電子郵件服務器可橫向擴展系統部署實施方案
Postfix電子郵件服務器可橫向擴展系統部署實施方案
(F5負載均衡器+多服務器Cluster+NAS存儲+Mysql數據庫)
<基本介紹>:
一個完整的郵件系統包括四個部分:
底層操作系統(Linux Operation)
郵件傳送代理(Mail Transport Agent,MTA)
郵件分發代理(Mail Delivery Agent,MDA)
郵件用戶代理(Mail User Agent,MUA)。
<目前郵件系統處于的問題>:
(1)基于單服務器的單進程郵件系統,發送效率低、可靠性差。
(2)SMTP、POP3、IMAP、用戶認證、郵件存儲等程序和數據固化,無法實現負荷分散和數據分布存儲。 如Exchange、 Lotus Mail、 iMail、WebEasyMail等,這些郵件系統都無法經受病毒和垃圾郵件攻擊,更無法經受大量用戶并發訪問的考驗。
(3) 當今網絡安全問題在電子郵件系統方面表現尤爲突出:既要防止黑客的攻擊,又要防範針對郵件系統的病毒郵件蔓延;既要防止垃圾郵件泛濫,又要堤防内部敏感資料的洩漏。
(4) 許多郵件系統管理、配置複雜。Send mail的配置文件sendmail.cf 非常難懂,以至于出現了生成配置文件的工具;Exchange功能比較多,但是配置起來決不輕松;Lotus Mail 僅僅實現一個内外部郵件路由,需要做許多配置,稍一疏忽,就會鑄成大錯。
<要解決的問題>:
<一>: 郵件系統性能問題 (采用多台postfix 郵件服務器,采用HA形式)
企業新建設的電子郵件系統應該滿足如下的基本條件:具有較強的适應性,能滿足大容量的需求,需要能支持上千甚至上萬的用戶量,運行穩定,可靠,并且應有足夠的擴容空間。
<二>:郵件管理問題 (利用postfixadmin web管理工具進行統一管理)
企業新建設的電子郵件系統要求具備較強的客觀理性;批量處理功能、強大的Web管理功能;有友好、美觀、實用的用戶交互平台等。同時郵件系統和相關的安全系統的日常管理應能夠統一,避免管理人員在多套系統間頻繁切換工作。
<三>:郵件安全問題 (采用 linux 系統本身不存在的賬号進行郵件收發,必要的時候還可以配置ssl 安全通道)
現在黑客攻擊手段的手段越來越高明。對攻擊感興趣的人也在增多,對于目前這樣一個開放式的網絡環境而言。電子郵件服務作爲互聯網上的基本服務,必然也面臨着安全方面的壓力。作爲安全的電子郵件系統來講,應該做到:
1. 郵件系統的賬号必須是非系統真實賬号,郵件賬号不能直接登錄主機,隻能通過Web或POP3端口訪問。
2. 在采用非真實UNIX虛拟帳号的郵件系統中,用戶密碼要用密文存儲和傳輸。
3. 郵件系統的程序運行應該以盡可能低的用戶身份運行,這樣才能保證郵件系統的程序在遭到破壞的時候不會影響到系統其他程序的運行。
4. 提供安全連接,WWW,SMTP,POP3支持通過SSL安全通道進行加密連
<四>:垃圾郵件問題 (運行廣泛的防垃圾郵件技術)
(1)收件人事先沒有提出要求或同意接收的廣告、電子刊物、各種形式的宣傳品等宣傳性的電子郵件。
(2)收件人無法拒收的電子郵件。
(3)隐藏發件人身份、地址、标題等信息的電子郵件;。
(4)含有虛假的信息源、發件人、路由等信息的電子郵件。
反擊和過濾垃圾電子郵件是一件很重要的工作,以下是一些廣泛使用的防垃圾郵件技術
① SMTP用戶認證
在郵件傳送代理(Mail Transport Agent,MTA)上對來自本地網絡以外的互聯網的發信用戶進行SMTP認證,僅允許通過認證的用戶進行遠程轉發
② 逆向名字解析 (不是很好的方法,因爲大部門DNS服務器上都沒有逆向解析記錄,而且逆向名字解析需要進行大量DNS查詢,有可能導緻郵件傳遞延遲等現象)
例如,其聲稱的名字爲mail.beisen.com,而其連接地址爲20.200.200.200,利用DNS的逆向解析來判定名字是否與聲稱的名字一緻,是則接收,否則予以拒收。
③ 實時黑名單過濾
黑名單服務是基于用戶投訴和采樣積累而建立的、由域名或IP組成的數據庫,最著名的是RBL、DCC和Razor,通過在postfix 配置RBL過濾等
④内容過濾 (利用第三方郵件内容掃描軟件Spamassassin進行内容掃描)
目前最有效的方法是基于郵件标題或正文的内容過濾。其中比較簡單的方法是,結合内容掃描引擎,根據垃圾郵件的常用标題語、垃圾郵件受益者的姓名、電話号碼、Web地址等信息進行過濾
⑤郵件系統病毒問題 (利用第三方插件Clamav對郵件進行病毒掃描處理)
ClamAV是一個unix系統平台上的開源反病毒工具,它是特地爲在郵件網關上進行郵件掃描而設計的。整套軟件提供了許多的實用工具,包括一個可伸縮和可升級的多線程守護進程、一個命令行掃描工具和病毒庫自動升級工具。
<系統架構部署>
采用多台郵件應用服務器集群部署方式,并進行了多機冗餘負載及高可用性(HA)的設計,以解決整套系統運行中可能出現的單點故障和負載超大流量的問題。
<邏輯結構拓撲圖>:
本文出自 http://lubing.blog.51cto.com/5293532/910673
【返回】