鸿雁安全电子邮件系统解决方案.docx
《鸿雁安全电子邮件系统解决方案.docx》由会员分享,可在线阅读,更多相关《鸿雁安全电子邮件系统解决方案.docx(14页珍藏版)》请在冰豆网上搜索。
鸿雁安全电子邮件系统解决方案
鸿雁安全电子邮件系统解决方案
(中小型规模)
文档类型:
通用文档
汕头市巨力科技有限公司
广州市讯奇数码科技有限公司
2006年10月
目录
目录2
第一章概述3
第二章鸿雁电子邮件系统4
2.1HonyaWebmail的特点4
2.2HonyaWebmail的功能6
2.2.1前台功能6
2.2.2后台功能7
2.2.3信息中心应用模块(可选)9
2.2.4个性化内部邮件办公系统模块(机关事业单位专用网)10
2.3安全电子邮件系统11
2.3.1专用邮件防火墙模块(选配)12
2.3.2专用垃圾邮件过滤模块(选配)13
2.3.3专用智能反垃圾模块(选配)14
2.3.4专用防邮件病毒模块(选配)15
第三章网络结构及实施15
3.1网络结构15
3.2硬件服务器选型推荐16
3.3实施计划17
第四章系统预算18
第一章概述
鸿雁电子邮件系统是具有自主知识产权的软件系统,已经获得软件著作权和软件登记。
本系统运行在Linux操作系统平台,支持大型电子邮件系统。
可以应用于电子邮件提供商(ISP)、电子政务、机关事业单位内部办公系统、企业电子邮件系统、各种高等院校、中小学校等校园网。
鸿雁电子邮件系统提供Webmail界面,操作使用十分方便,可以与各种电子政务、办公、网站有效集成。
同时支持SSL加密,通过HTTPS访问,使您在web邮件更加安全可靠。
鸿雁电子邮件系统支持POP3协议,通过OUTLOOK、FOXMAIL等邮件客户端进行邮件收发。
鸿雁电子邮件系统运行在LinuxRedhat7.2免费操作系统上,可以为贵单位节省软件平台的开支。
Linux操作系统已经经过补丁、优化,确保操作系统、网络的安全、稳定。
鸿雁电子邮件系统可以与鸿雁垃圾邮件过滤器(硬件)无缝结合,实现防攻击、反垃圾邮件、防邮件病毒等功能。
达到安全电子邮件系统的解决方案。
针对小型系统(5千个电子邮件用户),可以通过在电子邮件服务器上增加反垃圾邮件模块和防病毒模块,达到过滤垃圾邮件和病毒邮件的效果。
针对不同行业和单位的不同业务需求,我们也开发了不同业务模块。
更好的发挥电子邮件系统的作用。
针对信息中心电子政务的注册审批、用户类型、组管理、网络硬盘、共享通讯录、参政大厅接口等应用模块。
针对公安局专用网的注册审批、部门管理、通讯录管理、系统公告等应用模块。
第二章鸿雁电子邮件系统
2.1HonyaWebmail的特点
●高速度
Honya的SMTP服务器在处理邮件时,比SENDMAIL快三倍以上。
在一台普通PIII机器上,每天可处理一百万封完全不相同的信件。
Honya设计中采用了web服务器的设计技巧以减少进程创建开销,并且采用了其他的一些文件访问优化技术以提高效率。
●高可靠性
一个E-mail服务系统应该提供一天24小时,一年365天的不间断服务。
Honya邮件系统支持多机热备份配置,真正实现不间断运行。
在系统设计上,Honya邮件系统采用Maildir存放电子邮件,与传统的Mailbox格式的邮件存放方法相比,Maildir无论从可靠性、安全性和可扩展性来说都有很大的优势。
邮件一经存入文件系统就可以保证不会掉失。
同时由于采用Maildir存放电子邮件,通过NFS文件系统的实现,可以为用户提供不限空间的电子邮件信箱。
Honya设计上实现了程序在过量负载情况下仍然保证程序的可靠性。
当出现本地文件系统没有可用空间或没有可用内存的情况时,Honya就会自动放弃,而不是重试而使情况变得更糟。
●安全性
Honya邮件系统采用多层次的预防措施来保障系统的安全。
从邮件的入口SMTP服务器开始,Honya系统就充分考虑了系统的安全问题。
必要时SMTP服务器本身可以运行于chroot环境内,完全与系统隔离。
为保护本地系统,几乎每一个Honya守护进程都能运行在固定低权限的chroot之下,在网络和安全敏感的本地投递程序之间没有直接的路径——一个攻击者必须首先突破若干个其他的程序,才有可能访问本地系统。
Honya甚至不绝对信任自己的队列文件或IPC消息中的内容以防止被欺骗。
Honya在输出发送者提供的消息之前会首先过滤消息。
而且Honya程序没有set-uid。
Honya的IMAP服务器使用inetd做为其前端加载器,同时提供了SSL的支持,用户需要时IMAP服务器可以挂接SSL支持组件做为其身份验证模式。
通过SSL联接,可以保证数据通过INTERNET传输时不会泄漏信息,保证了用户信息的保密。
●标准性
Honya的设计完全按照RFC的相关标准。
Honya支持的多种RFC标准。
●开放性
由于设计时完全按照RFC的相关标准协议设计,所以用户可通过多种方式在Honya系统上扩展单向或双向电子邮件列表等功能。
●高性能价格比
由于系统采用多种软件技术,功能模块化,程序小,占用系统资源少,使得系统即可在低成本的硬件(如PC机器)和软件(如Linux)上运行,得到性能优越的大容量的邮件系统。
Honya邮件系统也可在高档服务器(IBMAIX操作系统下运行),SAN高速存储设备上,达到更高的性能。
●灵活性
Honya结构上由十多个小的子模块组成,每个子模块完成特定的任务,如通过SMTP协议接收一个消息,发送一个消息,本地传递一个消息,重写一个地址等等。
当出现特定的需求时,可以用新版本的模块来替代老的模块,而不需要更新整个程序。
而且它也很容易实现关闭某个功能。
●与Sendmail完全兼容
Honya设计时考虑了保持Sendmail的兼容性问题,以使移植变得更加容易。
Honya支持/var[/spool]/mail,/etc/aliases,NIS,及~/.forward等文件。
不过Honya为保证管理的简单性,所以没有支持配置文件sendmail.cf。
●帐号分离
Honya通过专用数据库接口与后台数据库联接,实现用户帐号与系统帐号完全分离。
利用后台数据库,Honya还可同时存放诸如别名、转发表、域名表等等数据,方便后台管理程序的维护与管理。
2.2HonyaWebmail的功能
2.2.1前台功能
●WebMail功能
用户只需要一个浏览器,便能完成所有邮件的操作。
该功能既方便了用户,又为服务商提供了一个可聚集大量用户和访问量的商业运作载体。
Honya邮件系统的WebMail提供以下功能:
●Web方式阅读邮件。
用户使用浏览器便可阅读邮件,HonyaWebMail能自动判断附件类型,自动识别HTML格式的邮件,汉字内码自动转换。
同时可对邮件进行一个、多个及整页的删除、移动、回复、转发等操作。
友好的用户界面如同经典的邮件客户端软件。
●在线书写和发送邮件。
用户在浏览器里可直接书写和发送邮件,同时,通讯录、签名栏、附件和网络硬盘、草稿保存等功能为写邮件提供了强大的支持,帮助用户轻松、快速地书写邮件,充分地体现了Honya邮件系统人性化的设计思想。
●文件夹管理。
系统缺省创建收件箱、发信箱、草稿箱和垃圾箱四个文件夹,用户可以自己创建新文件夹,并可在不同文件夹之间移动邮件。
文件夹具有创建、删除等管理功能。
●邮件搜索功能。
搜索可以帮助用户在大量的邮件中迅速找到想要的邮件,节省时间。
●POP3邮件收取。
通过POP3邮件收取功能,用户可以把其他POP3帐号的邮件集中收取过来,即使有多个邮件帐号,也可轻松地统一管理。
Honya邮件系统支持多达99个POP3帐号。
●在配置信息里,用户可以定义个性化的显示方式。
●自动回复、自动转发。
Honya还特别对自动回复做了限制,以防止无限回复情况的发生。
●个人资料和口令维护。
●可以自定义多达99个签名档。
●强大的邮件规则设置。
Honya电子邮件系统提供了强大而灵活的邮件规则设置,可以根据邮件来源、主题、接收者、长度等条件,对邮件进行转发、转移、自动回复或拒收等动作。
●个人和共享通讯录。
Honya提供了直观、易用的个人和共享通讯录,与邮件系统紧密结合,写邮件的任何时候都能方便地添加收件人。
而使用共享通讯录,您可以建立单位各部门员工的通讯录,全单位的人都可以方便地使用,提高工作效率。
●网络硬盘和文件共享。
用户可以把文件存放在服务器上,以便异地共享或备份文件,对于经常出差的人很有用。
同时,用户还可以开放一些文件,将它共享给其他人。
●书签收藏。
用户可以把自己常去的网站分门别类地归类到这个书签中,何时何地都可以利用该功能方便地访问网站。
●日程安排。
系统提供了日历和日程安排功能,用户可以利用该功能来安排日程、记事和备忘。
●简、繁、英多语言支持。
Honya系统代码的编写完全按照国际化代码的标准,可以很容易地针对不同地区的语言进行本地化。
除了支持目前最常用的三种语言,Honya系统能够非常容易地提供更多语言的支持,而无须修改代码。
2.2.2后台功能
●Web管理功能
Honya邮件系统为维护人员提供完全基于浏览器的日常管理和监测工具,支持通过网络进行远程管理。
●用户管理
提供了添加、删除、修改、禁用/启用邮箱用户等日常管理功能。
记录了最后登陆信箱的地址和日期。
●别名管理
提供了添加、删除、修改、禁用/启用等别名日常管理功能。
●服务管理
管理员可以监视并启动或停止SMTP、POP3、IMAP服务器。
●常规设置
用于设置服务器的域名和主机名。
●SMTP设置
管理员可以设置SMTP标题信、VRFY、HELO命令、SMTP验证,最大并发处理/接收邮件数、单邮件最大大小、最大收件人数量等
●电子邮局管理
系统管理员可以添加、删除、修改、禁用/启用电子邮局。
有关电子邮局的更多信息请参考下面的“多域名支持”。
●详细的Log文件分析工具,让系统管理对邮件系统的运行状态了如指掌。
●基于用户账号的SMTPAUTH验证功能,能有效防止SMTP被滥用,比如被非法用于发送垃圾邮件。
●通过访问INTERNET垃圾邮件主机过滤列表,SMTP服务器可自动过滤来自垃圾邮件发送主机的邮件。
●多域名支持(电子邮局)
多域名支持能够将一台E-mail服务器虚拟成多台服务器,每个域名可拥有一台虚拟E-mail服务器。
这个功能对提供域名、虚拟主机、主机托管的ISP或IDC非常有用。
在多域名支持的基础上,Honya电子邮件系统提供了电子邮局功能,ISP、IDC可以为每个域名提供一个电子邮局,让客户拥有自己的电子邮局。
系统管理员的主要功能有:
添加、修改、禁用、启用、删除域名,对邮局管理员(帐号)进行管理等。
电子邮局管理员的功能有:
添加、修改、禁用、启用、删除E-mail帐号,及日常管理。
2.2.3信息中心应用模块(可选)
第一:
用户分组管理
1、分组管理:
根据不同的邮箱用户(市民,企业,公务人员三大类,其中公务人员一类包括各机关事业单位和社会团体各自成员),在邮箱后台实行分组管理,不同的组享有不同的权限,相同的组享有文件共享与共享网络硬盘的功能。
对组应具有增加,修改,删除等管理功能。
2、自动排序:
可按邮箱用户名字母/相同单位/开通时间/权限等进行切换排序。
3、搜索功能:
原使用邮件系统具有明确邮箱名查找功能,但不能满足实际需要,需增加模糊搜索功能,可针对登记表中用户有关资料进行搜索.并可对搜索到所有邮箱用户名或具体用户资料导出与打印。
4、组的功能突出体现在网络硬盘与共享通信录,其功能应表达为“我们的网络硬盘”及“共享通信录”。
第二:
我们的网络硬盘
1、关于“我们的网络硬盘”
(1)可对网络硬盘进行管理:
具有权限分配功能.可根据不同的用户组决定是否享有网络硬盘功能.
(2)对空间大小可进行限制.
2、“我们的网络硬盘”个性化功能:
(1)可创建性。
每组设定一名网络管理员,负责在享有的网络硬盘中创建文件夹,实现对资料的管理。
(2)共享范围一定性。
用户所设文件共享只对所属组范围内共享。
第三:
共享通信录
1、具体单位根据自己的结构体系创建相适应的部门文件夹,达到单位内共享通信录的目的。
2、共享范围一定性。
只在所属组内实现共享。
第四:
群发功能
根据发送对象不同可分为:
1、对后台管理中的所有邮箱用户发送;
2、对所选择的单组或多组内的用户发送;
3、灵活选择性发送。
针对用户资料中单个或多个对象进行条件性搜索查询,对符合条件的邮箱用户进行发送。
2.2.4个性化内部邮件办公系统模块(机关事业单位专用网)
各级机关、事业单位采用内部专用网络,组建电子邮件系统实现内部或外部信息交换、公文传送等。
办公系统的组成部分。
根据地级市模式为介绍。
组织结构一般为局、科、股三级结构。
物理分布为:
市局、分局(县局)、派出所、其他机构。
邮箱类别,一种单位邮箱,如:
一个股或一个室、一个派出所的业务邮箱;一种是个人邮箱,按照某个人的名称、网名,用户业务和个人使用。
系统公告功能,在电子邮件系统首页实现通告、通知等信息,在系统后台实现动态管理。
在线注册功能接口。
实现申请、审批、启动的流程。
个性化功能定制。
实现邮箱空间大小分配、网络硬盘控制及空间分配。
批量导入生成邮箱。
通过模版接口实现批量生成邮箱。
通讯录查找功能,对外提供具有公开邮箱的通讯录查找功能。
一、用户部门管理
1.部门管理
部门为隶属关系分为三层,在邮箱后台实行管理。
具有增加,修改,删除,查找等管理功能。
二、网络硬盘权限控制
限制用户空间为零时,登陆的用户无法查看网络硬盘与文件共享目录。
三、用户批量导入
根据一定格式的用户文本信息,对用户进行批量导入。
格式:
## 部门ID ,用户名 , 姓名
测试:
通过对20000个用户进行导入测试(导入用户无数量限制)
四、注册用户。
对注册用户模块进行升级,使其在注册时能根据需要是否公开用户信息及邮箱类型。
五、公告管理
增加后台公告管理模块,可对公告内容进行格式调整及颜色设置。
六、通讯录查找
对公开信息的用户可根据部门、姓名、用户名等条件进行查找。
2.3安全电子邮件系统
实现安全电子邮件系统,可以通过在邮件服务器前端加装邮件防火墙、垃圾邮件过滤器、防病毒过滤系统。
也可以通过在邮件服务器增加相关的功能模块,达到高度集成整合的目标。
前者适合于邮件系统规模比较大,一般为几千个用户以上。
后者适合于小规模邮件系统,一般适合于几千个用户。
以下介绍有关实现安全电子邮件系统的几个功能模块。
电子邮件服务器系统存在不安全所表现的地方。
第一、大量的非法连接,如Ddos攻击、群发软件工具频繁使用,大量开销邮件服务器资源。
第二、垃圾电子邮件的过滤,目前存在大量的电子广告、反动等电子邮件,经常导致邮箱暴满、服务器磁盘暴满现象,大量开销服务器资源和使用者精力。
第三、希望采用一种更自动智能地识别正常邮件和垃圾邮件的方法,减少系统维护成本。
第四、防止病毒邮件进入邮件服务器,防止蠕虫病毒的扩散。
2.3.1专用邮件防火墙模块(选配)
网络地址阻断
a)IP黑名单功能,对发送电子邮件的特定网络地址进行阻断。
具有低层IP黑名单功能,在网络连接中就被阻断,高层黑名单,在会话中阻断。
可以单个IP或子网增加、删除、启用或不启用、查询搜索等。
b)实时在线黑名单功能,过滤器通过与厂家升级服务器,实现已公布的IP黑名单实现实时更新,厂家升级服务器与中国互联网反垃圾邮件协调小组的服务器等实现同步更新。
c)系统自动增加IP黑名单功能,系统具有自动封IP地址的功能,系统定时维护日志,对超过范围的IP自动增加到IP黑名单。
限制最大同时连接数量
a)每IP最大连接数,限制来自相同客户端网络地址对邮件服务端口的最大同时TCP连接数量。
b)特殊IP最大连接数,自定义特殊IP地址对对邮件服务端口的最大同时TCP连接数量。
c)系统总连接数限制,管理员可以设置系统总的最大对邮件服务端口的最大同时TCP连接数量,防止攻击,保护邮件服务器,防止邮件服务器超负荷或死机。
最大连接频率限制
a)每IP最大连接频率,限制来自相同客户端网络地址对邮件服务端口的最大TCP连接频率。
b)特殊IP最大连接频率,自定义特殊IP地址对对邮件服务端口的最大同时TCP连接频率。
c)系统总连接频率限制,管理员可以设置系统总的最大对邮件服务端口的最大同时TCP连接频率,防止攻击,保护邮件服务器,防止邮件服务器超负荷或死机。
邮件发送频率限制
a)每IP最大发信频率,限制来自相同网络地址单位时间内发送邮件的数量。
该参数是一个综合限制数。
b)最大收件人数量,限制同一邮件中实际收件人(包括收件人、转发人及暗送人)总数量,防止非法群发,可以根据实际情况设置某个数量或无限制。
c)每连接最大邮件数,限制同一帐号,每次与邮件服务器建立连接,最大发送邮件的总数量,防止非法群发,可以根据实际情况设置某个数量或无限制。
2.3.2专用垃圾邮件过滤模块(选配)
基于邮件内容的过滤功能
a)关键字分类,对所定义的基于邮件内容过滤进行分类管理和搜索。
b)全面过滤条件,基于字符串的关键字自定义和基于长度大小匹配自定义功能,可以对整封邮件、邮件头、发件人、收件人、抄送人、暗送人、正文(信体)、附件进行字符关键字定义,支持正则表达式;可以对整封、邮件头、正文(信体)、所有附件、单个附件的大小进行长度关键字定义,单个附件大小还可以跟后缀匹配;未加密的压缩文件附件内容包含设定关键字,zip文件支持最大三层压缩。
c)支持多种邮件解码和语言
支持多种语言及邮件编码格式,如Base64、QuotedPrintable以及不编码的邮件。
具有多种过滤动作
对符合过滤规则的邮件可进行弹回(拒绝)、丢弃、投递(通过)、标记等动作。
对邮件的过滤动作应包括:
1)投递(通过)。
允许超过阀值的邮件通过,并做记录。
2)弹回(拒绝)。
拒绝超过阀值的邮件通过,并做记录。
3)丢弃。
拒绝超过阀值的邮件通过,并做记录,但让发送方以为发送成功。
4)标记。
在邮件中加入特殊标记后投递给收件人,以便用户做选择性的过滤,可以在webmail或foxmail、outlook等客户端做选择性的过滤,防止误过滤。
有害垃圾电子邮件判别能力
a)规则库初始化,设备出厂具有默认的关键字规则库、邮箱黑名单库、IP黑名单库,实现对已知的垃圾邮件及变种进行过滤。
b)规则库的升级,规则库支持导入导出功能,手工导入规则库可以在厂家网站下载后导入系统。
规则库在线升级,过滤器通过开放端口和设置通讯参数,可以实现与厂家升级服务器连接,实现实时在线升级。
2.3.3专用智能反垃圾模块(选配)
系统应用贝叶斯算法实现系统的学习能力和自适应能力,系统通过自动自学习,实现智能的学习,大大提高垃圾邮件识别率。
具有过滤强度设置、保存强度设置、动作设置,应用管理十分灵活。
具有手工学习功能,通过对已知的垃圾邮件特征的学习和对已知正常邮件的学习,大大提供了系统的杀除率和降低了系统的误杀率。
探针邮箱
1)探针邮箱功能,有效获得垃圾邮件样本,提供系统智能学习,防止垃圾邮件的再次发生。
是一种提供给发送垃圾邮件者的一种“陷阱”
2)收集漏过滤邮件样本。
100%过滤垃圾邮件是不可能的,原因是垃圾邮件并不是完全能够界限出来的。
通过不断使用、漏过滤收集样本是不断提高过滤效果的一种有效途径。
管理员可以设置一个探针邮件专门收集漏过滤邮件样本,如:
定义为:
“垃圾邮件投诉邮箱”等名称,对用户公开,要求当收到垃圾邮件就转发到此“垃圾邮件投诉邮箱”。
这样系统的过滤效果将越来月好。
常用联系人自动白名单
常用联系人自动白名单,本系统将通过合法验证的邮件用户发送的收件人,自动列为本系统常用联系人名单列表。
此列表用户被系统自动认为是可信用户,即白名单,此联系人发往本系统将不被过滤,大大提供过滤效果和减少误过滤机率。
此功能非常适合公司、事业单位、政府机关、学校等邮箱。
2.3.4专用防邮件病毒模块(选配)
1、支持防病毒接口,具有专门防病毒功能。
2、具有多种防病毒动作提供设置。
3、单独的病毒日志报表,提供完善的搜索功能,病毒在线信息及解决方法。
4、完善的病毒分析统计功能
5、病毒库在线更新,具有定时自动和手工等操作。
第三章网络结构及实施
3.1网络结构
系统结构中,邮件的接收首先经过邮件过滤器处理后,再交给邮件系统。
邮件的发送也要经过过滤器,过滤器内部具有IP端口重定向功能,可以重定向邮件服务器的服务,如:
www、pops等服务。
邮件系统和邮件过滤器的结构图如下:
3.2硬件服务器选型推荐
规模
硬件服务器配置
用户空间
中型服务器
10万以内配置
DellPowerEdge6650四路至强服务器
MP3.0GHZ/2M,800MHZ前端总线(2粒/4粒)
4GB(8*512)
DELLPERC3/DCRaid控制卡
硬盘146GUltra320(10Krpm,80-pin)SCSIHardDrive(5块)(可以考虑磁盘柜)
配备冗余电源
每人10M~50M空间。
小型服务器
5千以内配置
PowerEdge(TM)1850双路至强服务器
MP3.0GHZ/2M,800MHZ前端总线(2粒)
2GB(4*512)
硬盘146GUltra320(10Krpm,80-pin)SCSIHardDrive(2块)(可以考虑磁盘柜)
配备冗余电源
每人10M~50M空间。
小型系统
1000个用户以内
P4专用服务器
最好具有磁盘阵列
514M内存
根据具体需要
3.3实施计划
1、本方案中,电子邮件系统需要安装在一台专用的服务器上,需要贵单位提供硬件设备,建议采用专用服务器,具有硬件阵列卡。
2、贵单位必须派专用人员(管理员)1~2名负责配合项目的实施。
3、电子邮件系统和过滤器系统安装、调试及管理员培训,需要时间为一周。
4、电子邮件系统新功能开发更新,需要时间为一个月。
5、系统两个星期后可以提供试用,一个月后完成整个项目并验收。
第四章系统预算
安全电子邮件系统预算:
序号
项目
描述/型号
价格(元)
备注
1
电子邮件系统
鸿雁电子邮件系统
软件(一年免费服务),服务器硬件不在此预算之内。
服务器建议采用专用服务器、具有硬件阵列卡。
2
硬件服务器
专用服务器
3
邮件过滤器(硬件)
HY-XF邮件过滤器
软硬件产品(一年免费服务)
4
邮件防火墙模块
网络地址阻断/黑白名单/连接控制
5
反垃圾邮件模块
基于关键字内容过滤
6
智能反垃圾邮件模块
智能学习过滤
7
防病毒模块
病毒库在线升级更新
8
实施费
系统实施费
合计:
(人民币:
元)
含税