一句話概述:
替代Exchange的私有郵件系統方案,融合了強大的辦公協同功能,聊天、文檔、任務、視頻應有盡有,且極具性價比。
一、面臨的挑戰
(一)自建郵箱預算高。
(二)功能單一。
(三)安全性差。
二、方案概述
在華為云上搭建一套穩定、可擴充、協作方便的Zimbra郵件系統,包含垃圾郵件、病毒查殺功能,支持幾萬甚至更多的大用戶數,運維方便,安全性高。
華為云多數區域默認開啟25端口,搭建郵件應用較為方便,這也是我們選擇華為云作為部署平臺的原因。
(一)部署環境
| 項目 | 描述 |
| 云平臺 | 華為云 |
| 實例規格 | 通用計算增強型 | c6.xlarge.2 | 4vCPUs | 8GiB |
| 操作系統 | CentOS 7.6 64bit |
| 云硬盤 | 系統盤:40GiB(SSD)數據盤:500GiB(SSD) |
| 帶寬 | 10Mbps |
| 云備份 | 備份存儲庫容量:1000GiB |
推薦購買云服務器備份庫,保證服務器在出現問題時能夠及時恢復,建議存儲庫容量大于等于所需要備份資源的容量總和的2倍。如下圖,購買備份存儲庫并綁定云服務器,然后設置備份策略。
建議設置每天備份一次,備份保留一個月。
(二)方案架構
郵件系統支持單機部署,也支持多服務器部署。
單機部署:如果郵件量不多并且不需要多臺服務器滿足可用性的話可以進行單機部署,日常備份通過快照來進行備份。
多服務器部署:每臺服務器負責一個或多個組件功能,每個組件功能可以運行在多臺服務器上,實現組件功能的高可用性。
(三)部署實施
參考以下步驟完成郵件服務器的單機部署。
1.安裝前準備
(1)安裝包下載
從Zimbra官網下載最新版本的安裝包文件。
(2)許可證準備
從官網申請許可證文件ZCSLicense.xml。
(3)域名解析
????????在域名控制臺設置MX記錄和A記錄,記錄值指向郵件服務器公網IP。
(4)端口開放
????? ? 在華為云安全組入方向規則中添加以下端口:80,443, 25, 110, 143, 465, 995, 993, 587, 7025, 8443, 7071。
(5)服務器配置
①關閉SELINUX并配置主機名為mail.autotest3.xyz(與域名解析中MX記錄值一致)。
②關閉服務器自帶的MTA服務。
2.安裝過程
(1)將安裝包和許可證文件上傳到服務器中(這里上傳至/home中)。
(2)解壓安裝包,進入解壓后的目錄并執行./install.sh進行安裝。
????????由于是單機部署,安裝過程中出現的[Y/N]均選擇Y。安裝完成后,我們可以看到“Main menu”,接下來還需要設置管理員密碼和導入許可證文件。
根據圖中的提示,我們依次輸入7和4,可以看到生成了一個隨機密碼,我們也可以再輸入密碼進行另外指定。
同樣的,我們輸入25進入許可證文件導入,由于我們將文件都是上傳至/home路徑,所以這里直接輸入/home/ZCSLicense.xml。
3.驗證服務是否正常
(1)使用su zimbra命令將用戶切換至zimbra,通過zmcontrol status命令查看服務是否正常運行,如果服務運行正常則均顯示running,如下圖。
(2)在用戶本地的cmd中使用telnet命令查看對應的端口是否有回顯信息,驗證外網訪問服務器是否正常,如果有如下圖回顯表示正常。
(3)驗證zimbra管理地址和用戶網頁客戶端地址是否訪問正常。管理地址使用7071端口,網頁客戶端使用8443端口,均通過https訪問。
????????①管理界面
????????②網頁客戶端界面
4.添加賬號
支持通過手動添加、AD域同步和CSV文件來添加賬戶。除了手動添加,其他方式添加用戶均需要通過執行腳本來進行。
5.郵件外發測試
(1)測試外發
收件人收到測試郵件并且回復郵件。
回復郵件收到,郵件收發正常。
6.其他配置
(1)通訊組配置
????????在管理界面配置通訊組并把組成員添加進去。
(2)Web配置SSL證書
需要申請SSL證書并下載后上傳至服務器中,通過Openssl命令合成并導入。
(3)關閉Open Relay,配置啟用smtp認證
關閉Open Relay功能,不允許郵件服務器成為垃圾郵件的中轉站,降低被反垃圾郵件聯盟組織列入黑名單的風險;啟用smtp認證,為提供服務器的安全性。
(4)多域名管理
????????在管理中的域名里添加多域名。
(5)配置服務等級COS
??????? COS可以理解為是群組,每個COS可以設置分配不同的功能,例如是否開通聯系人、日歷等,可以根據部門層級來進行劃分。
三、方案優勢(一)部署靈活依靠云的優勢,實現應用的快速部署和配置的彈性伸縮。(二)備份恢復方便一方面可以通過Zimbra的實時備份和恢復引擎以瞬間的精度備份服務器上的每個項目和事件,避免數據丟失并且節省磁盤空間;另一方面可以通過云服務器的快照功能實現服務器的備份,恢復起來也更加方便快捷。(三)安全性依托于華為云的安全服務(pg下載主機安全HSS、云防火墻等),確保服務器的安全性。Zimbra支持賬號雙重驗證、郵件加密、TLS/HTTPS/WebRTC安全加密機制,還可通過Zimlet(API機制)增加防垃圾郵件的過濾層,提高郵件系統安全性。(四)協同功能豐富提供視頻通話、文件共享等協同功能,
(五)集群部署支持多服務器部署,每個組件功能可通過多臺服務器來實現集群,確保了應用的高可用性。
四、Zimbra郵件服務器系統介紹
(一)系統概述
Synacor的產品 Zimbra 是一款電子郵件和協作平臺,包括聯系人、日歷、任務、即時通信和文件共享功能,以及視頻通話、文檔創建和文件存儲等附加組件。Zimbra支持140多個國家/地區的數億個郵箱,并通過500多個BSP 和 2,000多個渠道合作伙伴提供服務。pg下載、政府和服務提供商都信任Zimbra。
(二) 系統特性
1.協作能力
(1)Zimbra Connect(溝通協作工具)
????????支持群組和頻道視頻通話、屏幕共享、群組消息等。
(2)Zimbra Drive(一個完整的文件共享和存儲解決方案)
支持上傳、管理和下載文件,支持與內部和外部用戶共享文件、支持與Zimbra Docs集成、支持文件搜索和預覽。
(3)Zimbra Docs(完整的、功能豐富的辦公套件)
支持在Zimbra中以您需要的任何格式創建、上傳和導出文檔,無需Microsoft Office許可證,并支持與你的工作團隊共享任何文件來實時協作。
2.任何設備訪問
Zimbra Collaboration Network Edition采用了最新的同步技術,使你的用戶和客戶可以繼續在Windows 或MacOS X 中使用Microsoft Outlook,同時也支持通過移動設備訪問,并且每個客戶端上的聯系人、日歷等信息均同步。
3.高級管理功能
Zimbra幫你節省管理 Zimbra的時間,無論是本地、云端還是混合解決方案。
(1)Zimbra備份和恢復
Zimbra的備份和恢復工具是市場上唯一的本地實時備份解決方案。無需在第三方解決方案上浪費時間或依賴定時備份。
(2)簡化的管理員委派
Zimbra推出新的、簡化的管理員委派,允許你向用戶授予權限,允許他們執行管理任務。借助更新的Administration Zimlet,直接從你的 Zimbra 管理控制臺跟蹤你的委派管理員的操作和您的域狀態,使用新的報告功能。
(3)分層存儲管理(HSM)
Zimbra的新HSM提供了更大的靈活性并節省了磁盤空間。它允許您從Zimbra內輕松管理您的卷,從而簡化耗時的存儲管理任務。
????????分層存儲管理 (HSM)允許您為較舊的消息配置存儲卷。要管理磁盤利用率,您可以為每個郵箱服務器實施全局 HSM 策略或不同的 HSM 策略。郵件和附件會根據郵件的時間從主卷移動到當前的輔助卷。這些消息仍然可以訪問。用戶在打開已移動的舊郵件時不會注意到任何更改,也看不到任何明顯差異。
4.安全功能
(1)用于HTTPS的多個SSL證書SSL SNI
??????? Zimbra SSL SNI 允許服務器在同一IP地址和TCP端口號上提供多個證書,因此可以從同一IP地址通過HTTPS提供多個主機名。
(2)Zimbra MTA的Postscreen提高了電子郵件安全性
????????為了讓垃圾郵件機器人遠離,Zimbra Postscreen為合法客戶端留下了更多的SMTP服務器進程,并延遲了服務器過載情況的發生。
(3)S/MIME數字簽名和加密
(4)雙因素身份驗證
(5)支持TLS/HTTPS/WebRCT安全加密機制
5.系統要求
支持的操作系統:
Red Hat Enterprise Linux 7及以上版本
CentOS 7及以上版本
Oracle Linux 7及以上版本
Ubuntu 16.04 LTS及以上版本
CPU建議4核及以上
內存建議8GiB及以上
五、Zimbra與Exchange的比較
| 對比項 | Zimbra | Exchange |
| 定制 | Zimbra可通過公開Zimlet API自行開發定制化功能或整插件,彈性高。 | 定制開發麻煩。 |
| 協作 | 包含線上視頻通話、文檔共享等協作功能,提供Slack、Dropbox、Zoom整合插件。 | 提供日歷協作功能。 |
| 費用 | Zimbra收費標準僅收取郵箱授權費,無額外的服務器安裝及用戶端軟件授權費。 | Exchange價格昂貴,并且附帶的Outlook客戶端需要另外收費。 |
