zimbra 管理员手册.docx

Zimbra管理员手册1 核心功能ZCS是一个创新的消息和协作应用系统，提供了如下一些解决方案：n 电子邮件n 群组日历n 通讯录n 任务管理n 基于Web的文档管理和创作ZCS的核心功能包括：n 邮件投递和存储n 邮件的索引n 邮箱服务器的日志n IMAP和POP支持n 目录服务n 防垃圾邮件保护n 防病毒保护管理员可以通过基于浏览器的管理控制台方便地管理域名、服务器、账号，包括：u 管理服务类型（COS，ClassofService)u 添加账号和域名u 针对每个账号或服务类型设置一些限制u 创建和编辑分发列表u 导入MicrosoftExchange用户账号u 为一个域名设置虚拟主机u 管理服务器u 查看和管理服务器的状态u 控制使用情况Zimbra提供两个基于浏览器的客户端（ZWC，ZimbraWebClient），即采用Ajax技术的高级ZWC和使用标准HTML技术的标准ZWC。ZWC的特征包括：n 编写、阅读、回复、转发以及其它一些标准的电子邮件操作n 按照对话查看邮件n 给邮件加上标签n 执行高级搜索n 保存搜索结果n 使用日历安排日程n 共享日历、邮件夹、通讯录n 创建通讯录并共享n 设置邮箱的使用喜好，包括定义邮件过滤选项n 使用ZCS文档来创建、组织和共享Web文档n 使用任务功能来创建待办事项列表，并管理任务ZCS被设计成为一个端到端的可伸缩的、高可信的邮件解决方案。这个消息架构基于行业内熟知的开源技术和标准而构建，由一个服务器应用和客户端界面构成。架构包括如下一些优点：n 开源组件的集成。Linux,Jetty,Postfix,MySQL,OpenLDAPn 使用行业内的标准、开放协议。SMTP、LMTP、SOAP、XML、IMA、POP等。n 时髦的技术设计。Java、JavaScript瘦客户端、DHTMLn 水平的伸缩性。由于每个邮箱服务器都包括它自己的数据存储、消息存储、邮箱账号，n 所以你在扩充系统时可以豪不担心。要支持更多的账号，只需添加更多的服务器。RHEL的集群套件、SYMANTEC的VeritasClusterServer等可以使用。n 基于浏览器的客户端。ZimbraWebClient使用户可以通过浏览器享受所有ZCS的功能。n 管理控制台。管理控制台用于管理账号和服务器。2 创建账号2.1 创建单个账号管理控制台中的NewAccountWizard可以用来创建单个账号，步骤如下：1.从管理控制台的导航板上选择账户（Accounts）提示：至少显示4个已经存在的账户：1个管理员、2个与垃圾邮件相关的、1个与全局文档相关的。这4个账号不需要做额外的修改。2.点击新建（New），NewAccountWizard出现。3.输入账户名称（邮件地址格式）和姓氏。这两项信息是必须。4.此时可直接点击完成（Finish），账户将使用默认的服务类型（COS）及全局设置。5.如果要为此账户配置别名、转发地址或其它的特定功能，可在NewAccountWizard的界面里完成，最后再点击完成（Finish）。6.当账户创建完成的时候，就可以收发邮件了。2.2 批量创建账号使用批量账户向导（BulkAccountWizard），每次可以导入多达500个账户。该向导要求你上传一个CSV文件，其中包括用户名、显示名称、密码（可选）基本信息。通过这种方式创建的账户使用默认服务类型。2.3 将现有数据迁移到ZCSZimbra开发了几个工具，帮助用户将现有的电子邮件、日历及联系人迁移到ZCS服务器上。当用户文件被导入时，文件夹的结构仍被保留。使用ZCS的工具来迁移数据可以保证信息能够正确导入。.如下几个程序及使用指南可从管理控制台中下载。ZCSMigrationWizardforExchange.exe格式使用此工具可以将Microsoft Exchange服务器中的邮件账户迁移到ZCS服务器中。ZCSMigrationWizardforLotus Domino.exe格式。使用此工具可以将LotusDomino服务器中的邮件账户迁移到ZCS服务器中。ZimbraCollaborationSuiteImportWizardforOutlook.exe格式。使用此工具可以将Outlook文件(.pst)中的内容迁移到ZCS服务器上。3 zimbra中包含的组件Zimbra架构中包括对使用标准协议的开源项目的整合。包括在Zimbra中的第三方的软件如下表列示，并且会在安装过程中被安装。所有的这些组件都已经经过测试和配置，可以和Zimbra工作得很好。名称描述jettyZimbra的软件运行时需要的Web 服务器Postfix一个开源的邮件传输代理（MTA）OpenLDAP一个开源的目录服务软件，提供用户的验证服务MySQL 数据库软件Lucene开源的全文检索和搜索引擎 ClamAV防病毒软件SpamAssassin反垃圾邮件过滤器Amavisd-new在MTA和内容过滤器之间提供接口James/Sieve用于建立电子邮件的过滤规则4 zimbra软件包ZCS包括如下应用程序包：4.1 ZimbraCore（安装）包括核心的类库、实用工具、监控工具和基本的配置文件4.2 ZimbraLDAP（安装）ZCS使用开源的OpenLDAP作为目录服务，实现用户身份验证功能。每个账号都有一个唯一的邮箱ID作为账号的主要身份编号。ZCS中使用的OpenLDAP已经经过定制。4.3 Zimbra MTA（安装）Postfix是一个开源的MTA程序，通过SMTP协议接收邮件，并通过LMTP协议将邮件传递到合适的Zimbra邮箱服务器中。ZimbraMTA包中还包括防病毒软件和反垃圾邮件软件。4.4 ZimbraStore（邮箱服务器）（安装）包括了邮箱服务器需要的各个组件，包括Jetty，一个开源的Servlet容器。在ZCS中，邮箱服务器被称作mailboxd。每个账号只能在一个邮箱服务器中存在；每个账号都会对应一个邮箱，其中包括所有的邮件和附件。邮箱服务器中包括如下组件:4.4.1 数据存储是一个MySQL数据库，内部的邮箱ID与用户账号相关联。数据存储将邮箱ID与用户的OpenDLAP账号进行映射。数据存储包括每个用户的标签定义、邮件夹、日程安排、联系人，同时也包括每封邮件的状态、所在邮件夹等。4.4.2 消息存储消息存储是用来存放邮件及附件的。消息以MIME格式存放。有多个收件人的邮件，在消息存储中只存放一份。4.4.3 索引存储索引和搜索技术由Lucene提供。索引文件基于单个邮箱。每个服务器都有单独的数据存储、邮件存储和索引存储。当新邮件到达时，服务器会安排一个新的线程来对邮件做索引。4.5 Zimbr-SNMP（安装）非必须安装。如果你决定使用它来做监控，建议在每种服务器（邮箱服务器、LDAP、MTA）上都安装。Zimbra使用swatch查看syslog输出生成SNMP信号。4.6 ZimbraLogger（安装）可选择性地安装于一台邮箱服务器上。这个组件用于syslog的聚合和报表。如果未安装，则无法在管理控制台中看到服务器的统计信息。4.7 ZimbraSpell（不安装）可选择性安装。它是一个开源的拼写检查工具，用在ZWC中。如果此包安装了，Zimbra-apache也会被安装。4.8 ZimbraProxy（不安装）可选择性安装。使用代理服务器可以将同一个域名的邮箱分散到不同的服务器上。4.9 Zimbra Memcached（不安装）Memcached是一个与代理相关的包，当代理包被安装时，它也会被安装。运行代理服务器的必须使用Memcached，多台代理可使用同一台Memcached服务器。5 zimbra磁盘结构邮箱服务器包括如下卷：邮件存储，位于/opt/zimbra/store数据存储，位于/opt/zimbra/db下的MySQL数据库索引存储，位于/opt/zimbra/index日志文件，位于/opt/zimbra/log5.1 邮件存储 邮件存储是用来存放邮件的，包括邮件的正文和附件。邮件以MIME 格式存放。邮件存储位于每台服务器的/opt/zimbra/store 目录下，每个邮箱都有一个以ZCS 内部ID 命名的专用目录。5.2 数据存储ZCS的数据存储是一个MySQL数据库，包含了与邮件相关的元信息，如标签、会话、或在文件系统中的指针。每个账号（邮箱）只存在于一台服务器上。每台服务器有它自己独立的数据存储，包括它所管理的所有邮箱。数据存储包括：A、邮箱账号的映射。在ZCS中，主要的标识是邮箱的内部ID，无论是用户名还是账号。邮箱内部ID在一台服务器中是唯一的。数据存储将邮箱内部ID映射到用户的OpenLDAP账号；B、每个用户的标签定义、邮件夹、联系人、日程安排、任务、邮件过滤器等；C、关于每封邮件的信息，包括是否被阅读、与哪个标签相关联等。5.3 索引存储索引和搜索技术由ApacheLucene提供。邮件在进入系统的时候被自动索引。每个邮箱都有一个对应的索引文件。管理员或用户无法管理或配置索引进程。索引过程如下：1.MTA将进站的邮件投递到邮箱服务器中2.邮箱服务器分析邮件，包括邮件头、正文及所有可读的附件如PDF或DOC，进行分词索引。3.邮箱服务器将分词索引传递给Lucene来创建索引文件。5.4 日志ZCS部署由很多个第三方的组件构成。每个组件都可能产生它自己的日志。一些ZCS日志信息会生成SNMPTrap，你可以用SNMP监控工具来捕获。详见监控ZCS服务器。6 zimbra命令行方式常用的操作6.1 更改登录方式$zmprovmszimbraMailSSLPort（将HTTPS更改成非443端口）$zmtlsctlhttphttps$tomcatrestart6.2 smtp认证错误的解决zmprovmszmhostnamezimbraMtaAuthH6.3 日志服务器错误的解决$zmprovgetConfigzimbraLogHostname$zmprovmodifyConfigzimbraLogH6.4 查看系统参数可以通过zmlocalconfig-s命令查看系统的参数$postconf/查看postfix的所有配置$zmlocalconfig/查看各种组件的配置信息$zmlocalconfig-s|grepzimbra_ldap_userdn/查看zimbra帐号在LDAP中的DN$zmlocalconfig-s|grepzimbra_ldap_userdn/查看zimbra帐号在LDAP中的密码$zmlocalconfig-s|grepzimbra_mysql/查看mysql的配置信息6.5 更改系统最大邮件大小查看最大系统邮件大小，显示当前系统最大邮件为10M。$postconfmessage_size_limitmessage_size_limit=10240000将系统最大邮件大小更改为20M。$zmprovmodifyConfigzimbraMtaMaxMessageSize2048000$postfixreload6.6 更改系统最大附件大小将系统中所有帐户允许最大的附件更改为5M$zmprovmodifyConfigzimbraFileUploadMaxSize5000000将系统中帐户允许最大的附件更改为20M$zmprovmodifySzimbraFileUploadMaxSize200000006.7 更改管理员密码：$ zmprov gaaa /列出所有管理员$ zmprov sp /更改管理员密码 例如：zmprov sp admin q1w2e3r4 或 zmprov sp q12e3r46.8 更改LDAP密码$ldapstatus(start)$zmldappasswd-rootnewpass（root）$zmldappasswdnewpass(zimbra)6.9 更改MYSQLDatabase密码$mysql.serverstatus(start)$zmmypasswd-rootnewrootpass$zmmypasswdnewpass6.10 更改LoggerMYSQLDatabase密码$logmysql.serverstatus(start)$zmmylogpasswd-rootnewrootpass(root） $zmmylogpasswdnewpass(zimbra)6.11 清空邮箱$emptyFolder/inboxchatssentdraftsjunktrashinbox(收件箱)chats(聊天)snet(已发送邮件)drafts(草稿箱)junk(垃圾邮件)trash(已删除邮件)6.12 备份还原LDAP1、备份LDAP(两个命令是相等的)1)、ldapsearch-h服务器对外的地址-x-Duid=zimbra,cn=admins,cn=zimbra-w密码objectclass=*201014.ldif2)、ldapsearch-h服务器对外的地址-x-Duid=zimbra,cn=admins,cn=zimbra-w密码201014.ldif6.13 还原LDAPldapadd-h服务器对外的地址-x-c-Duid=zimbra,cn=admins,cn=zimbra-w密码$LOGFILEecho$USER$LOGFILE/opt/zimbra/bin/zmmailbox-z-m$USERgms$LOGFILEzmmailbox-z-m$USERgetRestURL/?fmt=tgz/tmp/bak/$USER.tgzdone /opt/zimbra/backup/mysql_all_back.sql7.1.3 备份ldapsu - zimbra/opt/zimbra/libexec/zmslapcat /opt/zimbra/backup/会在/opt/zimbra/backup/目录下生成 后面接日期的文件 ldap.bak.$data7.1.4 备份脚本zimbramail backup$ more zimbra_bak.sh #!/bin/bash#zimbra backupdate=date +%Y%m%d#备份zimbra mailboxmkdir -p /opt/zimbra/backup/$date/storemkdir -p /opt/zimbra/backup/$date/indexcp -r /opt/zimbra/store/* /opt/zimbra/backup/$date/storecp -r /opt/zimbra/index/* /opt/zimbra/backup/$date/index#备份数据库mysqldump -uroot -pyoyosys -socket=/opt/zimbra/db/mysql.sock -all-databases /opt/zimbra/backup/$date/mysql_all_back.sql#备份ldap/opt/zimbra/libexec/zmslapcat /opt/zimbra/backup/$date/ldaprm -rf date -date 7 days ago +%Y%m%dexit 07.2 恢复7.2.1 恢复 mailboxsu zimbramkdir /opt/zimbra/backup/store.oldmv /opt/zimbra/store/* /opt/zimbra/backup/store.old/cp -r /opt/zimbra/backup/store/* /opt/zimbra/store7.2.2 恢复 mysqlmysql -uroot -p$mysql_pswd -9.0,#其次，可把和公司相关的，一些域放入白名单。比如下头这些都是一些招聘网站投递简历的邮箱。省得hr收不到简历。#-10是信任，相反+10是阻挡。 = -9.0, = -9.0,100- = -9.0, = -9.0, = -9.0, = -9.0, = -9.0, = -9.0,01 = -9.0, = -9.0,01 = -9.0, = -9.0, = -9.0, = -9.0, = -9.0, = -9.0,/重新加载对应服务#zmamavisdctl reload9.1 设置白名单,黑名单如果在amavisd.conf.in中，对某个邮箱加分。会碰到很特殊的情况，其他权限弄的分很高。导致错误过滤。所以对于特殊邮件采用黑白名单机制。这种方式完全跳过了过滤。所以只是针对单个邮箱设置即可。9.2 增加黑白名单读取机制vim /opt/zimbra/conf/amavisd.conf.in#增加以下两行read_hash(%whitelist_sender,/opt/zimbra/conf/whitelist);read_hash(%blacklist_sender,/opt/zimbra/conf/blacklist);9.2.1 建立黑白名单文件cd /opt/zimbra/confmkdir blacklist,whitelist#格式形如下，一行一个邮箱名3：两个文件付权限给zimbra账户chown zimbra blacklistchown zimbra whitelist4：重启服务zmamavisdctl reload9.3 关键字过滤因zimbra对于某些中文关键词的支持并不是很高。所以可以自定义一些权值cd /opt/zimbra/zimbramon/bin/spamassassin#中创建自定义的邮件过滤规则集cn_rules.cf#格式如下，设定自己觉的是垃圾邮件的词，。header CN_SUBJECT_1 Subject = /优惠/describe CN_SUBJECT_1 Subject contains 优惠score CN_SUBJECT_1 1.254header CN_SUBJECT_5 Subject = /合作/describe CN_SUBJECT_5 Subject contains 合作score CN_SUBJECT_5 0.233header CN_SUBJECT_6 Subject = /发票/describe CN_SUBJECT_6 Subject contains 发票score CN_SUBJECT_6 0.055#重启服务zmamavisdctl reload9.4 使用rbl列表配置垃圾邮件过滤比较好的方式是用公开的垃圾邮件过滤列表来实现。国内用一下这个比较好 / 其中有4种列表：CBL,CDL,CBL+,CBL-zimbra具体设置是在，管理全局设定-MTA设定-RBL列表中添加适合自己的即可。可以添加一些国外的列表。根据需求来。这样结合对本域的白名单设定，可以去除90%以上的垃圾邮件。使用rbl需要注意的是。会有部分错误过滤，可以根据情况调整。10 zimbra主机安全策略10.1 禁止root用户远程登录 #修改/etc/ssh/sshd.conf下的PermitRootLogin值，将yes改为no10.2 设置口令最小长度 #在文件/etc/login.defs中设置 PASS_MIN_LEN 不小于标准值10.3 设置密码复杂度策略 #改/etc/pam.d/system-auth文件, 在ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 选3种，追加到password requisite pam_cracklib.so后面，添加到配置文件中 注：ucredit：大写字母个数；lcredit：小写字母个数；dcredit：数字个数；ocredit：特殊字符个数10.4 设置口令生存周期 #在文件/etc/