postfix 邮件集群架构方案(01)

Postfix电子邮件可横向扩展系统部署实施方案

(F5负载均衡器+多服务器Cluster+NAS存储+Mysql数据库)
 
<基本介绍>:
一个完整的邮件系统包括四个部分
底层操作系统(Linux Operation
邮件传送代理(Mail Transport AgentMTA
邮件分发代理(Mail Delivery AgentMDA
邮件用户代理(Mail User AgentMUA)。
 
< 目前邮件系统处于的问题 >:
(1)基于单服务器的单进程邮件系统,发送效率低、可靠性差。
(2)SMTP、POP3、IMAP、用户认证、邮件存储等程序和数据固化,无法实现负荷分散和数据分布存储。 如Exchange、 Lotus Mail、 iMail、WebEasyMail等,这些邮件系统都无法经受病毒和垃圾邮件攻击,更无法经受大量用户并发访问的考验。
(3) 当今网络安全问题在电子邮件系统方面表现尤为突出:既要防止黑客的攻击,又要防范针对邮件系统的病毒邮件蔓延;既要防止垃圾邮件泛滥,又要堤防内部敏感资料的泄漏。
(4) 许多邮件系统管理、配置复杂。Send mail的配置文件sendmail.cf 非常难懂,以至于出现了生成配置文件的工具;Exchange功能比较多,但是配置起来决不轻松;Lotus Mail 仅仅实现一个内外部邮件路由,需要做许多配置,稍一疏忽,就会铸成大错。
 
< 要解决的问题 >:
 
< >: 邮件系统性能问题    (采用多台postfix 邮件服务器,采用HA形式)
企业新建设的电子邮件系统应该满足如下的基本条件:具有较强的适应性,能满足大容量的需求,需要能支持上千甚至上万的用户量,运行稳定,可靠,并且应有足够的扩容空间。
< > :邮件管理问题       (利用postfixadmin web管理工具进行统一管理)
企业新建设的电子邮件系统要求具备较强的客观理性;批量处理功能、强大的Web管理功能;有友好、美观、实用的用户交互平台等。同时邮件系统和相关的安全系统的日常管理应能够统一,避免管理人员在多套系统间频繁切换工作。
< > :邮件安全问题        (采用 linux 系统本身不存在的账号进行邮件收发,必要的时候还可以配置ssl 安全通道)
现在黑客攻击手段的手段越来越高明。对攻击感兴趣的人也在增多,对于目前这样一个开放式的网络环境而言。电子邮件服务作为互联网上的基本服务,必然也面临着安全方面的压力。作为安全的电子邮件系统来讲,应该做到:
1. 邮件系统的账号必须是非系统真实账号,邮件账号不能直接登录主机,只能通过Web或POP3端口访问。
2. 在采用非真实UNIX虚拟帐号的邮件系统中,用户密码要用密文存储和传输。
3. 邮件系统的程序运行应该以尽可能低的用户身份运行,这样才能保证邮件系统的程序在遭到破坏的时候不会影响到系统其他程序的运行。
4. 提供安全连接,WWW,SMTP,POP3支持通过SSL安全通道 进行加密连
< 四> :垃圾邮件 问题    (运行广泛的防垃圾邮件技术)
 ( 1)收件人事先没有提出要求或同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件。
 ( 2)收件人无法拒收的电子邮件。
 ( 3)隐藏发件人身份、地址、标题等信息的电子邮件;。
 ( 4)含有虚假的信息源、发件人、路由等信息的电子邮件。
反击和过滤垃圾电子邮件是一件很重要的工作,以下是一些广泛使用的防垃圾邮件技术
SMTP用户认证
在邮件传送代理(Mail Transport Agent,MTA)上对来自本地网络以外的互联网的发信用户进行SMTP认证,仅允许通过认证的用户进行远程转发
逆向名字解析 (不是很好的方法,因为大部门DNS服务器上都没有逆向解析记录,而且逆向名字解析需要进行大量DNS查询,有可能导致邮件传递延迟等现象)
例如,其声称的名字为mail.beisen.com,而其连接地址为20.200.200.200,利用DNS的逆向解析来判定名字是否与声称的名字一致,是则接收,否则予以拒收。
实时黑名单过滤
黑名单服务是基于用户投诉和采样积累而建立的、由域名或IP组成的数据库,最著名的是RBL、DCC和Razor,通过在postfix 配置RBL过滤等
 

内容过滤    (利用第三方邮件内容扫描软件 Spamassassin进行内容扫描)
目前最有效的方法是基于邮件标题或正文的内容过滤。其中比较简单的方法是,结合内容扫描引擎,根据垃圾邮件的常用标题语、垃圾邮件受益者的姓名、电话号码、 Web 地址等信息进行过滤
邮件系统病毒问题   利用第三方插件 Clamav 对邮件进行病毒扫描处理)
ClamAV 是一个 unix 系统平台上的开源反病毒工具,它是特地为在邮件网关上进行邮件扫描而设计的。整套软件提供了许多的实用工具,包括一个可伸缩和可升级的多线程守护进程、一个命令行扫描工具和病毒库自动升级工具。
 
< 系统架构部署 >
采用多台邮件应用服务器集群部署方式,并进行了多机冗余负载及高可用性(HA)的设计,以解决整套系统运行中可能出现的单点故障和负载超大流量的问题。
 

 

< 逻辑结构拓扑图 >

 

你可能感兴趣的:(邮件集群)