Автор: Пользователь скрыл имя, 26 Марта 2012 в 22:28, дипломная работа
Основное предназначение электронной почты – дать пользователям возможность общаться друг с другом. Сам процесс общения происходит путем пересылки текстовых и прочих файлов, подобно тому, как при обычной почтовой переписке люди обмениваются письмами, открытками и прочей корреспонденцией. Уникальность электронной почты как сетевого сервиса, состоит в том, что за счет имеющихся шлюзовых соединений между различными сетями почта может доставляться практически в любые и из любых мировых сетей, объединяя их в единое сетевое пространство.
Введение
Техническое задание
Введение
1 Основание для разработки
2 Источники разработки
3 Технические требования
3.1 Состав изделия
3.2 Технические параметры
3.3 Принцип работы
3.4 Требования к надежности
3.5 Условия эксплуатации
3.6 Требования безопасности
4 Экономические показатели
5 Порядок испытаний
1 Анализ программных средств и технологий
1.1 Принципы работы электронной почты
1.1.1 Создание почтового сообщения
1.1.2 Отправка почтового сообщения
1.1.3 Протокол SMTP
1.1.4 Транспортировка сообщений
1.1.5 Доставка почтовых сообщений
1.1.6 Форматы серверных почтовых хранилищ
1.1.7 Организация доступа к серверным хранилищам
1.1.8 Получение сообщений
1.2 Технология DNS
1.3 Способы организации базы данных сообщений
1.4 Способы организации безопасности среды
1.4.1 Организация безопасности средствами операционной системы
1.4.2 Повышенная безопасность с использованием антивирусной защиты
1.4.3 Защита переписки криптографическими средствами
1.5 Технология кластеризации
1.6 Требования к программной части
1.7 Требования к аппаратной части
2 Проектирование корпоративной почтовой системы
2.1 Обоснование выбора DNS-сервера на основе BIND
2.2 Обоснование выбора агента передачи почты Postfix
2.2.1 Основные подсистемы Postfix
2.2.2 Демоны Postfix
2.2.3 Подсистема обработки входящих сообщений
2.2.4 Подсистема доставки почтовых сообщений
2.2.5 Управление очередями сообщений
2.2.6 Вспомогательные утилиты
2.2.7 Описание основных конфигурационных файлов Postfix
2.3 Сервер доставки почты MDA Dovecot
2.4 Обоснование выбора службы каталогов OpenLDAP в качестве базы данных
2.5 Обеспечение безопасной работы в почтовой системе
2.6 Организация кластера на основе Linux-HA
2.6.1 Программный пакет DRBD
2.6.2 Программный пакет Heartbeat
2.7 Обоснование выбора оборудования для почтового сервера
2.8 Обоснование выбора программных продуктов используемых в почтовой системе
3 Реализация корпоративной почтовой системы
3.1 Этапы установки и настройки компонент почтвой системы
3.1.1 Установка и настройка DNS-сервера BIND
3.1.2 Установка и конфигурация компонентов почтового сервера
3.2 Тестирование почтовой системы
3.2.1 Тестирование DNS-сервера
3.2.3 Тестирование спам-фильтра
3.2.4 Тестирование SSL
4 Оценка показателей качества и расчет общей стоимости владения почтовой системой
4.1 Оценка показателей качества
4.2 Расчет общей стоимости владения почтовой системой
4.3 Расчет стоимости теоретического проекта вычислительной системы
4.4 Расчет стоимости технического проекта вычислительной системы
4.5 Расчет стоимости внедрения вычислительной системы
4.6 Расчет стоимости эксплуатации вычислительной системы
4.7 Общая стоимость владения вычислительной системой
5 Раздел безопасности жизнедеятельности
5.1 Требования безопасности при эксплуатации видеодисплейных терминалов (ВДТ) и персональных электронно- вычислительных машин (ПЭВМ)
5.2 Охрана труда для операторов и пользователей персональных электронно-вычислительных машин (ПЭВМ)
5.2.1 Общие положения
5.2.2 Требования безопасности перед началом работы
5.2.3 Требования безопасности во время работы
5.2.4 Требования безопасности в аварийных ситуациях
5.2.5 Требования безопасности после окончания работы
5.3 Выводы по разделу
Заключение
Список используемой литературы
Приложение А
Приложение Б
Приложение В
Mail Delivery Agent (MDA, Агент доставки электронной почты) — программа, принимающая входящие электронные письма и доставляющая их на электронный ящик получателя (если адрес назначения расположен на том же компьютере) или перенаправляющая их на другой почтовый сервер (если адрес назначения расположен на другом компьютере).
Dovecot является гибко-настраиваемым агентом доставки почты, помимо его богатого функционала, он один из немногих соответствует всем стандартам IMAP и входит в стандартную поставку систем RedHat, CentOS, Debian, SuSe, что удобно при обновлении всей системы.
Особенности MDA Dovecot:
поддержка форматов почтовых ящиков mbox и Maildir, а также собственные форматы dbox и Cydir;
высокое быстродействие благодаря индексации содержимого ящиков;
большое количество поддерживаемых механизмов хранения аутентификационной информации (включая LDAP) и самой аутентификации (поддерживается SSL).
собственная реализация SASL. Postfix 2.3+ и Exim 4.64+ могут аутентифицироваться напрямую через Dovecot;
полная поддержка IMAP ACL для гибкой настройки прав пользователей;
поддержка общих ящиков и папок (shared mailboxes and folders);
расширяемость при помощи плагинов;
собственный MDA с поддержкой Sieve;
строгое следование стандартам — Dovecot один из немногих кто проходит тест на соответствие всем стандартам IMAP;
возможность модификации индексов с нескольких компьютеров — что позволяет ему работать с NFS и кластерными файловыми системами;
поддержка различных видов квот;
поддержка различных ОС: Linux, Solaris, FreeBSD, OpenBSD, NetBSD и Mac OS X;
простота настройки.
Преимущества IMAP:
произвести закрытие всех активных задач;
письма хранятся на сервере, а не на клиенте. Возможен доступ к одному и тому же почтовому ящику с разных клиентов. Поддерживается также одновременный доступ нескольких клиентов. В протоколе есть механизмы с помощью которых клиент может быть проинформирован об изменениях, сделанных другими клиентами;
поддержка нескольких почтовых ящиков (или папок). Клиент может создавать, удалять и переименовывать почтовые ящики на сервере, а также перемещать письма из одного почтового ящика в другой;
возможно создание общих папок, к которым могут иметь доступ несколько пользователей;
информация о состоянии писем хранится на сервере и доступна всем клиентам. Письма могут быть помечены как прочитанные, важные;
поддержка поиска на сервере. Нет необходимости скачивать с сервера множество сообщений для того чтобы найти одно нужное;
поддержка онлайн-работы. Клиент может поддерживать с сервером постоянное соединение, при этом сервер в реальном времени информирует клиента об изменениях в почтовых ящиках, в том числе о новых письмах;
предусмотрен механизм расширения возможностей протокола.
Основной конфигурационный файл dovecot.conf находится в каталоге /etc. Описание настраиваемых параметров представлено в таблице 2.9. Листинг файла прилагается в приложение Б.
Таблица 2.9 – Описание параметров, настраиваемых в конфигурационном файле dovecot.conf
Параметр | Описание |
base_dir | Рабочая директория; |
protocols | Обслуживаемые протоколы; |
listen | Какие IP-адреса и порты слушать на входящие соединения; |
log_timestamp | Формат записи логов; |
syslog_facility | Указываем если используем Syslog для журналирования работы сервиса; |
mail_location | Расположение почтовых ящиков пользователей; |
mail_debug | Режим отладки; |
first_valid_uid last_valid_uid | Допустимые UID для пользователей; |
maildir_copy_with_hardlinks | Dovecot будет пытаться копировать сообщения с использованием hard links, это повышает производительность системы; |
login_executable | Расположение программы выполняемой для входа в систему; |
mail_executable | Местоположение выполняемой программы доступа к электронной почте; |
imap_max_line_length | Максимальная длина команды IMAP в байтах; |
pop3_uidl_format | Формат уникального почтового идентификатора; |
| |
Продолжение таблицы 2.9 | |
Параметр | Описание |
postmaster_address | Адрес postmaster`а, сюда отправляются сообщения о невозможности доставки почты; |
sendmail_path | Расположение программы для отправки почты; |
auth_socket_path | Расположение UNIX-сокета для аутентификации; |
auth_verbose | Если опция включена в журнал будет записываться больше информации связанной с аутентификацией; |
auth_debug | Еще больше журналируемой информации, например показываются SQL-запросы к БД; |
auth_debug_passwords | В случае несоответствия пароля регистрировать в журнале, включений этой опции автоматически включает auth_debug; |
passdb sql / userdb sql | Использование SQL в своей работе, в качестве аргумента используется путь к файлу с SQL конфигурацией; |
user | От какого пользователя выполняется процесс; |
path | Путь к какому либо каталогу или файлу; |
mode | Права доступа на файл или каталог; |
Group | Группа владелец. |
Служба директорий – это специальная база данных, оптимизированная для чтения, просмотра и поиска. Директории содержат описательную, основанную на атрибутах, информацию и поддерживают специальные возможности фильтрации информации. Обычно, директории не поддерживают сложных транзакций и roll-back схем, которые могут быть найдены в базах данных, спроектированных для поддержания сложного обновления данных. Обновление директорий намного проще, изменения происходят по принципу все или ничего, если изменения вообще разрешены. Директории оптимизированы для быстрого ответа на сложный запрос или на поиск. Директории так же могут быть расположены на многих серверах, для повышения доступности и надежности. Когда информация директории копируется, то временные несогласованности между двумя копиями могут быть одобрены, до того момента, пока они полностью не синхронизируются.
LDAP - это сокращение от Lightweight Directory Access Protocol. Как следует из названия - это облегченный протокол для доступа к службе директорий, в частности к службам директорий, основанных на протоколе X.500. LDAP работает поверх протокола TCP/IP или другого, ориентированного на передачу данных. Информация о LDAP описана в RFC2251 "The Lightweight Directory Access Protocol (v3)" и в других документах, состоящих из технической информации RFC3377. Этот раздел рассматривает LDAP от лица пользователя.
Информационная модель LDAP основана на записях. Запись состоит из атрибутов, которые имеют глобальные и уникальные Distinguished Names (DN). DN используется для точного определения записи. Каждый атрибут имеет свой тип и одно или несколько значений. Типами обычно являются строки, например, "cn" - common name(имя) или "mail" - почтовый адрес. Значения зависят от типа атрибута. Например, атрибуту "cn" может соответствовать значение Petrov Alexey. Атрибут "mail" может содержать значение "apetrov@example.com". Атрибут jpegPhoto должен содержать фотографию в формате jpeg(бинарные данные).
В LDAP, записи хранятся в виде иерархического дерева. Традиционно, такая структура отражает географические и организационные границы. Записи, обозначающие страны, находятся наверху дерева. Чуть ниже располагаются записи о регионах и организациях. Еще ниже - информация об отделах, людях, принтерах, документах или о том, о чем вы подумаете. На рисунке 2.6 изображен пример LDAP директории, использующей традиционное именование.
Дерево так же может быть создано, основываясь на доменных именах интернета. Такое именование становится все более популярным, так как позволяет узнать расположение службы директорий, используя DNS. Рисунок 2.7 показывает пример дерева, основанного на доменных именах.
Рисунок 2.6 – LDAP дерево каталога (традиционные наименования)
Рисунок 2.7 – LDAP дерево каталога (Internet наименования)
Так же, LDAP позволяет контролировать то, какие атрибуты необходимы и разрешены в записи, используя специальный атрибут - objectClass. Значение атрибута objectClass определяет схему правил, которой будет подчиняться запись.
Служба директорий LDAP основана на клиент-серверной модели. Один или несколько серверов LDAP содержат данные, которые создают directory information tree (DIT). Клиент соединяется с сервером и спрашивает его. Сервер дает клиенту ответ и/или указание, где получить дополнительную информацию(обычно, другой LDAP сервер). Неважно, с каким сервером соедениться клиент, он увидит ту же самую директорию; имя предоставлено LDAP серверу ссылается на ту же запись, которая будет и на другом LDAP сервере. Это важная особенность глобальной службы директорий, такой как LDAP.
Для обеспечения безопасности следует включить в список методов: SSL-шифрование на уровне отправки сообщений, антивирусную защиту, фильтрацию спама средствами вспомогательных таблиц Postfix и специально предназначенной программы SpamAssassin.
Конфигурационный файл clamd.conf находится в каталоге /etc. В таблиц 2.10 представлено описание параметров для настройки антивируса. Листинг файла прилагается в приложение Б.
Таблица 2.10 – Описание параметров антивируса, настраиваемых в конфигурационном файле clamd.conf
Параметр | Описание |
LogFile | Журналирование работы сервиса в указанный файл; |
LogFileMaxSize | Максимальный размер log-файла, 0 означает неограниченный; |
LogTime | Указывать время для каждого сообщения; |
LogSyslog | Использовать Syslog (можно одновременно использовать с LogFile); |
PidFile | Сохранять PID главного процесса Clamd в этот файл; |
TemporaryDirectory | Временная директория; |
Продолжение таблицы 2.10 | |
Параметр | Описание |
DatabaseDirectory | Путь к директории содержащей файлы БД; |
LocalSocket | Путь к UNIX-сокету; |
FixStaleSocket | Удалять сокет после некорректного завершения работы; |
TCPSocket | Номер TCP-порта на котором будет работать сервис; |
TCPAddr | IP-адрес на котором будет работать сервис; |
MaxConnectionQueueLength | Максимальная очередь подключений ожидающих обработки; |
MaxThreads | Максимальное число потоков в единицу времени; |
ReadTimeout | Таймаут соединения; |
User | Запуск Clamd от этого пользователя; |
AllowSupplementaryGroups | Инициализация дополнительного группового доступа; |
ScanPE | Сканировать .exe файлы или нет; |
ScanELF | Сканировать файлы бинарного формата ELF или нет; |
DetectBrokenExecutables | С этой опцией Clamd попытается обнаружить “сломанные” PE/ELF файлы и отметить их соответствующим флагом; |
ScanOLE2 | Опция позволяет задать сканирование OLE-объектов, таких как документы Microsoft Office и .msi файлы; |
ScanMail | Опция позволяет задать сканирование почтовых файлов; |
ScanHTML | Сканирование HTML; |
ScanArchive | Сканировать содержимое архивов или нет; |
ArchiveBlockEncrypted | Маркировать зашифрованные архивы. |
Конфигурационный файл clamsmtpd.conf демона Clamsmtp находится в каталоге /etc. Листинг файла прилагается в приложение Б.
Таблица 2.11 - Описание параметров проверки сообщений, настраиваемых в конфигурационном файле clamsmtpd.conf.
Параметр | Описание |
OutAddress | Порт через который возвращается письмо, после того как оно будет проверено на вирусы; |
TimeOut | Количество секунд, в течение которых ожидаются данные от сетевых подключений; |
KeepAlives | Опция может помочь на медленных каналах связи, когда timeout наступает быстрее чем ClamAV успевает проверить файл на вирусы; |
| |
Продолжение таблицы 2.11 | |
Параметр | Описание |
XClient | Отправка команды Xclient принимающему серверу. Может быть полезно при перенаправление информации о соединение серверам, которые поддерживают эту возможность; |
Listen | Здесь указываем адрес и порт для ожидания входящих соединений; |
ClamAddress | Здесь указывается адрес для подключения к Clamd (Antivirus Daemon); |
Header | Здесь указывается, что будет дописано в заголовок письма; |
TempDirectory | Директория для временных файлов; |
Action | Это действие будет выполнено в случае нахождения вируса, drop – удалить e-mail, bounce – отклонить письмо, pass – пропустить письмо в почтовый ящик пользователя; |
Quarantine | Помещать ли файлы с вирусами в карантин (в директорию TempDirectory); |
User | От какого пользователя запускать clamsmtpd, сначала сервис стартует с правами root, далее сервис начинает работать с правами указанного пользователя в этой опции. |
Информация о работе Корпоративная почтовая система на базе высокодоступного кластера