淺談高校***系統的優化管理論文
隨著Internet迅速普及以及企業內Intranet的建立,企業網路使用者的數量不斷增多,***的功能從最初的***收發,發展到現在郵件的協同工作。使用者對***的信任度不斷增加,企業內部、外部的業務溝通和交流通過***傳輸並最終確定。一些高校也是如此!以下是小編為大家精心準備的:淺談高校***系統的優化管理相關論文。內容僅供參考,歡迎閱讀!
淺談高校***系統的優化管理全文如下:
隨著網際網路的飛速發展, E-mail*********已成為Internet 應用最為廣泛的一項服務, 也是個人日常工作學習生活中的必備通訊工具. 對於高校而言, ***更是學校與師生、教師與學生進行互動的重要途徑.目前大部分高校都有屬於自己高校的、自主建設的郵件系統. 自建郵件伺服器具有明顯特點:有助於提高辦公效率、增強資料安全、提高單位形象;應用及管理靈活、可根據個人所需進行相應的調整和個性化的設定等. 但高校自主建設的郵件系統在維護管理方面可能都存在不可忽視的問題, 如:垃圾郵件氾濫、郵件遭到攔截和篡改、與國外郵件通訊的不暢通性、郵件帳號經常被盜成為垃圾郵件中轉站等. 高校***系統的管理維護關係到整個學校的形象、與師生的日常工作學習生活也息息相關. 如何更好地優化管理校內***系統已成為高校亟待解決及長期研究的課題. 本文正是針對華南師範大學***系統的優化管理展開研究.
1 校內郵件系統的現狀
1.1 網路部署
華南師範大學***系統是基於MicrosoftExchange Server 2007平臺建設, 主要包括4 臺伺服器, 其中兩臺伺服器作為郵箱角色, 另外兩臺伺服器作為客戶訪問和集線傳輸角色.
Ex-back1 和Ex-back2: 使用兩臺HP 416653-B21伺服器2CPU, 4G 記憶體;Ex-front1 和Ex-front2:使用兩臺HP 416653-B21 伺服器2CPU, 4G 記憶體. 四臺伺服器均安裝Windows Server 2003 64bit 作業系統.
Exchange Server 2007 的系統採用Windows Server2003 64 位作業系統, 並安裝了IIS 伺服器端程式. 同時將伺服器加進域並設定DNS 地址為域控制器地址,活動目錄***Active Directory***域功能級別被設定為2003的純模式. 在確保伺服器可以正常訪問Internet 的情況下, 依次在伺服器上安裝Microsoft.Net Framework2.0、MMC 控制檯、Microsoft Command Shell、MicrosoftExchange.
2.2 收信流程
郵件系統採用兩臺EQManager 郵件安全閘道器 ***mg1 和mg2***作為收信的反垃圾郵件過濾閘道器. 郵件MX記錄分別指向mg1 和mg2, mg2 優先順序高於mg1.
目前郵件接收流程為:外來郵件首先到達郵件閘道器***mg1 和mg2***, 由郵件閘道器過濾後再發往郵件伺服器前端***Ex-front1 和Ex-front2***, 然後再到達郵件後端儲存***Ex-back1 和Ex-back2***, 使用者資訊由AD 域伺服器***AD1 和AD2***提供. 其中客戶端收信伺服器為:, 兩個域名都同時指向了郵箱前端Ex-front1 和Ex-front2 的IP.
2.3 發信流程
現有發信方式有兩種, 分別是web 發信方式和客戶端發信方式. web 發信方式:直接從郵件伺服器前端***Ex-front1 和Ex-front2***發出, 不經過郵件閘道器. 客戶端***outlook、foxmail 等***發信方式:可以任選郵件伺服器前端***Ex-front1 和Ex-front2***進行發信, 不經過郵件閘道器, 也沒有對郵件伺服器前端的25 埠進行限制.
2.4 存在的問題與分析
校內自建郵件系統雖然具有明顯的優勢, 例如:增強了內部敏感資料的安全性、提升了學校的身份和形象、方便靈活管理及個性化設定等. 但高校自建的郵件系統普遍存在垃圾郵件氾濫、與國外通訊的不暢通性等問題. 目前華師校內郵件系統同樣也存在兩個比較突出的問題:
一是與國外通訊的暢通度較差, 校內發往國外的郵件經常出現無故丟失的現象.
二是郵件帳號經常被黑客盜用成為垃圾郵件中轉
站對外發送垃圾郵件, 嚴重影響學校的形象, 而且還造成學校的郵件伺服器IP 地址被反垃圾郵件組織列入黑名單, 從而導致發往校外的郵件經常被拒收的現象.針對問題一, 通過抓包對日誌進行分析, 可知大部分是由於反向DNS 沒做好, 所以被拒收.
使用校內DNS 對郵件伺服器的IP 進行PTR***郵件傳送過程的反向地址解釋***解釋時顯示正常, 但使用校外DNS 進行PTR 解釋時卻顯示失敗. 通過Trace 跟蹤發現我們校內的DNS 上對郵箱伺服器的PTR 記錄完整正確, 但上級DNS 沒有註冊我們校內郵件伺服器所在的IP 段: 222.200.128., 即是沒有把128.200.222.inaddr.arpa.授權至我們的DNS.
針對問題二, 通過系統的檢查和分析發現我們的發信流程存在安全漏洞. 郵件伺服器前端***Ex-front1 和Ex-front2***的25 埠是對外開放的, 垃圾郵件組織可以直接用smtp 方式往郵件前端發信, 無需經過閘道器,大量垃圾郵件過濾不了. 另外郵件伺服器前端***Ex-front1 和Ex-front2***安裝的是Exchange server 2007,該版本不能做發信頻率限制等安全設定.
3 優化方案及具體實施
擬對校內郵件系統存在的問題進行整體優化調整.優化調整的內容主要分為兩大塊:一個是解決校內與國外通訊暢通性較差的問題;二是解決校內郵件系統在發信機制上存在的安全漏洞問題.
3.1 反向域名註冊申請
調研發現校內區域網郵箱與國外通訊出現經常丟失或拒收的問題也是眾多高校存在的普遍問題, 究其原因都是未提供PTR***反向地址解釋***記錄, 從而導致國內郵件發到國外被封鎖. PTR ***Pointer Recore***, 指標記錄, 是***系統中的一種資料型別, 被網際網路標準檔案RFC1035 所定義. 與其相對應的是A 記錄、地址記錄. 二者組成郵件交換記錄. A 記錄解析名字到地址, 而PTR 記錄解析地址到名字. PTR 記錄被用於***傳送過程中的反向地址解析. 當正向域名解析完成後, 還應當向線路接入商***ISP***申請做反向地址解析, 以減少被國外機構退信的可能性.
因此解決的辦法是向上級DNS***或者IP 供應商***申請對我們的伺服器IP 段進行反向解釋的授權. 我們的IP 是由教育網CERNET 分配的, 可直接到CERNET網路資訊中心*** 記錄的申請. CERNET 網路資訊中心提供了 “IN-ADDR.ARPATemplate [CERNIC-021-HTML]”即CERNIC IPv4 反向域名註冊表, 我們只需要根據登錄檔填寫自己所在院校的IP 段及域名等資料, 填寫好後提交申請, 等待申請通過後反向域名解釋生效即可.
3.2 優化發信機制
針對發信流程上存在的安全漏洞, 擬對郵件系統的發信機制進行全面優化.
優化方案為:充分利用郵件閘道器的反垃圾郵件過濾功能, 將郵件閘道器加進發信機制中. 在郵件前端Exchange 上設定外發路由到郵件閘道器, 向外發信時首先經過郵件閘道器過濾, 閘道器過濾後再向外投遞. 同時限制郵件前端伺服器的相關埠, 禁止垃圾郵件組織直接往郵件前端傳送. 由於Exchange server 自身的特點, 只能指向一臺閘道器作外發路由. 考慮到收信過濾閘道器設定是mg2 優先順序高於mg1, 為均衡負載, 在發信過濾閘道器上選擇mg1 為外發路由. 發信路由轉發雖然沒有實現群集, 但若某臺發生故障時, 可以通過對DNS 和Exchange server 的簡單設定, 隨時進行調整,實現快速功能轉移.
具體實施:
①首先在郵件閘道器上設定郵件伺服器前端的IP 為無條件信任狀態. 即在郵件閘道器mg1 的系統配置中→抗攻擊配置→非受限IP 裡分別新增郵件伺服器前端Ex-front1 和Ex-front2 的IP, 在mg1 的策略配置中→IP控制列表→允許轉發列表中新增Ex-front1 和Ex-front2的IP.
②其次設定Exchange server 的轉發路由. 在Exchange 管理控制檯的集線器傳輸裡選擇傳送聯結器,在傳送聯結器的“Internet 屬性”的“網路”設定中, 有一個“通過以下智慧主機路由郵件”的選項, 把郵件閘道器mg1 的IP 新增到該選項中. 這樣可保證使用者在用Web方式發信時都經由郵件閘道器mg1 來過濾.
③接下來修改DNS 設定. 這次優化調整擬統一規範客戶端設定, 原客戶端設定收發伺服器均為mail.scnu.edu, 而且該域名直接指向Ex-front1 和Ex-front2 的IP***存在垃圾郵件組織用smtp 方式直接往郵件前端發信的漏洞***. 現將發信伺服器域名更改為smtp.scnu.edu, 該域名直接指向郵件閘道器mg1 的IP***由閘道器過濾和作發信頻率限制***;發信伺服器域名更改為pop.scnu.edu, 該域名分別指向郵件伺服器前端Ex-front1 和Ex-front2 的IP. MX 記錄維持原樣不變,即同時指向mg1 和mg2, 但mg2 優先順序高於mg1. 以此確保收發郵件都經過郵件閘道器過濾, 發信過濾由mg1 負責, 收信過濾則主要由mg2 承擔.
④最後是更改埠設定. 一是防火牆對外開放郵件閘道器***mg1 和mg2***的部分埠, 包括25、587、465、995 等. 二是更改郵件伺服器前端***Ex-front1 和Ex-front2***的系統防火牆設定, 設定郵件伺服器前端傳送埠***25***僅能與郵件閘道器通訊, 禁止外來郵件直接使用它們作為發信埠. 由此限制垃圾郵件組織直接往郵件伺服器前端濫發垃圾郵件.
4 應用效果與分析
華師校內郵件系統經過優化調整後, 校內郵箱與國外通訊不暢的問題得到了很大改善. 使用者跟蹤測試發現, 以前發往國外的郵件經常被拒收, 診斷資訊諸如“Unfortunately, messages from 222.200.128.35 weren'tsent. Please contact your Internet service provider sincepart of their network is on our block list.”; 自學校反向域名***PTR***註冊申請通過後, 像此類因為反向DNS 沒做好被國外郵件系統拒收的情況均未再出現過, 與國外收發郵件都趨於正常狀態.
對校內郵箱發信機制的調整, 也解決了郵件系統之前存在的安全隱患問題. 發信機制優化前, 校內郵件傳送至校內或校外均未作過濾, 以致無法對使用者濫發郵件作限制處理;發信機制優化後, 校內郵件傳送經由閘道器過濾, 由閘道器的統計報表中的 “發信人統計”中可以看到:主題為***null***以及校外郵箱利用校內郵箱來發信的, 幾乎全部被過濾, 加上基於其它原因被過濾的垃圾郵件每天都有幾千或上萬封, 這很好地限制了校內垃圾郵件的濫發, 並減輕了郵件伺服器的負荷.
對外關閉郵件前端伺服器的25 埠, 可以有效地限制黑客盜用校內郵箱帳號作為垃圾郵件中轉站對外濫發. 25 埠關閉前, 時常會出現使用者被盜號並以每秒上百封地外發垃圾郵件;25 埠關閉後, 即使使用者被盜號也無法用smtp 方式連線25 埠來批量發信, 而web 方式有閘道器作發信頻率限制. 因此從根本上解決了垃圾郵件濫發的問題, 這也減少了校內郵件伺服器IP 被其它反垃圾郵件組織列入黑名單的機率, 從而很好地維護了學校的聲譽, 保障了校內外郵箱通訊的暢通性.
將郵件閘道器引入發信機制中, 對郵件系統的日常監控、管理維護也提供了很大便利. 發信機制引入郵件閘道器前, 使用者發信情況及故障日誌都只能通過逐臺郵件伺服器排查, 且無web 介面, 查詢費時費力;發信機制引入郵件閘道器後, 可直接通過登陸閘道器的web 應用介面進行排查, 方便快捷. EQManager 郵件閘道器自帶的“系統監控”功能, 可以讓管理員及時監控資源的使用情況、SMTP 連線數等; “郵件佇列”模組提供了包括正常、可疑、過濾三種佇列的查詢、放行等功能; “系統配置”和“策略配置”模組可供管理員隨時調整過濾規則、策略設定、實時黑名單及抗攻擊配置等;而 “日誌瀏覽”和“日誌查詢”模組可以及時查詢使用者的發信狀態及投遞情況. 這不僅給管理員的日常維護工作帶來便利, 也大大提高了工作效率.
因此, 校內郵件系統的優化調整, 不僅給校內郵箱使用者帶來了良好的使用者體驗, 而且給郵件系統管理員提供了更好的監控、查詢、診斷等管理維護功能.
5 結語
華南師範大學***系統的優化管理調整, 不僅解決了校內郵箱與國外通訊難的問題, 而且修復了原來發信流程中存在的安全漏洞, 保證了校內郵箱與校外郵箱的收發通暢, 同時也提升了學校的聲譽與形象. 因此, 華師校內郵件系統的優化管理, 不僅解決了系統運維安全問題, 增強了使用者體驗, 同時也給管理員的日常維護管理帶來很大便利,
這在高校***系統的管理應用中具有一定的參考價值和意義.