本方案是项目组在充分了解NCJLQCJT目前在网络带宽、管理模式、现存系统的基础上，通过测试和论证最终形成的。技术方案以微软Exchange 2007/2010电子邮件系统为基础。本规划方案包括了需求和分析，Windows 2008域模型规划，Exchange2007/2010的邮件规划，实施方案和运营维护管理设计。

本规范还从技术层面，阐明NCJLQCJT的域模型，电子邮件系统的设计原则，部署实施系统及其相关的管理和维护任务。

1.1 xx网络现状

目前NCJLQCJT纳入域管理的共有不到500用户，未来将逐步将各分公司纳入进行统一管理，未来规模将达到3000用户。

在NCJLQCJT内部，将建立有企业级的统一用户管理系统。集团总部从桌面统一化的角度实施了桌面管理，使集团总部的用户能使用软件自动分发、远程系统支持、管理邮件，使用企业门户等用户服务，集团总部采用集中管理用户帐号。

NCJLQCJT目前的广域网设备维护和管理是集团信息中心负责。其他地区公司的局域网设备都是由地区公司管理和维护的。

在NCJLQCJT中，大部分的桌面操作系统为WindowsXP和Windows 7。

第2章邮件-体系架构设计

2.1 综述

邮件系统是一个综合性的系统。它包括了对邮件用户、邮件服务器和邮件存储方面的管理和设计。同时，邮件系统也是企业中信息共享和协作的基础。

Exchange 2007/2010 Server，同MicrosoftWindows® 2008操作系统无缝地集成在一起，被设计用来满足各种规模的商业需求，从小型的、集中的组织到大规模分布式企业。同它的客户端MicrosoftOutlook®一起，Exchange提供了一个高度可靠的、可伸缩的且易于管理的消息传送和协同工作基础结构。Exchange的Web存储系统将Exchange的可靠性和可伸缩性同Web的可访问性和开放性有机地结合在一起，从而提供了一个强大的知识信息仓库以及一个商业应用程序平台。

在xx的电子邮件系统中，将结合Windows2008与Exchange2007/2010提供面向NCJLQCJT的电子邮件解决方案。Windows2008提供了电子邮件系统所需的基础服务。包括了：

l 用户管理

l AD活动目录服务

l DNS域名解析服务

l WINS解析服务

l SMTP简单邮件传输协议支持

在Windows 2008的基础上，Exchange2007/2010实现了安全，可靠的电子邮件系统。Exchange2007/2010加强并增加了对电子邮件系统的支持。包括：

l 增强了SMTP的支持

l 增加了邮件协议的支持（POP3/IMAP4/MAPI）

l 邮件路由服务

l 邮箱存储管理

l 信息协作平台服务

2.2 设计原则

针对NCJLQCJT公司的企业特点，从系统的总体目标和需求出发，结合目前先进和成熟的一些计算机技术与理念来设计系统，力求建设一套实用、先进、成熟、可靠的企业邮件系统，能够通过对系统的使用，提高基础结构的安全性和可靠性，同时考虑与未来系统的接口，并为将来业务需求的进一步扩展作好准备。本次安全邮件系统建设具体需达到如下目标：

1、完善的功能

员工对于该邮件系统功能的需求，已经不只是简单地连接上网、收发电子邮件等，而是希望系统的使用能越来越方便，提供的功能越多越好，特别要针对个性化提供多层次的分级管理界面，并将短信邮箱、安全邮箱、反垃圾等功能内容进行拓展和丰富。

2、支持多种移动设备和访问方式

随着通信新技术的不断发展，对于各种数据通信承载层方面和用户界面方面都应提供相应的应用和服务。如智能手机，PDA，Web，Wap，短信，彩信等多种灵活的接入手段，随时随地为员工提供数据服务。

3、先进性

系统必须采用先进的概念、技术、方法和设备。既要反映当今的先进水平，又要具有发展潜力。同时系统涉及的技术、平台、操作方法和计算机设备等都必须是相对成熟可靠的。

4、实用性和实时性

系统必须较好地满足用户需求，使用方便，界面友好。同时系统必须考虑实际操作的响应速度，网络通讯必须具有一定的实效性，在系统业务流程处理、流转中也要体现出实时性的特点。

5、系统的高可靠性

对于向内部员工提供的外部邮件服务，系统的可靠性要求应非常高，必须保证7*24小时不停机工作和相关的一系列可靠性指标。

6、系统安全性

该系统必须具备很高的安全性，防止受到恶意的攻击和垃圾邮件侵扰，必须具备系统层面和应用层面的安全机制。

7、灵活开放性

该系统应发展成为与公司其他系统紧密结合，要求系统应该具有足够的可扩展性和开放性，以满足未来发展的需要。

8、良好扩展性

系统建设方案应综合考虑NCJLQCJT公司邮件系统的现状以及未来业务发展的扩展能力，即充分保证当前不会过度的投资，又能保护前期投入。在未来需要大幅度发展的情况下，系统提供良好的扩展性。

2.3 总体架构

2.3.1 Exchange Server 2007/2010邮件系统架构

ExchangeServer 2010有一种新的按角色划分的应用程序体系结构，它为Internet 和Intranet 邮件解决方案提供了一个功能丰富而强大的平台，如下图所示：

图表 1 Exchange2010 架构

新的结构分为6种不同的角色

1. 边缘服务器

2. 中心传输服务器

3. 客户端访问服务器

4. 邮箱服务器

5. 和统一消息服务器

6. 反向代理（可选，建议使用ISA服务器）

角色功能和安装代码互相独立，可单独安装，也可以安装在同一台服务器（边缘服务器不能加入域，只能单独安装）。

在 ExchangeServer 2010 中将不同的角色分开，使设计者能够更灵活的设计服务器拓扑，提高了可伸缩性、安全性和可用性等等。另外，处理HTTP、SMTP、POP及IMAP（Internet消息访问协议）请求的一组IP服务器可以容留在独立于全部数据存储的服务器上，并且无需RAID（容错磁盘阵列）控制器。这就减少了服务器成本，同时也可以防止SMTP故障和意外的服务拒绝事件影响到通信存储或目录。

所有邮件的传递都通过中心传输服务器，可以很方便的部署过滤规则，自动备份，添加免责声明等。在组织内部所有通讯都通过TLS加密，确保邮件的安全性。

单独设计的边缘服务器，不依赖AD环境。可单独部署在防火墙中立区，进一个增强系统的安全性。

2.3.2 NCJLQCJT邮件系统整体架构设计

2.4 安全性设计

由于电子邮件系统是信息系统的基础之一，因此，需要对电子邮件的安全性特别重视。Exchange2007/2010提供了一个安全的电子邮件系统所必须的安全特性：

l 用户身份的认证。保证访问的用户是合法的用户。

l 具有邮件回执功能。能有效的跟踪邮件，防止邮件丢失。

l 邮件收发的跟踪功能。能用于查找问题原因并恢复邮件。

l 邮件传输的加密。防止网络监听，保证邮件传输过程的安全。

l 数字签名。能认证发信人的身份和信件的完整性，避免收到伪造或被篡改的电子邮件。

l 邮件的访问权限。能实现针对特定用户的邮件访问设置，包括发送邮件的范围，发送邮件的大小等。

通过Internet发送的邮件是基于SMTP协议的，由于SMTP本身设计上的缺陷，通常Internet邮件的加密措施都很薄弱。但在Internet中存在多种多样的电子邮件系统，为了能与其它用户的电子邮件系统互通，都需要遵循基本的标准。所以，我们将重点放在NCJLQCJT内部的邮件系统安全，即用户在外如何安全连接内部的邮件系统，并安全阅读/发送电子邮件，以及如何安全接收来自Internet的邮件。对此，邮件系统的安全涉及到以下几个方面：

l 服务器的安全

l 操作系统的安全

l 邮件系统的安全

l 邮件传输的安全

l 电子邮件的安全。包括防病毒和内容过滤等。

2.5 可靠性设计

电子邮件系统是一个庞大的、复杂的系统。同时，也是企业基础信息系统之一。电子邮件系统部署实施完成后，内部的通讯将越来越多地依靠电子邮件系统，成为员工日常工作中不可或缺的工具。所以，当电子邮件系统出现故障时，将直接影响到所有的邮件使用者。

提高邮件系统的可靠性可以通过软硬件的冗余方式来达到，常见的方式有服务器集群和网络负载均衡。虽然Exchange2007/2010很好的支持这些软硬件的冗余技术，但提高软硬件的冗余度必然带来成本的增加。在xx的电子邮件系统中，需要从性价比的方面出发，合理的考虑可靠性和成本之间的关系。以不存在明显的单点故障为基础，提高邮件系统的整体可靠性。同时，可靠性也需要有完善的运营维护和灾难恢复计划作为后盾。在可靠性的基础上，实现最快的故障处理响应服务。保证系统即使出现故障时，能在最快的时间内恢复系统，重新提供电子邮件服务。

第3章邮件系统设计

3.1 系统架构设计

根据NCJLQCJT邮件系统总体规划，NCJLQCJT邮件系统以集团为单位建设，邮件系统采用单一服务器模式，邮箱存储以及用户内网的Outlook访问功能，达到系统冗余，最大程度地提高邮件系统的可用性；并提供用户内网和公网的HTTP/HTTPS/Outlook Internet访问/Mobile/SMTP/POP/IMAP等服务，以及入站、出站等功能；通过部署统一的防垃圾、防病毒网关/软件对Internet出站和入站邮件进行实时的防垃圾、防病毒检测；邮件系统邮箱的存储采用SAN结构的磁盘阵列，并使用磁带库作为系统备份设备。

考虑到NCJLQCJT公司对邮箱的可靠性和可扩展性要求，根据Exchange 2010系统的架构，为NCJLQCJT公司设计如下的Exchange结构：

图表 2整体设计

架构说明：

1. 系统采用集中式，冗余架构设计，部署在NCJLQCJT公司的数据中心内。

2. 互联网网关（边缘服务器）将内外的邮件系统隔离开来，使得这些不得不和外界连通的服务器即使被黑客攻击，也不会影响防火墙后面内部网络内的服务器，它提高了安全性和设计灵活性。网关还实现了对互联网的病毒和垃圾邮件过来。通过负载均衡，用两台机同时实行对外服务。

3. 2台Windows Server 2008服务器（可以利用现有的活动目录服务器），作为活动目录服务域控制器。并且在这两台服务器上运行DNS服务。Exchange 2010的正常运行，依赖于活动目录和DNS的正常运行,因此需要部署至少2台服务器作为冗余。活动目录可以是32位或64的服务器，为了获得更好的性能，建议可以配置64位，2CPU, 4GRAM的服务器。

4. 中心传输服务器承担所有进入内网的邮件的传输路由任务，一旦该服务器当机，将导致所有邮件不能发送，因此也部署2台服务器，作为冗余。一旦一台失效，邮箱服务器会联系到另外一台中心传输服务器。中心服务器还负责企业内部的邮件流控制，可实现内部病毒检测，内容过滤，以及邮件归档的服务，可以提高企业对信息泄露风险的控制。

5. 客户端访问服务器支持Web和移动用户访问Exchange邮件服务器。通过Windows内置的load balance技术，实现负载均衡和冗余。为节省资源，在硬件上和中心传输服务器采用同一套服务器。

6. 邮箱服务器配置1台，备用机1台。平时1台机器对外服务。一旦其中一台服务器当机，备份机能够迅速的接管服务。

3.2 网络带宽需求

为了防止病毒和垃圾邮件的侵害，NCJLQCJT统一邮件系统将采用统一的防病毒和防垃圾邮件的策略，整个邮件系统将设立1个独立的Internet邮件出入口。

3.2.1 邮件系统带宽的需求

基础数据

根据集团邮件系统目前使用情况统计，每个用户的收发邮件情况如下：

用户收发邮件情况基础数据
项目	单位	数值
每日工作时间	小时	8
每个用户平均每日接收邮件数	封	20
每个用户平均每日发送邮件数	封	15
来自和发送到xx内部的比例		70%
来自和发送到xx外部的比例		30%
平均每封邮件大小	KB	50
高峰流量与平均流量的比例		1.50
网络带宽利用率		70%

计算方法

l 每天发到外部邮件数= 用户数*（每用户平均每日发送邮件数*来自和发送到xx外部的比例）

l 每天发送到外部的邮件字节数（M） = 每天发送到外部邮件数*平均每封邮件大小/1024

l 高峰时每小时发到外部邮件字节数(M)= 每天发送到外部的邮件字节数/每日工作时间*高峰流量与平均流量的比例

l 每天收到外部邮件数= 用户数*（每用户平均每日收到邮件数*来自和发送到xx外部的比例）

l 每天收到外部的邮件字节数（M） = 每天收到外部邮件数*平均每封邮件大小/1024

l 高峰时每小时收到外部邮件字节数(M)= 每天收到外部的邮件字节数/每日工作时间*高峰流量与平均流量的比例

l 高峰时实际需要带宽=（高峰时入口带宽+高峰时出口带宽）/网络带宽实际利用率

计算结果

按照当前500用户数计算，邮件系统带宽需求情况见下表：

邮件系统带宽需求表
名称	用户邮箱数量	高峰时（单位：Mbps）
名称	用户邮箱数量	出口带宽	入口带宽	实际带宽
集团站点	500	4.42	3.33	7.75
合计	500	4.42	3.33	7.75

3.3 服务器体系架构

邮件系统服务器体系结构中，为支持邮件环境的各个协议，应将用于客户端访问的服务器体系结构采用Exchange 前端和后端服务器体系结构。这种设计考虑到了客户端访问对邮件系统的影响。如果支持MAPI、HTTP、POP3或IMAP4，则可以使用前端和后端服务器体系结构来实现下列优点：

单一命名空间：前端和后端服务器体系结构的主要优点是，能够让用户在访问其邮箱时使用单一的和一致的命名空间。如果没有前端服务器，每个用户就必须知道存储其邮箱的服务器的名称。用户需要知道服务器名的因素使管理变得复杂，同时降低了灵活性，因为每次组织扩大或发生变动时，如果要将一些邮箱或所有邮箱移到另一个服务器，就必须通知用户。利用单一命名空间，即使您添加或删除服务器，或者将邮箱从一个服务器移到另一个服务器，用户仍然可以使用同一个URL 或POP 和IMAP 客户端配置。此外，创建单一命名空间可确保Outlook Web Access、POP或IMAP 访问在组织扩大后仍然保持着可伸缩性。

前端服务器能够在服务器之间平衡对任务的处理：可以将运行邮件的服务器配置为支持客户端计算机和服务器之间的安全套接字层(SSL) 通信，以防止通信被第三方拦截。不过，对邮件通信进行加密和解密会占用处理器的时间。使用SSL 加密时，前端和后端服务器体系结构具有优势，因为前端服务器可以执行所有加密和解密处理。此外，可以使用SSL 加速器进一步减轻加密和解密对服务器的影响。SSL加速器可通过从后端服务器删除处理任务来提高性能，同时仍然允许数据在客户端计算机和运行Exchange 的服务器之间加密。

安全性：可以将前端服务器作为单一访问点放在Internet 防火墙上或Internet 防火墙之后，并且将Internet 防火墙配置为只允许从Internet 到前端的通信。因为前端服务器上没有存储任何用户信息，所以，该服务器为组织提供了额外的安全层。此外，可以将前端服务器配置为在代理请求之前对请求进行身份验证，这将帮助后端服务器抵御“拒绝服务”攻击。

前端服务器用于支持来自客户端的HTTP/HTTPS/IMAP/POP/SMTP/RPCOver HTTS等协议访问，包括浏览器、SMTP/POP客户端（OutlookExpress、Foxmail、手机邮件等）、Outlook2003（RPCOver HTTPS）、手机浏览器、ActiveSync等客户端。前端服务器还实现公网邮件的入站、出站功能。

3.3.1 IP 地址和网络名

典型的群集安装包括一个供客户端计算机用来连接到 EVS 的公用网络，以及一个用于群集节点通信的专用网络。要确保具有足够的静态 IP 地址可用，应考虑下列要求：

l 每个群集节点都有两个静态IP 地址（即每个节点的公用网络连接IP 地址和专用网络连接IP 地址）和一个NetBIOS 名。

l 群集本身有一个静态IP 地址和一个NetBIOS 名。

l 每个EVS 都有一个静态IP 地址和一个NetBIOS 名。

3.4 服务器的数量

位置	用途	分类	数量	安装软件
1	dc	提供验证	2	中文Windows Server 2008R2
2	邮件服务	邮件服务	2	中文Windows Server 2008 R2 中文Exchange Server 2007
3	统一出入站	边缘服务器	1	中文Windows Server 2008 R2 中文Exchange Server 2007
合计			5

3.5 联机存储设计

邮件系统邮箱的存储采用SAN结构的磁盘阵列。

3.5.1 联机存储

邮件系统用户量大，访问量高，因此要求后端邮箱的存储对数据容量大、读写速度高，因此建议采用SAN存储结构，需要光纤交换机设备连接磁盘阵列。

根据一下几个方面考虑存储容量配置

l 每用户邮箱大小为200M；

l 每用户邮箱日志大小为邮箱大小的25%，即50M；

l 系统的有效容量=用户数*（每用户邮箱大小+每用户邮箱日志大小）；

l 系统冗余按30%考虑；

l 考虑Raid1和Raid0+1，裸盘容量为有效容量的两倍。

磁盘选择：光纤通道

具体如下：

名称	邮箱数	有效容量(GB)
集团站点	500	750
合计	500	750

3.6 DNS设计要求

3.6.1 邮件系统与活动目录的关系

ExchangeServer 2007邮件系统与活动目录紧密集成，并且依赖活动目录完成其目录操作。活动目录可以为邮件系统提供邮箱信息、地址列表服务以及其他跟收件人相关的信息，同时邮件系统的配置信息也存储在活动目录中。通过活动目录的复制功能，可以将这些收件人相关信息和配置信息复制到各个活动目录域和站点中的域服务器，以供邮件系统就近访问。

可以说活动目录是邮件系统的安全系统，活动目录的安全机制保证了只有认证通过的用户可以访问邮箱，并且只有认证通过的管理员才能更改邮件系统中的配置信息。

邮件系统内置活动目录访问模块，用于和活动目录通讯(LDAP请求)以及缓存活动目录的信息，通过共享访问和缓存机制，可以减少活动目录域控制器以及全局编目服务器的负载。邮件系统可以发现活动目录拓扑，确认域控制器和全局编目服务器，并且维持可用的域服务器列表。

地址簿信息存储在活动目录中，邮件系统也对Outlook客户端地址簿访问提供支持。包括活动目录请求转发（Outlook2000以前版本）和活动目录请求代理（Outlook 2000及以后版本）两种方式。

在消息传输过程中，邮件系统的SMTP Categorizer（SMTP分捡器）将根据消息头中包含的信息去查询活动目录，并且决定消息路由，即消息如何传递以及消息将被传递到何处。另外SMTPCategorizer通过查询活动目录，解析发件人、收件人，以及邮件组，并且将每个收件人和每个发件人的限制应用于消息。

3.6.2 与DNS的关系

由于 Exchange 2007/2010 依赖 DNS 进行名称解析来进行邮件的传递，因此 DNS 的设计在邮件系统的设计中起到了至关重要的作用。

在邮件系统中，SMTP 依赖 DNS 来确定其下一个内部或外部目标服务器的 IP地址。通常，内部 DNS可以帮助邮件服务器实现内部邮件服务器的查找，但是内部DNS 名称不在Internet 上发布。因此，SMTP 必须能够联系到可以解析外部 DNS 名称以发送Internet 邮件的 DNS 服务器，以及可以解析内部 DNS 名称以实现组织内传递的 DNS 服务器。

3.6.3 DNS在邮件系统中的作用

DNS有以下三方面的作用：

Ø DNS在发送和接收内部邮件时的作用

在NCJLQCJT，将在集团建立一套邮件系统，WindowsServer 2008 在DNS中注册每个服务器的完全限定域名(FQDN)。Exchange服务器和SMTP 虚拟服务器也使用该FQDN。客户端在发送邮件的时候，邮件服务器的SMTP虚拟服务器在传递邮件的时候将使用DNS解析目标邮件服务器的IP地址。因此需要域中任何一台DNS服务器都可以解析全域邮件服务器的IP地址。

Ø DNS在接收Internet 邮件时的作用

要接收 Internet 邮件，外部DNS 服务器必须有一个MX 记录指向NCJLQCJT邮件服务器（或者可以将邮件转发到邮件服务器的服务器，目前使用的方式）的IP 地址的A 记录。要确保MX 记录的配置正确，可以使用Nslookup 工具。要验证Internet 上的其他服务器能否通过25 端口访问邮件服务器，可以使用telnet。

Ø DNS在发送Internet 邮件时的作用

在发送Internet 邮件的时候，最重要的一点是DNS 搜索顺序中的所有服务器必须有一台能够解析外部域（也称为Internet 域）以进行外部邮件的发送（或者可以将邮件转发到其他服务器上，在由其他服务做发送，目前使用这种方式）。

3.6.4 DNS设计要求

基于以上要求，在NCJLQCJT对DNS进行如下设计要求：

DNS设计简要说明：

在NCJLQCJT活动目录服务器，并且安装和AD集成的DNS用于解析本域IP地址，当需要解析xx.com域中服务器或其他子域的服务器IP地址时，将使用建立在本地DNS服务器上的条件转发，转发DNS的查询请求到相应的服务器上。DNS在这样建立完毕之后，可以满足NCJLQCJT内部邮件系统的查询需要。

Ø 入站 Internet 邮件

邮件以下列方式流入Exchange 组织：

1. 来自 Internet 的邮件使用Internet IP 地址向xx.com域中的收件人发送邮件。

2. 当前端服务器收到从Internet 发往本地域内部的主机的邮件时，通过内部NIC 与Active Directory服务联系，以确定邮件要发往的目的地。

Ø 出站 Internet 邮件

邮件以下列方式流出Exchange 组织：

1. 用户向外部收件人发送邮件。

2. 由于此邮件是出站邮件，因此它使用驻留在后端服务器上的SMTP 连接器。

3. 垃圾邮件过滤服务器处理后，发送给目标地址。

3.7 邮件系统用户接入设计

NCJLQCJT统一邮件系统用户接入主要分为企业本地用户邮箱访问和Internet网用户邮箱访问两种。

3.7.1 企业本地用户邮箱访问

用户对邮箱访问的操作包括收取和发送邮件、访问通讯录、查看日程安排等。

用户对邮箱的访问包括两种方式：一种是直接访问邮件后端服务器、一种是通过邮件前端服务器访问后端服务器上的邮箱。

访问后端服务器

用户使用Outlook软件，配置 MicrosoftExchange Server的连接方式，即MAPI方式，这种直接访问后端服务器，这是企业本地的主要访问方式。Outlook软件通过RPC协议可以直接操作后端服务器上的邮箱。如下图所示：

这种使用方式的特点：

1. 邮件在传输的过程中，是加密并且是压缩的，提高邮件安全性和网络利用率；

2. 客户邮件配置比较复杂；

3. Outlook具有比较强的客户端邮件管理功能，可离线看邮件；

4. 可用通过“全球地址簿”查找或选择联系人，用户，组等；

访问前端服务器

访问邮件前端有两种方式，一种是Web方式，即OutlookWeb Access(OWA)，一种是使用POP3客户端软件的方式，即Outlook或OutlookExpress

一 OWA方式，如下图所示：

这种使用方式的特点：

1. 邮件传输过程没有加密或压缩；

2. 客户端不用安装邮件管理软件，仅使用IE就可以收发邮件，易于性好；

3. 邮件客户端管理功能比较差，不能离线查看邮件。

4. 通过“全球地址簿”组织结构树，选择发件人或机构。

二 POP3客户端方式，如下图所示：

这种使用方式的特点：

1. 邮件传输过程没有加密或压缩；

2. Outlook需要安装，OutlookExpress系统自带；

3. 具有比较强的客户端邮件管理功能，可离线看邮件；

4. 不能通过“全球地址簿”，选择发件人或机构。

3.7.2 Internet网用户邮箱访问

用户对邮箱访问的操作包括收取和发送邮件、访问通讯录、查看日程安排等。

用户对邮箱的访问包括一种方式：是通过邮件前端服务器访问后端服务器上的邮箱。

访问前端服务器

访问邮件前端有三种方式，一种是Web方式，即OutlookWeb Access(OWA)，一种是使用RPCOver Http客户端软件的方式，即Outlook，一种是使用POP3客户端软件的方式，即Outlook或OutlookExpress。

一 OWA方式，如下图所示：

这种使用方式的特点：

1. 邮件传输过程没有加密或压缩；

2. 客户端不用安装邮件管理软件，仅使用IE就可以收发邮件，易于性好；

3. 邮件客户端管理功能比较差，不能离线查看邮件。

4. 通过“全球地址簿”组织结构树，选择发件人或机构。

二 RPC Over Http客户端方式，如下图所示：

这种使用方式的特点：

1. 邮件在传输的过程中，是加密并且是压缩的，提高邮件安全性和网络利用率；

2. 客户邮件配置复杂；

3. Outlook具有比较强的客户端邮件管理功能，可离线看邮件；

4. 可用通过“全球地址簿”查找或选择联系人，用户，组等；

三 POP3客户端方式，如下图所示：

这种使用方式的特点：

1. 邮件传输过程没有加密或压缩；

2. Outlook需要安装，OutlookExpress系统自带；

3. 具有比较强的客户端邮件管理功能，可离线看邮件；

4. 不能通过“全球地址簿”，选择发件人或机构。

3.8 邮件系统安全设计

在安全性方面，包括了从传输、加密、防攻击、防病毒、内容过滤等多个方面，需要在软硬件的各个方面保障整个电子邮件系统的高安全性。

3.8.1 服务器物理安全设计

服务器物理安全是指防止意外事件或人为破坏具体的物理设备，如服务器、交换机、路由器、机柜、线路等。在邮件系统中，主要的物理设备为服务器，其余的交换机、路由器、防火墙设备等等。

对于服务器的物理安全，首先要将服务器放置在不能被非管理人员直接物理接触的地点，建议服务器都应该集中放置在机房中。机房的钥匙一定要由管理员管理好，不要让无关人员随意进入机房。对于集团站点，还包括机柜的钥匙。集团站点需要通过机房和机柜的两层次物理管理来防止人为的蓄意破坏。

同时，服务器都采用双电源设计，最好配备UPS不间断电源。将不同的电源接入不同的电源线路中，例如不同的电源接线盒上。这样能放置意外断电等造成系统停机。

通常情况下，邮件服务器都不应该直接访问光驱、软盘。所以，所有的邮件服务器都配置可上锁的面板。通常情况下，要锁定面板，由管理员保存好钥匙，不允许使用光驱和软驱。对于IBM的服务器，可以从机器后端接入USB设备。因此，在BIOS中，要设置禁用USB以及其它不被使用的端口设备，例如并口、不被使用的串口等，防止通过USB硬盘或者闪存等利用外部接口的设备在服务器上安装其它软件。

相应的网络设备也要保证可靠和安全，防止意外造成网络连接故障。

3.8.2 操作系统安全设计

3.8.3 组策略

对于操作系统，要保证操作系统的安全，需要从配置和系统更新方面保证操作系统不被非法访问。所有的操作系统安全都可以通过组策略的方式来限定。组策略可以在服务器开机和用户登录时自动应用到操作系统中，从而实现集中的安全控制。

组策略可以设定如下一些策略：

l 帐户策略。密码、帐户锁定、Kerberos等。

l 本地策略。审核策略、用户权利指派、安全选项等。

l 文件系统。文件和文件夹的访问权限。

l 系统服务。开启或关闭特定的服务。

l 事件日志设置。大小、覆盖属性等。

l 注册表。对注册表的访问权限等。

l 受限制的组。

l 公钥策略。

l IP安全策略。包括客户端、安全服务器、服务器。

在电子邮件系统中，需要配置的如下几种服务器的操作系统安全：

l 域的成员服务器

l 域控制服务器

l 邮件前端服务器

l 邮件后端服务器

在AD中，所有的域控制器被放置在DomainControllers的OU下。但是不建议将域控制服务器从DomainControllers下移到别的OU中（包括DomainControllers的子OU），所以，只要是邮件系统中的域控制器，都放置在Domaincontrollers下。另外，在AD根上建立“服务器”OU。将所有邮件服务器的服务器移入“服务器”OU下相对应的OU中。

3.8.4 邮件安全设计

邮件系统的安全包括了数字签名和邮件加密。邮件加密和数字签名技术都可以在Exchange邮件系统中同时使用，进一步提高邮件的安全性。

3.8.5 数字签名

Exchange的数字签名技术能验证邮件发件人的身份。数字签名与一个人手写的签名类似，可保证邮件在传输过程中没有被篡改。产生数字签名的方法是根据电子邮件本身，计算出一个校验数据，把这个校验数据附加到邮件上。

在Exchange中利用非对称加密算法，密钥的管理由Exchange提供的ExchangeKey Management Service服务来完成。Exchange中可以将私钥自动分发给每个邮件用户，邮件用户可以利用自己的私钥对邮件进行签名。收件人可以通过ExchangeKey Management Service来获得发件人的公钥，并利用公钥来验证邮件的正确性。

在数字签名中，还涉及到数字证书。数字证书利用第三方的可信机构来验证密钥管理方的正确性。在Windows2008中，带有认证服务，可以生成xx需要的数字根证书，再利用此根证书来产生xx邮件用户的密钥。但是，如果xx邮件用户和其它企业交换数字签名邮件，其它企业并不能验证xx根证书的正确性，因为这是xx自己给自己发的证书。如果需要这种认证，应该到第三方可行机构购买合法的证书。

在邮件部署中，将选择Tsl-Cert-01安装证书服务，选择Tsl-Key-01另一台安装ExchangeKey Management Service服务。

在邮件系统部署后，并不广泛使用数字签名。只是在邮件用户提出需要时，针对个人发放密钥。

3.8.6 邮件加密

邮件加密的技术和数字签名类似，也是利用非对称的密钥算法，实现加密和解密操作。所以，在邮件系统中，同样利用Tsl-Cert-01的证书服务和Tsl-Key-01上的ExchangeKey Management Service服务来提供邮件加密的服务。

在邮件系统部署后，也不广泛使用邮件加密。只是在邮件用户提出需要时，针对个人发放密钥。

3.8.7 身份认证

在Exchange邮件系统中，POP3提供了自己的身份认证。MAPI利用Windows的域用户认证体系，而OWA是由IIS服务提供的。因此，可以采用IIS的多种认证方式。IIS的认证方式包括：

l 匿名认证。

l Basic认证。简单加密用户名和密码，并传输给服务器。

l 域集成认证。采用Windows 2003集成的身份认证方式。

在xx电子邮件系统中，所有的OWA都采用Basic

3.8.8 传输安全设计

传输安全主要指数据在网络上传输时不被窃取。在邮件系统中，由于存在大量的商业机密信件，因此网络传输的安全非常重要。

通常，在电子邮件系统中，传输上主要采用两种方式来保障数据传输的安全：

l IPSEC

IPSEC是Internet安全协议。这是建立在TCP/IP之上的安全协议。IPSec协议的支持内置在Windows2003中，提供了如下功能：

Ø 身份验证。在IPSec中可以定义一些限制连接的策略。因此可以设置为只允许特定的服务器访问本机。

Ø 加密。IPSec会在服务器建立加密通道。这样，即使攻击者闯入DMZ区，也很难获得关键信息。

Ø 保护。IPSec具有一些包过滤器的基本功能。因此能防止一定程度的Dos、木马、以及通过标准协议（ICMP和HTTP等）的攻击。

在xx邮件系统中，主要使用IPSEC协议来实现DMZ区服务器和企业网内部服务器的传输加密。

在DMZ区中，服务器需要跨越后端防火墙与企业网内部的服务器交换信息。同样，企业网内部的服务器也需要穿越后端防火墙与DMZ区中的服务器交换信息。这些信息一方面需要严格保护防止被窃取，另一方面也需要很容易的通过防火墙，避免防火墙过多的配置。

IPSEC可以将所有DMZ和企业内部网之间的通讯利用对称加密的方式保护起来，然后通过特定的端口将数据发送给目的服务器。因此，在xx邮件系统中，利用IPSEC来实现DMZ区服务器和企业内部网服务器之间的通讯，并确保了对防火墙的支持。

l SSL

SSL是建立在TCP基础上的传输加密协议。SSL的目的是提高应用层协议（HTTP、Telnet、FTP等）的安全性。SSL协议的功能包括：数据加密、服务器验证、信息完整性以及可选的用户TCP/IP连接验证。数据加密保证了数据在传输过程中不被监听和获取，服务器验证保证了客户端连接的是合法的服务器，信息完整性保证了数据不在传输中被篡改，而连接验证可保证连接的客户端是合法的客户端。SSL协议与HTTP协议结合产生了HTTPS协议，信息是利用HTTP协议来进行沟通，而安全性则是由SSL协议来保障。通常，SSL协议采用一定长度的密钥进行数据传输中的安全认证，并且在每次传输都会更改密钥。

在xx电子邮件系统中，SSL加密主要用于Internet访问OWA。在xx邮件系统对外开放SMTP和HTTP协议，建议以后使用HTTPS协议。

3.8.9 系统更新升级设计

Windows 2008和Exchange2007/2010系统本身非常复杂，定期会根据使用中发现的问题进行系统的修补。

系统的修改通常分为ServicePack和Hotfix两种。ServicePack是将前期所有的修补打包在一起，经过全面的测试后发布的。Hotfix则是针对某个特定的错误进行修正后的补丁程序。Hotfix类型的修补在测试力度上要比ServicePack弱。因此，对Hotfix的修补需要格外重视，不要引入新的问题。所以，在安装修补程序时，首先要进行评估，对于不需要安装的修补程序不要在生产环境中应用。对于需要部署的系统修补程序，要在模拟环境中进行测试，确保在xx的实际使用环境中，安装修补程序后，系统能解决相应的问题，并能正常运行。

在xx电子邮件系统中，由于所有的需要部署的修补程序都需要经过测试环节。所以，不能采用自动更新的方式。而要使用统一测试、分布应用的方式：

l 集团站点管理员负责监控Windows 2008和Exchange2007/2010的修补程序更新情况。

l 对于需要应用的修补程序，由集团站点管理员在测试环境中应用。验证修补程序应用后，系统的运转情况良好。同时，验证修补程序是否能通过TerminalService来安装。

在xx电子邮件系统的系统更新升级中，可以利用Microsoft网络安全即时修复程序检查器(Hfnetchk)来实现修补程序检查。

Hfnetchk 是一个命令行实用工具，您可以用它来检查服务器上的当前配置是否是最新的，以及是否具有所有正确的安全修补程序。该工具可以直接从Microsoft 下载一个可扩展标记语言(XML) 数据库，这个数据库包含一个为保障安全保障应检查的最新的即时修复程序列表。

Hfnetchk支持远程检查多个服务器，因此，可以将xx电子邮件系统的所有的邮件服务器加入到Hfnetchk检查列表中。Hfnetchk安装在集团站点的管理服务器上，并且定期从微软公司网站上下载(http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab)并解压缩最新的修补程序列表XML文件（mssecure.xml）。Hfnetchk配置为每周日夜间执行，检查xx电子邮件系统中每台服务器的补丁修补情况，并形成结果文档。集团站点管理员需要每天检查修补程序列表，并对修补程序进行评估。

3.8.10 防病毒设计

作为 Exchange2007/2010规划和部署的一部分，应当准备好相应的措施来防止病毒的攻击。但是，无论采取多少相应的保护，Exchange还是很可能受到病毒的感染。因此，采取措施来处理这种可能非常重要。

可以从在几个等级上保护系统免遭病毒的攻击：其中包括防火墙等级、SMTP网关等级以及各个Exchange Server 和客户端等级。当然非电子邮件带来的病毒也可能感染Exchange服务器，因此应按照和客户端一样的方式，保护所有运行Exchange 的服务器免遭病毒的攻击。

xx邮件系统的防病毒控制安装在：

l 每台服务器操作系统级的防病毒

l SMTP网关的防病毒

l Exchange Server邮箱存储上的防病毒

l 客户端防病毒

操作系统级防病毒

网关处的病毒扫描意味着扫描每一个入站邮件（并且还包括所有的出站邮件），以检测和清除所有的感染内容。可以配置独立一台网关服务器配置为SmtpGateway, 传递入站邮件给内部Exchange服务器，在这台网关服务器上配置由Kaspersky提供的防病毒软件Kasperskyfor Gateway；邮件出站服务器也可以由这台网关服务器完成。

Exchange Server邮箱存储上的防病毒，在每一台ExchangeServer 上都配置KasperskyAnti-Virus for Exchange。它是基于防病毒 API 的扫描软件。在载有病毒的内容添加到Exchange 信息存储器之前，防病毒软件扫描并消除这些内容。注意邮箱存储的防病毒软件可以造成系统资源的消耗以及系统反应时间的提高，整体邮件性能会受到影响，如果邮件性能下降到不满足用户需求，可以通过调整邮箱存储防病毒系统运行的时间，改时时扫描为定时扫描或提高成为瓶颈的系统资源来解决。

无论基于网关还是基于信息存储器的防病毒都配置为自动更新病毒扫描方式。及时更新是确保Exchange 实施免遭新出现的恶性病毒感染的最佳方式。

作为操作的一部分，必须确保满足下列条件：

n 所有等级的病毒保护程序全部是最新版本。

n 准备好万一发生病毒感染时的操作步骤。

n 具备处理造成病毒风险的附件的机制。

l 保持最新

新病毒层出不穷，它们可能在几小时内传播到世界各地。如果在保护过程中使用的防病毒软件不完全是最新版本，那么就会存在感染病毒的风险。操作过程应确保病毒扫描引擎和病毒代码库时时更新。

xx邮件系统防病毒方面保持最新的更新：

n 最新时间得到防病毒软件扫描引擎和病毒代码库的最新版。

n 利用防病毒管理中心（定期从Internet得到最新扫描引擎和最新的病毒代码库），自动更新各个服务器防病毒软件，保证所有服务器上的各防病毒软件得到了更新。

n 用户的教育：建立一种渠道，使用户知道应如何报告任何可疑的病毒。这样做可以让邮件管理员可以在接收到防病毒软件的更新程序之前，可以通过阻止带有特定主题行或特定来源的邮件来防止新病毒的肆意感染。

l 处理病毒感染

假设发生了最坏的情况，已受到病毒侵蚀，随后采取的步骤极为重要。

xx邮件系统防病毒方面处理病毒感染的做法：

1. 在得到厂商明确的病毒通知后，通过邮件通知用户新病毒的出现、特征，以及如果接到包含病毒的电子邮件时应如何处理等等。

2. 通过EIP信息门户通知最新病毒信息，并可以使用任何实时通知系统（如语音邮件等）通知用户

3. 通知相关方面后，应尽力确保病毒不被传播。如果尚没有修补方案，最坏的情况可能是要限制邮件在组织内外的流动（例如，禁用连接器和可能的网络连接）。

4. 一旦有了解决方案，就必须有一个机制负责部署各个病毒供应商的更新程序。

l 客户端邮件防病毒通过阻挡附件

处理附件威胁的最佳方式是对用户团队进行教育。教育用户以下列表中附件的危险性。

保护免遭病毒感染的最佳方式之一是阻止特定附件运行。应当在服务器级别阻止附件，也应该在客户端采取该措施。它的作用是阻止某些附件直接在客户端运行（而是必须首先保存这些附件），并从根本上阻止其它附件（那些被认为更为危险的附件）的下载。

下表显示了被阻止运行的附件。

文件扩展名	文件类型
.ade	Microsoft Access 项目扩展名
.adp	Microsoft Access 项目
.bas	Microsoft Visual Basic 类模块
.bat	批处理文件
.chm	已编译的 HTML 帮助文件
.cmd	Microsoft Windows NT® 命令脚本
.com	Microsoft MS-DOS 程序
.cpl	控制面板扩展名
.crt	安全证书
.exe	可执行文件
.hlp	帮助文件
.hta	HTML 程序
.inf	安装信息
.ins	Internet 命名服务
.isp	Internet 通讯设置
.js	Javascript 文件
.jse	Javascript 编码脚本文件
.lnk	快捷方式
.mdb	Microsoft Access 程序
.mde	Microsoft Access MDE 数据库
.msc	Microsoft 通用控制台文档
.msi	Microsoft Windows 安装程序包
.msp	Microsoft Windows 安装程序补丁
.mst	Microsoft Visual Test 源文件
.pcd	照片 CD 图像，Microsoft Visual 编译脚本
.pif	MS-DOS 程序的快捷方式
.reg	注册表项
.scr	屏幕保护程序
.sct	Windows 脚本组件
.shb	Shell 碎片对象
.shs	Shell 碎片对象
.url	Internet 快捷方式
.vb	VBscript 文件
.vbe	Javascript 编码脚本文件
.vbs	VBscript 文件

注：此补丁程序并不能阻止所有被认为危险的附件。例如，MicrosoftAccess 文件类型.mda 和.mdz 就不会受到阻挡，上述文件的zip 压缩版本也未受到阻挡。

隔离所有可疑内容是一种好方法，这样就可以在决定是否让其安全通过之前分别进行检查。

许多组织绝对禁止通过电子邮件接收用Microsoft Visual Basic Scripting Edition (VBScripts) 编写的脚本。如果不禁止该操作，就无法禁止那些想要接收和运行VBScripts 用户的此类行为，因为他们只需要求发送者使用其它文件扩展名并在接收到后将其改回.vbs 即可。但是这会阻止未预先安排的VBScripts 的运行。如果想要进一步阻止VBScripts 的影响，还要从根本上阻止它们在客户端上运行。