【正文】 ............................................................................ 錯(cuò)誤 !未定義書簽。 . EDM 服務(wù) ..................................................................... 錯(cuò)誤 !未定義書簽。 . QA 表 ........................................................................... 錯(cuò)誤 !未定義書簽。 . 建設(shè) 目標(biāo) 預(yù)計(jì)在明年二季度完成自研郵箱產(chǎn)品的開發(fā)和整體上線切換。采用 負(fù)載均衡 +私有 云集群方案后 可以 順暢 解決性能 問題。分在不同的服務(wù)器上運(yùn)行實(shí)現(xiàn)負(fù)載分擔(dān)，因此系統(tǒng)可以根據(jù)需要和用戶的使用模式進(jìn)行定制。 關(guān)于 可用性， 在“ 全 球化 ” 中闡述，此處 從 略。 關(guān)于存儲(chǔ) 量，由于本系統(tǒng)要保留大量 郵件 存檔和審計(jì)，因此要使用 海量存儲(chǔ)及 相當(dāng) 的 備份 方案 。 . 等級(jí)保護(hù) 關(guān)鍵字：內(nèi)外網(wǎng)分離；多因素認(rèn)證；過濾和審計(jì)要求；安全通道；防 WEB 攻擊； 等級(jí) 保護(hù)是國(guó)家要求的安全保護(hù)評(píng)測(cè)準(zhǔn)則。完整性是指信息在傳 輸前后的完整無缺。而簽名和加密雖然底層采用的都是加密技術(shù)，但是具體的技術(shù)過程和效果，是不一樣的。具體請(qǐng)看后續(xù) 的容災(zāi)備份章節(jié)。 需要注意 的是，無論 哪種 方法，都只適用于本 郵件 系統(tǒng)服務(wù) 范 圍 內(nèi) ， 跨郵件系統(tǒng)時(shí) 使用 則會(huì) 有 可能出現(xiàn)意外的情況 。有關(guān)防 web 攻擊，建議和整個(gè)網(wǎng)絡(luò)、服務(wù)器、應(yīng) 用的整體安全結(jié)合起來，一并考慮，需要和防火墻、漏洞掃描、防攻擊、網(wǎng)管等結(jié)合起來一并實(shí)施。 良好的兼容性是軟件開發(fā)上一件非常非常困難的事情，比如頁面顯示在主流瀏覽器（還不能說所有瀏覽器）能良好兼容，就很不容易，除了開發(fā)本身的原因，還與不同瀏覽器對(duì)此的支持程度密切相關(guān)。 . 組織的復(fù)雜性 關(guān)鍵字 ：多層級(jí)組織；分布式的可管理性； 現(xiàn)有 系統(tǒng) 采用多層級(jí)管理模式， 可以 支持系統(tǒng)管理、域管理、代理管理、功能管理員、小組管理。 管理員分組清晰，界面方便 快捷，可以 更好地協(xié)助管理整個(gè)電子郵件系。其他客戶端需要明確范圍 支持雙因素認(rèn)證 /多種認(rèn)證方式 信息安全需要，系統(tǒng)帳戶驗(yàn)證方式除了用戶名和口令外，需要支持雙因素認(rèn)證，即多種認(rèn)證方式，以加強(qiáng)安全， 如驗(yàn)證碼、數(shù)字證書、動(dòng)態(tài)口令卡等。 支持 無偏離 √ √ 支持多級(jí)自定義文件夾 郵件管理、 分類整理需要，郵箱可支持自定義文件夾和自定義多級(jí)嵌套文件夾功能，郵件可操作轉(zhuǎn)移到自定義文件夾。在需要明確客戶端后，集成日歷功能及其他 OA 相關(guān)功能 支持收 /發(fā)件人中英文雙語顯示切換功能 適應(yīng)全球員工辦公需求，收 /發(fā)件人可以支持雙語顯示切換功能，中方人員可設(shè)置中方收 /發(fā)件人以中文名稱顯示，外籍或英文工作環(huán)境人員可設(shè)置收 /發(fā)件人以拼音或英文名稱顯示。在需要明確客戶端后，集成日歷功能及其他 OA 相關(guān)功能。 支持 無偏離 √ 對(duì)于共享給其他用戶，不建議在郵箱里做權(quán)限授受，通過其他方式可輕松實(shí)現(xiàn)，而且這應(yīng)該是極少數(shù)的應(yīng)用需求。處理動(dòng)作可進(jìn)行配置，實(shí)現(xiàn)不同類用戶可使用部分或全部處理動(dòng)作。建議一期先上基本功能，二期增加信息推送及類 OA功能 支持主流的郵件客戶端軟件 支持使用 outlook、 foxmail 等主流的郵件客戶端軟件收發(fā)郵件 支持 無偏離 √ 郵件功能 N/A N/A 支持加密、禁止轉(zhuǎn)發(fā)等功能 信息安全需要，郵件需支持加密、禁止轉(zhuǎn)發(fā)、身份簽名等功能，加密郵件無法通過非收件人帳號(hào)閱讀，禁止轉(zhuǎn)發(fā)郵件無法轉(zhuǎn)發(fā)給非收件人，郵件支持引入第三 方 inter 數(shù)字證書，對(duì)發(fā)件人身份信息進(jìn)行標(biāo)識(shí)。 支持 無偏離 √ 支持郵件大小、附件類型等控制 支持傳送郵件大小、附件類型等控制設(shè)置 支持 無偏離 √ 支持郵件召回 發(fā)出的郵 件，支持召回功能 響應(yīng) 負(fù)偏離 √ 目前不支持。 支持 無偏離 √ 支持富文本格式 郵件正文支持字體、顏色、格式、區(qū)段、段落、區(qū)段、圖形、表格等富文本格式內(nèi)容。復(fù)雜功能很難做到高兼容性。我們已在眾多項(xiàng)目上實(shí)現(xiàn)了和其他系統(tǒng)的對(duì)接和融合 支持與微博等新興微工具的互通 在信息共享系統(tǒng)上面微博發(fā)送內(nèi)容可以通過郵件來發(fā)送 響應(yīng) 無偏離 √ 開發(fā)工作量需要在了解系統(tǒng)的情況下進(jìn)行分析 系統(tǒng)功能 N/A N/A 支持用戶訪問操作日志記錄 系統(tǒng)支持用戶訪問時(shí)間、郵箱讀寫操作、用戶來源地址、訪問前端等信息日志記錄。 支持 無偏離 √ 支持過濾規(guī)則 用戶間的郵件傳送支持在系統(tǒng)端設(shè)置郵件過濾規(guī)則，對(duì)符合條件的郵件觸發(fā)隔離、抄送、丟棄 等處理動(dòng)作。 支持 無偏離 √ 與安全廠商合作解決 支持郵件路由控制 針對(duì)全球分布式部署的數(shù)據(jù)庫(kù)服務(wù)器，考慮到全球各地的網(wǎng)絡(luò)優(yōu)化和冗余，系統(tǒng)需要支持類似虛擬域設(shè)置，以支持不同數(shù)據(jù)庫(kù)服務(wù)器間的郵件按照指定的路徑進(jìn)行傳遞路由。 支持 無偏離 √ 需要明確具體需求。 響應(yīng) 無偏離 √ 支持分類信息和運(yùn)行狀況統(tǒng)計(jì) 系統(tǒng)運(yùn)營(yíng)管 理需要，系統(tǒng)需支持系統(tǒng)運(yùn)行狀態(tài)及用戶相關(guān)各類信息分類統(tǒng)計(jì)。 支持 無偏離 √ 支持多組織/多法人 支持多組織多法人、不同組織的數(shù)據(jù)和通訊錄需要隔離 支持 無偏離 √ 支持重復(fù)數(shù)據(jù)合并引用功能 為了滿足節(jié)約存儲(chǔ)空間，降低磁盤 I/O讀寫需求，系統(tǒng)可支持同一個(gè)數(shù)據(jù)庫(kù)，不同郵件或用戶郵箱中相同內(nèi)容附件在數(shù)據(jù)庫(kù)中僅保留一份拷貝的功能。 支持 無偏離 √ 需要現(xiàn)有郵件系統(tǒng)廠商的支持，特別是用戶密碼算法支持。除此之外，還面臨如下的郵箱維護(hù)的挑戰(zhàn) 。 . 兩個(gè)高標(biāo)準(zhǔn)嚴(yán)要求 我們理解這次建設(shè)郵件系統(tǒng)，整體體現(xiàn)了兩個(gè) “高標(biāo)準(zhǔn)嚴(yán)要求” ： 第一個(gè)高標(biāo)準(zhǔn)嚴(yán)要求，是對(duì)產(chǎn)品功能、關(guān)鍵技術(shù)和實(shí)施能力的高標(biāo)準(zhǔn)高要求。 一個(gè)故障我們看到的可能是表面和表象 （而且很多故障很難再現(xiàn)），但任何故障一定有其內(nèi)在原因，從技術(shù)角度來說，任何一個(gè)故障都不會(huì)是無緣無故的，一定是有原因的，綜前所述這里就存在一個(gè)矛盾，用戶對(duì)系統(tǒng)后續(xù)的支持和服務(wù)有高標(biāo)準(zhǔn)嚴(yán)要求，但是自身的能力和定位不可能自己能解決，所以自然也合情合理的把這個(gè)責(zé)任傳到了廠家身上，但是如果從若干代理商、分銷商手上采購(gòu)不同廠家的硬件和軟件，最后集成起來，如果系統(tǒng)出問題了，就很可能會(huì)扯皮，除了各供應(yīng)商自身很少主動(dòng)承擔(dān)責(zé)任之外，從技術(shù)角度出發(fā)，很多問題也確實(shí)需要做很多工作才能對(duì)故障進(jìn)行最終的準(zhǔn)確定位，并最終找到解決問題的方 法，所以不論是前者的主觀還是后者的客觀，這都給最終用戶的問題解決造成了實(shí)際的困難。 1) 反垃圾反病毒安全網(wǎng)關(guān)方案 2) 系統(tǒng)穩(wěn)定性安全性解決方案 3) 郵件海外中繼轉(zhuǎn)發(fā)解決方案 4) 國(guó)內(nèi)外收發(fā)互聯(lián)互通解決方案 5) 郵件審核解決方案 6) 郵件備份冗災(zāi)解決方案 7) 郵件平滑遷移解決方案 8) 郵件全 外包服務(wù)解決方案 . 反垃圾反病毒安全網(wǎng)關(guān)方案 除了郵件系統(tǒng)自身的模塊，還需要配置和部署反病毒反垃圾安全網(wǎng)關(guān)系統(tǒng)，根據(jù)本項(xiàng)目的需要，反病毒反垃圾安全網(wǎng)關(guān)系統(tǒng)應(yīng)該部署在郵件系統(tǒng)之前。 . 垃圾郵件發(fā)送手段 要發(fā)送垃圾郵件首先需要收集有效郵件地址，一般來講收集郵件地址的方式有以下幾種： 1) 使用網(wǎng)站騙取用戶注冊(cè)信息 2) 通過工具搜索網(wǎng)頁上的郵件地址 3) 購(gòu)買某些機(jī)構(gòu)的有效郵件地址 4) 通過技術(shù)手段入侵大型系統(tǒng)數(shù)據(jù)庫(kù)來盜取郵件地址 5) 通過散布病毒、木馬的方 式來收集郵件地址 通過以上的這些手段收集到大量的電子郵件地址以后，垃圾郵件發(fā)送者就需要使用適當(dāng)?shù)墓ぞ邅硐蜻@些地址發(fā)送郵件。簡(jiǎn)單得比較一下這些知名的網(wǎng)段就可以判斷出是否是偽造郵件 ? 郵件中包含一些群發(fā)工具信息 有些群發(fā)工具會(huì)在其生成的郵件中包含一些明顯的特征，例如 VolleyMail的早期版本會(huì)在郵件頭里面包含 XMailer: 。在隔離的同時(shí)呢，將會(huì)有一封提示郵件回彈給發(fā)件人。對(duì)于這種方式，我們使用附件審計(jì)的方式，也就是說同樣的附件如果出現(xiàn)頻率過高的話，將會(huì)被阻擋掉。 ? 反地址枚舉 有些垃圾郵件發(fā)送者直接使用地址字 典對(duì)郵件系統(tǒng)實(shí)行猜測(cè)式攻擊，也就是說在極短的時(shí)間內(nèi)，發(fā)起了很多個(gè)連接，比如說分別發(fā)送給 , , ? 這類飽和式猜測(cè)會(huì)給系統(tǒng)帶來相當(dāng)大的壓力，所以說我們使用 IP連接審計(jì)以及反地址猜測(cè)來杜絕此類的垃圾郵件發(fā)送方式，所謂 IP連接審計(jì)就是說對(duì)于每個(gè)連接的客戶端 IP進(jìn)行頻率控制，將連接頻率控制在一定的數(shù)量之下，以減少 MTA的壓力，同時(shí)對(duì)出錯(cuò) RCPT地址的 IP進(jìn)行審計(jì)，如果超過一定的頻率，將該 IP暫時(shí)阻擋一段時(shí)間。 ? 貝葉斯過濾 貝葉斯作為反垃圾的一種手段，一直存在著相當(dāng)大的爭(zhēng)議。另外貝葉氏算法是基于單詞的，這對(duì)于像英文這類以單詞為基本單元的語種來說比較有效，但是 中文是基于“字”的，而字的含義比較抽象，所以更加難于統(tǒng)計(jì)概率。但是由于其手段相對(duì)比較正規(guī)，所以郵件標(biāo)頭里面通常會(huì)含有相當(dāng)多的收件人信息，我們將這 些收件人信息提取成庫(kù)，如果一封郵件的標(biāo)頭有多個(gè)收件人的情況，那么我們將比較該標(biāo)頭中是否有一定數(shù)量的收件人存在于信息庫(kù)中，如果是的話，我們基本可以斷定這是一封群發(fā)郵件。一般來說絕大部分的垃圾郵件是有規(guī)律可以遵循的，找到該類垃圾郵件的特征也就找到了對(duì)付這種垃圾郵件的方法， 很少有群發(fā)的垃圾郵件不帶有明顯的特征的。 這些功能濾網(wǎng)可以熱插拔到正在運(yùn)行的系統(tǒng)上的，也就是說我們的系統(tǒng)可以保證不間斷升級(jí)，不會(huì)給用戶帶來不便。大多數(shù)該種類型的網(wǎng)關(guān)并不具備退信機(jī)制，因?yàn)槿绻恳环饫]件都產(chǎn)生退信的話很容易被反垃圾組織誤認(rèn)為是垃圾郵件源！這樣就 產(chǎn)生了一個(gè)更嚴(yán)重的問題，假如某個(gè)收件人并不是實(shí)際存在的收件人（例如：發(fā)件人打錯(cuò)了收件人的地址將 ），那么發(fā)件人會(huì)以為收件人已經(jīng)收到該郵件！這就會(huì)產(chǎn)生一些不必要的糾紛！ 我們的反垃圾網(wǎng)關(guān)采用的是實(shí)時(shí)反垃圾判別，也就是說在 SMTP交互階段，就已經(jīng)可以判別一封郵件是否是垃圾郵件。 一般來說，絕 大多數(shù)的反垃圾網(wǎng)關(guān)是將郵件整體接收下來，但后對(duì)郵件進(jìn)行分類、隔離，如果判定是正常郵件，則將郵件放行至后端的郵件系統(tǒng)。 . 產(chǎn)品特征 及技術(shù)標(biāo)準(zhǔn) 實(shí)際上發(fā)送垃圾郵件的手段是相當(dāng)多的，道高一尺魔高一丈，道和魔之間也是相對(duì)的，從底層 SMTP協(xié)議的最初設(shè)計(jì)初衷及自身協(xié)議限制，嚴(yán)格說來，迄今為止業(yè)界都沒有找到一種能“ 100％”且一勞永逸得阻擋絕大多數(shù)的垃圾郵件。對(duì)于這種方式，我們使用附件審計(jì)的方式，也就是說同樣的附件如果出現(xiàn)頻率過高的話，將會(huì)被阻擋掉。此類垃圾郵件非常難于阻擋，因?yàn)樵擃惱]件發(fā)送者一般并不使用流行的群發(fā)工具，其可能使用知名的 ISP（ yahoo,163,sina? ）或者自己編寫的工具。會(huì)引起很大的麻煩，特別是我們這種“實(shí)時(shí)反垃圾”解決方案，誤判率會(huì)導(dǎo)致正常郵件無法進(jìn)入郵件系統(tǒng)。 ? 關(guān)鍵字過濾 關(guān)鍵字過濾的最大缺點(diǎn)是需要人工實(shí)時(shí)干預(yù)，一般來說對(duì)于反垃圾網(wǎng)關(guān)，人工干預(yù)并不是一種最佳的反垃圾方案。對(duì)于這種用戶，我們可以通過一些手段智能識(shí)別出來，同時(shí)對(duì)所有發(fā)送至這些用戶的郵件實(shí)行更為嚴(yán)格的審查！例如判斷郵件標(biāo)頭中是否有 Received字段， Mail From地址和標(biāo)頭中的 From地址是否一致，標(biāo)頭中的 To字段中是否含有接收者的地址等等，這些手段并不能夠運(yùn)用到所有的用戶賬號(hào)上，因?yàn)檫@些手段過于嚴(yán)格，會(huì)將一些比較不規(guī)范的郵件系統(tǒng)所發(fā)送的郵件阻擋掉。但是這種 手段會(huì)帶來一些問題，某些知名的網(wǎng)站例如 ebay，阿里巴巴會(huì)頻繁地發(fā)送郵件到某個(gè)郵件系統(tǒng)，這些郵件可能使用相同的 from地址或主題，所以必須有一個(gè)白名單（基于 IP和域），用以忽略這些 IP或者域發(fā)送過來的郵件。我們可以根據(jù)這個(gè)特征，刻意在網(wǎng)絡(luò)上散布一些郵件帳號(hào)，使用這些這些帳號(hào)是用來引誘郵件搜索引擎，但凡發(fā)送到該帳號(hào)的郵件，都將被提取一些特征，比如正文中的 URL，電話號(hào)碼，聯(lián)系地址等等，如果發(fā)現(xiàn)其它郵件中有同樣的信息，我們就可以判斷其為垃圾郵件！實(shí)際上我們的每臺(tái)網(wǎng)關(guān)就是反垃圾網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)，當(dāng)某一臺(tái)網(wǎng)管探測(cè)到一封垃圾郵件（向陷阱帳號(hào)發(fā)送的郵件），那么它就會(huì)試圖提取郵件特征，并將該特征實(shí)時(shí)廣播給網(wǎng)絡(luò)的其它網(wǎng)關(guān)，也就是說，這一批次的垃圾郵件就被我們徹底 阻擋了。下面是我們觀察到的一些典型特征： ? helo ehlo 域名 正規(guī)的 MTA極少使用 IP地址，非域名字符串或者收件人域名作為 helo域名，例如以下命令在 smtp交互中均被認(rèn)為是非法的 helo helo lenevodesktop helo (收件人是 ) ? 偽造知名 ISP 由于很多郵件服務(wù)器都將知名郵件 ISP如 163, sina, yahoo等