一种异构域环境下邮件系统部署方法与流程

本发明涉及制造业信息及数据传递领域，尤其涉及一种异构域环境下邮件系统部署方法。

背景技术：

现阶段，很多大型的公司往往存在多个分公司，每个分公司拥有各自独立的域控环境，为了实现数据的传递每个分公司均需要借助邮件系统实现传输，但由于业务的交流和共享以及传输数据的安全性，所以很多企业均在内部网络上自建邮件系统并实现跨地域、跨域环境进行邮件的发送和接收。但由于各企业分公司用户均在各自域环境中，域策略、网络安全策略以及域控制器信息均无法同步，导致在异构域环境下用户只能在当前域控制器环境下进行邮件的发送和接收，而无法跨地域和跨域环境下邮件的发送和接收。

为此，需研究如何实现跨域间用户信息的同步以及通过dnsmx记录进行转发并在邮件系统中设定特定的安全策略实现外部域的信任，最终通过在异构域环境下部署邮件系统解决用户在异构域环境下，在任何一个地方使用任何一个已经信任的smtp地址，通过任何一个邮件收发工具，实现邮件在独立网中相互发送与接收，同时为企业今后的信息化发展提供强而有力的保障，提高制造业企业信息化水平。

技术实现要素：

本发明针对现有技术中存在的缺陷，提出一种异构域环境下邮件系统部署方法。

本发明的目的通过以下技术方案实现：

一种异构域环境下邮件系统部署方法，包括以下步骤：

1)在异构域环境下部署邮件系统，以保证在本地域控制器内用户邮件的发送和接收；

2)在异构域环境下部署邮件系统，以满足跨域间用户邮件的发送和接收；

3)通过与异构域环境用户信息进行同步，实现邮件系统分层通讯簿功能；

4)在保障异构域环境下邮件系统的正常运行的前提下，针对异构域环境设置统一的网络安全策略配置，使得异构域环境邮件系统既满足以前独立网络互访的要求，又能解决异构集成后所带来的安全问题。

其中，所述异构域环境包括父域、子域以及外部独立域三种异构域基础环境架构，每个域均有自己相对应的域策略以及相对应的域名，且构建异构域信息信任，将各跨域控制器通过域信任的方式将所有需信任的域控制器的信息相互同步和信任，包括计算机、用户及dns信息；通过在域控制器上配置域信任，使得无论是同一个森林下的父子域还是不同森林下的各自域控制器均可实现域控制器的信息实现相互转发相互信任。

其中，所述步骤1)具体为：在异构域环境下部署邮件系统，实现异构域dnsmx记录转发，满足本地域控用户能正常识别当前域控环境所有用户的smtp地址，实现域内用户邮件的发送和接收，并且本地域控邮件的发送和接收无需依靠其他异构域环境邮件系统，避免对其他异构域环境资源的占用。

其中，所述异构域dnsmx记录转发，是一种邮件交换记录，用于电子邮件系统发邮件时根据收件人的地址后缀来定位邮件服务器，为此需将各异构环境中各邮件系统的ip地址作为mx记录，让所有异构域环境下的邮件系统实现邮件的发送和接收。在此过程中需要建立健康度极高的dns，以保证mx记录能顺利转发。

其中，所述步骤2)具体为：在异构域环境下部署邮件系统，实现异构域邮件系统外部域信任，满足跨域间用户邮件的发送和接收，主要保证跨域间实现用户信息的共享，并且能通过dnsmx记录转发，自动识别对方的smtp地址，实现异构域环境下邮件发送和接收功能。

其中，所述异构域邮件系统外部域信任，是一种邮件系统的安全设置，初始化情况下邮件系统只能基于当前域控制器的用户进行信任，被信任的用户就具备通过该邮件系统进行邮件的发送和接收功能，为此需满足异构域环境下通过邮件系统实现各异构域用户之间的邮件传输，务必要在异构域邮件系统中设置外部域信任，实现用户在任何一个地方使用任何一个已经信任的smtp地址，通过任何一个邮件收发系统，实现邮件在独立网中相互发送与接收。

其中，所述步骤3)具体为：通过与异构环境用户信息进行同步，实现邮件系统分层通讯簿功能，在发送邮件时务必指导用户的通讯地址方可将邮件发送给对方，由于邮件系统用户众多并且还需实现跨域间进行邮件的发送和接收，在邮件系统构建异构域邮件系统通讯簿，通过将各异构域环境用户信息进行同步，并结合域控制器安全组策略在邮件系统中，实现以当前公司的组织结构层次形成邮件系统分层通讯簿。

其中，所述异构域邮件系统通讯簿，是用于邮件系统快速准确定位用户smtp地址的smtp地址查询数据库，用户在发送邮件时务必填写接收者的smtp地址，邮件系统才能正常的投递到接收者的邮箱中，但由于接收者的smtp地址无法自动获取，为此发送者需咨询接收者的smtp地址后方可进行邮件的发送；为了满足用户获取smtp地址的需求，需与域控服务器以及邮件服务器进行设置，将当前域控服务器上的组织架构自动与邮件服务器通讯簿地址实现同步，通过这种方式用户即可方便快捷的查询到需接收者的smtp地址。

其中，所述步骤4)具体为：保障异构域环境邮件系统的正常运行的前提下，针对异构域环境设置统一的网络安全策略配置，使得异构域环境邮件系统既满足以前独立网络互访的要求，又能解决异构集成后所带来的安全问题。

相对于现有技术，本发明的有益效果为：

本发明的异构域环境下邮件系统部署方法，可以实现异构域环境下用户本地邮件发送和接收、用户跨地域、跨域环境邮件发送和接收以及异构域环境与邮件系统通讯簿同步，主要是解决各企业分公司如何继续沿用已使用的域名，通过dnsmx记录转发、域基础架构信任、邮件系统外部域信任等方式，最终实现在异构域环境下用户在任何一个地方使用任何一个已经信任的smtp地址，通过任何一个邮件收发工具，实现邮件在独立网中相互发送与接收；由于异构域环境的邮件系统是将各自异构域环境通过网络进行互连，在结合公司业务实际需求的前提下，需对整个网络拓扑结构进行总体规划分析，制定一套整体网络安全策略，在保证邮件系统在独立网络互访的前提要求下，尽可能提高网络利用率，降低网络的安全风险。

附图说明

图1为本发明的异构域信息信任示意图。

图2为本发明的异构域环境下邮件转发示意图。

图3为本发明的异构域环境下邮件系统通讯簿示意图。

图4为本发明的异构域环境下网络拓扑示意图。

具体实施方式

以下结合附图及具体实施例对本发明进行详细描述。

实施例1。

如图1所示，目前基于windows活动目录是市场上占用率最高的企业基础架构，企业计算机、用户的管理均基于域策略进行控制，当前企业windows活动目录一般分为同一个森林下的父子域以及两个不同森林下的父子域，如果没有对域控制器进行信任，在异构域环境下就无法实现跨域用户间邮件的发送和接收。

具体的，以中船黄埔文冲船舶有限公司域信任为例进行说明：中船黄埔文冲船舶有限公司现有的windows活动目录已包含当前所有域控环境，本次域信任设置一共需完成2项工作，第一需完成同一个森林下的父子域信任；第二需完成两个不同森林下的父子域信任，通过域信任后，系统管理员无论在哪个域控制器上均可以获取到任何一个windows活动目录的用户及计算机信息，并且各windows活动目录上dns信息也实现相互的同步，为异构域环境下dnsmx记录转发提供支撑。

如图2所示，经过域信任后在异构域环境下实现邮件的发送和接收已经成功一半，接下来就需配置dnsmx记录以及在邮件系统设置外部信任域，一旦完成上述操作，任何一个域的用户在任何一台接入网络的计算机即可通过邮件收发工具实现邮件的发送和接收。

具体的，中船黄埔文冲船舶有限公司邮件传输路径进行说明：拟定一个用户在公司的长洲厂区，该用户的smtp地址是zhangsan@hps.com，该用户需将邮件发送到文冲厂区的用户：李四(lisi@gws.com),此时该封邮件的传输路径从用户：张三邮件收发工具进行发出，通过长洲厂区windows活动目录并在dns记录中搜索lisi@gws.com，经过搜索此时邮件系统无法通过dns记录中找到李四(lisi@gws.com)，此时系统会自动通过dnsmx记录搜索相关的域名(*@gws.com)，此时系统会自动发现在长洲厂区dnsmx记录中找到文冲厂区邮件服务器地址并将该邮件递送到文冲厂区邮件服务器上；文冲厂区邮件服务器接收到该封邮件信息后，对信任区域查找是否是可信任的站点，如果发现该封邮件数据可信任站点后会自动匹配文冲厂区dns服务器上用户的信息，此时在dns服务中发现用户：李四的smtp地址，文冲厂区邮件系统马上将来自长洲厂区的邮件转发到用户：李四的邮箱收发工具中，并告知长洲厂区邮件系统已经发现李四邮箱账号，该邮件已成功发送。

如图3所示，由于邮件的发送和接收均需获取对方的smtp地址，为此需对建立完善通讯簿提供用户进行查询，根据用户的使用习惯，通讯簿需根据当前企业的组织架构进行设置，方便用户根据组织架构查询相对应的用户smtp地址，为此需在邮件系统中建立脱机通讯簿，并在windows活动目录下与邮件系统脱机通讯簿进行人员信息的同步。

图4为异构域环境下网络拓扑示意图，主要设备由加密机、防火墙、入侵检测、漏扫、域控服务器、邮件服务器、用户客户端等设备组成。文冲厂区与长洲厂区之间通过100兆专线连接，长洲厂区与海工厂区通过100兆专线连接，长洲厂区防火墙设置路由以实现文冲厂区与海工厂区之间的网络互联。各厂区之间通过加密机连接以保证数据传输的安全，防火墙配置应用安全策略以阻隔外部非法数据流量进入，其中开放邮件相关服务器ip地址。客户端安装瑞星杀毒软件、主机审计软件等安全产品以保证邮件的安全。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上所述的本发明的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明的保护范围之内。