，只能由一个服务器选择性地拥有和管理。在这种无共享的模型下，可以更为轻松地管理磁盘设备和标准应用程序。这种模型不需要任何专门的布线或应用程序即可让服务器群集支持基于 Windows Server 2008 和 Windows 2003 的标准应用程序和磁盘资源。对于本地存储设备和介质连接，服务器群集使用标准的 Windows Server 2008和 Windows2003 Server 驱动程序。对于群集内的所有服务器都需要访问的外部共用设备，服务器群集支持多个连接介质。群集共用的外部存储设备需要有小型计算机系统接口 (SCSI) 设备，并且支持标准的 PCI SCSI 连接以及位于光纤通道和 SCSI 总线上、带有多个始发端的 SCSI 连接。光纤连接是指仅位于光纤通道（而不是 SCSI 总线）上的 SCSI 设备。理论上说，光纤通道技术会在光纤通道内封装 SCSI 命令，并且允许使用服务器群集意欲支持的 SCSI 命令。这些 SCSI 命令（“预留/释放”以及“总线复位”）在标准的或非光纤 SCSI 互连介质上具有相同的作用。Windows Server 2008Enterprise/Datacenter Edition 支持 4 节点或 8 节点群集，它要求使用光纤通道形式的设备连接。4.1.2 群集的优点在企业中使用服务器群集主要有两个优点：故障转移和可伸缩性。 1. 故障转移故障转移是服务器群集最大的优点之一。如果群集中的一台服务器停止运行，出现故障的服务器的工作负载将故障转移到群集中的其他服务器。故障转移可以确保应用程序和数据连续可用。Windows 群集技术可以防止出现以下三种特定的故障类型：l 应用程序和服务故障。这些故障会影响应用程序软件和必要的服务。l 系统和硬件故障。这些故障影响 CPU、驱动器、内存、网卡和电源等硬件组件。l 多站点组织中的站点故障。这些故障可能因为自然灾害、断电或连接中断造成。为了防止发生此类故障，必须实现高级地理群集解决方案。有关详细信息，请参阅本章后面的“使用多个物理站点”。 服务器群集通过帮助防止出现以上故障类型，使您的邮件环境具有以下两个优点：l 高可用性：可以为最终用户提供可靠的访问服务，同时可以减少计划外的中断。l 高可靠性：可以降低系统故障的发生频率。2. 可伸缩性可伸缩性是服务器群集的另一项优点。可以向群集中添加节点，因此 Windows 服务器群集的可伸缩性很强。4.1.3 Exchange 2007群集功能Exchange 2007 提供许多群集改进，其中包括支持、性能和安全等方面的改进。下面列举了一些重要的 Exchange 2007群集功能：l 支持多达八个节点的群集：当使用 Windows Server 2008, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 时，Exchange 支持多达八个节点的主动/被动群集（新增功能）。 l 支持卷装入点：当使用 Windows Server 2008, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 时，Exchange 支持使用卷装入点（新增功能）。 l 故障转移性能提高：Exchange 减少了服务器故障转移到新节点所需的时间，从而提高了群集性能。l 安全性提高：Exchange 群集服务器现在更为安全。例如，Exchange 2007权限模型已更改，并且 Kerberos 身份验证协议是默认启用的。 l 先决条件检查改进：Exchange 执行更多的先决条件检查，以帮助确保正确地部署和配置群集服务器。4.2 现状分析目前，本地用户址访问邮箱，其他地区用户通过Internet网访问邮箱。目前服务器都采用xG内存，建议使用xG的内存，并打开3GB开关。目前访问用户为60多人，当用户量持续增长时可采用集群模式，在现有条件下采用单机就可满足。前端服务器的系统状态建议一般一周进行完整备份一次，当前端服务器的系统不能正常工作时，可以使用系统恢复的方式重构系统，恢复的步骤如下：1 安装全新的操作系统和补丁2 恢复系统状态数据3 以灾难恢复选项安装EXCHANGE，不要以正常方式安装。（使用安装命令行的方式）4 恢复数据库内容5 修复或调整数据库6 MOUNT数据库7 完成恢复过程。注意系统状态备份的有效时长60天。后端服务器服务需要备份的内容有系统状态，仲裁盘等信息，恢复得过程中参照“ExchangeServer2007灾难恢复操作指南.doc”4.3 服务器体系架构邮件系统服务器体系结构中，为支持邮件环境的各个协议，应将用于客户端访问的服务器体系结构采用 Exchange 前端和后端服务器体系结构。这种设计考虑到了客户端访问对邮件系统的影响。如果支持 MAPI、HTTP、POP3 或 IMAP4，则可以使用前端和后端服务器体系结构来实现下列优点：单一命名空间：前端和后端服务器体系结构的主要优点是，能够让用户在访问其邮箱时使用单一的和一致的命名空间。如果没有前端服务器，每个用户就必须知道存储其邮箱的服务器的名称。用户需要知道服务器名的因素使管理变得复杂，同时降低了灵活性，因为每次组织扩大或发生变动时，如果要将一些邮箱或所有邮箱移到另一个服务器，就必须通知用户。利用单一命名空间，即使您添加或删除服务器，或者将邮箱从一个服务器移到另一个服务器，用户仍然可以使用同一个 URL 或 POP 和 IMAP 客户端配置。此外，创建单一命名空间可确保 Outlook Web Access、POP 或 IMAP 访问在组织扩大后仍然保持着可伸缩性。前端服务器能够在服务器之间平衡对任务的处理：可以将运行邮件的服务器配置为支持客户端计算机和服务器之间的安全套接字层 (SSL) 通信，以防止通信被第三方拦截。不过，对邮件通信进行加密和解密会占用处理器的时间。使用 SSL 加密时，前端和后端服务器体系结构具有优势，因为前端服务器可以执行所有加密和解密处理。此外，可以使用 SSL 加速器进一步减轻加密和解密对服务器的影响。SSL 加速器可通过从后端服务器删除处理任务来提高性能，同时仍然允许数据在客户端计算机和运行 Exchange 的服务器之间加密。安全性：可以将前端服务器作为单一访问点放在 Internet 防火墙上或 Internet 防火墙之后，并且将 Internet 防火墙配置为只允许从 Internet 到前端的通信。因为前端服务器上没有存储任何用户信息，所以，该服务器为组织提供了额外的安全层。此外，可以将前端服务器配置为在代理请求之前对请求进行身份验证，这将帮助后端服务器抵御“拒绝服务”攻击。前端服务器用于支持来自客户端的HTTP/HTTPS/IMAP/POP/SMTP/RPC Over HTTS等协议访问，包括浏览器、SMTP/POP客户端（Outlook Express、Foxmail、手机邮件等）、Outlook 2003（RPC Over HTTPS）、手机浏览器、ActiveSync等客户端。前端服务器还实现公网邮件的入站、出站功能。4.3.1 IP 地址和网络名典型的群集安装包括一个供客户端计算机用来连接到 EVS 的公用网络，以及一个用于群集节点通信的专用网络。要确保具有足够的静态 IP 地址可用，应考虑下列要求： l 每个群集节点都有两个静态 IP 地址（即每个节点的公用网络连接 IP 地址和专用网络连接 IP 地址）和一个 NetBIOS 名。l 群集本身有一个静态 IP 地址和一个 NetBIOS 名。l 每个 EVS 都有一个静态 IP 地址和一个 NetBIOS 名。4.4 服务器的数量位置用途分类数量安装软件dc提供验证1中文Windows Server 2008R2 EE邮件服务邮件服务1中文Windows Server 2008 R2 EE中文Exchange Server 2007 EE防垃圾服务过滤服务1合计3SE表示标准版（Standard Edition）EE表示企业版（EnterpriseEdition）4.5 联机存储设计邮件系统邮箱的存储采用SAN结构的磁盘阵列。4.5.1 联机存储邮件系统用户量大，访问量高，因此要求后端邮箱的存储对数据容量大、读写速度高，因此建议采用SAN存储结构，需要光纤交换机设备连接磁盘阵列。根据一下几个方面考虑存储容量配置l 每用户邮箱大小为2G；l 每用户邮箱日志大小为邮箱大小的25%，即500M；l 系统的有效容量=用户数*（每用户邮箱大小+每用户邮箱日志大小）；l 系统冗余按30%考虑；l 考虑Raid1和Raid0+1，裸盘容量为有效容量的两倍。磁盘选择：光纤通道具体如下：名称邮箱数有效容量(GB)集团站点60500 合计60500 第5章 邮件-用户接入设计xxx集团统一邮件系统用户接入主要分为企业本地用户邮箱访问和Internet网用户邮箱访问两种。5.1.1 现状分析目前，企业本地仅仅包含xx地区，所以xx地区的用户作为本地网用户访问邮箱，其他地区用户通过Internet网访问邮箱。5.1.2 企业本地用户邮箱访问用户对邮箱访问的操作包括收取和发送邮件、访问通讯录、查看日程安排等。用户对邮箱的访问包括两种方式：一种是直接访问邮件后端服务器、一种是通过邮件前端服务器访问后端服务器上的邮箱。访问后端服务器用户使用Outlook软件，配置 Microsoft Exchange Server的连接方式，即MAPI方式，这种直接访问后端服务器，这是企业本地的主要访问方式。Outlook软件通过RPC协议可以直接操作后端服务器上的邮箱。如下图所示：这种使用方式的特点：1. 邮件在传输的过程中，是加密并且是压缩的，提高邮件安全性和网络利用率；2. 客户邮件配置比较复杂；3. Outlook具有比较强的客户端邮件管理功能，可离线看邮件；4. 可用通过“全球地址簿”查找或选择联系人，用户，组等；访问前端服务器访问邮件前端有两种方式，一种是Web方式，即Outlook Web Access(OWA)，一种是使用POP3客户端软件的方式，即Outlook或Outlook Express一 OWA方式，如下图所示：这种使用方式的特点：1. 邮件传输过程没有加密或压缩；2. 客户端不用安装邮件管理软件，仅使用IE就可以收发邮件，易于性好；3. 邮件客户端管理功能比较差，不能离线查看邮件。4. 通过“全球地址簿”组织结构树，选择发件人或机构。二 POP3客户端方式，如下图所示：这种使用方式的特点：1. 邮件传输过程没有加密或压缩；2. Outlook需要安装，Outlook Express系统自带；3. 具有比较强的客户端邮件管理功能，可离线看邮件；4. 不能通过“全球地址簿”，选择发件人或机构。5.1.3 Internet网用户邮箱访问用户对邮箱访问的操作包括收取和发送邮件、访问通讯录、查看日程安排等。用户对邮箱的访问包括一种方式：是通过邮件前端服务器访问后端服务器上的邮箱。访问前端服务器访问邮件前端有三种方式，一种是Web方式，即Outlook Web Access(OWA)，一种是使用RPC Over Http客户端软件的方式，即Outlook，一种是使用POP3客户端软件的方式，即Outlook或Outlook Express。一 OWA方式，如下图所示：这种使用方式的特点：1. 邮件传输过程没有加密或压缩；2. 客户端不用安装邮件管理软件，仅使用IE就可以收发邮件，易于性好；3. 邮件客户端管理功能比较差，不能离线查看邮件。4. 通过“全球地址簿”组织结构树，选择发件人或机构。二 RPC Over Http客户端方式，如下图所示：这种使用方式的特点：1. 邮件在传输的过程中，是加密并且是压缩的，提高邮件安全性和网络利用率；2. 客户邮件配置复杂；3. Outlook具有比较强的客户端邮件管理功能，可离线看邮件；4. 可用通过“全球地址簿”查找或选择联系人，用户，组等；三 POP3客户端方式，如下图所示：这种使用方式的特点：1. 邮件传输过程没有加密或压缩；2. Outlook需要安装，Outlook Express系统自带；3. 具有比较强的客户端邮件管理功能，可离线看邮件；4. 不能通过“全球地址簿”，选择发件人或机构。第6章 邮件-安全设计在安全性方面，包括了从传输、加密、防攻击、防病毒、内容过滤等多个方面，需要在软硬件的各个方面保障整个电子邮件系统的高安全性。6.1 服务器物理安全设计服务器物理安全是指防止意外事件或人为破坏具体的物理设备，如服务器、交换机、路由器、机柜、线路等。在邮件系统中，主要的物理设备为服务器，其余的交换机、路由器、防火墙设备等等。对于服务器的物理安全，首先要将服务器放置在不能被非管理人员直接物理接触的地点，建议服务器都应该集中放置在机房中。机房的钥匙一定要由管理员管理好，不要让无关人员随意进入机房。对于集团站点，还包括机柜的钥匙。集团站点需要通过机房和机柜的两层次物理管理来防止人为的蓄意破坏。同时，服务器都采用双电源设计，最好配备UPS不间断电源。将不同的电源接入不同的电源线路中，例如不同的电源接线盒上。这样能放置意外断电等造成系统停机。通常情况下，邮件服务器都不应该直接访问光驱、软盘。所以，所有的邮件服务器都配置可上锁的面板。通常情况下，要锁定面板，由管理员保存好钥匙，不允许使用光驱和软驱。对于IBM的服务器，可以从机器后端接入USB设备。因此，在BIOS中，要设置禁用USB以及其它不被使用的端口设备，例如并口、不被使用的串口等，防止通过USB硬盘或者闪存等利用外部接口的设备在服务器上安装其它软件。相应的网络设备也要保证可靠和安全，防止意外造成网络连接故障。6.2 操作系统安全设计6.2.1 组策略对于操作系统，要保证操作系统的安全，需要从配置和系统更新方面保证操作系统不被非法访问。所有的操作系统安全都可以通过组策略的方式来限定。组策略可以在服务器开机和用户登录时自动应用到操作系统中，从而实现集中的安全控制。组策略可以设定如下一些策略：l 帐户策略。密码、帐户锁定、Kerberos等。l 本地策略。审核策略、用户权利指派、安全选项等。l 文件系统。文件和文件夹的访问权限。l 系统服务。开启或关闭特定的服务。l 事件日志设置。大小、覆盖属性等。l 注册表。对注册表的访问权限等。l 受限制的组。l 公钥策略。l IP安全策略。包括客户端、安全服务器、服务器。在电子邮件系统中，需要配置的如下几种服务器的操作系统安全：l 域的成员服务器l 域控制服务器l 邮件前端服务器l 邮件后端服务器在AD中，所有的域控制器被放置在Domain Controllers的OU下。但是不建议将域控制服务器从Domain Controllers下移到别的OU中（包括Domain Controllers的子OU），所以，只要是邮件系统中的域控制器，都放置在Domain controllers下。另外，在AD根上建立“服务器”OU。将所有邮件服务器的服务器移入“服务器”OU 下相对应的OU中。6.3 邮件安全设计邮件系统的安全包括了数字签名和邮件加密。邮件加密和数字签名技术都可以在Exchange邮件系统中同时使用，进一步提高邮件的安全性。6.3.1 数字签名Exchange的数字签名技术能验证邮件发件人的身份。数字签名与一个人手写的签名类似，可保证邮件在传输过程中没有被篡改。产生数字签名的方法是根据电子邮件本身，计算出一个校验数据，把这个校验数据附加到邮件上。在Exchange中利用非对称加密算法，密钥的管理由Exchange提供的Exchange Key Management Service服务来完成。Exchange中可以将私钥自动分发给每个邮件用户，邮件用户可以利用自己的私钥对邮件进行签名。收件人可以通过Exchange Key Management Service来获得发件人的公钥，并利用公钥来验证邮件的正确性。在数字签名中，还涉及到数字证书。数字证书利用第三方的可信机构来验证密钥管理方的正确性。在Windows 2008中，带有认证服务，可以生成xxx需要的数字根证书，再利用此根证书来产生xxx邮件用户的密钥。但是，如果xxx邮件用户和其它企业交换数字签名邮件，其它企业并不能验证xxx根证书的正确性，因为这是xxx自己给自己发的证书。如果需要这种认证，应该到第三方可行机构购买合法的证书。在邮件部署中，将选择Tsl-Cert-01安装证书服务，选择Tsl-Key-01另一台安装Exchange Key Management Service服务。在邮件系统部署后，并不广泛使用数字签名。只是在邮件用户提出需要时，针对个人发放密钥。6.3.2 邮件加密邮件加密的技术和数字签名类似，也是利用非对称的密钥算法，实现加密和解密操作。所以，在邮件系统中，同样利用Tsl-Cert-01的证书服务和Tsl-Key-01上的Exchange Key Management Service服务来提供邮件加密的服务。在邮件系统部署后，也不广泛使用邮件加密。只是在邮件用户提出需要时，针对个人发放密钥。6.3.3 身份认证在Exchange邮件系统中，POP3提供了自己的身份认证。MAPI利用Windows的域用户认证体系，而OWA是由IIS服务提供的。因此，可以采用IIS的多种认证方式。IIS的认证方式包括：l 匿名认证。l Basic认证。简单加密用户名和密码，并传输给服务器。l 域集成认证。采用Windows 2003集成的身份认证方式。在xxx电子邮件系统中，所有的OWA都采用Basic6.4 传输安全设计传输安全主要指数据在网络上传输时不被窃取。在邮件系统中，由于存在大量的商业机密信件，因此网络传输的安全非常重要。通常，在电子邮件系统中，传输上主要采用两种方式来保障数据传输的安全：l IPSECIPSEC是Internet安全协议。这是建立在TCP/IP之上的安全协议。IPSec协议的支持内置在Windows 2003中，提供了如下功能： 身份验证。在IPSec中可以定义一些限制连接的策略。因此可以设置为只允许特定的服务器访问本机。 加密。IPSec会在服务器建立加密通道。这样，即使攻击者闯入DMZ区，也很难获得关键信息。 保护。IPSec具有一些包过滤器的基本功能。因此能防止一定程度的Dos、木马、以及通过标准协议（ICMP和HTTP等）的攻击。在xxx邮件系统中，主要使用IPSEC协议来实现DMZ区服务器和企业网内部服务器的传输加密。在DMZ区中，服务器需要跨越后端防火墙与企业网内部的服务器交换信息。同样，企业网内部的服务器也需要穿越后端防火墙与DMZ区中的服务器交换信息。这些信息一方面需要严格保护防止被窃取，另一方面也需要很容易的通过防火墙，避免防火墙过多的配置。IPSEC可以将所有DMZ和企业内部网之间的通讯利用对称加密的方式保护起来，然后通过特定的端口将数据发送给目的服务器。因此，在xxx邮件系统中，利用IPSEC来实现DMZ区服务器和企业内部网服务器之间的通讯，并确保了对防火墙的支持。l SSLSSL是建立在TCP基础上的传输加密协议。SSL的目的是提高应用层协议（HTTP、Telnet、FTP等）的安全性。SSL协议的功能包括：数据加密、服务器验证、信息完整性以及可选的用户TCP/IP连接验证。数据加密保证了数据在传输过程中不被监听和获取，服务器验证保证了客户端连接的是合法的服务器，信息完整性保证了数据不在传输中被篡改，而连接验证可保证连接的客户端是合法的客户端。SSL协议与HTTP协议结合产生了HTTPS协议，信息是利用HTTP协议来进行沟通，而安全性则是由SSL协议来保障。通常，SSL协议采用一定长度的密钥进行数据传输中的安全认证，并且在每次传输都会更改密钥。在xxx电子邮件系统中，SSL加密主要用于Internet访问OWA。在xxx邮件系统对外开放SMTP和HTTP协议，建议以后使用HTTPS协议。6.5 系统更新升级设计Windows 2008和Exchange 2007系统本身非常复杂，定期会根据使用中发现的问题进行系统的修补。系统的修改通常分为Service Pack和Hotfix两种。Service Pack是将前期所有的修补打包在一起，经过全面的测试后发布的。Hotfix则是针对某个特定的错误进行修正后的补丁程序。Hotfix类型的修补在测试力度上要比Service Pack弱。因此，对Hotfix的修补需要格外重视，不要引入新的问题。所以，在安装修补程