iT邦幫忙

0

硬體式mail server建置

各位大大好,
小弟是剛接觸MIS的新人,相較於以前軟體設計師(ERP)現在還需要學習管理機房,
最近公司有意將託管的Mail拉回來自己做建置(人數100+),礙於對硬體架構的不了解,
想請問大家一些細節的東西,目前想到的架構如下:
Internet→防火牆→網路設備(switch)→硬體式Mail server
#2018-04-12 14:38-(S)
經過樓下回答,架構是否應為
Internet→防火牆→各機房主機(Mail server等…)及網路設備(Switch)?
#2018-04-12 14:38-(E)

想問的是,
1.除了上述的硬體外,是否有需要做其他調整?(公司目前沒有建置AD)
2.假設我的收受Mail的地址為xxx@公司名稱.com.tw,公司名稱.com.tw是自行建置DNS或需要跟ISP申請還是可直接沿用當初託管的名稱呢?
3.假設我建置好了Mail server,如果只有一台的情況下,當該台因故關機或故障時,別人寄過來的信會掉還是卡在對方那寄送失敗呢?如果要避免該情況是否需要建置備援機還是有其他方式呢?

看更多先前的討論...收起先前的討論...
黃彥儒 iT邦研究生 3 級 ‧ 2018-04-12 12:53:09 檢舉
如果是這樣都要問,請找SI廠商幫忙建置規劃,不然Mail出事問題很大
魷魚 iT邦新手 1 級 ‧ 2018-04-12 13:13:24 檢舉
https://ithelp.ithome.com.tw/articles/10198153
2018機房論壇,跟你的mail server建置無關,但如果對機房有興趣,可以參考看看:D
1.Internet→防火牆→網路設備(switch)→SPAM設備(選購) →硬體式Mail server
2. 都可 主要要在DNS 上面設定MX 紀錄
3. 看時間看設定, 大多24小時內會自動重寄, 超過24小時會收到寄送失敗通知, 所以最好有HA 或備援方案
阿醺 iT邦新手 5 級 ‧ 2018-04-12 13:55:55 檢舉
黃:應該說自己想要在了解一下,最後可能也會請SI,如果先懂一些,才不會被牽著鼻子走
魷:感謝,最近狂K關於機房的東西,雖然還是只懂一些皮毛
竹:如果買硬體式的,有些好像就有關於SPAM功能,如果還有需要,這個會是硬體還是能透過軟體的方式實現呢?
HA是什麼?礙於經費關係,能不能有備援主機還是未知數
spam
https://ithelp.ithome.com.tw/questions/10002569
HA 介紹
http://www.sharetech.com.tw/images/file/Solution/MS/22_HA_201609.pdf

除了MAIL 之外
線路有備援嗎,機房用電有備源嗎??

前公司有不少例子可以舉利,所以為什麼前公司 不自建MAIL SERVER
1. 原本中華電信是沿著馬路邊的電線杆拉線進公司
後來路邊的田變成停車場之後,電線杆變成介在停車場跟馬路的中間
剛好一次公司貨櫃車在馬路上倒車倒進停車場,結果把電線杆拉斷,導致公司網路中斷12小時所以什麼要備援線路
2. 電力備援問題,某次颱風侵台,結果我公司六日停電兩天,因為公司周休2日 所以基本上是沒什麼影響, 但如果這時候 是自建MAIL ,停電這兩天 MAIL 該怎麼辦
光靠UPS 是沒辦法撐這麼久的喔, 光一台發電機要撐48小時也是很勉強喔

所以這種不能連例假日都不能中斷服務連線伺服器, 萬一真的有狀況,到公司加班處理嗎? 這樣對公司來說 成本真的比較低嗎?

之前在別篇回的
例如我之前的公司 母公司MAIL主機是委外托管(約80個帳號,一個帳號一個月是100元),其他子公司(累計不到10個帳號)是雷電
每年成本來計算, 為什麼老闆要花9萬6 卻省1萬2
光MAIL,每年9萬6,5年就48萬,用5年換一套新硬體都可以用多好的主機跟設備了,為什麼老闆還是肯花這個錢卻不自建

我現在的公司MAIL主機是自建的,老闆說了MAIL主機如果掛了,那就去處理就好,服務中斷事情還比較少, 所以主機不簽MA.... XDDD


********************************************************
**IT 這行業 沒有標準答案,要因人因事因地而改變**
********************************************************
kylen iT邦新手 4 級 ‧ 2018-04-12 16:33:29 檢舉
可以理解,上頭可接受的風險,那就不是風險
阿醺 iT邦新手 5 級 ‧ 2018-04-12 16:51:07 檢舉
竹:因為我以前的經驗比較像是使用者,有時候就很無法理解管理機房的人及老闆們的想法
以備援來說像我下面的回答的討論裡有說到的
我有辦法硬體式為主,軟體式為備援(不過是不是放在同一個地方,或者託管甚至租用雲端)的方式呈現呢?
還是直接用兩個硬體式的外加異地會是比較好的做法呢
其實你要了解的是 上頭可接受的風險(金額)
MAIL 可以斷多久?? 斷一小時,斷一天,斷一周.......
不同的時間有不同做法,當然金額也不同

老闆不懂的話,所以通常想法 一定是 連一分鐘都不能斷,但是拿出連一分鐘都不能斷的方法,老闆就有可能會說斷個一周都沒關係

而且我上面說過,萬一停電,有備援方案嗎? 還是遇到這種狀況 老闆也就算了??
別忘了 去年才發生過 815 跳電事件

我的前公司 就是無法接受這樣的跳電事件,所以MAIL 是委外
我的現任公司 遇到815跳電, MAIL 主機 也是直接先關機,老闆完全沒意見

更早的公司(非IT職)更無法接受跳電事件,所以某次遇到半夜一點跳電的下場是,必須把所有同事叫來公司加班(正常上班時間是07-17)
阿醺 iT邦新手 5 級 ‧ 2018-04-12 17:28:11 檢舉
竹:了解
那先扣除掉備援的部分,一般來說可以支援到100~200U的硬體Mail server應該會有Spam功能(至少我看到的兩三個產品上面有寫到)及一些防毒功能
像您在上面的回答,選購spam設備是在硬體式Mail server沒有的情況下才選購還是通常那種掛在上面的功能較不足呢?
那選購的部分是一個硬體設備還是通常是軟體安裝在Mail server內呢?

目前的架構應該是
Internetn→防火牆→Mail server及其他的switch設備
都有,不過我公司目前的是外掛一台SPAM 硬體
nikwu43 iT邦好手 1 級 ‧ 2018-04-12 18:53:46 檢舉
掛在GOOGLE不好嗎?
硬體,要做比較跟費用分析表,已現況來說硬體的成本與維護,跟委外差不了多少
kylen iT邦新手 4 級 ‧ 2018-04-13 11:00:07 檢舉
自架硬體和委外費用分析比較是差不多,真的嗎??是否有類似文件可以參考,讓上面知道一下也不錯
阿醺 iT邦新手 5 級 ‧ 2018-04-13 11:12:05 檢舉
nikwu43:目前是掛在hinet上
kylen:我也很好奇....
伺服器硬體定時汰舊換新成本 網路通訊成本 員工薪資工成本 ( 24H*7D )....... 列出來其實跟委外差不多 是不誇張

如果列一個 組裝電腦,而且是硬體打死不換, 網路能通就好 , 員工是 8H*5D , 當然自建比較便宜


光看員工工時的部分 8*5 跟 24*7 比 最少是4倍差異,那薪水會差幾倍

所以還是老話一句 了解上頭要的是什麼 , 上頭可接受的風險(金額)是什麼
阿醺 iT邦新手 5 級 ‧ 2018-04-13 18:01:59 檢舉
竹:假設以100個使用者來說
用hibok最便宜的672*100=67200
感覺用不到兩年(算兩年好了)就比一台硬體式的Mail server貴了
反過來說建置備援的機制(兩台)四年就可以回本(跟託管比)
而維護上大概上頭您有回的
"我現在的公司MAIL主機是自建的,老闆說了MAIL主機如果掛了,那就去處理就好,服務中斷事情還比較少, 所以主機不簽MA.... XDDD"
差不多的感覺
本來想說不考慮資料是不是在自己家的情況下
託管那麼方便為什麼要拉回來
但一算100U的情況下一年就要67200(當然人越多越貴)
假如一台主機10萬稱5年帳面上就省了23萬多
當然連帶產生的問題就是資訊人員的責任了....

這幾天看下來感覺就是100~150U情況下
資料一定要在自己家→自建
資料不中斷→委外
只要上班期間能處理就好的情況下→自建
1
mytiny
iT邦大師 2 級 ‧ 2018-04-12 13:17:41
最佳解答

首先提醒樓主,網路架構有風險
因為PC與mail Server在同屬網段中
很容易交互感染風險
建議應該是硬體式mail Server直接接防火牆
讓防火牆保護mail server對內外的攻擊

其次DNS是名稱解析,
名字可以繼續沿用,IP改掉就好

最後是備援情況
只要主機故障或不通
自然收發信都會有問題
客戶寄給公司的信自然寄不過來
一段時間後就會收到退信
要不要買備援的設備就看公司的想法嘍

看更多先前的回應...收起先前的回應...
阿醺 iT邦新手 5 級 ‧ 2018-04-12 14:31:28 檢舉

如果真的拉回來應該是會購買硬體式的Mail server
意思是Switch跟Mail server間要有防火牆隔開嗎?
那意思是如果有Server的情況下,需要有兩台防火牆以區隔對內及對外嗎?還是只需要將Switch跟Mail server拉在同一層即可(都直接對防火牆)?
那如果有購買硬體式Mail server,有辦法用虛擬化Server裝軟體Mail server的方式做備援呢?就當作主要硬體式掛點時該備援可以頂著用,當然如果他是在同一個地方,遭受停電等全部不能用的情況下就另當別論了

mytiny iT邦大師 2 級 ‧ 2018-04-12 21:36:01 檢舉

不用購買兩台防火牆
而是將防火牆其中一個介面與mail Server直接連接
除上網聯外界面外,另一個再接到switch以串接使用者電腦
此架構很早就已經存在,一般稱DMZ架構
至於您說的虛擬化備援方式當然可行
只是還有很多細節需要研究(包含spam)
既然已打算購買硬體式mail server
何不好好多找幾間廠商評估與討論架構呢?
相關技術服務費應該要有列入預算考量哦
後續需要支援時才有廠商可提供

阿醺 iT邦新手 5 級 ‧ 2018-04-13 09:36:50 檢舉

DMZ很常聽到,但我不太明白的是DMZ是在防火牆上某個插槽可以實現的,還是用某特地的方式去接線就代表是用DMZ的意思呢?

mytiny iT邦大師 2 級 ‧ 2018-04-13 10:01:25 檢舉

建議樓主可以Google一些相關資料研讀
不過簡單說就是將mail server的網段
與內部網路及外部網路有所區隔
而其中負責轉換的工作交給防火牆辦理
這樣封包傳遞必會經過防火防牆
如此防火牆的功能就可以發揮檢核的作用
小弟建議要注意防火牆的效能是否足以負擔

0
riches88
iT邦研究生 5 級 ‧ 2018-04-13 09:13:18

MX Mail Live Key系統軟體 :
全多功能電子郵件系統:支援 pop3/ imap / imaps /pop3s / smtp TLS加密傳輸
GUI網頁式管理介面、含LinuxOS作業系統
內建網頁式郵件 / 外掛 AJAX RCwebmail
支援主機硬體/虛擬化環境/異地備援服務
可多網域收信,攻擊防護 /盜用帳號警示 /發信大小,人數限制/特定網域發信管制/AD整合 /TLS加密傳輸 /大檔傳輸轉換 / 統一簽章 / 群組帳號 /內部帳號 /帳號化名
郵件備份稽核審閱:
郵件備份稽核審閱、垃圾信件過濾、灰名單防護,垃圾信防護,病毒過濾防護,線上黑名單,圖像辨識
備份還原管理 :
內建伺服器同步 / 鏡射還原 /資料備份還原 /異地備份還原 /參數單獨備份還原 /全機帳號資料備份還原
其他功能整合 :
DNS伺服器 / web網頁伺服器 / SSL憑證管理 / FTP檔案伺服器 / SMB網路芳鄰 / Proxy / Mysql資料庫 /群發郵件
相關細部功能請參考官網資訊:http://www.richesinfo.com.tw

2
何必問
iT邦好手 2 級 ‧ 2018-04-13 10:09:01
  1. 切割區域網段-人少簡單作就是主機段和使用者段
  2. 設定對外IP(最好準備不同ISP各一組IP)及限制內對外及外對內服務及目前IP固定出口路由
  3. 架站(無論軟硬體)
  4. DNS設定A,MX,DKIM,SPF,PTR
  5. 若意外發生SPAM事件被其他家阻擋,可切換對外目前對外IP出口對應
    以上是infra的大約步驟

至於軟硬體mail主機都有備援備份問題
以我為例是以hyper-v+zimbra+AD驗證 建置維護

0
yesongow
iT邦大師 1 級 ‧ 2018-04-17 23:35:43

外網-> WAN 防火牆 LAN1 -- Switch1 --PC群

外網-> WAN 防火牆 LAN2 -- Switch2 --Server群

我的理解,如上!

Server群都接在防火牆的LAN Group Port 嗎?
不太可能你的防火牆具有網孔擴充功能呀,因為Server群可能有20台以上呀!一般還是會用到Switch呀!
只是PC用的Swtich 與 Server 用的Swtich是不同的,PC存取Server都應該進入防火牆後,再放行!

也能減少PC端的壞同人,想要側錄Server的網路溝通封包呀。

我要發表回答

立即登入回答