Корпоративная почтовая система на базе высокодоступного кластера

Автор: Пользователь скрыл имя, 26 Марта 2012 в 22:28, дипломная работа

Описание работы

Основное предназначение электронной почты – дать пользователям возможность общаться друг с другом. Сам процесс общения происходит путем пересылки текстовых и прочих файлов, подобно тому, как при обычной почтовой переписке люди обмениваются письмами, открытками и прочей корреспонденцией. Уникальность электронной почты как сетевого сервиса, состоит в том, что за счет имеющихся шлюзовых соединений между различными сетями почта может доставляться практически в любые и из любых мировых сетей, объединяя их в единое сетевое пространство.

Содержание

Введение
Техническое задание
Введение
1 Основание для разработки
2 Источники разработки
3 Технические требования
3.1 Состав изделия
3.2 Технические параметры
3.3 Принцип работы
3.4 Требования к надежности
3.5 Условия эксплуатации
3.6 Требования безопасности
4 Экономические показатели
5 Порядок испытаний
1 Анализ программных средств и технологий
1.1 Принципы работы электронной почты
1.1.1 Создание почтового сообщения
1.1.2 Отправка почтового сообщения
1.1.3 Протокол SMTP
1.1.4 Транспортировка сообщений
1.1.5 Доставка почтовых сообщений
1.1.6 Форматы серверных почтовых хранилищ
1.1.7 Организация доступа к серверным хранилищам
1.1.8 Получение сообщений
1.2 Технология DNS
1.3 Способы организации базы данных сообщений
1.4 Способы организации безопасности среды
1.4.1 Организация безопасности средствами операционной системы
1.4.2 Повышенная безопасность с использованием антивирусной защиты
1.4.3 Защита переписки криптографическими средствами
1.5 Технология кластеризации
1.6 Требования к программной части
1.7 Требования к аппаратной части
2 Проектирование корпоративной почтовой системы
2.1 Обоснование выбора DNS-сервера на основе BIND
2.2 Обоснование выбора агента передачи почты Postfix
2.2.1 Основные подсистемы Postfix
2.2.2 Демоны Postfix
2.2.3 Подсистема обработки входящих сообщений
2.2.4 Подсистема доставки почтовых сообщений
2.2.5 Управление очередями сообщений
2.2.6 Вспомогательные утилиты
2.2.7 Описание основных конфигурационных файлов Postfix
2.3 Сервер доставки почты MDA Dovecot
2.4 Обоснование выбора службы каталогов OpenLDAP в качестве базы данных
2.5 Обеспечение безопасной работы в почтовой системе
2.6 Организация кластера на основе Linux-HA
2.6.1 Программный пакет DRBD
2.6.2 Программный пакет Heartbeat
2.7 Обоснование выбора оборудования для почтового сервера
2.8 Обоснование выбора программных продуктов используемых в почтовой системе
3 Реализация корпоративной почтовой системы
3.1 Этапы установки и настройки компонент почтвой системы
3.1.1 Установка и настройка DNS-сервера BIND
3.1.2 Установка и конфигурация компонентов почтового сервера
3.2 Тестирование почтовой системы
3.2.1 Тестирование DNS-сервера
3.2.3 Тестирование спам-фильтра
3.2.4 Тестирование SSL
4 Оценка показателей качества и расчет общей стоимости владения почтовой системой
4.1 Оценка показателей качества
4.2 Расчет общей стоимости владения почтовой системой
4.3 Расчет стоимости теоретического проекта вычислительной системы
4.4 Расчет стоимости технического проекта вычислительной системы
4.5 Расчет стоимости внедрения вычислительной системы
4.6 Расчет стоимости эксплуатации вычислительной системы
4.7 Общая стоимость владения вычислительной системой
5 Раздел безопасности жизнедеятельности
5.1 Требования безопасности при эксплуатации видеодисплейных терминалов (ВДТ) и персональных электронно- вычислительных машин (ПЭВМ)
5.2 Охрана труда для операторов и пользователей персональных электронно-вычислительных машин (ПЭВМ)
5.2.1 Общие положения
5.2.2 Требования безопасности перед началом работы
5.2.3 Требования безопасности во время работы
5.2.4 Требования безопасности в аварийных ситуациях
5.2.5 Требования безопасности после окончания работы
5.3 Выводы по разделу
Заключение
Список используемой литературы
Приложение А
Приложение Б
Приложение В

Работа содержит 1 файл

Диплом.doc

— 1.47 Мб (Скачать)

 

2.3 Сервер доставки почты MDA Dovecot

Mail Delivery Agent (MDA, Агент доставки электронной почты) — программа, принимающая входящие электронные письма и доставляющая их на электронный ящик получателя (если адрес назначения расположен на том же компьютере) или перенаправляющая их на другой почтовый сервер (если адрес назначения расположен на другом компьютере).

Dovecot является гибко-настраиваемым агентом доставки почты, помимо его богатого функционала, он один из немногих соответствует всем стандартам IMAP и входит в стандартную поставку систем RedHat, CentOS, Debian, SuSe, что удобно при обновлении всей системы.

Особенности MDA Dovecot:

­         поддержка форматов почтовых ящиков mbox и Maildir, а также собственные форматы dbox и Cydir;

­         высокое быстродействие благодаря индексации содержимого ящиков;

­         большое количество поддерживаемых механизмов хранения аутентификационной информации (включая LDAP) и самой аутентификации (поддерживается SSL).

­         собственная реализация SASL. Postfix 2.3+ и Exim 4.64+ могут аутентифицироваться напрямую через Dovecot;

­         полная поддержка IMAP ACL для гибкой настройки прав пользователей;

­         поддержка общих ящиков и папок (shared mailboxes and folders);

­         расширяемость при помощи плагинов;

­         собственный MDA с поддержкой Sieve;

­         строгое следование стандартам — Dovecot один из немногих кто проходит тест на соответствие всем стандартам IMAP;

­         возможность модификации индексов с нескольких компьютеров — что позволяет ему работать с NFS и кластерными файловыми системами;

­         поддержка различных видов квот;

­         поддержка различных ОС: Linux, Solaris, FreeBSD, OpenBSD, NetBSD и Mac OS X;

­         простота настройки.

Преимущества IMAP:

­         произвести закрытие всех активных задач;

­         письма хранятся на сервере, а не на клиенте. Возможен доступ к одному и тому же почтовому ящику с разных клиентов. Поддерживается также одновременный доступ нескольких клиентов. В протоколе есть механизмы с помощью которых клиент может быть проинформирован об изменениях, сделанных другими клиентами;

­         поддержка нескольких почтовых ящиков (или папок). Клиент может создавать, удалять и переименовывать почтовые ящики на сервере, а также перемещать письма из одного почтового ящика в другой;

­         возможно создание общих папок, к которым могут иметь доступ несколько пользователей;

­         информация о состоянии писем хранится на сервере и доступна всем клиентам. Письма могут быть помечены как прочитанные, важные;

­         поддержка поиска на сервере. Нет необходимости скачивать с сервера множество сообщений для того чтобы найти одно нужное;

­         поддержка онлайн-работы. Клиент может поддерживать с сервером постоянное соединение, при этом сервер в реальном времени информирует клиента об изменениях в почтовых ящиках, в том числе о новых письмах;

­         предусмотрен механизм расширения возможностей протокола.

Основной конфигурационный файл dovecot.conf находится в каталоге /etc. Описание настраиваемых параметров представлено в таблице 2.9. Листинг файла прилагается в приложение Б.

Таблица 2.9 – Описание параметров, настраиваемых в конфигурационном файле dovecot.conf

Параметр

Описание

base_dir

Рабочая директория;

protocols

Обслуживаемые протоколы;

listen

Какие IP-адреса и порты слушать на входящие соединения;

log_timestamp

Формат записи логов;

syslog_facility

Указываем если используем Syslog для журналирования работы сервиса;

mail_location

Расположение почтовых ящиков пользователей;

mail_debug

Режим отладки;

first_valid_uid

last_valid_uid

Допустимые UID для пользователей;

maildir_copy_with_hardlinks

Dovecot будет пытаться копировать сообщения с использованием hard links, это повышает производительность системы;

login_executable

Расположение программы выполняемой для входа в систему;

mail_executable

Местоположение выполняемой программы доступа к электронной почте;

imap_max_line_length

Максимальная длина команды IMAP в байтах;

pop3_uidl_format

Формат уникального почтового идентификатора;

 

Продолжение таблицы 2.9

Параметр

Описание

postmaster_address

Адрес postmaster`а, сюда отправляются сообщения о невозможности доставки почты;

sendmail_path

Расположение программы для отправки почты;

auth_socket_path

Расположение UNIX-сокета для аутентификации;

auth_verbose

Если опция включена в журнал будет записываться больше информации связанной с аутентификацией;

auth_debug

Еще больше журналируемой информации, например показываются SQL-запросы к БД;

auth_debug_passwords

В случае несоответствия пароля регистрировать в журнале, включений этой опции автоматически включает auth_debug;

passdb sql / userdb sql

Использование SQL в своей работе, в качестве аргумента используется путь к файлу с SQL конфигурацией;

user

От какого пользователя выполняется процесс;

path

Путь к какому либо каталогу или файлу;

mode

Права доступа на файл или каталог;

Group

Группа владелец.

 

2.4 Обоснование выбора службы каталогов OpenLDAP в качестве базы данных

Служба директорий – это специальная база данных, оптимизированная для чтения, просмотра и поиска. Директории содержат описательную, основанную на атрибутах, информацию и поддерживают специальные возможности фильтрации информации. Обычно, директории не поддерживают сложных транзакций и roll-back схем, которые могут быть найдены в базах данных, спроектированных для поддержания сложного обновления данных. Обновление директорий намного проще, изменения происходят по принципу все или ничего, если изменения вообще разрешены. Директории оптимизированы для быстрого ответа на сложный запрос или на поиск. Директории так же могут быть расположены на многих серверах, для повышения доступности и надежности. Когда информация директории копируется, то временные несогласованности между двумя копиями могут быть одобрены, до того момента, пока они полностью не синхронизируются.

LDAP - это сокращение от Lightweight Directory Access Protocol. Как следует из названия - это облегченный протокол для доступа к службе директорий, в частности к службам директорий, основанных на протоколе X.500. LDAP работает поверх протокола TCP/IP или другого, ориентированного на передачу данных. Информация о LDAP описана в RFC2251 "The Lightweight Directory Access Protocol (v3)" и в других документах, состоящих из технической информации RFC3377. Этот раздел рассматривает LDAP от лица пользователя.

Информационная модель LDAP основана на записях. Запись состоит из атрибутов, которые имеют глобальные и уникальные Distinguished Names (DN). DN используется для точного определения записи. Каждый атрибут имеет свой тип и одно или несколько значений. Типами обычно являются строки, например, "cn" - common name(имя) или "mail" - почтовый адрес. Значения зависят от типа атрибута. Например, атрибуту "cn" может соответствовать значение  Petrov Alexey. Атрибут "mail" может содержать значение "apetrov@example.com". Атрибут jpegPhoto должен содержать фотографию в формате jpeg(бинарные данные).

В LDAP, записи хранятся в виде иерархического дерева. Традиционно, такая структура отражает географические и организационные границы. Записи, обозначающие страны, находятся наверху дерева. Чуть ниже располагаются записи о регионах и организациях. Еще ниже - информация об отделах, людях, принтерах, документах или о том, о чем вы подумаете. На рисунке 2.6 изображен пример LDAP директории, использующей традиционное именование.

Дерево так же может быть создано, основываясь на доменных именах интернета. Такое именование становится все более популярным, так как позволяет узнать расположение службы директорий, используя DNS. Рисунок 2.7 показывает пример дерева, основанного на доменных именах.

Рисунок 2.6 – LDAP дерево каталога (традиционные наименования)

Рисунок 2.7 – LDAP дерево каталога (Internet наименования)

Так же, LDAP позволяет контролировать то, какие атрибуты необходимы и разрешены в записи, используя специальный атрибут - objectClass. Значение атрибута objectClass определяет схему правил, которой будет подчиняться запись.

Служба директорий LDAP основана на клиент-серверной модели. Один или несколько серверов LDAP содержат данные, которые создают directory information tree (DIT). Клиент соединяется с сервером и спрашивает его. Сервер дает клиенту ответ и/или указание, где получить дополнительную информацию(обычно, другой LDAP сервер). Неважно, с каким сервером соедениться клиент, он увидит ту же самую директорию; имя предоставлено LDAP серверу ссылается на ту же запись, которая будет и на другом LDAP сервере. Это важная особенность глобальной службы директорий, такой как LDAP.

2.5 Обеспечение безопасной работы в почтовой системе

Для обеспечения безопасности следует включить в список методов: SSL-шифрование на уровне отправки сообщений, антивирусную защиту, фильтрацию спама средствами вспомогательных таблиц Postfix и специально предназначенной программы SpamAssassin.

Конфигурационный файл clamd.conf находится в каталоге /etc. В таблиц 2.10 представлено описание параметров для настройки антивируса. Листинг файла прилагается в приложение Б.

Таблица 2.10 – Описание параметров антивируса, настраиваемых в конфигурационном файле clamd.conf

Параметр

Описание

LogFile

Журналирование работы сервиса в указанный файл;

LogFileMaxSize

Максимальный размер log-файла, 0 означает неограниченный;

LogTime

Указывать время для каждого сообщения;

LogSyslog

Использовать Syslog (можно одновременно использовать с LogFile);

PidFile

Сохранять PID главного процесса Clamd в этот файл;

TemporaryDirectory

Временная директория;

Продолжение таблицы 2.10

Параметр

Описание

DatabaseDirectory

Путь к директории содержащей файлы БД;

LocalSocket

Путь к UNIX-сокету;

FixStaleSocket

Удалять сокет после некорректного завершения работы;

TCPSocket

Номер TCP-порта на котором будет работать сервис;

TCPAddr

IP-адрес на котором будет работать сервис;

MaxConnectionQueueLength

Максимальная очередь подключений ожидающих обработки;

MaxThreads

Максимальное число потоков в единицу времени;

ReadTimeout

Таймаут соединения;

User

Запуск Clamd от этого пользователя;

AllowSupplementaryGroups

Инициализация дополнительного группового доступа;

ScanPE

Сканировать .exe файлы или нет;

ScanELF

Сканировать файлы бинарного формата ELF или нет;

DetectBrokenExecutables

С этой опцией Clamd попытается обнаружить “сломанные” PE/ELF файлы и отметить их соответствующим флагом;

ScanOLE2

Опция позволяет задать сканирование OLE-объектов, таких как документы Microsoft Office и .msi файлы;

ScanMail

Опция позволяет задать сканирование почтовых файлов;

ScanHTML

Сканирование HTML;

ScanArchive

Сканировать содержимое архивов или нет;

ArchiveBlockEncrypted

Маркировать зашифрованные архивы.

 

Конфигурационный файл clamsmtpd.conf демона Clamsmtp находится в каталоге /etc. Листинг файла прилагается в приложение Б.

Таблица 2.11 - Описание параметров проверки сообщений, настраиваемых в конфигурационном файле clamsmtpd.conf.

Параметр

Описание

OutAddress

Порт через который возвращается письмо, после того как оно будет проверено на вирусы;

TimeOut

Количество секунд, в течение которых ожидаются данные от сетевых подключений;

KeepAlives

Опция может помочь на медленных каналах связи, когда timeout наступает быстрее чем ClamAV успевает проверить файл на вирусы;

 

Продолжение таблицы 2.11

Параметр

Описание

XClient

Отправка команды Xclient принимающему серверу. Может быть полезно при перенаправление информации о соединение серверам, которые поддерживают эту возможность;

Listen

Здесь указываем адрес и порт для ожидания входящих соединений;

ClamAddress

Здесь указывается адрес для подключения к Clamd (Antivirus Daemon);

Header

Здесь указывается, что будет дописано в заголовок письма;

TempDirectory

Директория для временных файлов;

Action

Это действие будет выполнено в случае нахождения вируса, drop – удалить e-mail, bounce – отклонить письмо, pass – пропустить письмо в почтовый ящик пользователя;

Quarantine

Помещать ли файлы с вирусами в карантин (в директорию TempDirectory);

User

От какого пользователя запускать clamsmtpd, сначала сервис стартует с правами root, далее сервис начинает работать с правами указанного пользователя в этой опции.

Информация о работе Корпоративная почтовая система на базе высокодоступного кластера