淺談高校計算機基礎課教學中的問題及對策論文
高校電子檔案管理是高校校園信息化建設的重要組成部分。本文針對當前高校電子檔案管理工作中存在的主要問題及原因進行分析,并對解決這些問題的具體做法進行探討,提出加強高校電子檔案管理科學化的建議。以下是學習啦小編為大家精心準備的:淺談高校計算機基礎課教學中的問題及對策相關論文。內容僅供參考,歡迎閱讀!
淺談高校計算機基礎課教學中的問題及對策全文如下:
【摘要】:針對華南師范大學電子郵件系統的優化管理進行研究.介紹了校內電子郵件系統的現狀,包括系統網絡部署、收信和發信流程等.對郵件系統目前存在的運維安全問題進行了全面分析,包括校內郵箱與國外郵箱通信暢通性較差、發信機制存在安全漏洞等問題.最后從注冊反向域名及優化發信機制等方面給出了郵件系統的整體優化方案和實施步驟.研究表明華南師范大學電子郵件系統的優化管理,不僅解決了系統運維安全問題、增強了用戶體驗,同時也給管理員的維護管理帶來了便利.這在高校電子郵件系統的管理應用中具有一定的參考意義.
【關鍵詞】: 電子郵件 優化管理 部署 方案 實施
隨著互聯網的飛速發展, E-mail(電子郵件)已成為Internet 應用最為廣泛的一項服務, 也是個人日常工作學習生活中的必備通訊工具. 對于高校而言, 電子郵件更是學校與師生、教師與學生進行互動的重要途徑.目前大部分高校都有屬于自己高校的、自主建設的郵件系統. 自建郵件服務器具有明顯特點:有助于提高辦公效率、增強數據安全、提高單位形象;應用及管理靈活、可根據個人所需進行相應的調整和個性化的設置等. 但高校自主建設的郵件系統在維護管理方面可能都存在不可忽視的問題, 如:垃圾郵件泛濫、郵件遭到攔截和篡改、與國外郵件通信的不暢通性、郵件帳號經常被盜成為垃圾郵件中轉站等. 高校電子郵件系統的管理維護關系到整個學校的形象、與師生的日常工作學習生活也息息相關. 如何更好地優化管理校內電子郵件系統已成為高校亟待解決及長期研究的課題. 本文正是針對華南師范大學電子郵件系統的優化管理展開研究.
1 校內郵件系統的現狀
1.1 網絡部署
華南師范大學電子郵件系統是基于MicrosoftExchange Server 2007[1,2]平臺建設, 主要包括4 臺服務器, 其中兩臺服務器作為郵箱角色, 另外兩臺服務器作為客戶訪問和集線傳輸角色.
Ex-back1 和Ex-back2: 使用兩臺HP 416653-B21服務器2CPU, 4G 內存;Ex-front1 和Ex-front2:使用兩臺HP 416653-B21 服務器2CPU, 4G 內存. 四臺服務器均安裝Windows Server 2003 64bit 操作系統.
Exchange Server 2007 的系統采用Windows Server2003 64 位操作系統, 并安裝了IIS 服務器端程序. 同時將服務器加進域并設置DNS 地址為域控制器地址,活動目錄(Active Directory)域功能級別被設置為2003的純模式. 在確保服務器可以正常訪問Internet 的情況下, 依次在服務器上安裝Microsoft.Net Framework2.0、MMC 控制臺、Microsoft Command Shell、MicrosoftExchange.
2.2 收信流程
郵件系統采用兩臺EQManager 郵件安全網關 (mg1 和mg2)作為收信的反垃圾郵件過濾網關. 郵件MX記錄分別指向mg1 和mg2, mg2 優先級高于mg1.
目前郵件接收流程為:外來郵件首先到達郵件網關(mg1 和mg2), 由郵件網關過濾后再發往郵件服務器前端(Ex-front1 和Ex-front2), 然后再到達郵件后端存儲(Ex-back1 和Ex-back2), 用戶信息由AD 域服務器(AD1 和AD2)提供. 其中客戶端收信服務器為:mail.scnu.edu.cn/pop.scnu.edu.cn, 兩個域名都同時指向了郵箱前端Ex-front1 和Ex-front2 的IP.
2.3 發信流程
現有發信方式有兩種, 分別是web 發信方式和客戶端發信方式. web 發信方式:直接從郵件服務器前端(Ex-front1 和Ex-front2)發出, 不經過郵件網關. 客戶端(outlook、foxmail 等)發信方式:可以任選郵件服務器前端(Ex-front1 和Ex-front2)進行發信, 不經過郵件網關, 也沒有對郵件服務器前端的25 端口進行限制.
2.4 存在的問題與分析
校內自建郵件系統雖然具有明顯的優勢, 例如:增強了內部敏感數據的安全性、提升了學校的身份和形象、方便靈活管理及個性化設置等. 但高校自建的郵件系統普遍存在垃圾郵件泛濫、與國外通信的不暢通性等問題. 目前華師校內郵件系統同樣也存在兩個比較突出的問題:
一是與國外通信的暢通度較差, 校內發往國外的郵件經常出現無故丟失的現象.
二是郵件帳號經常被黑客盜用成為垃圾郵件中轉站對外發送垃圾郵件, 嚴重影響學校的形象, 而且還造成學校的郵件服務器IP 地址被反垃圾郵件組織列入黑名單, 從而導致發往校外的郵件經常被拒收的現象.針對問題一, 通過抓包對日志進行分析, 可知大部分是由于反向DNS 沒做好, 所以被拒收.
使用校內DNS 對郵件服務器的IP 進行PTR(郵件發送過程的反向地址解釋)解釋時顯示正常, 但使用校外DNS 進行PTR 解釋時卻顯示失敗. 通過Trace 跟蹤發現我們校內的DNS 上對郵箱服務器的PTR 記錄完整正確, 但上級DNS 沒有注冊我們校內郵件服務器所在的IP 段: 222.200.128., 即是沒有把128.200.222.inaddr.arpa.授權至我們的DNS.
針對問題二, 通過系統的檢查和分析發現我們的發信流程存在安全漏洞. 郵件服務器前端(Ex-front1 和Ex-front2)的25 端口是對外開放的, 垃圾郵件組織可以直接用smtp 方式往郵件前端發信, 無需經過網關,大量垃圾郵件過濾不了. 另外郵件服務器前端(Ex-front1 和Ex-front2)安裝的是Exchange server 2007,該版本不能做發信頻率限制等安全設置.
3 優化方案及具體實施
擬對校內郵件系統存在的問題進行整體優化調整.優化調整的內容主要分為兩大塊:一個是解決校內與國外通信暢通性較差的問題;二是解決校內郵件系統在發信機制上存在的安全漏洞問題.
3.1 反向域名注冊申請
調研發現校內局域網郵箱與國外通信出現經常丟失或拒收的問題也是眾多高校存在的普遍問題, 究其原因都是未提供PTR(反向地址解釋)記錄, 從而導致國內郵件發到國外被封鎖. PTR (Pointer Recore), 指針記錄, 是電子郵件系統中的一種數據類型, 被互聯網標準文件RFC1035 所定義. 與其相對應的是A 記錄、地址記錄. 二者組成郵件交換記錄. A 記錄解析名字到地址, 而PTR 記錄解析地址到名字. PTR 記錄被用于電子郵件發送過程中的反向地址解析. 當正向域名解析完成后, 還應當向線路接入商(ISP)申請做反向地址解析, 以減少被國外機構退信的可能性.
因此解決的辦法是向上級DNS(或者IP 供應商)申請對我們的服務器IP 段進行反向解釋的授權. 我們的IP 是由教育網CERNET 分配的, 可直接到CERNET網絡信息中心(http://nic.edu.cn/)上提交PTR 記錄的申請. CERNET 網絡信息中心提供了 “IN-ADDR.ARPATemplate [CERNIC-021-HTML]”即CERNIC IPv4 反向域名注冊表, 我們只需要根據注冊表填寫自己所在院校的IP 段及域名等資料, 填寫好后提交申請, 等待申請通過后反向域名解釋生效即可.
3.2 優化發信機制
針對發信流程上存在的安全漏洞, 擬對郵件系統的發信機制進行全面優化.
優化方案為:充分利用郵件網關的反垃圾郵件過濾功能[6,7], 將郵件網關加進發信機制中. 在郵件前端Exchange 上設置外發路由到郵件網關, 向外發信時首先經過郵件網關過濾, 網關過濾后再向外投遞. 同時限制郵件前端服務器的相關端口, 禁止垃圾郵件組織直接往郵件前端發送. 由于Exchange server 自身的特點, 只能指向一臺網關作外發路由. 考慮到收信過濾網關設置是mg2 優先級高于mg1, 為均衡負載, 在發信過濾網關上選擇mg1 為外發路由. 發信路由轉發雖然沒有實現群集, 但若某臺發生故障時, 可以通過對DNS 和Exchange server 的簡單設置, 隨時進行調整,實現快速功能轉移.
具體實施:
①首先在郵件網關上設置郵件服務器前端的IP 為無條件信任狀態. 即在郵件網關mg1 的系統配置中→抗攻擊配置→非受限IP 里分別添加郵件服務器前端Ex-front1 和Ex-front2 的IP, 在mg1 的策略配置中→IP控制列表→允許轉發列表中添加Ex-front1 和Ex-front2的IP.
②其次設置Exchange server 的轉發路由. 在Exchange 管理控制臺的集線器傳輸里選擇發送連接器,在發送連接器的“Internet 屬性”的“網絡”設置中, 有一個“通過以下智能主機路由郵件”的選項, 把郵件網關mg1 的IP 添加到該選項中. 這樣可保證用戶在用Web方式發信時都經由郵件網關mg1 來過濾.
③接下來修改DNS 設置. 這次優化調整擬統一規范客戶端設置, 原客戶端設置收發服務器均為mail.scnu.edu.cn, 而且該域名直接指向Ex-front1 和Ex-front2 的IP(存在垃圾郵件組織用smtp 方式直接往郵件前端發信的漏洞). 現將發信服務器域名更改為smtp.scnu.edu.cn, 該域名直接指向郵件網關mg1 的IP(由網關過濾和作發信頻率限制);發信服務器域名更改為pop.scnu.edu.cn, 該域名分別指向郵件服務器前端Ex-front1 和Ex-front2 的IP. MX 記錄維持原樣不變,即同時指向mg1 和mg2, 但mg2 優先級高于mg1. 以此確保收發郵件都經過郵件網關過濾, 發信過濾由mg1 負責, 收信過濾則主要由mg2 承擔.
④最后是更改端口設置. 一是防火墻對外開放郵件網關(mg1 和mg2)的部分端口, 包括25、587、465、995 等. 二是更改郵件服務器前端(Ex-front1 和Ex-front2)的系統防火墻設置, 設置郵件服務器前端發送端口(25)僅能與郵件網關通訊, 禁止外來郵件直接使用它們作為發信端口. 由此限制垃圾郵件組織直接往郵件服務器前端濫發垃圾郵件.
4 應用效果與分析
華師校內郵件系統經過優化調整后, 校內郵箱與國外通信不暢的問題得到了很大改善. 用戶跟蹤測試發現, 以前發往國外的郵件經常被拒收, 診斷信息諸如“Unfortunately, messages from 222.200.128.35 weren'tsent. Please contact your Internet service provider sincepart of their network is on our block list.”; 自學校反向域名(PTR)注冊申請通過后, 像此類因為反向DNS 沒做好被國外郵件系統拒收的情況均未再出現過, 與國外收發郵件都趨于正常狀態.
對校內郵箱發信機制的調整, 也解決了郵件系統之前存在的安全隱患問題. 發信機制優化前, 校內郵件發送至校內或校外均未作過濾, 以致無法對用戶濫發郵件作限制處理;發信機制優化后, 校內郵件發送經由網關過濾, 由網關的統計報表中的 “發信人統計”中可以看到:主題為(null)以及校外郵箱利用校內郵箱來發信的, 幾乎全部被過濾, 加上基于其它原因被過濾的垃圾郵件每天都有幾千或上萬封, 這很好地限制了校內垃圾郵件的濫發, 并減輕了郵件服務器的負荷.
對外關閉郵件前端服務器的25 端口, 可以有效地限制黑客盜用校內郵箱帳號作為垃圾郵件中轉站對外濫發. 25 端口關閉前, 時常會出現用戶被盜號并以每秒上百封地外發垃圾郵件;25 端口關閉后, 即使用戶被盜號也無法用smtp 方式連接25 端口來批量發信, 而web 方式有網關作發信頻率限制. 因此從根本上解決了垃圾郵件濫發的問題, 這也減少了校內郵件服務器IP 被其它反垃圾郵件組織列入黑名單的機率, 從而很好地維護了學校的聲譽, 保障了校內外郵箱通信的暢通性.
將郵件網關引入發信機制中, 對郵件系統的日常監控、管理維護也提供了很大便利. 發信機制引入郵件網關前, 用戶發信情況及故障日志都只能通過逐臺郵件服務器排查, 且無web 界面, 查找費時費力;發信機制引入郵件網關后, 可直接通過登陸網關的web 應用界面進行排查, 方便快捷. EQManager 郵件網關[8]自帶的“系統監控”功能, 可以讓管理員及時監控資源的使用情況、SMTP 連接數等; “郵件隊列”模塊提供了包括正常、可疑、過濾三種隊列的查詢、放行等功能; “系統配置”和“策略配置”模塊可供管理員隨時調整過濾規則、策略設置、實時黑名單及抗攻擊配置等;而 “日志瀏覽”和“日志查詢”模塊可以及時查詢用戶的發信狀態及投遞情況. 這不僅給管理員的日常維護工作帶來便利, 也大大提高了工作效率.
因此, 校內郵件系統的優化調整, 不僅給校內郵箱用戶帶來了良好的用戶體驗, 而且給郵件系統管理員提供了更好的監控、查詢、診斷等管理維護功能.
5 結語
華南師范大學電子郵件系統的優化管理調整, 不僅解決了校內郵箱與國外通信難的問題, 而且修復了原來發信流程中存在的安全漏洞, 保證了校內郵箱與校外郵箱的收發通暢, 同時也提升了學校的聲譽與形象. 因此, 華師校內郵件系統的優化管理, 不僅解決了系統運維安全問題, 增強了用戶體驗, 同時也給管理員的日常維護管理帶來很大便利, 這在高校電子郵件系統的管理應用中具有一定的參考價值和意義.
相關文章: