echange郵件系統(tǒng)解決方案建議書

Exchange郵件系統(tǒng)解決方案建議書上海有孚計算機(jī)網(wǎng)絡(luò)20149月ExchangeExchange郵件系統(tǒng)解決方案建議書名目\l“_TOC_250003“系統(tǒng)方案設(shè)計 1\l“_TOC_250002“系統(tǒng)整體拓?fù)?1\l“_TOC_250001“郵件系統(tǒng)解決方案 1\l“_TOC_250000“郵件系統(tǒng)拓?fù)?1Exchange系統(tǒng)角色介紹 2訪問方式 3功能清單 3系統(tǒng)技術(shù)說明 5成功案例 13綾致時裝 13瀘州老窖 13卡友信息 14公司介紹 15根本狀況 15競爭優(yōu)勢 15榮譽(yù)資質(zhì) 16iExchangeExchange郵件系統(tǒng)解決方案建議書1系統(tǒng)方案設(shè)計系統(tǒng)整體拓?fù)銭xchange2013作為郵件系統(tǒng)，并建議承受高可用性架構(gòu)部署方式，系統(tǒng)部署在公司總部機(jī)房，通過公網(wǎng)連接使反病毒以及海外加速等功能，內(nèi)部用戶的郵件投遞通過內(nèi)網(wǎng)傳輸。出于本錢考慮本工程的建設(shè)，推舉承受虛擬化部署方式。郵件系統(tǒng)解決方案郵件系統(tǒng)拓?fù)浜Ｍ饧铀傩?。Exchange郵件系統(tǒng)解決方案建議書Exchange郵件系統(tǒng)解決方案建議書5Exchange系統(tǒng)角色介紹Exchange2013包括以下效勞器角色：〔MailBox〕集群〔DAG。

郵箱效勞器可以使用到后端高可用性組客戶端訪問效勞器角色〔CAS〕這角色包含的客戶端，如MicrosoftOfficeOutlook中，OutlookWebAppSMTP代理效勞器連接，并接收郵件和郵件傳送到Internet上的其他郵件主機(jī)?？蛻舳嗽L問效勞器，可以組成客戶端訪問效勞器陣列?？蛻舳嗽L問效勞器角色和郵箱效勞器角色的工作過程如以下圖所示：訪問方式ExchangeServer2013企業(yè)郵件系統(tǒng)，通過高可用性負(fù)載均衡和群集部署，建立一個安全、穩(wěn)定(高可用，高牢靠)、易用和快捷的電子郵件效勞系統(tǒng)。郵局系統(tǒng)供給用戶多種方式統(tǒng)一訪問的體驗，實(shí)現(xiàn)了各平臺的信息統(tǒng)一。本部出口帶寬故障，導(dǎo)致的無法訪問郵箱效勞器的問題部署在企業(yè)內(nèi)部的，當(dāng)本部出口帶寬消滅故障時，就無法訪問郵箱系統(tǒng)。MAPI,POP3,IMAP,SMTP功能的客戶端都可以訪問本系統(tǒng)；OutlookAnywhereOutlook隨時隨地訪問郵局系統(tǒng)；Web的訪問〔S〕：通過掃瞄器訪問郵局系統(tǒng)；移動訪問：使用手機(jī)或其它適當(dāng)?shù)囊苿釉O(shè)備訪問郵局系統(tǒng)；郵局系統(tǒng)不僅要供給郵件功能，同時也應(yīng)供給聯(lián)系人治理，日程治理，任務(wù)治理功能清單ExchangeServer2013是微軟公司的企業(yè)級消息協(xié)作效勞器，也是目前全球ExchangeServer2013，用戶能夠構(gòu)建安全，穩(wěn)定，高效的消息協(xié)作平臺及其上的解決方案。ExchangeServer2013具有如下關(guān)鍵特性強(qiáng)大的移動訪問支持 Exchange2013中的增加功能可幫助用戶從幾乎任何平臺、Web掃瞄器或手持設(shè)備，利用行業(yè)標(biāo)準(zhǔn)協(xié)議訪問他們的全部通信信息，如電子郵件、語音郵件、即時消息，從而提升工作效率。內(nèi)置豐富的郵件傳輸策略實(shí)現(xiàn)對郵件的監(jiān)控 的郵件添加審批，制止郵件打印或轉(zhuǎn)發(fā)，為帶有特定關(guān)鍵字的郵件設(shè)置轉(zhuǎn)發(fā)等。各種客戶端的界面操作方式〔Outlook,OutlookWebApp訪問〕相近，能降低用戶的學(xué)習(xí)本錢。RPC/功能〔OutlookAnywhere〕使得企業(yè)不必部署VPN/RAS也能讓外網(wǎng)〔例如在家或出差〕的用戶能夠使用Outlook安全的連接到位于企業(yè)Exchange效勞器。用戶可在任何客戶端上治理和訪問同一份郵件、日程、聯(lián)系人、任務(wù)等信息。中的緩存模式能夠自動在離線/在線狀態(tài)間切換，削減對用戶工作的打斷企業(yè)合規(guī)與法律遵從性 Exchange2013供給了的集成電子郵件歸檔和是否自動強(qiáng)制執(zhí)行掌握或授予用戶實(shí)現(xiàn)其數(shù)據(jù)保護(hù)的權(quán)限。Exchange自助效勞治理員可以使用OutlookWebApp的Exchange掌握面板治理日常內(nèi)部的部署任務(wù)。此外，自助效勞功能可以使用戶通過Exchange掌握面板執(zhí)行治理任務(wù)。ECP使用戶能夠執(zhí)行常見任務(wù)，而不必向技術(shù)支持求助。這有助于用戶提高工作效率，并使IT人員能夠在降低支持本錢的同時傳遞更多信息。優(yōu)化的握手協(xié)議和數(shù)據(jù)壓縮能夠減小網(wǎng)絡(luò)數(shù)據(jù)流量，給窄帶環(huán)境下的用戶更流暢的使用體驗強(qiáng)大的反垃圾郵件功能多種過濾方式從效勞器到客戶端層層阻擋垃圾郵件。RBL〔實(shí)時阻擋列表〕能夠訂閱第三方中立組織實(shí)時更的黑名單來阻擋垃圾郵件。增加的防病毒功能第三方廠商能夠利用ExchangeServer2013供給的防病毒編程接口開發(fā)特地的防病毒產(chǎn)品。安全、穩(wěn)定牢靠的郵件系統(tǒng)供給7*24小時的郵件效勞16節(jié)點(diǎn)的郵箱群集支持，更快的故障轉(zhuǎn)移速度〔30秒故障恢復(fù)〕支持更多安全標(biāo)準(zhǔn)(Kerberos,IPSECSSL)支持第三方應(yīng)用程序通過標(biāo)準(zhǔn)的SMTP調(diào)用或使用MAPI接口編程效勞器站點(diǎn)整合，數(shù)據(jù)大集中用更少的軟硬件資源負(fù)載更多的用戶和更大的任務(wù)量，最終提高運(yùn)營效率。系統(tǒng)技術(shù)說明高可用性數(shù)據(jù)庫可用性組(DAG)技術(shù)是Exchange2013供給的全功能，供給從數(shù)據(jù)庫、效勞器或網(wǎng)絡(luò)故障中自動執(zhí)行數(shù)據(jù)庫級恢復(fù)的功能。DAG使用連續(xù)復(fù)制和Windows故障轉(zhuǎn)移群集技術(shù)的子集以供給高可用性和站點(diǎn)恢復(fù)。DAG中的郵箱效勞器相互進(jìn)展故障監(jiān)視。郵箱效勞器添加到 DAG后，它會與DAG中的其他效勞器協(xié)同工作，供給從數(shù)據(jù)庫故障中自動執(zhí)行數(shù)據(jù)庫級恢復(fù)的功能。高可用備份DAG1616個郵箱數(shù)據(jù)庫副本。3個以上數(shù)據(jù)庫副本時無需備份：當(dāng)一個郵箱數(shù)據(jù)庫擁有3個或更多副本時，程序設(shè)DAG保護(hù)的郵箱數(shù)據(jù)庫時，不故障切換快速切換/Exchange2013DAG的改進(jìn)，現(xiàn)在，郵箱數(shù)據(jù)庫副本間的切換/Exchange2007CCR動輒就需要數(shù)分鐘相比，目前所用時間往往在30稱之內(nèi)。此外，由于OutlookMAPIRPC客戶端訪問效勞，因此最終用戶很少會留意到切換或故障轉(zhuǎn)移的發(fā)生。安全性郵件偷竊：大多數(shù)郵件以明文發(fā)送，很可能被網(wǎng)絡(luò)竊聽者截取。前，郵件系統(tǒng)存在很多安全性漏洞和威逼，主要包括以下幾個方面。郵件偷竊：大多數(shù)郵件以明文發(fā)送，很可能被網(wǎng)絡(luò)竊聽者截取。郵件篡改：由于電子郵件沒有完整性機(jī)制，攻擊者簡潔非法修改郵件內(nèi)郵件哄騙：郵件發(fā)送協(xié)議比較簡潔，不作用戶身份驗證，很簡潔消滅冒名頂替。郵件篡改：由于電子郵件沒有完整性機(jī)制，攻擊者簡潔非法修改郵件內(nèi)郵件哄騙：郵件發(fā)送協(xié)議比較簡潔，不作用戶身份驗證，很簡潔消滅冒郵件病毒：郵件附件可能攜帶病毒。容。郵件病毒：郵件附件可能攜帶病毒。垃圾郵件：未經(jīng)懇求的垃圾郵件將堵塞網(wǎng)路，消耗存儲，降低用戶的工作效率垃圾郵件：未經(jīng)懇求的垃圾郵件將堵塞網(wǎng)路，消耗存儲，降低用戶的工要保護(hù)組織的郵件系統(tǒng)，則需要增加郵件系統(tǒng)的安全性。這包括：用戶的身份驗證，保證用戶是合法的。供給郵件回執(zhí)，防止郵件接收否認(rèn)。郵件收發(fā)的安全審計，以便故障查閱和恢復(fù)。郵件內(nèi)容的安全掃描，防止郵件附件病毒。郵件加密傳輸，防止竊取。數(shù)字簽名，防止郵件篡改和冒名頂替發(fā)送郵件。ExchangeServer在增加這些安全性時，遵循了以下幾條原則：數(shù)據(jù)加密、信息完整性、身份認(rèn)證和可控性。保持和現(xiàn)有系統(tǒng)的兼容性，不在客戶端安裝額外的軟件，也無需簡單配置。郵件應(yīng)具有不同的安全等級。ExchangeServer的安全設(shè)計包括以下幾個方面，掩蓋了郵件的產(chǎn)生、傳輸、存儲、接收、掃瞄整個過程：建立客戶端到郵件效勞器之間的安全連接。郵件效勞器本身的安全。電子郵件本身的安全。客戶端與郵件效勞器的安全連接客戶端與郵件效勞器之間可以建立安全連接。RPCover〔Outlook〕Exchange2013上可以通過部署WindowsServer2008上的RPCover效勞實(shí)現(xiàn)Outlook以MAPI協(xié)議安全的連接到郵件系統(tǒng)。啟用RPCover后，Outlook對Exchange的RPC調(diào)用被以協(xié)議的方式封裝到了80或是43承受SSL加密時〕端口，使得用戶可以在Internet上安全的使用Outlook，就像在單位內(nèi)網(wǎng)一樣。假設(shè)要使用對Exchange的遠(yuǎn)程訪問，請將Exchange部署配置為允許RPCover。要將Exchange配置為使用RPCover，需要將Exchange前端效勞器指定為RPC代理效勞器。然后，RPC代理效勞器代表客戶端處理全部RPCover懇求，并將懇求轉(zhuǎn)發(fā)到適當(dāng)?shù)暮蠖速Y源。此外，將包括全局編錄效勞器和 Exchange效勞器在內(nèi)的后端資源特地配置為與前端Exchange效勞器通信。連接〔OutlookWebApp〕Exchange2013OutlookWebApp。因此，只要在SSLWeb效勞器之間的安全連接。這樣一來，用戶只要輸入前端效勞器URLs://Internet安全地接收/發(fā)送電子郵件。ExchangeActiveSync連接〔PocketPC和智能手機(jī)〕Exchange2013支持通過智能客戶端，如 PocketPC和智能手機(jī)，通過ActiveSyncSSL加密的方式訪問郵件效勞器。POP3，SMTP，IMAP4連接〔OutlookExpress等〕SSL加密，可以使得Inernet郵件客戶端如OutlookExpress安全的連接到郵件效勞器。郵件效勞器的安全郵件效勞器本身的安全涉及到防火墻安全過濾、效勞器安全強(qiáng)化幾個方面，下面進(jìn)展簡潔描述。郵件效勞器本身的安全涉及到防火墻安全過濾、效勞器安全強(qiáng)化幾個方面，防火墻安全過濾含非法命令，將此會話臨時掛起，直到超時。效勞器安全強(qiáng)化強(qiáng)化前端效勞器：依據(jù)前端效勞器支持的訪問方式，POP3、依據(jù)Exchange效勞器在組織中的角色強(qiáng)化Exchange強(qiáng)化前端效勞器：依據(jù)前端效勞器支持的訪問方式，POP3、強(qiáng)化后端效勞器：禁用不必要的效勞、限制對本地名目的訪問，以IMAP4SMTP，分別針對每種協(xié)議進(jìn)展安全配置。并使用URLScan工具篩選發(fā)送到IIS效勞器的全部傳入懇求，并僅允許符合特定規(guī)章集的那些懇求通過。這有助于確保效勞器僅響應(yīng)有效的懇求，從而大大提高了安全性。使用 URLScan可以基于長度、字符集、內(nèi)容和其他因素篩選懇求。強(qiáng)化后端效勞器：禁用不必要的效勞、限制對本地名目的訪問，以及其他配置。Exchange郵件系統(tǒng)解決方案建議書Exchange郵件系統(tǒng)解決方案建議書99功能和解決的問題，假設(shè)必要，應(yīng)馬上使用。承受適當(dāng)?shù)膫浞荽胧?，對郵件系統(tǒng)的關(guān)鍵數(shù)據(jù)進(jìn)展定期備份，包括用戶的郵件數(shù)據(jù)和活動名目數(shù)據(jù)。電子郵件的安全數(shù)字簽名是常用的S/MIME效勞。數(shù)字簽名是書面文檔中具有法律意義的Exchange2013S/MIMES/MIMEOutlook，OutlookWebAppOutlook數(shù)字簽名是常用的S/MIME效勞。數(shù)字簽名是書面文檔中具有法律意義的傳統(tǒng)簽名的數(shù)字形式。數(shù)字簽名供給以下安全功能：身份驗證：通過簽名來驗證身份。它能夠?qū)⒃搶?shí)體與其他全部實(shí)體區(qū)分開來，并證明它的唯一性，從而確認(rèn)“您是誰”這個問題的答案。由于SMTP電子郵件中不存在身份驗證，因此無法知道實(shí)際上是誰發(fā)送了郵件。數(shù)字簽名中的身份驗證使收件人可以知道郵件是聲稱已發(fā)送該郵件的那個人或組織發(fā)送的，從而解決了這一問題。認(rèn)可：簽名的唯一性可防止簽名的全部者否認(rèn)簽名。此功能“”。因此，簽名所供給的身份驗證供給了一種強(qiáng)制認(rèn)可的手段。由于SMTP電子郵件不供給身份驗證手段，因此無法供給認(rèn)可功能。發(fā)件人很簡潔否認(rèn)自己是某個SMTP電子郵件的全部者。數(shù)據(jù)完整性：數(shù)據(jù)完整性是使數(shù)字簽名成為可能的特定操作的結(jié)果。有無法供給的保證功能，由于書面文檔在經(jīng)過簽名后可能被轉(zhuǎn)變。郵件加密供給了針對信息泄露的解決方案?；赟MTP的Internet電子郵件并不確保郵件的安全性。SMTPInternet電子郵件可能被在發(fā)送過程中看到它Exchange郵件系統(tǒng)解決方案建議書Exchange郵件系統(tǒng)解決方案建議書10的安全效勞：他任何人知道。加密在郵件傳送和存儲過程中均供給保密性。數(shù)據(jù)完整性：與數(shù)字簽名一樣，由于承受了使加密成為可能的特定操作，S/MIMES/MIME通過數(shù)字證書實(shí)現(xiàn)郵件的加密和簽名。用于S/MIME的數(shù)字證書應(yīng)遵守國際電信同盟(ITU)X.509標(biāo)準(zhǔn)。S/MIME版本3明確要求數(shù)字證書應(yīng)遵守X.509的第3版。數(shù)字證書用于數(shù)字簽名公鑰與用戶私鑰的關(guān)系使得收件人可以識別并驗證發(fā)件人的郵件。數(shù)字證書圖描述了發(fā)件時的數(shù)字簽名和收件時的數(shù)字簽名識別。圖：數(shù)字證書以及電子郵件的數(shù)字簽名圖：數(shù)字證書以及驗證電子郵件的數(shù)字簽名數(shù)字證書用于加密數(shù)字證書還通過使公鑰可用于加密過程來支持郵件加密。發(fā)件人可以訪問收與數(shù)字簽名一樣，數(shù)字證書中的公鑰使得此操作成為可能。下面兩張圖顯示了使用數(shù)字證書的支持元素進(jìn)展加密的一系列活動。圖：數(shù)字證書以及電子郵件的加密圖：數(shù)字證書以及電子郵件的解密Exchange2013的郵件安全系統(tǒng)中，組成完整解決方案的是三項技術(shù)。它們是：Exchange2013電子郵件客戶端PKIExchange2013的郵件安全系統(tǒng)的技術(shù)Exchange2013主要與電子郵件客戶端交互，而電子郵件客戶端主要與PKI交互。組成整個系統(tǒng)需要全部三個局部，并且這三個局部需要協(xié)同工作。Exchange通過其現(xiàn)有的功能來支持基于標(biāo)準(zhǔn)的郵件安全性。例如，Exchange2013通過當(dāng)前對電子郵件客戶端協(xié)議的支持來支持S/MIME電子郵件客戶端。對于任何電子郵件客戶端，只要它可以與 Exchange2013連接，并且還支持S/MIME，便可用于實(shí)現(xiàn)郵件安全系統(tǒng)?？杉尚訣xchangeServer2013為了與其他業(yè)務(wù)系統(tǒng)進(jìn)展整合，供給名為WebService的接口效勞。WebService是使應(yīng)用程序可以以與平臺和編程語言無關(guān)的方式進(jìn)展XML消息傳遞訪問的操作。由于WebServiceXML，使得大量異構(gòu)程WebSerivce，而不用關(guān)心具體的實(shí)現(xiàn)是由什么編程語言供給的。統(tǒng)一認(rèn)證集成ExchangeServer2013使用活動名目〔ActiveDirectory〕來認(rèn)證用戶信息，并AD效勞器存儲全部用戶的賬號信息。ADLDAP協(xié)議讀取用戶數(shù)據(jù)。假設(shè)企業(yè)的ITAD架構(gòu)的，需要和AD做整合，通過LDAP協(xié)議將用戶信息進(jìn)展讀取并且同步到另外一方的系統(tǒng)中，實(shí)現(xiàn)用戶賬號的信息同步更，單點(diǎn)登錄等等功能辦公系統(tǒng)集成客戶需要在原有的辦公軟件系統(tǒng)上與Exchange電子郵件系統(tǒng)做適當(dāng)?shù)恼?，例如郵件的收發(fā)整合到辦公系統(tǒng)的工作流中，在辦公系統(tǒng)中能跳轉(zhuǎn)到電子郵件系統(tǒng)，在辦公系統(tǒng)中能提示郵件的到達(dá)等等整合。這就需要在辦公系統(tǒng)WebService接口效勞做二次開發(fā)。多客戶端和協(xié)議支持Exchange協(xié)議：Outlook2003/2007/2010/2013Activesync協(xié)議：WindowsPhone,Android,IOS等智能終端。POP/IMAPActivesync協(xié)議：WindowsPhone,Android,IOS等智能終端。成功案例綾致時裝ONLY、VeroModa、SelectedJack&Jones1996年進(jìn)入中國，公司成長快速，40030015000。綾致時裝原使用托管的263企業(yè)郵件系統(tǒng)，但是由于性能和功能上的限制，無法滿足用戶日常的郵箱使用需求，綾致時裝打算更換一套性能和功能更強(qiáng)的郵件系統(tǒng)，來滿足其需要。在綾致時裝打算選擇有孚作為其工程供給商之前，有孚網(wǎng)絡(luò)針對其做了大量IT2個月的實(shí)力，在售前、實(shí)施、運(yùn)維、客服各個方面都得到客戶認(rèn)可。瀘州老窖瀘州老窖源遠(yuǎn)流長，是中國濃香型白酒的發(fā)源地，以眾多獨(dú)特優(yōu)勢在中國酒業(yè)獨(dú)樹一幟。擁有我國建筑最早〔始建于公元1573年〕、連續(xù)使用時間最長、保護(hù)1573國寶窖池群，199612月經(jīng)國務(wù)院批準(zhǔn)為行業(yè)首家全國重點(diǎn)20062012年再次入選《中國世界文化遺產(chǎn)預(yù)備名單》。瀘州老窖集團(tuán)現(xiàn)已形成三大產(chǎn)業(yè)、九大骨干子公司。作為一家大型的國有生產(chǎn)型