随着网络技术和因特网技术的成熟和高速发展,电子邮件已逐渐成为最受网民青睐的一种交流方式,越来越多的企事业单位开始组建属于自己的邮件服务器。同时,为了保证邮件数据的安全性,杜绝外网病毒的攻击,很多企业都会加用防火墙。但大家都知道,防火墙不是万能的,黑客可多种手段绕过防火墙的阻挡,侵入内网窃取数据或破坏数据,以致损失惨重。针对要求高安全性的客户,就可以考虑使用内外网物理隔离的方案来组建邮件系统。
1.适用对象
1)要求高安全性。内部服务器与外部环境实行隔离,在外部服务器被攻击或者出现任何因人为/自然灾害等因素导致外部网关服务器失效时,都不会损害或影响内部用户的各种数据信息,保证零数据丢失。
2)对内网实行控制。对内网各个用户的访问网络权实行严格控制。
3)内网已有邮件服务器。有些企业本身已经搭建有邮件系统,例如Exchange等等。Exchange最大的好处是集成了Outlook客户端,但众所周知,Exchange在邮件管理方面功能不强,例如没有邮件审核、邮件归档、短信接口等等个性化的设置,而且一旦给病毒攻击,邮件服务器一崩溃,将会极大的影响企业运作。虽然有很多弊端,但企业又不想再换已经熟悉的邮件系统,这时候,这类企业可以考虑在外网上组建一个邮件网关系统,既可以实现对邮件管理,保护内网安全,又不影响Exchange的使用。
2.组建内外网邮件系统
1)配置
a)硬件配置
由于我们是采用内外网物理隔离的方式组建系统,所以要求内网和外网各安装至少一台终端服务器。这样,在物理上信息终端只与其中一个网络连通,所以黑客即使侵入外网,也无法越过物理屏障侵入内网。至于服务器的具体硬件配置,则看各个企业的不同要求来动态选择。
b)软件配置
目前国内市场上邮件系统多余牛毛,有免费的,如QMAIL、IMAIL等;也有不同层次价格的,高端价格有Exchange、Lutas等,中端价格有TurboMail等,低端价格有Winmail、webeasymail等。至于性能方面,在此就不评价了,各个有心搭建邮件系统的客户,可以联系厂商索取测试版,自己实际测试下,比较各个产品的优劣。
在内外网隔离方案中,内网使用一套邮件系统,外网使用邮件网关。由于大部分防病毒、防垃圾、管理邮件等功能都由外网邮件网关承受了,所以内网的邮件系统选择上可以适当放宽要求。大多数人对内网或者单独使用邮件系统已经很熟悉了,在这里,我们主要讨论如何在已有内网邮件系统的情况下,搭建外网邮件网关。在此方案中,我们以Turbomail为例,搭建外网邮件网关,其他邮件系统搭建情况也差不多,大家可以举一反三。
2)系统实现
TurboMail邮件网关放置在外网和内网之间,起到内外网隔离的作用。其中,有实力的企业可以在互联网和邮件网关之间再添加“防火墙→路由器/交换机”,加大网络的安全性。当然在网关和内网邮件系统之间也有路由器或者交换机,这里为了简易说明,就省略掉了。
外部网关服务器作为内部与外部进行邮件数据沟通的唯一途径,可控性极高,网络攻击只能前进到外部网关服务器,无法入侵内部工作服务器。若外部服务器因病毒等原因出现故障,则内外网之间的通讯终止,有效保护工作系统的正常运营,而且所有的数据信息均保存在内部工作服务器,不会因为外部网关的任何故障而损害或影响用户的各种数据信息,有效的保证零数据丢失。
TurboMail作为邮件网关,兼容大多数内部邮件系统,只要是支持标准SMTP即可。当然,如果贵公司内部是使用企业邮箱,也不用担心,只要把Turbomail网关系统的途径指向改成所租用的企业邮箱的IP或者自己公司的域名即可。
3)功能实现
作为邮件网关,TurboMail可以实现6大功能。
①反垃圾
实现反垃圾功能,把外网发送过来的垃圾邮件全部都拦截在Turbomail 网关邮件系统上,即减轻了内网邮件系统的负担,又不会干涉到内网的正常收发。若出现误判,或者需要处理垃圾邮件时(垃圾邮件存放在Turbomail系统上),只要登陆Turbomail 网关邮件系统进行处理即可,不必通过内网的邮件系统进行处理,极大减轻内网邮件系统的压力。
②反病毒
实现反病毒功能,原理与反垃圾功能相似,都是阻隔在Turbomail 网关邮件系统上,不会影响到内网邮件系统的使用,极大减轻内网邮件系统的压力。
③邮件监控
对经过邮件网关的所有邮件进行灵活监控。
邮件监控的邮箱账号有两种选择:
A. 可在Turbomail 网关邮件系统上建立一邮箱账号,所有的被监控邮件都会发送到该 账号上。
B. 可用外部邮箱账号作为监控邮箱,所有的被监控邮件都会发送到该外部邮箱账号上。
④邮件审核
经过邮件网关时,对符合邮件审核规则的邮件进行审核。只有通过审核的邮件才能进行收发。该操作对于用户是透明操作的,且邮件审核规则也灵活多变。具体邮件审核详情,大家可以咨询Turbomail厂商。
邮件审核的账号,只能使用在Turbomail 邮件网关系统内建立的账户作为审核人,因为邮件审核是在Turbomail系统内部执行的。审核人可以通过网页登陆自己的账户进行邮件审核。
⑤邮件过滤
实现邮件过滤,只有符合过滤规则的邮件才能发送到内网邮件系统或者发送到外部互联网上。灵活的规则设置,可以很好的控制邮件收发。
⑥邮件归档
在邮件网关中实现邮件归档功能,所有经过Turbomail 网关邮件系统收发的邮件都将进行同步备份,即使内部邮件系统彻底删除了某些邮件,由于邮件已被备份,仍能在Turbomail 网关邮件系统上轻松检索调出,邮件备份功能就像是一个持续运作的复印机,来往所有邮件全部被复印留底。归档功能只能在Turbomail 网关邮件系统上实现和管理,无法在内部邮件系统上实现,但同时也释放了内网邮件服务器,不用承受日积月累的邮件数量的压力。
注:具体的系统如何配置问题,有兴趣的朋友可联系拓波厂商,详细咨询怎么系统实现,这里就不详细介绍了。
来源:oschina
链接:https://my.oschina.net/u/36276/blog/1757