電子郵件服務(wù)器可橫向擴(kuò)展系統(tǒng)部署實(shí)施方案
Postfix電子郵件服務(wù)器可橫向擴(kuò)展系統(tǒng)部署實(shí)施方案
(F5負(fù)載均衡器+多服務(wù)器Cluster+NAS存儲(chǔ)+Mysql數(shù)據(jù)庫)
<基本介紹>:
一個(gè)完整的郵件系統(tǒng)包括四個(gè)部分:
底層操作系統(tǒng)(Linux Operation)
郵件傳送代理(Mail Transport Agent,MTA)
郵件分發(fā)代理(Mail Delivery Agent,MDA)
郵件用戶代理(Mail User Agent,MUA)。
<目前郵件系統(tǒng)處于的問題>:
(1)基于單服務(wù)器的單進(jìn)程郵件系統(tǒng),發(fā)送效率低、可靠性差。
(2)SMTP、POP3、IMAP、用戶認(rèn)證、郵件存儲(chǔ)等程序和數(shù)據(jù)固化,無法實(shí)現(xiàn)負(fù)荷分散和數(shù)據(jù)分布存儲(chǔ)。 如Exchange、 Lotus Mail、 iMail、WebEasyMail等,這些郵件系統(tǒng)都無法經(jīng)受病毒和垃圾郵件攻擊,更無法經(jīng)受大量用戶并發(fā)訪問的考驗(yàn)。
(3) 當(dāng)今網(wǎng)絡(luò)安全問題在電子郵件系統(tǒng)方面表現(xiàn)尤為突出:既要防止黑客的攻擊,又要防范針對(duì)郵件系統(tǒng)的病毒郵件蔓延;既要防止垃圾郵件泛濫,又要堤防內(nèi)部敏感資料的泄漏。
(4) 許多郵件系統(tǒng)管理、配置復(fù)雜。Send mail的配置文件sendmail.cf 非常難懂,以至于出現(xiàn)了生成配置文件的工具;Exchange功能比較多,但是配置起來決不輕松;Lotus Mail 僅僅實(shí)現(xiàn)一個(gè)內(nèi)外部郵件路由,需要做許多配置,稍一疏忽,就會(huì)鑄成大錯(cuò)。
<要解決的問題>:
<一>: 郵件系統(tǒng)性能問題 (采用多臺(tái)postfix 郵件服務(wù)器,采用HA形式)
企業(yè)新建設(shè)的電子郵件系統(tǒng)應(yīng)該滿足如下的基本條件:具有較強(qiáng)的適應(yīng)性,能滿足大容量的需求,需要能支持上千甚至上萬的用戶量,運(yùn)行穩(wěn)定,可靠,并且應(yīng)有足夠的擴(kuò)容空間。
<二>:郵件管理問題 (利用postfixadmin web管理工具進(jìn)行統(tǒng)一管理)
企業(yè)新建設(shè)的電子郵件系統(tǒng)要求具備較強(qiáng)的客觀理性;批量處理功能、強(qiáng)大的Web管理功能;有友好、美觀、實(shí)用的用戶交互平臺(tái)等。同時(shí)郵件系統(tǒng)和相關(guān)的安全系統(tǒng)的日常管理應(yīng)能夠統(tǒng)一,避免管理人員在多套系統(tǒng)間頻繁切換工作。
<三>:郵件安全問題 (采用 linux 系統(tǒng)本身不存在的賬號(hào)進(jìn)行郵件收發(fā),必要的時(shí)候還可以配置ssl 安全通道)
現(xiàn)在黑客攻擊手段的手段越來越高明。對(duì)攻擊感興趣的人也在增多,對(duì)于目前這樣一個(gè)開放式的網(wǎng)絡(luò)環(huán)境而言。電子郵件服務(wù)作為互聯(lián)網(wǎng)上的基本服務(wù),必然也面臨著安全方面的壓力。作為安全的電子郵件系統(tǒng)來講,應(yīng)該做到:
1. 郵件系統(tǒng)的賬號(hào)必須是非系統(tǒng)真實(shí)賬號(hào),郵件賬號(hào)不能直接登錄主機(jī),只能通過Web或POP3端口訪問。
2. 在采用非真實(shí)UNIX虛擬帳號(hào)的郵件系統(tǒng)中,用戶密碼要用密文存儲(chǔ)和傳輸。
3. 郵件系統(tǒng)的程序運(yùn)行應(yīng)該以盡可能低的用戶身份運(yùn)行,這樣才能保證郵件系統(tǒng)的程序在遭到破壞的時(shí)候不會(huì)影響到系統(tǒng)其他程序的運(yùn)行。
4. 提供安全連接,WWW,SMTP,POP3支持通過SSL安全通道進(jìn)行加密連
<四>:垃圾郵件問題 (運(yùn)行廣泛的防垃圾郵件技術(shù))
(1)收件人事先沒有提出要求或同意接收的廣告、電子刊物、各種形式的宣傳品等宣傳性的電子郵件。
(2)收件人無法拒收的電子郵件。
(3)隱藏發(fā)件人身份、地址、標(biāo)題等信息的電子郵件;。
(4)含有虛假的信息源、發(fā)件人、路由等信息的電子郵件。
反擊和過濾垃圾電子郵件是一件很重要的工作,以下是一些廣泛使用的防垃圾郵件技術(shù)
① SMTP用戶認(rèn)證
在郵件傳送代理(Mail Transport Agent,MTA)上對(duì)來自本地網(wǎng)絡(luò)以外的互聯(lián)網(wǎng)的發(fā)信用戶進(jìn)行SMTP認(rèn)證,僅允許通過認(rèn)證的用戶進(jìn)行遠(yuǎn)程轉(zhuǎn)發(fā)
② 逆向名字解析 (不是很好的方法,因?yàn)榇蟛块TDNS服務(wù)器上都沒有逆向解析記錄,而且逆向名字解析需要進(jìn)行大量DNS查詢,有可能導(dǎo)致郵件傳遞延遲等現(xiàn)象)
例如,其聲稱的名字為mail.beisen.com,而其連接地址為20.200.200.200,利用DNS的逆向解析來判定名字是否與聲稱的名字一致,是則接收,否則予以拒收。
③ 實(shí)時(shí)黑名單過濾
黑名單服務(wù)是基于用戶投訴和采樣積累而建立的、由域名或IP組成的數(shù)據(jù)庫,最著名的是RBL、DCC和Razor,通過在postfix 配置RBL過濾等
④內(nèi)容過濾 (利用第三方郵件內(nèi)容掃描軟件Spamassassin進(jìn)行內(nèi)容掃描)
目前最有效的方法是基于郵件標(biāo)題或正文的內(nèi)容過濾。其中比較簡(jiǎn)單的方法是,結(jié)合內(nèi)容掃描引擎,根據(jù)垃圾郵件的常用標(biāo)題語、垃圾郵件受益者的姓名、電話號(hào)碼、Web地址等信息進(jìn)行過濾
⑤郵件系統(tǒng)病毒問題 (利用第三方插件Clamav對(duì)郵件進(jìn)行病毒掃描處理)
ClamAV是一個(gè)unix系統(tǒng)平臺(tái)上的開源反病毒工具,它是特地為在郵件網(wǎng)關(guān)上進(jìn)行郵件掃描而設(shè)計(jì)的。整套軟件提供了許多的實(shí)用工具,包括一個(gè)可伸縮和可升級(jí)的多線程守護(hù)進(jìn)程、一個(gè)命令行掃描工具和病毒庫自動(dòng)升級(jí)工具。
<系統(tǒng)架構(gòu)部署>
采用多臺(tái)郵件應(yīng)用服務(wù)器集群部署方式,并進(jìn)行了多機(jī)冗余負(fù)載及高可用性(HA)的設(shè)計(jì),以解決整套系統(tǒng)運(yùn)行中可能出現(xiàn)的單點(diǎn)故障和負(fù)載超大流量的問題。
<邏輯結(jié)構(gòu)拓?fù)鋱D>:
本文出自 http://lubing.blog.51cto.com/5293532/910673
【返回】