应用Exchange部署企业邮件系统的设计与实现

【摘要】当企业的邮件系统规划不合理或使用ISP提供的邮件系统时经常会出现一系列安全问题。本文主要利用Exchange进行企业邮件系统的安全规划设计，有效解决使用ISP提供的邮箱和免费Internet邮箱时，会收到很多垃圾邮件；在ISP维护邮件服务器时，不能收发邮件；机密邮件容易泄露等问题

【关键词】Exchange；邮件系统；安全规划

1 引言

随着企业互联网应用的日益深入，企业邮件系统显得越来越重要。由于免费的邮件系统存在垃圾邮件过多，不能及时维护、容易使企业重要信息泄露等缺点，越来越多的企业纷纷建立自己的电子邮件系统。Exchange 2007是微软公司推出的大型邮件系统，由于其功能强大，与微软Windows操作系统兼容性好，使许多企业选择使用Exchange 2007建立自己的邮件系统。当企业的邮件系统规划不合理或使用ISP提供的邮件系统时经常会出现一系列安全问题。比如：由于目前免费邮箱的反垃圾邮件功能都不是很强使用ISP提供的邮箱和免费Internet邮箱时，会收到很多垃圾邮件；在ISP维护邮件服务器时，不能收发邮件；机密邮件容易泄露；在邮件服务器出现故障时，公司的工程师不能及时维护邮件服务器。因此，利用Exchange2007进行企业邮件系统的安全规划设计，以实现有效控制企业邮件的垃圾邮件，有效解决某一时段无法正常收发邮件、机密邮件容易泄露以及在邮件服务器出现故障时不能及时维护邮件服务器等一系列问题。

2 Exchange在企业邮件中的优势

Exchange是目前安全性比较高的企业邮件系统。Exchange从1996年4.0开始到2006年exchange2007，目前微软已经推出Exchange2010。与Exchange 2003相比，Exchange 2007最大的变化是基于角色、基于模块。基于角色有利于将不同功能配置到不同服务器上，便于对不同功能分开管理，同时也有利于提高服务器性能。邮件服务器角色的划分相当于把原来一个人完成的工作分配给不同的人来完成，每个人各负其责，从而使每个人的工作能效增加。管理者也更容易区分责任，某一方面出了问题，直接找负责该任务的直接责任人就可以了。利用Exchange2007能够做到远离垃圾邮件，同时实现安全发件人：为了减少误判，outlook用户创建的安全发件人列表会发送到中心传输服务器，然后再传送到边缘服务器。来自于这些用户的信息不论他们的垃圾邮件信用等级如何，允许直接进入组织。

另外Exchange2007可以实现Outlook电子邮戳：outlook 2007可以为每一封邮件创建一个难题和答案，称为邮戳，它被附加到每一封要发出的邮件中。当Exchange收到带邮戳的邮件时，它会验证它的难题和答案。邮戳越复杂，收发邮件时垃圾邮件的可能性越小。同时Exchange2007提供了Microsoft Forefront Security for Exchange Server功能：除了提供全面防病毒保护。该功能一天之内会对病毒信号，IP信誉服务和反垃圾过滤器进行数次更新。

3 邮件系统的安全规划设计

合理规划基于Exchange2007的企业邮件系统对企业邮件的安全运行有着非常重要的作用，目前的企业邮件系统可能会遇到如下问题：使用ISP的邮箱实现邮件通讯，总的空间有限，不能满足用户需求；员工使用免费Internet邮箱收发邮件，可能会造成邮件泄密，给公司带来损失；公司的网络工程师不能及时维护，可控性差；用户经常收到垃圾邮件，影响工作效率。因此下面将对邮件系统的安全规划进行设计。

（1）规划邮件系统的活动目录环境

Windows域和Exchange都通过活动目录实现目录服务，活动目录服务对于Exchange是必不可少的，为满足Exchange部署要求，需要扩展活动目录架构，设置域管理员Administrator为Exchange管理员，为各部门建立公共文件夹，设置部门的负责人为公共文件夹的所有者，建立公共文件夹的目的是分类存储不同部门的文件，这样在管理和使用时更方便，这也是大部分公司常用的作法，公用文件夹和现在的共享文件夹功能很类似，但是功能更加全面。

（2）规划邮件服务基础结构即管理模式

集中式管理模式：在集中式管理模式中，一个或几个受控制的管理组保持对Exchange系统的完全控制权限。Contoso在西雅图的管理组对公司的Exchange系统拥有完全控制权限。这种管理模型类似于一个数据中心，其中的所有管理任务都由一个信息技术组执行。这种管理模型在中小型组织中是很常见的。但是也可以用在与所有区域办公室都具有高带宽连接的大型组织中。

分散式管理模式：在分散式管理模式中，对Exchange系统管理的整体控制分散在公司的各个地理区域或分部中。在这种类型的模型中，每个区域或分部控制它自己的资产，并负责对自己的系统进行管理。这种类型的组织可能在每个分部或团体都至少有一个管理组。每个位置都有它自己的Exchange管理员组，这个组对其他管理组中的对象具有完全管理控制权。目前比较大的跨国公司应用的比较多。

除了以上两种模式外，还有一种模式称为混合管理模式。在这种模式中，管理组同时反映了功能和地理分布。用户可以创建专门的管理组以便限定某些功能的管理由特定人负责，并创建其他管理组以便沿着地理路线委派管理任务。通常对于在许多地理位置有多个分部或办公事的大型组织而言，应该使用混合模式。在一家公司收购另一家公司的情况下，也可以使用混合模式。

（3）邮件存储规划设计

在规划企业邮件系统的时候首先要考虑划分几个分区。需要将安装的文件放在不同的分区中，因为这样会提高企业邮件服务器的执行性能。而划分好分区后一定要决定每用户的邮箱大小。值得注意的是，在进行邮件服务器的安装前，还需要进行压力测试工作。所谓的压力测试是指要测试一下服务器能够承载这么多的用户访问，否则在安装好邮件系统后发现不能承载这么多用户再更新设备，那投入是更多的。目前微软针对Exchange邮件系统推出了几款压力测试软件。这些工具微软的站点都提供官方下载。

（4）邮件服务器角色规划部署

由于Exchange2007是基于服务器角色设计的，因此，服务器角色是对功能和服务的逻辑分组，用于完成一组特定的任务，管理员通过选择在Exchange 2007服务器上安装哪些角色。简化部署过程，也保证了对Exchange的高效管理和对硬件设备的高效利用。因为Exchange2007是在微软收购了多家扫描引擎公司后并结合自己的专利技术研发而成的。所以采用了多角色部署的方式推出，主要是大大提升了邮件系统的安全性和稳定性，尤其对于反垃圾邮件方面有了很大的提升。对基于Exchange的邮件服务器角色的规划主要包括以下服务器角色。邮箱服务器：包含用户邮箱和公用文件夹。客户端访问服务器：支持不同类型的邮件客户端如POP3、IMAP4、HTTPS客户端与Exchange 2007服务器建立连接，访问邮件服务器。统一消息服务器：允许用户通过手机访问Exchange 2007 邮箱，以获取电子邮件、语音邮件、传真邮件、日历和联系人等信息。中心传输服务器：在 Exchange 组织内路由邮件的服务器，是整个邮件系统的核心，完成邮件系统的主要功能。边缘传输服务器：该服务器通常架设在网络边缘或网络DMZ区，在转发进出邮件的同时，实现垃圾邮件过滤和邮件防病毒功能。边缘传输服务器是不需要部署在域当中的，它也不能和其他服务器部署在一起。它的主要作用是对垃圾邮件实现过滤的功能。同时也可以部署VOIP PBX网关，此网关的部署可以实现企业办公自动化变得更加的普及。不但可以实现传真的功能，也可以同时通过电子邮件的形式把信息反馈到用户的手机上。

针对不同规模的企业，在进行邮件服务器角色规划部署时要区别对待，简单的Exchange组织可以将所有服务器角色部署在单台计算机中，边缘传输服务器主要用来提供反垃圾邮件和防病毒功能，可以不在域环境中安装，但是不能和其它角色安装在一台计算机上。公司使用单台计算机搭建邮件系统，以后再根据需要部署其他服务器角色。对于一般的网络环境：：部署一台邮件服务器就可以了，将邮箱服务器角色、客户端访问服务器角色、中心传输服务器角色安装在同一台服务器上。如果要支持手机邮件，需要安装统一消息服务器角色。如果要加强整个邮件系统的安全性，可以在网络边缘或安装边缘传输服务器，该服务器主要提供过滤垃圾邮件和防止邮件病毒功能。对于中大型网络：可以把不同服务器角色安装在不同的邮件服务器上，甚至一种邮件服务器角色安装在多台服务器上。

参考文献：

[1]徐祗祥.组建与维护企业邮件系统.科学技术文献出版社，2008.10

[2]谢陆.基于Exchange的软件企业知识管理系统设计与实现[J].情报杂志，2007.3