高校需求

隨著網際網路的飛速發展, E-mail(電子郵件)已成為Internet應用最為廣泛的一項服務,也是個人日常工作、學習生活中的必備通訊工具。對於高校而言, 電子郵件更是學校與師生、教師與學生進行互動的重要途徑。目前大部分高校都有屬於自己高校的、自主建設的郵件系統。

高校自建郵件伺服器具有明顯特點:提高辦公效率、增強資料安全、提高單位形象；應用及管理靈活、可根據個人所需進行相應的調整和個性化的設定等。

但高校自主建設的郵件系統在維護管理方面都存有不可忽視的問題, 如:垃圾郵件氾濫、郵件遭到攔截和篡改、與國外郵件通訊的不暢通性、郵件帳號經常被盜，成為垃圾郵件中轉站等。高校電子郵件系統的管理維護關係到整個學校的形象、師生的日常工作學習生活。

本文將從系統安全性、資料安全性、賬號安全性三個方面著手，以華東地區某高校郵件系統（以下簡稱華高）為例，通過分析整體架構部署、網路架構安全保障系統及資料容災實現等方面，闡述校園郵件系統安全該如何解決。

系統安全性

郵件系統的核心部分是資料庫，包括元資料MD（meta data）和使用者資料UD（userdata）部分。華高在系統結構上將MD和UD伺服器置於校內網，從物理結構上斷絕了與外部的直接聯絡。內網使用者傳送的認證請求，由接收伺服器（如webserver 或POP3 server）代理，通過內網專有協議訪問使用者資料庫，確保操作安全可靠。內外網分開的結構也同時減輕了網路流量負擔。如圖1是Coremail郵件系統的模組架構圖。

無限制、固定、公開的通訊埠是主機安全執行的隱患，有些黑客向通訊埠傳送大量非法資料，致使服務癱瘓。所以，支援隱蔽重要的服務埠、及時修改埠號、設定埠訪問限制、主要系統內部服務通訊協議自行開發設計、設計Coremail郵件系統的核心程序由非超級使用者許可權執行等措施，是Coremail郵件系統確保安全的手段。

大規模Coremail郵件系統的中心是資料庫，華高的中心資料庫採用關係資料庫，並使用Cache技術，將經常使用的使用者登入資訊緩衝到記憶體中，提高系統訪問資料庫的速度，也降低中心資料庫負載，提高系統的安全可靠性。

資料安全性

華高的郵件投遞面向事務處理。每封郵件從MTA接收投遞到使用者的郵箱中都產生Transaction Log。當有系統網路故障，系統斷電等緊急情況出現，服務程式重新啟動後，會根據TransactionLog的記錄重新完成郵件投遞任務，保證使用者的郵件資料不丟失。

傳統郵件系統的儲存方法，是為每個使用者建立一個目錄，存放配置資訊和郵箱，一個郵件一個檔案。在使用者量很大時試圖對使用者資訊進行檢索備份幾乎不可能。龐大的目錄結構和檔案數量也迅速降低了磁碟I/O速度，增加系統開銷、儲存碎片，最終導致檔案系統錯誤或磁碟損壞。華高將使用者信箱資料儲存與郵件資料儲存的徹底分離：將使用者的配置資訊和郵件索引存放在User Data資料庫中，將使用者的郵件內容存放在Message Storage中。同一使用者的郵件通常僅存在一個檔案中，而使用者閱讀郵件目錄，或轉移郵件，只是對User Data記錄的修改。這樣既減少了磁碟I/O提高了操作速度，同時也由於將使用者資訊與郵件分離的結構，使MessageStorage和User Data的儲存分配更為靈活，多臺Message Storage 和User Data間的儲存負荷由權重引數分配比例，並根據需要調整。如：原有MS1，MS2，權重設定為10：10，後增加新的MS3，希望新的郵件多發到MS3上，可將權重引數改為5：5：10。

使用者註冊，修改資訊都實時記錄在執行資料庫和備份資料庫中。由於支援使用者賬號資料庫聯機熱備份，若執行資料庫出現故障，系統自動從備份資料庫中取得使用者資訊，保證使用者可以登入和收發郵件。同時，由於使用者賬號資料容量較小，可以進行每日備份，備份時間短，恢復速度快。使用者郵件資料則以檔案方式存放，由於採用二級索引、多郵件存於單檔案的方式，大大減少檔案數量，增加郵件備份速度和恢復速度。採用Sun Veritas檔案系統，可以對檔案系統進行整體備份和增量備份。郵件資料還具有AutoRepair功能，開啟AutoRepair功能，使用者在登入時系統自動檢查使用者資訊，在某些特殊情況下，如使用者郵件索引丟失等，重新生成郵件索引，使郵箱恢復到正常。

賬號安全性

為保護使用者Webmail郵箱的登入安全，對使用者密碼設定開啟弱密碼策略，可通過強制密碼強度等級，避免由於使用者登入密碼過於簡單而被猜測破解。系統定義密碼強度級別為不限制、普通、中級、高階四個等級。另外可定義一些弱密碼如11111、123456、和賬號相同的密碼等，在使用者登入郵箱時檢測使用者密碼，若密碼未達到對應級別或與定義的弱密碼相同，則提示使用者修改密碼並跳轉到修改密碼介面；當非法登入密碼出錯到一定次數時系統開啟自動保護，如通過圖形驗證，可避免遭受黑客網路密碼字典攻擊。由此來降低使用者密碼被惡意軟體猜測獲取的概率，保護Webmail郵箱安全。

由於Coremail郵件系統支援其他系統通過SMTP埠自動傳送郵件，在傳送SMTP互動命令auth login進行驗證USER和PASS時通過加密驗證資訊提高安全性，預防竊聽。同時設定SMTP驗證次數限制，當驗證失敗次數達到設定次數時對賬號進行鎖定操作。以及通過對使用者端提交的Cookies表單和登入IP進行檢測，以防止如反射式XSS攻擊等。

華高通過支援SSL協議增強使用者登入密碼的安全性。SSL（SecureSockets Layer安全套接層）協議位於傳輸層TCP/IP協議與各種應用層協議之間，利用Encryption資料加密技術，確保資料在網路傳輸過程中不會被擷取及竊聽，提高資料傳輸過程中的安全性。SSL中通過數字簽名和數字證書可實現瀏覽器和Web伺服器雙方的身份驗證，華高購買一些認證機構如GeoTrust的數字簽名和證書獲得了全球CA認證。Coremail郵件系統通過SSL Proxy提供多種通訊（如Web、SMTP，POP3，IMAP服務）的SSL通訊，使用者可以在Web登入時選擇安全登入或者使用具有SSL通訊能力的客戶端（如OutLook）和SSL Proxy通訊。

整體架構部署

整個架構分為主備兩個部分，為提高安全性將主備伺服器分別置放在不同校區的兩個機房，以預防著火、停電等大範圍不可預計的安全隱患。

整個郵件系統MUA被分成兩個主要功能部分，分別部署在前端和後端伺服器上，前端伺服器安裝MUA中的SMTP/Webmail/POP3/Anti-spam/Anti-virus等前端應用模組，主要提供登入、收發、過濾郵件功能，可以通過硬體負載裝置均衡訪問請求，同時實現了單點故障；後端伺服器主要安裝Mysql資料庫等，用來儲存賬號資料和郵件資料，實現使用者的郵件索引、郵件存取及其Cache。同時為提高登入速度和執行效率，需要做負載均衡，因此各需要2臺以上的虛擬伺服器。整體架構如圖2所示。 前端功能和後端資料分開部署一方面提高系統執行效率，實現資源分組；另一方面方便根據實際情況進行區域性擴容或全域性擴容。區域性擴容是按需提高個別伺服器的單機處理效能，進行增加伺服器資源、增加伺服器或增加磁碟容量操作；全面擴容是為提高整個系統的容量和處理效能，進行按照系統發展計劃，批量增加伺服器，或為各個模組都增加伺服器的操作。

Coremail郵件系統部署在虛擬伺服器上，對虛擬機器的安全管理和防護將十分重要。虛擬機器管理上配置對VMware ESX 和ESXi的保護，如配置審計跡、深度防禦、對一個目錄的訪問控制權限等。VMware ESX和ESXi通常有四種網路架構：把管理工具相互連線起來的管理網、為ILO和DRAC等提供服務的控制網、VMotion網和儲存網。對於這四個網路的任何訪問都可能破壞到VMware ESX 和ESXi的執行環境，因此為更好地保護VMware ESX 和ESXi需做到隔離管理網和其它的環境（包括控制網），並嚴格控制對管理網路的訪問；將虛擬中心和管理主機放置在管理網並配置防護；在ESXi管理裝置和管理網之間配置防火牆。通過增強監控和連線管理的能力更好地保護VMwareESX和ESXi，增加虛擬伺服器的安全性。

虛擬機器的VMware VMotion技術可以在兩臺正在執行的伺服器之間進行實時遷移，具有零停機效能，這樣將大幅度提高伺服器的可用性，保證系統資料的完整性；VMotion能夠自動優化和分配資源庫，允許管理員在資源庫中不斷地自動分配虛擬機器、在不中斷業務運作的情況下進行各項維修工作；不需要預先設定停機時間；在伺服器發生故障或者表現不佳之前，進行遷移。

每一臺VMware ESX伺服器配有一個HA代理，持續不斷地每隔五秒檢測叢集中服務主機的心跳訊號，若某臺ESX主機在連續15秒後都還沒有發出心跳訊號，那麼該主機就被預設為發生了故障或者與網路的連接出現了問題，這時該主機上執行的虛擬機器就會自動被轉移到群集中的其他主機。VMwareHA能夠對一個群集中的多臺ESX伺服器進行故障轉移，這樣的修復並不會改變作業系統的狀態。此外，虛擬機器中任何正在進行的業務也不會丟失，VMware HA的故障轉移幾乎完全透明的，一般不會出現任何停機的危險，提高了Coremail郵件系統不間斷執行的可靠性。

網路架構安全保障

為防禦來自校園網內部及Internet的網路攻擊，提高郵件伺服器的安全效能，在伺服器叢集前端部署了防火牆裝置，所有來自Internet和校園網的流量均經過防火牆裝置，通過配置安全策略，保證只有經過授權的流量才可以通過防火牆；同時在防火牆裝置鏈路上串聯了入侵檢測和防禦裝置IDP，不僅可以與防火牆實現優勢互補，同時還能防禦防火牆無法處理的伺服器叢集網路內部的攻擊。防火牆和IDP雙層防護，為華高伺服器叢集提供了良好的網路安全保障。網路架構如圖3所示。 圖3中網路鏈路上還新增鏈路均衡和負載均衡裝置，LinkProof外接電信、移動、聯通、華數及教科網各條鏈路，內接核心交換機，核心路由器上啟用針對前端郵件伺服器IP地址和AppDirector VIP的策略路由將MAIL\POP3\SMTP\IMAP\SPAM等域名授權記錄指向LinkProof，由LinkProof實現智慧解析。由此實現鏈路均衡，各條線路連結上來的鏈路均能達到最好網路保障，並降低由於某條校園網出口造成的系統故障。鏈路均衡和負載均衡都需要配置為透傳模式，因為Coremail郵件系統的郵件來源不能失去源地址，否則將無法執行垃圾郵件過濾策略。

增加均衡裝置一方面提高了使用者的登入速度和系統處理能力，另一方面提高了系統的安全性，確保在外部某一條網路斷掉或者某一臺前端伺服器down時系統仍能正常執行。當所有前端主機伺服器都無法正常工作且不能在段時間內恢復時，能夠通過負載均衡裝置直接切換到校區二的備機，保障在最短時間內恢復系統正常執行。

系統及資料容災實現

為保障郵件資料容災安全性在伺服器上部署Double-Take實時備份和RecoverPoint磁碟連續性保護雙重備份策略，防止由於系統問題、伺服器問題、資料邏輯問題等不可預測原因導致的使用者郵件資料丟失。容災架構如圖4所示。 Double-Take系統狀態與資料的實時複製、本地或遠端備份伺服器映象、整合VSS/CDP，隨時對任意點進行恢復、通過一個磁碟儲存提供集中備份、按需恢復：本地或遠端恢復、不同硬體恢復、支援P2P，P2V，V2V與V2P。RecoverPoint負責郵箱使用者資料CDP連續保護，是儲存附屬功能，原理是在儲存上對生產卷複製映象卷，配合日誌在映象卷還原資料。映象卷掛在郵件生產伺服器或單獨恢復伺服器上，被恢復歷史資料再次匯入使用者線上資料。Coremail郵件系統出現故障及災備切換情況見表1。 華高通過將前端應用與後端資料分離提高的系統擴容以及管理的靈活性；通過負載均衡、鏈路均衡、IPv4-IPv6雙棧提高Web訪問速度和收發郵件速度、提高系統安全性與容災的可靠性；通過Coremail郵件系統部署SSL、Cookies檢測、IP檢測以及弱密碼檢測等提高使用者賬號安全性；通過優化過濾演算法，並同國內外反垃圾聯盟合作建立垃圾郵件指紋庫來提高垃圾郵件過濾率。