Exchange邮件系统解决方案建议书上海有孚计算机网络有限公司2014年9月目录1.系统方案设计 (1)1.1.系统整体拓扑 (1)1.2.邮件系统解决方案 (1)1.2.1.邮件系统拓扑 (1)1.2.2.Exchange系统角色介绍 (2)1.2.3.访问方式 (3)1.2.4.功能清单 (3)1.2.5.系统技术说明 (5)2.成功案例 (13)2.1.绫致时装 (13)2.2.泸州老窖 (13)2.3.卡友信息 (14)3.公司介绍 (15)3.1.基本情况 (15)3.2.竞争优势 (15)3.3.荣誉资质 (16)1.系统方案设计1.1.系统整体拓扑本方案推荐选择当前市场性能最好最稳定的Exchange 2013作为邮件系统，并建议采用高可用性架构部署方式，系统部署在公司总部机房，通过公网连接使用有孚网络的邮件中继服务，实现发往外部的邮件可以通过中继服务中的反垃圾、反病毒以及海外加速等功能，内部用户的邮件投递通过内网传输。

出于成本考虑本项目的建设，推荐采用虚拟化部署方式。

1.2.邮件系统解决方案1.2.1.邮件系统拓扑上图为邮件系统逻辑拓扑，服务器数量可根据用户实际情况增减。

邮箱服务器部署在企业内部，在内网的用户可以通过内网访问邮箱服务器，且域内用户间的邮件投递也是在域内进行，不需要出公网。

包括防病毒、防垃圾的功能，并提供海外加速服务。

1.2.2.Exchange系统角色介绍Exchange 2013包括以下服务器角色：●邮箱服务器角色（MailBox）邮箱服务器可以使用到后端高可用性组集群（DAGs）。

●客户端访问服务器角色（CAS）这角色包含的客户端，如MicrosoftOffice Outlook 中，Outlook Web App，移动设备，和SMTP代理服务器连接，并接收邮件和邮件传送到Internet上的其他邮件主机。

客户端访问服务器，可以组成客户端访问服务器阵列。

客户端访问服务器角色和邮箱服务器角色的工作过程如下图所示：1.2.3.访问方式Exchange Server 2013企业邮件系统，通过高可用性负载均衡和群集部署，建立一个安全、稳定(高可用，高可靠)、易用和快捷的电子邮件服务系统。

邮局系统提供用户多种方式统一访问的体验，实现了各平台的信息统一。

在内网办公的用户可通过路由解析通过内网访问邮件服务器，避免了由于本部出口带宽故障，导致的无法访问邮箱服务器的问题外网办公的用户可以通过公网地方访问邮箱服务器，但由于邮箱服务器是部署在企业内部的，当本部出口带宽出现故障时，就无法访问邮箱系统。

●基于客户端访问：任何提供MAPI,POP3,IMAP,SMTP功能的客户端都可以访问本系统；Outlook Anywhere的功能提供通过外网使用Outlook随时随地访问邮局系统；●基于Web的访问（HTTP或者HTTPS）：通过浏览器访问邮局系统；●移动访问：使用手机或其它适当的移动设备访问邮局系统；邮局系统不仅要提供邮件功能，同时也应提供联系人管理，日程管理，任务管理等日常工作中的个人信息管理功能，使得邮局系统真正成为个人信息管理的平台。

1.2.4.功能清单Exchange Server 2013是微软公司的企业级消息协作服务器，也是目前全球市场占有率最高的最新版邮件系统服务器。

借助Exchange Server 2013，用户能够构建安全，稳定，高效的消息协作平台及其上的解决方案。

Exchange Server 2013具有如下关键特性强大的移动访问支持Exchange 2013 中的增强功能可帮助用户从几乎任何平台、Web 浏览器或手持设备，利用行业标准协议访问他们的所有通信信息，如电子邮件、语音邮件、即时消息，从而提升工作效率。

内置丰富的邮件传输策略实现对邮件的监控例如为所有的邮件添加审批，禁止邮件打印或转发，为带有特定关键字的邮件设置转发等。

各种客户端的界面/操作方式（Outlook, Outlook Web App访问）相近，能降低用户的学习成本。

RPC/HTTP功能（Outlook Anywhere）使得企业不必部署VPN/RAS也能让外网（例如在家或出差）的用户能够使用Outlook安全的连接到位于企业内网的Exchange 服务器。

用户可在任何客户端上管理和访问同一份邮件、日程、联系人、任务等信息。

Outlook 和OWA中的缓存模式能够自动在离线/在线状态间切换，减少对用户工作的打断企业合规与法律遵从性Exchange 2013 提供了新的集成电子邮件归档和保留功能，包括详细的多邮箱搜索和即时合法保留，更有效的拦截、仲裁、加密和阻止电子邮件的能力。

此功能提供了范围灵活的保护和控制选项以及是否自动强制执行控制或授予用户实现其数据保护的权限。

Exchange自助服务管理员可以使用Outlook Web App的Exchange 控制面板管理日常内部的部署任务。

此外，自助服务功能可以使用户通过Exchange 控制面板执行管理任务。

ECP 使用户能够执行常见任务，而不必向技术支持求助。

这有助于用户提高工作效率，并使IT 人员能够在降低支持成本的同时传递更多信息。

优化的握手协议和数据压缩能够减小网络数据流量，给窄带环境下的用户更流畅的使用体验强大的反垃圾邮件功能多种过滤方式从服务器到客户端层层阻挡垃圾邮件。

新增的RBL（实时阻止列表）能够订阅第三方中立组织实时更新的黑名单来阻止垃圾邮件。

增强的防病毒功能第三方厂商能够利用Exchange Server 2013提供的防病毒编程接口开发专门的防病毒产品。

安全、稳定可靠的邮件系统提供7*24小时的邮件服务最多到16节点的邮箱群集支持，更快的故障转移速度（约30秒故障恢复） 支持更多安全标准(Kerberos, IPSEC和SSL)支持第三方应用程序通过标准的SMTP调用或使用MAPI接口编程服务器/站点整合，数据大集中用更少的软硬件资源负载更多的用户和更大的任务量，最终提高运营效率。

1.2.5.系统技术说明1.2.5.1. 高可用性数据库可用性组(DAG) 技术是Exchange 2013 提供的全新功能，提供从数据库、服务器或网络故障中自动执行数据库级恢复的功能。

DAG 使用连续复制和Windows 故障转移群集技术的子集以提供高可用性和站点恢复。

DAG 中的邮箱服务器相互进行故障监视。

邮箱服务器添加到DAG 后，它会与DAG 中的其他服务器协同工作，提供从数据库故障中自动执行数据库级恢复的功能。

高可用备份每个DAG支持多达16个成员，并可最多保存16个邮箱数据库副本。

3个以上数据库副本时无需备份：当一个邮箱数据库拥有3个或更多副本时，程序设计为无需用户备份。

也就是说当依次循环登录受DAG保护的邮箱数据库时，不再需要执行备份操作。

故障切换快速切换/故障转移较以前更为快速：有赖于Exchange 2013 DAG的改进，现在，邮箱数据库副本间的切换/故障转移更为快速。

同Exchange 2007下采用CCR动辄就需要数分钟相比，目前所用时间往往在30称之内。

此外，由于Outlook MAPI 客户端连接客户端访问服务器的RPC客户端访问服务，因此最终用户很少会注意到切换或故障转移的发生。

1.2.5.2. 安全性邮件系统已经成为集富文本处理、音频视频、网络和通信技术为一体的统一消息平台。

随着消息平台的广泛应用，它逐渐成为组织的关键核心应用。

但是目前，邮件系统存在很多安全性漏洞和威胁，主要包括以下几个方面。

✓邮件偷窃：大多数邮件以明文发送，很可能被网络窃听者截取。

✓邮件欺骗：邮件发送协议比较简单，不作用户身份验证，很容易出现冒名顶替。

✓邮件篡改：由于电子邮件没有完整性机制，攻击者容易非法修改邮件内容。

✓邮件病毒：邮件附件可能携带病毒。

✓垃圾邮件：未经请求的垃圾邮件将阻塞网路，消耗存储，降低用户的工作效率要保护组织的邮件系统，则需要增强邮件系统的安全性。

这包括：✓用户的身份验证，保证用户是合法的。

✓提供邮件回执，防止邮件接收否认。

✓邮件收发的安全审计，以便故障查阅和恢复。

✓邮件内容的安全扫描，防止邮件附件病毒。

✓邮件加密传输，防止窃取。

✓数字签名，防止邮件篡改和冒名顶替发送邮件。

Exchange Server在增加这些安全性时，遵循了以下几条原则：✓用户可以选择是否需要安全机制，需要何种安全机制。

安全机制应提供数据加密、信息完整性、身份认证和可控性。

✓保持和现有系统的兼容性，不在客户端安装额外的软件，也无需复杂配置。

✓邮件应具有不同的安全等级。

Exchange Server的安全设计包括以下几个方面，覆盖了邮件的产生、传输、存储、接收、浏览整个过程：✓建立客户端到邮件服务器之间的安全连接。

✓邮件服务器本身的安全。

✓电子邮件本身的安全。

1.2.5.2.1客户端与邮件服务器的安全连接客户端与邮件服务器之间可以建立安全连接。

✓RPC over HTTP （Outlook）Exchange 2013上可以通过部署Windows Server 2008上的RPC over HTTP服务实现Outlook以MAPI协议安全的连接到邮件系统。

启用了RPC over HTTP后，Outlook对Exchange的RPC调用被以HTTP协议的方式封装到了80或是443（采用SSL加密时）端口，使得用户可以在Internet上安全的使用Outlook，就像在单位内网一样。

若要使用对Exchange 的远程访问，请将Exchange 部署配置为允许RPC over HTTP。

要将Exchange 配置为使用RPC over HTTP，需要将Exchange 前端服务器指定为RPC 代理服务器。

然后，RPC 代理服务器代表客户端处理所有RPC over HTTP 请求，并将请求转发到适当的后端资源。

此外，将包括全局编录服务器和Exchange 服务器在内的后端资源专门配置为与前端Exchange 服务器通信。

✓HTTP连接（Outlook Web App）Exchange 2013提供基于浏览器的访问方式Outlook Web App。

因此，只要在HTTP协议上使用SSL对数据进行加密即可保证浏览器和Web服务器之间的安全连接。

这样一来，用户只要输入前端服务器的URL如https:// 即可通过Internet安全地接收/发送电子邮件。

✓Exchange ActiveSync连接（Pocket PC和智能手机）Exchange 2013支持通过智能客户端，如Pocket PC和智能手机，通过ActiveSync工具，以SSL加密的方式访问邮件服务器。

✓POP3，SMTP，IMAP4连接（Outlook Express等）Exchange支持POP3、SMTP、IMAP等标准协议，通过在防火墙上开放相应的几个端口，并对数据采用SSL加密，可以使得Inernet邮件客户端如Outlook Express安全的连接到邮件服务器。