Exchange郵件系統解決方案建議書上海有孚計算機網絡20149月ExchangeExchange郵件系統解決方案建議書名目\l“_TOC_250003“系統方案設計 1\l“_TOC_250002“系統整體拓撲 1\l“_TOC_250001“郵件系統解決方案 1\l“_TOC_250000“郵件系統拓撲 1Exchange系統角色介紹 2訪問方式 3功能清單 3系統技術說明 5成功案例 13綾致時裝 13瀘州老窖 13卡友信息 14公司介紹 15根本狀況 15競爭優勢 15榮譽資質 16iExchangeExchange郵件系統解決方案建議書1系統方案設計系統整體拓撲Exchange2013作為郵件系統，并建議承受高可用性架構部署方式，系統部署在公司總部機房，通過公網連接使反病毒以及海外加速等功能，內部用戶的郵件投遞通過內網傳輸。出于本錢考慮本工程的建設，推舉承受虛擬化部署方式。郵件系統解決方案郵件系統拓撲海外加速效勞。Exchange郵件系統解決方案建議書Exchange郵件系統解決方案建議書5Exchange系統角色介紹Exchange2013包括以下效勞器角色：〔MailBox〕集群〔DAG。

郵箱效勞器可以使用到后端高可用性組客戶端訪問效勞器角色〔CAS〕這角色包含的客戶端，如MicrosoftOfficeOutlook中，OutlookWebAppSMTP代理效勞器連接，并接收郵件和郵件傳送到Internet上的其他郵件主機。客戶端訪問效勞器，可以組成客戶端訪問效勞器陣列。客戶端訪問效勞器角色和郵箱效勞器角色的工作過程如以下圖所示：訪問方式ExchangeServer2013企業郵件系統，通過高可用性負載均衡和群集部署，建立一個安全、穩定(高可用，高牢靠)、易用和快捷的電子郵件效勞系統。郵局系統供給用戶多種方式統一訪問的體驗，實現了各平臺的信息統一。本部出口帶寬故障，導致的無法訪問郵箱效勞器的問題部署在企業內部的，當本部出口帶寬消滅故障時，就無法訪問郵箱系統。MAPI,POP3,IMAP,SMTP功能的客戶端都可以訪問本系統；OutlookAnywhereOutlook隨時隨地訪問郵局系統；Web的訪問〔S〕：通過掃瞄器訪問郵局系統；移動訪問：使用手機或其它適當的移動設備訪問郵局系統；郵局系統不僅要供給郵件功能，同時也應供給聯系人治理，日程治理，任務治理功能清單ExchangeServer2013是微軟公司的企業級消息協作效勞器，也是目前全球ExchangeServer2013，用戶能夠構建安全，穩定，高效的消息協作平臺及其上的解決方案。ExchangeServer2013具有如下關鍵特性強大的移動訪問支持 Exchange2013中的增加功能可幫助用戶從幾乎任何平臺、Web掃瞄器或手持設備，利用行業標準協議訪問他們的全部通信信息，如電子郵件、語音郵件、即時消息，從而提升工作效率。內置豐富的郵件傳輸策略實現對郵件的監控 的郵件添加審批，制止郵件打印或轉發，為帶有特定關鍵字的郵件設置轉發等。各種客戶端的界面操作方式〔Outlook,OutlookWebApp訪問〕相近，能降低用戶的學習本錢。RPC/功能〔OutlookAnywhere〕使得企業不必部署VPN/RAS也能讓外網〔例如在家或出差〕的用戶能夠使用Outlook安全的連接到位于企業Exchange效勞器。用戶可在任何客戶端上治理和訪問同一份郵件、日程、聯系人、任務等信息。中的緩存模式能夠自動在離線/在線狀態間切換，削減對用戶工作的打斷企業合規與法律遵從性 Exchange2013供給了的集成電子郵件歸檔和是否自動強制執行掌握或授予用戶實現其數據保護的權限。Exchange自助效勞治理員可以使用OutlookWebApp的Exchange掌握面板治理日常內部的部署任務。此外，自助效勞功能可以使用戶通過Exchange掌握面板執行治理任務。ECP使用戶能夠執行常見任務，而不必向技術支持求助。這有助于用戶提高工作效率，并使IT人員能夠在降低支持本錢的同時傳遞更多信息。優化的握手協議和數據壓縮能夠減小網絡數據流量，給窄帶環境下的用戶更流暢的使用體驗強大的反垃圾郵件功能多種過濾方式從效勞器到客戶端層層阻擋垃圾郵件。RBL〔實時阻擋列表〕能夠訂閱第三方中立組織實時更的黑名單來阻擋垃圾郵件。增加的防病毒功能第三方廠商能夠利用ExchangeServer2013供給的防病毒編程接口開發特地的防病毒產品。安全、穩定牢靠的郵件系統供給7*24小時的郵件效勞16節點的郵箱群集支持，更快的故障轉移速度〔30秒故障恢復〕支持更多安全標準(Kerberos,IPSECSSL)支持第三方應用程序通過標準的SMTP調用或使用MAPI接口編程效勞器站點整合，數據大集中用更少的軟硬件資源負載更多的用戶和更大的任務量，最終提高運營效率。系統技術說明高可用性數據庫可用性組(DAG)技術是Exchange2013供給的全功能，供給從數據庫、效勞器或網絡故障中自動執行數據庫級恢復的功能。DAG使用連續復制和Windows故障轉移群集技術的子集以供給高可用性和站點恢復。DAG中的郵箱效勞器相互進展故障監視。郵箱效勞器添加到 DAG后，它會與DAG中的其他效勞器協同工作，供給從數據庫故障中自動執行數據庫級恢復的功能。高可用備份DAG1616個郵箱數據庫副本。3個以上數據庫副本時無需備份：當一個郵箱數據庫擁有3個或更多副本時，程序設DAG保護的郵箱數據庫時，不故障切換快速切換/Exchange2013DAG的改進，現在，郵箱數據庫副本間的切換/Exchange2007CCR動輒就需要數分鐘相比，目前所用時間往往在30稱之內。此外，由于OutlookMAPIRPC客戶端訪問效勞，因此最終用戶很少會留意到切換或故障轉移的發生。安全性郵件偷竊：大多數郵件以明文發送，很可能被網絡竊聽者截取。前，郵件系統存在很多安全性漏洞和威逼，主要包括以下幾個方面。郵件偷竊：大多數郵件以明文發送，很可能被網絡竊聽者截取。郵件篡改：由于電子郵件沒有完整性機制，攻擊者簡潔非法修改郵件內郵件哄騙：郵件發送協議比較簡潔，不作用戶身份驗證，很簡潔消滅冒名頂替。郵件篡改：由于電子郵件沒有完整性機制，攻擊者簡潔非法修改郵件內郵件哄騙：郵件發送協議比較簡潔，不作用戶身份驗證，很簡潔消滅冒郵件病毒：郵件附件可能攜帶病毒。容。郵件病毒：郵件附件可能攜帶病毒。垃圾郵件：未經懇求的垃圾郵件將堵塞網路，消耗存儲，降低用戶的工作效率垃圾郵件：未經懇求的垃圾郵件將堵塞網路，消耗存儲，降低用戶的工要保護組織的郵件系統，則需要增加郵件系統的安全性。這包括：用戶的身份驗證，保證用戶是合法的。供給郵件回執，防止郵件接收否認。郵件收發的安全審計，以便故障查閱和恢復。郵件內容的安全掃描，防止郵件附件病毒。郵件加密傳輸，防止竊取。數字簽名，防止郵件篡改和冒名頂替發送郵件。ExchangeServer在增加這些安全性時，遵循了以下幾條原則：數據加密、信息完整性、身份認證和可控性。保持和現有系統的兼容性，不在客戶端安裝額外的軟件，也無需簡單配置。郵件應具有不同的安全等級。ExchangeServer的安全設計包括以下幾個方面，掩蓋了郵件的產生、傳輸、存儲、接收、掃瞄整個過程：建立客戶端到郵件效勞器之間的安全連接。郵件效勞器本身的安全。電子郵件本身的安全。客戶端與郵件效勞器的安全連接客戶端與郵件效勞器之間可以建立安全連接。RPCover〔Outlook〕Exchange2013上可以通過部署WindowsServer2008上的RPCover效勞實現Outlook以MAPI協議安全的連接到郵件系統。啟用RPCover后，Outlook對Exchange的RPC調用被以協議的方式封裝到了80或是43承受SSL加密時〕端口，使得用戶可以在Internet上安全的使用Outlook，就像在單位內網一樣。假設要使用對Exchange的遠程訪問，請將Exchange部署配置為允許RPCover。要將Exchange配置為使用RPCover，需要將Exchange前端效勞器指定為RPC代理效勞器。然后，RPC代理效勞器代表客戶端處理全部RPCover懇求，并將懇求轉發到適當的后端資源。此外，將包括全局編錄效勞器和 Exchange效勞器在內的后端資源特地配置為與前端Exchange效勞器通信。連接〔OutlookWebApp〕Exchange2013OutlookWebApp。因此，只要在SSLWeb效勞器之間的安全連接。這樣一來，用戶只要輸入前端效勞器URLs://Internet安全地接收/發送電子郵件。ExchangeActiveSync連接〔PocketPC和智能手機〕Exchange2013支持通過智能客戶端，如 PocketPC和智能手機，通過ActiveSyncSSL加密的方式訪問郵件效勞器。POP3，SMTP，IMAP4連接〔OutlookExpress等〕SSL加密，可以使得Inernet郵件客戶端如OutlookExpress安全的連接到郵件效勞器。郵件效勞器的安全郵件效勞器本身的安全涉及到防火墻安全過濾、效勞器安全強化幾個方面，下面進展簡潔描述。郵件效勞器本身的安全涉及到防火墻安全過濾、效勞器安全強化幾個方面，防火墻安全過濾含非法命令，將此會話臨時掛起，直到超時。效勞器安全強化強化前端效勞器：依據前端效勞器支持的訪問方式，POP3、依據Exchange效勞器在組織中的角色強化Exchange強化前端效勞器：依據前端效勞器支持的訪問方式，POP3、強化后端效勞器：禁用不必要的效勞、限制對本地名目的訪問，以IMAP4SMTP，分別針對每種協議進展安全配置。并使用URLScan工具篩選發送到IIS效勞器的全部傳入懇求，并僅允許符合特定規章集的那些懇求通過。這有助于確保效勞器僅響應有效的懇求，從而大大提高了安全性。使用 URLScan可以基于長度、字符集、內容和其他因素篩選懇求。強化后端效勞器：禁用不必要的效勞、限制對本地名目的訪問，以及其他配置。Exchange郵件系統解決方案建議書Exchange郵件系統解決方案建議書99功能和解決的問題，假設必要，應馬上使用。承受適當的備份措施，對郵件系統的關鍵數據進展定期備份，包括用戶的郵件數據和活動名目數據。電子郵件的安全數字簽名是常用的S/MIME效勞。數字簽名是書面文檔中具有法律意義的Exchange2013S/MIMES/MIMEOutlook，OutlookWebAppOutlook數字簽名是常用的S/MIME效勞。數字簽名是書面文檔中具有法律意義的傳統簽名的數字形式。數字簽名供給以下安全功能：身份驗證：通過簽名來驗證身份。它能夠將該實體與其他全部實體區分開來，并證明它的唯一性，從而確認“您是誰”這個問題的答案。由于SMTP電子郵件中不存在身份驗證，因此無法知道實際上是誰發送了郵件。數字簽名中的身份驗證使收件人可以知道郵件是聲稱已發送該郵件的那個人或組織發送的，從而解決了這一問題。認可：簽名的唯一性可防止簽名的全部者否認簽名。此功能“”。因此，簽名所供給的身份驗證供給了一種強制認可的手段。由于SMTP電子郵件不供給身份驗證手段，因此無法供給認可功能。發件人很簡潔否認自己是某個SMTP電子郵件的全部者。數據完整性：數據完整性是使數字簽名成為可能的特定操作的結果。有無法供給的保證功能，由于書面文檔在經過簽名后可能被轉變。郵件加密供給了針對信息泄露的解決方案。基于SMTP的Internet電子郵件并不確保郵件的安全性。SMTPInternet電子郵件可能被在發送過程中看到它Exchange郵件系統解決方案建議書Exchange郵件系統解決方案建議書10的安全效勞：他任何人知道。加密在郵件傳送和存儲過程中均供給保密性。數據完整性：與數字簽名一樣，由于承受了使加密成為可能的特定操作，S/MIMES/MIME通過數字證書實現郵件的加密和簽名。用于S/MIME的數字證書應遵守國際電信同盟(ITU)X.509標準。S/MIME版本3明確要求數字證書應遵守X.509的第3版。數字證書用于數字簽名公鑰與用戶私鑰的關系使得收件人可以識別并驗證發件人的郵件。數字證書圖描述了發件時的數字簽名和收件時的數字簽名識別。圖：數字證書以及電子郵件的數字簽名圖：數字證書以及驗證電子郵件的數字簽名數字證書用于加密數字證書還通過使公鑰可用于加密過程來支持郵件加密。發件人可以訪問收與數字簽名一樣，數字證書中的公鑰使得此操作成為可能。下面兩張圖顯示了使用數字證書的支持元素進展加密的一系列活動。圖：數字證書以及電子郵件的加密圖：數字證書以及電子郵件的解密Exchange2013的郵件安全系統中，組成完整解決方案的是三項技術。它們是：Exchange2013電子郵件客戶端PKIExchange2013的郵件安全系統的技術Exchange2013主要與電子郵件客戶端交互，而電子郵件客戶端主要與PKI交互。組成整個系統需要全部三個局部，并且這三個局部需要協同工作。Exchange通過其現有的功能來支持基于標準的郵件安全性。例如，Exchange2013通過當前對電子郵件客戶端協議的支持來支持S/MIME電子郵件客戶端。對于任何電子郵件客戶端，只要它可以與 Exchange2013連接，并且還支持S/MIME，便可用于實現郵件安全系統。可集成性ExchangeServer2013為了與其他業務系統進展整合，供給名為WebService的接口效勞。WebService是使應用程序可以以與平臺和編程語言無關的方式進展XML消息傳遞訪問的操作。由于WebServiceXML，使得大量異構程WebSerivce，而不用關心具體的實現是由什么編程語言供給的。統一認證集成ExchangeServer2013使用活動名目〔ActiveDirectory〕來認證用戶信息，并AD效勞器存儲全部用戶的賬號信息。ADLDAP協議讀取用戶數據。假設企業的ITAD架構的，需要和AD做整合，通過LDAP協議將用戶信息進展讀取并且同步到另外一方的系統中，實現用戶賬號的信息同步更，單點登錄等等功能辦公系統集成客戶需要在原有的辦公軟件系統上與Exchange電子郵件系統做適當的整合，例如郵件的收發整合到辦公系統的工作流中，在辦公系統中能跳轉到電子郵件系統，在辦公系統中能提示郵件的到達等等整合。這就需要在辦公系統WebService接口效勞做二次開發。多客戶端和協議支持Exchange協議：Outlook2003/2007/2010/2013Activesync協議：WindowsPhone,Android,IOS等智能終端。POP/IMAPActivesync協議：WindowsPhone,Android,IOS等智能終端。成功案例綾致時裝ONLY、VeroModa、SelectedJack&Jones1996年進入中國，公司成長快速，40030015000。綾致時裝原使用托管的263企業郵件系統，但是由于性能和功能上的限制，無法滿足用戶日常的郵箱使用需求，綾致時裝打算更換一套性能和功能更強的郵件系統，來滿足其需要。在綾致時裝打算選擇有孚作為其工程供給商之前，有孚網絡針對其做了大量IT2個月的實力，在售前、實施、運維、客服各個方面都得到客戶認可。瀘州老窖瀘州老窖源遠流長，是中國濃香型白酒的發源地，以眾多獨特優勢在中國酒業獨樹一幟。擁有我國建筑最早〔始建于公元1573年〕、連續使用時間最長、保護1573國寶窖池群，199612月經國務院批準為行業首家全國重點20062012年再次入選《中國世界文化遺產預備名單》。瀘州老窖集團現已形成三大產業、九大骨干子公司。作為一家大型的國有生產型