第三媒體軟件中心軟件網絡資訊軟件資訊 → Coremail郵件系統,校園郵件系統安全解決方案! TTL

Coremail郵件系統,校園郵件系統安全解決方案!

上傳:真的56136     來源:信息存儲服務     日期:2018-11-6

[摘要]  
   Coremail郵件系統支持其他系統通過SMTP端口自動發送郵件,在發送SMTP交互命令auth login進行驗證USER和PASS時通過加密驗證信息提高安全性,預防竊聽。同時設定SMTP驗證次數限制,當驗證失敗次數達到設定次數時對賬號進行鎖定操作
 
[正文]    

   高校需求  

   隨著互聯網的飛速發展, E-mail(電子郵件)已成為Internet應用最為廣泛的一項服務,也是個人日常工作、學習生活中的必備通訊工具。對于高校而言, 電子郵件更是學校與師生、教師與學生進行互動的重要途徑。目前大部分高校都有屬于自己高校的、自主建設的郵件系統。

   高校自建郵件服務器具有明顯特點:提高辦公效率、增強數據安全、提高單位形象;應用及管理靈活、可根據個人所需進行相應的調整和個性化的設置等。

   但高校自主建設的郵件系統在維護管理方面都存有不可忽視的問題, 如:垃圾郵件泛濫、郵件遭到攔截和篡改、與國外郵件通信的不暢通性、郵件帳號經常被盜,成為垃圾郵件中轉站等。高校電子郵件系統的管理維護關系到整個學校的形象、師生的日常工作學習生活。

   本文將從系統安全性、數據安全性、賬號安全性三個方面著手,以華東地區某高校郵件系統(以下簡稱華高)為例,通過分析整體架構部署、網絡架構安全保障系統及數據容災實現等方面,闡述校園郵件系統安全該如何解決。

系統安全性

   郵件系統的核心部分是數據庫,包括元數據MD(meta data)和用戶數據UD(userdata)部分。華高在系統結構上將MD和UD服務器置于校內網,從物理結構上斷絕了與外部的直接聯系。內網用戶發送的認證請求,由接收服務器(如webserver 或POP3 server)代理,通過內網專有協議訪問用戶數據庫,確保操作安全可靠。內外網分開的結構也同時減輕了網絡流量負擔。如圖1是Coremail郵件系統的模塊架構圖。


   每個服務模塊都包括Heart-Beat同步信息端口以及服務監視功能。若某一服務處理模塊出現故障,與之通信的模塊會自動停止數據傳送,防止由于反復的連接嘗試造成此服務模塊的性能下降,保證系統其他模塊的正常運作,不會因為故障服務模塊產生連鎖反應,待Heart-Beat信息同步正常,再自動恢復數據通信;同樣若某服務程序模塊因故障下線,由于模塊具有服務監視功能,將會自動重起服務,并保存服務運行日志,方便管理員查閱,增強系統運行的可靠性。

   無限制、固定、公開的通信端口是主機安全運行的隱患,有些黑客向通信端口發送大量非法數據,致使服務癱瘓。所以,支持隱蔽重要的服務端口、及時修改端口號、設置端口訪問限制、主要系統內部服務通信協議自行開發設計、設計Coremail郵件系統的核心進程由非超級用戶權限運行等措施,是Coremail郵件系統確保安全的手段。

   大規模Coremail郵件系統的中心是數據庫,華高的中心數據庫采用關系數據庫,并使用Cache技術,將經常使用的用戶登錄信息緩沖到內存中,提高系統訪問數據庫的速度,也降低中心數據庫負載,提高系統的安全可靠性。

數據安全性

   華高的郵件投遞面向事務處理。每封郵件從MTA接收投遞到用戶的郵箱中都產生Transaction Log。當有系統網絡故障,系統斷電等緊急情況出現,服務程序重新啟動后,會根據TransactionLog的記錄重新完成郵件投遞任務,保證用戶的郵件數據不丟失。

   傳統郵件系統的存儲方法,是為每個用戶創建一個目錄,存放配置信息和郵箱,一個郵件一個文件。在用戶量很大時試圖對用戶信息進行檢索備份幾乎不可能。龐大的目錄結構和文件數量也迅速降低了磁盤I/O速度,增加系統開銷、存儲碎片,最終導致文件系統錯誤或磁盤損壞。華高將用戶信箱數據存儲與郵件數據存儲的徹底分離:將用戶的配置信息和郵件索引存放在User Data數據庫中,將用戶的郵件內容存放在Message Storage中。同一用戶的郵件通常僅存在一個文件中,而用戶閱讀郵件目錄,或轉移郵件,只是對User Data記錄的修改。這樣既減少了磁盤I/O提高了操作速度,同時也由于將用戶信息與郵件分離的結構,使MessageStorage和User Data的存儲分配更為靈活,多臺Message Storage 和User Data間的存儲負荷由權重參數分配比例,并根據需要調整。如:原有MS1,MS2,權重設置為10:10,后增加新的MS3,希望新的郵件多發到MS3上,可將權重參數改為5:5:10。

   用戶注冊,修改信息都實時記錄在運行數據庫和備份數據庫中。由于支持用戶賬號數據庫聯機熱備份,若運行數據庫出現故障,系統自動從備份數據庫中取得用戶信息,保證用戶可以登錄和收發郵件。同時,由于用戶賬號數據容量較小,可以進行每日備份,備份時間短,恢復速度快。用戶郵件數據則以文件方式存放,由于采用二級索引、多郵件存于單文件的方式,大大減少文件數量,增加郵件備份速度和恢復速度。采用Sun Veritas文件系統,可以對文件系統進行整體備份和增量備份。郵件數據還具有AutoRepair功能,打開AutoRepair功能,用戶在登錄時系統自動檢查用戶信息,在某些特殊情況下,如用戶郵件索引丟失等,重新生成郵件索引,使郵箱恢復到正常。

賬號安全性

   為保護用戶Webmail郵箱的登錄安全,對用戶密碼設置開啟弱密碼策略,可通過強制密碼強度等級,避免由于用戶登錄密碼過于簡單而被猜測破解。系統定義密碼強度級別為不限制、普通、中級、高級四個等級。另外可定義一些弱密碼如11111、123456、和賬號相同的密碼等,在用戶登錄郵箱時檢測用戶密碼,若密碼未達到對應級別或與定義的弱密碼相同,則提示用戶修改密碼并跳轉到修改密碼界面;當非法登錄密碼出錯到一定次數時系統開啟自動保護,如通過圖形驗證,可避免遭受黑客網絡密碼字典攻擊。由此來降低用戶密碼被惡意軟件猜測獲取的概率,保護Webmail郵箱安全。

   由于Coremail郵件系統支持其他系統通過SMTP端口自動發送郵件,在發送SMTP交互命令auth login進行驗證USER和PASS時通過加密驗證信息提高安全性,預防竊聽。同時設定SMTP驗證次數限制,當驗證失敗次數達到設定次數時對賬號進行鎖定操作。以及通過對用戶端提交的Cookies表單和登錄IP進行檢測,以防止如反射式XSS攻擊等。

   華高通過支持SSL協議增強用戶登錄密碼的安全性。SSL(SecureSockets Layer安全套接層)協議位于傳輸層TCP/IP協議與各種應用層協議之間,利用Encryption數據加密技術,確保數據在網絡傳輸過程中不會被截取及竊聽,提高數據傳輸過程中的安全性。SSL中通過數字簽名和數字證書可實現瀏覽器和Web服務器雙方的身份驗證,華高購買一些認證機構如GeoTrust的數字簽名和證書獲得了全球CA認證。Coremail郵件系統通過SSL Proxy提供多種通訊(如Web、SMTP,POP3,IMAP服務)的SSL通信,用戶可以在Web登錄時選擇安全登錄或者使用具有SSL通信能力的客戶端(如OutLook)和SSL Proxy通信。

整體架構部署

   整個架構分為主備兩個部分,為提高安全性將主備服務器分別置放在不同校區的兩個機房,以預防著火、停電等大范圍不可預計的安全隱患。

   整個郵件系統MUA被分成兩個主要功能部分,分別部署在前端和后端服務器上,前端服務器安裝MUA中的SMTP/Webmail/POP3/Anti-spam/Anti-virus等前端應用模塊,主要提供登錄、收發、過濾郵件功能,可以通過硬件負載設備均衡訪問請求,同時實現了單點故障;后端服務器主要安裝Mysql數據庫等,用來存儲賬號數據和郵件數據,實現用戶的郵件索引、郵件存取及其Cache。同時為提高登錄速度和運行效率,需要做負載均衡,因此各需要2臺以上的虛擬服務器。整體架構如圖2所示。


   前端功能和后端數據分開部署一方面提高系統運行效率,實現資源分組;另一方面方便根據實際情況進行局部擴容或全局擴容。局部擴容是按需提高個別服務器的單機處理性能,進行增加服務器資源、增加服務器或增加磁盤容量操作;全面擴容是為提高整個系統的容量和處理性能,進行按照系統發展計劃,批量增加服務器,或為各個模塊都增加服務器的操作。

   Coremail郵件系統部署在虛擬服務器上,對虛擬機的安全管理和防護將十分重要。虛擬機管理上配置對VMware ESX 和ESXi的保護,如配置審計跡、深度防御、對一個目錄的訪問控制權限等。VMware ESX和ESXi通常有四種網絡架構:把管理工具相互連接起來的管理網、為ILO和DRAC等提供服務的控制網、VMotion網和存儲網。對于這四個網絡的任何訪問都可能破壞到VMware ESX 和ESXi的運行環境,因此為更好地保護VMware ESX 和ESXi需做到隔離管理網和其它的環境(包括控制網),并嚴格控制對管理網絡的訪問;將虛擬中心和管理主機放置在管理網并配置防護;在ESXi管理設備和管理網之間配置防火墻。通過增強監控和連接管理的能力更好地保護VMwareESX和ESXi,增加虛擬服務器的安全性。

   虛擬機的VMware VMotion技術可以在兩臺正在運行的服務器之間進行實時遷移,具有零停機性能,這樣將大幅度提高服務器的可用性,保證系統數據的完整性;VMotion能夠自動優化和分配資源庫,允許管理員在資源庫中不斷地自動分配虛擬機、在不中斷業務運作的情況下進行各項維修工作;不需要預先設定停機時間;在服務器發生故障或者表現不佳之前,進行遷移。

   每一臺VMware ESX服務器配有一個HA代理,持續不斷地每隔五秒檢測集群中服務主機的心跳信號,若某臺ESX主機在連續15秒后都還沒有發出心跳信號,那么該主機就被默認為發生了故障或者與網絡的連接出現了問題,這時該主機上運行的虛擬機就會自動被轉移到群集中的其他主機。VMwareHA能夠對一個群集中的多臺ESX服務器進行故障轉移,這樣的修復并不會改變操作系統的狀態。此外,虛擬機中任何正在進行的業務也不會丟失,VMware HA的故障轉移幾乎完全透明的,一般不會出現任何停機的危險,提高了Coremail郵件系統不間斷運行的可靠性。

網絡架構安全保障

   為防御來自校園網內部及Internet的網絡攻擊,提高郵件服務器的安全性能,在服務器集群前端部署了防火墻設備,所有來自Internet和校園網的流量均經過防火墻設備,通過配置安全策略,保證只有經過授權的流量才可以通過防火墻;同時在防火墻設備鏈路上串聯了入侵檢測和防御設備IDP,不僅可以與防火墻實現優勢互補,同時還能防御防火墻無法處理的服務器集群網絡內部的攻擊。防火墻和IDP雙層防護,為華高服務器集群提供了良好的網絡安全保障。網絡架構如圖3所示。


   圖3中網絡鏈路上還添加鏈路均衡和負載均衡設備,LinkProof外接電信、移動、聯通、華數及教科網各條鏈路,內接核心交換機,核心路由器上啟用針對前端郵件服務器IP地址和AppDirector VIP的策略路由將MAIL\POP3\SMTP\IMAP\SPAM等域名授權記錄指向LinkProof,由LinkProof實現智能解析。由此實現鏈路均衡,各條線路鏈接上來的鏈路均能達到最好網絡保障,并降低由于某條校園網出口造成的系統故障。鏈路均衡和負載均衡都需要配置為透傳模式,因為Coremail郵件系統的郵件來源不能失去源地址,否則將無法運行垃圾郵件過濾策略。

   增加均衡設備一方面提高了用戶的登錄速度和系統處理能力,另一方面提高了系統的安全性,確保在外部某一條網絡斷掉或者某一臺前端服務器down時系統仍能正常運行。當所有前端主機服務器都無法正常工作且不能在段時間內恢復時,能夠通過負載均衡設備直接切換到校區二的備機,保障在最短時間內恢復系統正常運行。

系統及數據容災實現

   為保障郵件數據容災安全性在服務器上部署Double-Take實時備份和RecoverPoint磁盤連續性保護雙重備份策略,防止由于系統問題、服務器問題、數據邏輯問題等不可預測原因導致的用戶郵件數據丟失。容災架構如圖4所示。


   Double-Take系統狀態與數據的實時復制、本地或遠程備份服務器鏡像、集成VSS/CDP,隨時對任意點進行恢復、通過一個磁盤存儲提供集中備份、按需恢復:本地或遠程恢復、不同硬件恢復、支持P2P,P2V,V2V與V2P。RecoverPoint負責郵箱用戶數據CDP連續保護,是存儲附屬功能,原理是在存儲上對生產卷復制鏡像卷,配合日志在鏡像卷還原數據。鏡像卷掛在郵件生產服務器或單獨恢復服務器上,被恢復歷史數據再次導入用戶在線數據。Coremail郵件系統出現故障及災備切換情況見表1。


   華高通過將前端應用與后端數據分離提高的系統擴容以及管理的靈活性;通過負載均衡、鏈路均衡、IPv4-IPv6雙棧提高Web訪問速度和收發郵件速度、提高系統安全性與容災的可靠性;通過Coremail郵件系統部署SSL、Cookies檢測、IP檢測以及弱密碼檢測等提高用戶賬號安全性;通過優化過濾算法,并同國內外反垃圾聯盟合作建立垃圾郵件指紋庫來提高垃圾郵件過濾率。

   (新聞稿 2018-11-06)


頻道首頁 】【 評論 】 【 打印 】 【 字體:
   上一篇:彩云小譯APP秘密武器而生 免費翻譯中日英文檔和網頁
   下一篇:中國郵件系統行業市場分析新鮮出爐,Coremail排名領先
導航:報價 | 大全 | 排行榜 | 產品大全 | 參量 | 訂閱 
 Advertisement
 十大最受關注的新聞
1  蘇寧極物智能云鎖開啟預約,下單加贈蘇寧小Biu音箱
2  空氣持久清新!蘇寧極物小新智能新風機火熱開售
3  2018蘇州電博會: 科達以AI視界 ,創智企未來!
4  優音通信牽手中國人壽天津分公司 ,互利共贏!
5  絕地求生PGL全球邀請賽 樂橙娛樂點評中國四強!
6  華碩: 游戲黨變畫面黨 華碩飛行堡壘6顛覆游戲體驗
7  雙11十周年開啟新精彩,飛利浦顯示器打造便捷桌面視界
8  年度盛會《游戲開發者大會(GDC)》,現在就加入!!!
9  天生不凡,華碩ROG STRIX FUSION 700詮釋全新7.1耳機
10  結束也是新的開始,柏譜自由M3京東眾籌完美收官
 十大熱門驅動/軟件下載
1  [手機驅動]手機usb萬能
2  [熱門常用軟件]QQ2008正式版下載【騰訊QQ2008官方版Beta1】
3  [熱門常用軟件]E話通下載【E話通4.5 正式版】
4  [手機驅動]Samsung三星 手機USB驅動1.0版For Win98SE/ME/...
5  [手機驅動]Microsoft微軟 ActiveSync同步軟件4.5中文版Fo...
6  [攝像頭驅動]萬能攝像頭 FOR Windows
7  [熱門常用軟件]皮皮播放器下載【PPFilm皮皮播放器 2.1.0....
8  [手機驅動]諾基亞 PC套件下載
9  [熱門常用軟件]面對面游戲下載【面對面視頻游戲大廳】
10  [手機驅動]Microsoft微軟 Windows Mobile Device Center ...
 十大最受關注的品牌
1  三星手機(SAMSUNG)
2  諾基亞手機(NOKIA)
3  華碩筆記本(ASUS)
4  摩托羅拉手機(MOTOROLA)
5  英特爾CPU(Intel)
6  華碩主板(ASUS)
7  LG手機(LG)
8  索愛手機(Sony Ericsson)
9  聯想筆記本(lenovo)
10  宏碁筆記本(acer)
 十大熱門常用軟件下載
1  QQ2008正式版下載【騰訊QQ2008官方版Beta1】
2  E話通下載【E話通4.5 正式版】
3  皮皮播放器下載【PPFilm皮皮播放器 2.1.0.2版】
4  面對面游戲下載【面對面視頻游戲大廳】
5  DVD解碼器下載【NVIDIA DVD Decoder 1.02】
6  迅雷5下載【迅雷5.8.1.507官方版】
7  QQ2007 II正式版下載【騰訊QQ2007官方版本】
8  QQ2006正式版下載【騰訊QQ2006官方版本】
9  聯眾世界游戲大廳下載【聯眾世界2.7.0.8官方版】
10  MTV下載器【MTV下載精靈 8.31版】
11  pplive最新版下載【PPLive網絡電視V1.9.35版】
12  迅雷(Thunder)下載【迅雷v5.7.12.493官方版】
13  騰訊QQ2008下載【騰訊QQ官方版2008極速賀歲版KB1】
14  Total Video Converter下載【Total Video Converter v3.1...
15  QQ拼音輸入法下載【騰訊QQQQ拼音輸入法V1.4.1版】
16  皮皮高清影視播放器下載【PIPIPlayer 2.7.0.3版】
17  eMule下載【電驢eMule官方v0.49a正式版】
18  極點五筆輸入法下載【極點五筆6.1標準版】
19  QQ2009正式版下載【騰訊QQ2009 SP4官方版】
20  Vagaa哇嘎畫時代版下載【哇嘎 2.6.5.10】
   >> 查看評論   
 
   >> 查看更多評論   [共有0條評論]
發表評論
        
        
   點評:
   姓名:  
            字數: 0
     
新聞精選
·Coremail郵件系統,校園郵件系統安全解決方案
·通策醫療借力“眾安鏈” 我的數據我做主
·中國郵件系統行業市場分析新鮮出爐,Coremail
·頭戴的巨幕私人影院,iQUT愛奇藝奇遇 Ⅱ 4K V
·雙十一大戰一觸即發 天翼云助力跨越速運彎道
·換季穿搭,Garmin Vivomove HR為你打造摩登時
  ·胡潤發2018三季度獨角獸指數 AI領域云從科技
·順逛首創智家場景成套定制 引領消費升級新體
·喜訊! 易港金融行政核查進場階段已圓滿完成
·連續三年倍增 德施曼獲分享投資、好太太等億
·億企德小程序及億推AI智能名片 全國招商活動
·世界互聯網大會,“新居住”平臺貝殼找房首次