1、企业邮箱自建邮局解决方案建议书1企业邮箱 Exchange 2013 自建解决方案建议书2014年6月企业邮箱自建邮局解决方案建议书2目录1. Exchange 2013 架构介绍 .11.1. 邮件系统方案架构 .11.1.1. Active Directory 活动目 .11.1.2 公钥基础架构 .21.1.3 系统角色架构 .21.1.4 数据库可用性组技术 .41.1.5 合规性 . 52.方案设计 52.1 项目背景.52.2 设计原则.62.3 邮局 300 人自建架构72.3.1 可扩展性72.3.2 500 人邮局扩展.82.4 硬件规划92.5防病毒及垃圾邮件过滤.92.6
2、软件规划.93. 方案优势.103.1 高安全性103.1.1 访问安全103.1.2 邮箱空间安全限制113.2统一性.114. 相关报价.12企业邮箱自建邮局解决方案建议书31. Exchange 2013 架构介绍1.1. 邮件系统方案架构Exchange Server 2013 相比早先版本更加专业化。在 Exchange 2003 中,服务器上运行的软件可配置为前端代理或邮件服务器。在 Exchange 2007 中,服务器可以配置为一个 5 角色:传输中心(HUB) 、邮箱(Mailbox)、统一消息(Unified Messaging)、边缘传输(Edge Transport)和
3、客户端访问(CAS)。 Exchange Server 2013 仍然扮演了五个角色。然而,客户端访问服务器的职能得到了“加强“。它成为一个真正的中间层架构,为 Outlook 和 Outlook 网页存取处理所有的数据翻译和转换。服务器角色功能和安装代码相互独立,可以安装在同一台服务器上,也可以分角色进行分布式的安装。1.1.1. Active Directory 活动目录Active Directory 活动目录由一或多台服务器组成,提供全局的人员帐户和资源的管理,并提供邮件服务器必须的服务功能,其信息在各机构之间自动实现同步。在基于Windows Server 2008 R2版搭建的系统
4、环境中设置 Active Directory,Exchange Server 2013 将所有配置信息和收件人信息存储在 Active Directory 目录服务数据库中。当运行 Exchange 2013 的计算机需要有关收件人的信息和有关 Exchange 组织配置的信息时,它必须查询 Active Directory 以访问这些信息。 Active Directory 服务器必须对 Exchange2013 可用,系统才能正常工作。邮箱服务器角色将有关邮箱用户和存储的配置信息存储在1.1.2. 公钥基础架构为了在互联网上识别访问的用户和保证通讯的安全,邮件服务器通常会启用基于证书的加密
5、。常见的邮件服务器证书可以自颁发或者由证书颁发中心(CA)进行集中的颁发。考虑到今后的系统扩展性,本次项目建议建设一个和活动目录紧密联系的证书颁发中心。其优点在于:证书由 CA 统一进行颁发,用户计算机不用频繁进行证书的导入操作,只需要导入基本的根证书到信任证书颁发机构存储。有许多系统能够与证书的 PKI 架构协作,构建成多因子验证手段,以适合各种不同的安全需求。例如用于存储证书的 USB Key。或者使用指纹扫描等设备的多因子系统。1.1.3. 系统角色架构Exchange 2013 按功能逻辑,分为下列角色服务器:企业邮箱自建邮局解决方案建议书4邮箱服务器( MailBox) 此服务器承载
6、邮箱和公用文件夹。 客户端访问服务器(CAS)此服务器供各类客户端访问,支持各种协议,如 POP3、IMAP4、HTTP、HTTPS、Outlook Anywhere。 统一消息服务器( UM) 此服务器将专用交换机 (PBX)系统连接到Exchange 2013 ,提供对外语音服务。 中心传输服务器(HUB) 此服务器负责 Exchange 组织内邮件的邮件路由。 边缘传输服务器(EDGE)此服务器通常位于拓扑的外围,并负责路由 Exchange 组织进出邮件,可以用于增强反垃圾邮件保护和防病毒保护。下图简单描述了 Exchange 系统的邮件收发传递路径:企业邮箱自建邮局解决方案建议书5邮
7、件流示意图1.1.4. 数据库可用性组技术数据库可用性组技术使 Exchange Server 2013 在高可用性方面得到进一步简化与完善,借助于多台服务器间的连续复制,可为用户提供高可用性的 Exchange 邮箱。这看似只是一项简单的改进,但实际上,与前代版本相比,这是一个非常大的进步,它使用户无需借助复杂的技术与高昂的设备,就可以获得高可用性。 数据库级的复制为了支持 DAG 的新功能, Exchange Server 2013 数据库已迁移到组织级,而不是Exchange 2007或早期版本的服务器级。Exchange Server 2013中不存在存储组的概念。现在,每个数据库都有
8、一个日志流与数据库相关联。Exchange 2007 中的 CCR 的一个缺点是:如果主动节点的一个数据库出现故障,群集邮箱服务器上现有的所有活动数据库的故障都将转移到被动 CCR 节点。如果这个节点上的用户有邮箱存储于各自的群集邮箱服务器 (ClusterMailbox Server,CMS),他们都将受到影响。 每个 DAG 支持多达 16 个成员同 Exchange 2007 相比,Exchange Server 2013 可以支持更多的邮箱数据库,用户最多可以添加 16 个邮箱服务器到一个 DAG,并可能保存 16 个邮箱数据库副本。因此,Exchange Server 2013 企业
9、版支持的邮箱数据库最高限额已从 50 个上调至 100 个。但标准版目前仍然只支持每个邮箱服务器最多 5 个数据库。 切换/故障转移较以前更为快速有赖于 Exchange Server 2013 DAG 的改进,现在,邮箱数据库副本间的切换/故障转移更为快速。同 Exchange 2007 下采用 CCR 动辄就需要数分钟相比,目前所用时间往往在 30称之内。此外,由于 Outlook MAPI 客户端连接客户端访问服务器的 RPC 客户端访问服务,因此最终用户很少会注意到切换或故障转移的发生1.1.5. 合规性Exchange 2013 提供了新的集成电子邮件归档和保留功能,包括详细的多邮箱
10、搜索和即时合法保留,更有效的拦截、仲裁、加密和阻止电子邮件的能力。此功能提供了范围灵活的保护和控制选项以及是否自动强制执行控制或授予用户实现其数据保护的权限。2. 方案设计(200 人为例)企业邮箱自建邮局解决方案建议书62.1. 项目背景企业现有邮局为263企业邮箱。该邮箱目前无法满足公司高速发展的需求。公司准备自建 Exchange 邮箱系统服务,目前人数为 300 人。正因为上述原因及业务发展考虑,部署当前在市场上处于领导地位且性价比极高的微软Exchange 2013 邮件系统。2.2. 设计原则本系统的设计过程将严格遵循下列原则: 先进性坚持采用目前主流的软硬件技术为基本原则。在满足
11、性能指标的前提下,选择成熟的微软 Exchange 产品,提供最佳的解决方案。以先进、成熟的技术进行方案设计及实施。 可扩展性良好的扩展性在项目完成初期是以增加少量成本为代价的,但没有扩充性在项目运营后不久是以设备大量报废为代价的。要在理想化和利用率两端为扩充性找到一个平衡点。根据用户量和电子邮件数量的增长和变化,系统可以平滑地扩展和升级,无需变动系统架构和现有设备。 安全性系统安全性是项目建设的基础,因此需要通过使用如用户访问控制、身份鉴别、收发确认、邮件过滤、数据加密等手段,提供可靠的安全管理措施以便保护系统安全。同时,在防病毒,反垃圾邮件上本方案也作了充分的考虑。 规范性电子邮件系统设计
12、中,要符合国际相应的标准,保证电子邮件系统能和外界其它的电子邮件系统很好的沟通。同时,系统的设计还需要满足系统设计方面的规范和标准,使整个系统能按照相应的标准扩展,满足未来电子邮件系统处理量、以及未来在电子邮件系统上建立其它系统的需要。2.3. 邮局 300 人自建架构基于贵公司对于硬件投资规划,实现完整的 Exchange2013 邮箱功能。该架构针对目前贵公司 300 人所涉及,同时满足可扩展性,在今后可灵活扩展到冗余、高可用性的环境。企业邮箱自建邮局解决方案建议书7Exchange Server 2013 服务器架构参考整个贵公司的数据中心 Exchange Server 2013 服务
13、器架构由 1 台服务器构成:1 台用于邮箱服务器,提供邮箱存储, 邮件传输,客户端访问服务等功能。1 台 AD 域控制器,对用户登录身份验证。域控制器和邮件服务器为同一台服务器.2.3.1. 可扩展性 系统最多到 16 节点的邮箱群集支持,可平滑支持更大规模的邮件系统,确保和您的业务能力同步扩展; 通过标准的 SMTP 调用或使用 MAPI 接口编程,可进行用户个性化定制开发;企业邮箱自建邮局解决方案建议书8 第三方厂商能够利用 Exchange Server 2013 提供的防病毒编程接口开发专门的防病毒产品.2.3.2. 500 人邮局扩展随着公司业务的发展,规模的壮大,同时对邮件系统的依
14、赖程度及高可用的需求也随之增加,当前的架构的易扩展性使得企业能随时的调整架构以满足公司发展需要。以下结构按扩展可满足 500 人的邮件系统要求,并提供高可用性。2.4. 防病毒及垃圾邮件过滤梭子鱼反垃圾及病毒邮件防火墙是软硬件集成的解决方案,帮助邮件系统抵御最新的垃圾邮件、病毒邮件、欺诈性邮件、钓鱼邮件、间谍程序邮件等各类邮件威胁。梭子鱼提供强大、易用、高性价比的反垃圾及病毒邮件解决方案,满足各类企业在当前复杂的互联网环境下垃圾邮件防护需求。2.5. 软件规划实现本方案中建议的基础结构和邮件系统平台,贵公司需要购买下列软件产品和许可证:解决方案类型 软件 数量企业邮箱自建邮局解决方案建议书9E
15、xchange Server 2013 企业版 1Exchange Server 2013 标准版客户端授权300Exchange2013 服务器2.6. 硬件规划实现本方案中建议的基础结构和邮件系统平台,贵公司需要准备下列硬件设备:硬件 配置 数量Exchange2013 服务器 1颗(64 位)处理器,四核,16G 内存, 硬盘(根据实际需要)13. 方案优势3.1. 高安全性该邮局系统对安全性问题予以高度重视,从操作系统层,网络层,应用层每个层次都有相应的措施。系统运用了 SMTP-Auth,PKI,SSL,S-MINE,反垃圾邮件,防病毒,防火墙等技术以解决传输安全,系统安全和邮件信息
16、安全的需求。3.1.1. 访问安全1. 信箱用户不是系统用户,不具有进入邮件服务器操作系统权限;2. 邮件访问入口(Web、客户端、智能终端)到邮局系统的连接都是 PKI 证书加密,可以阻挡恶意监控软件的嗅探,防止邮件信息的泄漏;3. 信箱用户的密码要符合 AD 的安全强度认证,且在登录时,可要求必须修改旧密码,杜绝信箱初始化密码遗忘修改造成的安全隐患;4. 邮局系统结构也保证了访问安全,提供了专门的客户端访问服务器,分隔邮局系统各服务器。5. 邮局系统各角色服务器直接的传输连接,也使用 PKI 证书进行加密,确保邮件传输安全。3.1.2. 邮箱空间安全限制邮局系统对邮箱空间的管理,可对邮箱容
17、量设制安全策略,当出现下列情况时,会发配额邮件通知信箱所有人进行相关处理。邮箱、个人存档或公用文件夹超过其“发出警告 ”限制(最低存储配额) 。邮箱超过其“禁止发送”限制或公用文件夹超过其 “禁止投递”限制(中等存储配额) 。企业邮箱自建邮局解决方案建议书10邮箱超过了其“禁止发送和接收”配额或个人存档超出了其存档配额(最高存储配额) 。配额邮件的重要性为高并且不受存储配额的限制。即使收件人的邮箱已满,也会不断投递。系统可以生成多种语言的配额邮件。3.2. 统一性Exchange 2013 中的增强功能可帮助用户从几乎任何平台、Web 浏览器或手持设备,利用行业标准协议访问他们的所有通信信息,如电子邮件、语音邮件、即时消息,从而提升工作效率。各种客户端的操作方式相近,降低了客户的学习成本。3. 相关报价
