郵件系統(tǒng)作為企業(yè)重要的基礎(chǔ)應(yīng)用之一，承載著企業(yè)信息傳輸與存儲(chǔ)，是用戶每天工作的必備應(yīng)用。但近來聽聞各行業(yè)頻發(fā)運(yùn)行異常，每次故障都影響一大批用戶無(wú)法正常工作，也給企業(yè)信息安全泄露帶來極大壓力。盡管郵件系統(tǒng)在企業(yè)運(yùn)營(yíng)中扮演著舉足輕重的角色，但因非核心業(yè)務(wù)常被忽視。

本文將聚焦郵件系統(tǒng)運(yùn)維難題，圍繞系統(tǒng)可用性、輕量郵件安全（SIEM）和成本經(jīng)濟(jì)性展開探討。

01. 背景介紹：實(shí)際郵件事故案例

02. 企業(yè)郵件系統(tǒng)缺乏運(yùn)維

以上事件在眾多企業(yè)經(jīng)常發(fā)生，與郵件系統(tǒng)運(yùn)維工作不完善有直接關(guān)系。經(jīng)嘉為走訪客戶后得知，大約 90% 的Exchange管理員在災(zāi)難發(fā)生之前很少進(jìn)行規(guī)范性維護(hù)……為什么？

• 在當(dāng)前的大背景下，市場(chǎng)上Exchange專業(yè)人員很少，企業(yè)無(wú)法尋找或自行培養(yǎng)專業(yè)的郵件技術(shù)專家，大多數(shù)郵件管理員往往身兼多職，作為兼職管理員，很難深入鉆研郵件系統(tǒng)的技術(shù)細(xì)節(jié)，根本不清楚郵件系統(tǒng)運(yùn)維的都需要做哪些動(dòng)作，因此，系統(tǒng)出現(xiàn)問題是難以避免的；
• 另外，企業(yè)郵件惡意事故出現(xiàn)的頻率并不算很高，也并非核心業(yè)務(wù)系統(tǒng)，其重要性往往被忽視；
• 然而，當(dāng)郵件事故真正發(fā)生時(shí)，幾乎都是影響一大批用戶，企業(yè)管理員往往感到力不從心，難以迅速定位并解決，多數(shù)臨時(shí)找尋外部資源支持，這無(wú)疑延長(zhǎng)了故障解決的時(shí)間，引發(fā)用戶不滿和管理員無(wú)奈。

通過以上分析，我們了解到并不是管理員不想運(yùn)維好郵件系統(tǒng)，而是現(xiàn)實(shí)的條件限制了管理員無(wú)法抓住郵件系統(tǒng)運(yùn)維的主要方面，不知應(yīng)開展哪些運(yùn)維工作，本方案就是結(jié)合企業(yè)兼職郵件管理員的特點(diǎn)，為他們提供一套有一定指導(dǎo)性的運(yùn)維思路和模板。

03. 郵件系統(tǒng)應(yīng)如何運(yùn)維？

針對(duì)企業(yè)郵件系統(tǒng)運(yùn)維管理難題，本次Exchange郵件運(yùn)維方案研討，重點(diǎn)梳理了郵件運(yùn)維的“運(yùn)維框架”和“運(yùn)維模板”兩大內(nèi)容。

1）運(yùn)維框架

建議Exchange郵件系統(tǒng)（或同類郵件系統(tǒng)）的運(yùn)維工作，圍繞郵件系統(tǒng)的運(yùn)行可用性、輕量郵件安全可控性（SIEM）、系統(tǒng)的成本經(jīng)濟(jì)性三大框架進(jìn)行開展，如下圖所示：

• 圍繞運(yùn)行可用性開展相關(guān)運(yùn)維工作，可以幫助管理員提升郵件系統(tǒng)的業(yè)務(wù)連續(xù)性，符合SLA要求；
• 圍繞輕量郵件安全可控（SIEM）開展相關(guān)運(yùn)維工作，可以提升郵件系統(tǒng)的安全性，尤其是來自用戶側(cè)的安全性；
• 圍繞系統(tǒng)成本經(jīng)濟(jì)性開展相關(guān)運(yùn)維工作，可以保證郵件系統(tǒng)盡可能以合理的成本投入來支撐郵件服務(wù)。

2）運(yùn)維（工作）模板

基于運(yùn)維框架，具體開展哪些運(yùn)維工作呢？請(qǐng)往下看：

3）運(yùn)行可用性

如何保證郵件系統(tǒng)持續(xù)可用？可通過運(yùn)行狀態(tài)監(jiān)控、運(yùn)營(yíng)告警及處理、故障快速排查、日常巡檢、郵件服務(wù)SLA等5個(gè)方面來保障郵件應(yīng)用的可用性。

① 運(yùn)行狀態(tài)監(jiān)控

• 性能監(jiān)控：郵件系統(tǒng)運(yùn)行相關(guān)的性能負(fù)載
• 連接性監(jiān)控：用戶連接郵箱的通暢性，包括連接服務(wù)、端口、鏈路狀態(tài)等
• 傳輸性監(jiān)控：郵件傳輸是否通暢，包括郵件服務(wù)、隊(duì)列情況、帶毒郵件等
• 數(shù)據(jù)庫(kù)監(jiān)控：郵件數(shù)據(jù)存儲(chǔ)空間、信息存儲(chǔ)服務(wù)、數(shù)據(jù)庫(kù)狀態(tài)、數(shù)據(jù)庫(kù)復(fù)制狀態(tài)等

② 運(yùn)行告警及處理

• 整合郵件系統(tǒng)資產(chǎn)/監(jiān)控/日志等平臺(tái)數(shù)據(jù)，并可集成第三方告警源，實(shí)現(xiàn)告警集中管控
• 依托事件中心的聚類、抑制、收斂及屏蔽等告警算法，實(shí)現(xiàn)郵件系統(tǒng)精準(zhǔn)告警，避免告警潮汐
• 可融合流程、自動(dòng)化等功能，自動(dòng)化或人工干預(yù)解決問題，并可擴(kuò)展ChatGPT智能運(yùn)維

③ 故障快速排查

將郵件系統(tǒng)有關(guān)的網(wǎng)絡(luò)架構(gòu)、服務(wù)狀態(tài)、網(wǎng)絡(luò)連通性、性能、告警、日志等信息，集中于同一儀表盤，快速拉通故障時(shí)間各組件的健康情況，加快排障效率

④ 日常巡檢

日常巡檢內(nèi)容：

• 服務(wù)狀態(tài)
• 性能狀態(tài)
• 數(shù)據(jù)庫(kù)復(fù)制
• 磁盤空間
• 數(shù)據(jù)庫(kù)備份

⑤ 郵件服務(wù)SLA

統(tǒng)計(jì)某一段時(shí)間內(nèi)郵件系統(tǒng)各項(xiàng)服務(wù)的SLA水平，與企業(yè)SLA要求進(jìn)行匹配：

4）輕量郵件安全可控（SIEM）

通過賬號(hào)異常登錄分析、密碼暴力破解監(jiān)測(cè)、賬戶鎖定監(jiān)測(cè)、郵箱創(chuàng)建/禁用審計(jì)、敏感郵件篩選/追溯、郵箱活躍度分析等6個(gè)方面提升郵件輕量安全性。

① 賬戶異常登錄分析

IP-用戶登錄：是否存在同一IP地址，多個(gè)用戶登錄的情況，如果存在：該IP所有者可能涉嫌登錄他人郵箱，有人在他人電腦上登錄個(gè)人郵箱

用戶異地登錄監(jiān)測(cè)：是否存在同一用戶地址，多個(gè)IP地址登錄的情況，如果存在：該用戶多IP登錄的數(shù)量多少，是否合理，大概率每個(gè)用戶應(yīng)該不超3個(gè)

② 密碼暴力破解監(jiān)測(cè)

登錄失敗監(jiān)測(cè)：過往一段時(shí)間內(nèi)，是否存在用戶多次登錄失敗的情況，如果存在：某一個(gè)用戶輸錯(cuò)用戶名、密碼是合理的次數(shù)過多，可能存在其他用戶在嘗試暴力破解密碼

③ 賬戶鎖定監(jiān)測(cè)

被鎖定的用戶：統(tǒng)計(jì)過往一段時(shí)間內(nèi)，登錄失敗被鎖定的用戶：某一個(gè)用戶輸錯(cuò)用戶名、密碼是合理的次數(shù)過多，可能存在其他用戶在嘗試暴力破解密

④ 郵箱創(chuàng)建/禁用審計(jì)

新建郵箱：統(tǒng)計(jì)在過往一段時(shí)間內(nèi)的新建郵箱：郵箱數(shù)量是否符合員工新增數(shù)量是否存在異常郵箱新增情況

禁用的郵箱：統(tǒng)計(jì)在過往一段時(shí)間內(nèi)的禁用的郵箱：禁用的郵箱是否符合員工離職數(shù)量

⑤ 敏感郵件篩選/追溯

• 按照郵箱、主題、發(fā)件人、收件人、發(fā)送時(shí)間等屬性進(jìn)行郵件批量篩選
• 可將篩選出來的郵件進(jìn)行批量移動(dòng)
• 如需對(duì)郵件執(zhí)行批量刪除，工具會(huì)給出批量刪除的官方命令，提醒謹(jǐn)慎操作

⑥ 郵箱活躍度分析

郵箱登錄活躍度：展示過往一段時(shí)間內(nèi)，郵箱登錄次數(shù)最少的用戶

郵箱發(fā)送活躍度：展示過往一段時(shí)間內(nèi)，郵箱對(duì)外發(fā)送郵件數(shù)量最少的用戶識(shí)別不同人員的郵件繁忙程度

5）系統(tǒng)的成本經(jīng)濟(jì)性

對(duì)Exchange而言，在保證高級(jí)別的郵件服務(wù)前提下，保持一個(gè)合理的資源和成本投入，確保系統(tǒng)的成本經(jīng)濟(jì)性，是當(dāng)前經(jīng)濟(jì)嚴(yán)峻形勢(shì)下企業(yè)追求的重要目標(biāo)。

所以如何控制郵件系統(tǒng)的合理化投入，是一個(gè)非常重要的方面，資源分配不足，會(huì)導(dǎo)致郵件系統(tǒng)運(yùn)行緩慢或不正常；資源分配過多，又會(huì)造成資源浪費(fèi)。通過系統(tǒng)架構(gòu)及資源、Exchange磁盤空間統(tǒng)計(jì)、郵箱空間使用分析、郵件收發(fā)量統(tǒng)計(jì)、資源趨勢(shì)分析等6方面入手，不斷優(yōu)化系統(tǒng)運(yùn)行的成本經(jīng)濟(jì)性。

① 系統(tǒng)架構(gòu)及資源

展示Exchange郵件系統(tǒng)拓?fù)浼軜?gòu)，以及所占用的資源情況，可拓展大屏展示

② Exchange磁盤空間統(tǒng)計(jì)

磁盤資源不足，會(huì)觸發(fā)Exchange反壓機(jī)制，導(dǎo)致郵件傳輸服務(wù)暫停，所以資源使用趨勢(shì)，可以提前預(yù)警并解除反壓風(fēng)險(xiǎn)。

③ 郵箱空間使用分析

④ 郵件收發(fā)量統(tǒng)計(jì)

內(nèi)網(wǎng)用戶發(fā)送郵件排行：統(tǒng)計(jì)過往一段時(shí)間內(nèi)，公司內(nèi)部發(fā)送郵件數(shù)量最多的用戶：識(shí)別不同人員的郵件繁忙程度；統(tǒng)計(jì)郵件系統(tǒng)一段時(shí)間內(nèi)的負(fù)荷。

內(nèi)網(wǎng)用戶接收郵件排行：統(tǒng)計(jì)過往一段時(shí)間內(nèi)，公司內(nèi)部接收郵件數(shù)量最多的用戶：識(shí)別不同人員的郵件繁忙程度；統(tǒng)計(jì)郵件系統(tǒng)一段時(shí)間內(nèi)的負(fù)荷。

可擴(kuò)展：內(nèi)網(wǎng)用戶發(fā)送/接收郵件的數(shù)據(jù)量排行：識(shí)別不同人員的郵件繁忙程度；統(tǒng)計(jì)郵件系統(tǒng)一段時(shí)間內(nèi)的負(fù)荷。

⑤ 資源趨勢(shì)分析

組織內(nèi)郵箱服務(wù)器的資源使用情況：識(shí)別一段時(shí)間內(nèi)郵箱服務(wù)器的資源占用情況；分析資源占用的使用情況，全面了解資源占用變化和趨勢(shì)。

04. 用戶經(jīng)驗(yàn)分享：企業(yè)郵件系統(tǒng)運(yùn)維管理

“郵件系統(tǒng)往往不是關(guān)鍵業(yè)務(wù)系統(tǒng)，但其實(shí)際重要性卻通常遠(yuǎn)高于普通辦公系統(tǒng)?！?/span>特約嘉賓汽車金融IT運(yùn)維經(jīng)理劉文廣先生分享時(shí)表示，其公司有上百個(gè)系統(tǒng)，占據(jù)數(shù)據(jù)存儲(chǔ)量最大的是Exchange郵件系統(tǒng)，企業(yè)郵件管理面臨著郵件系統(tǒng)的數(shù)據(jù)敏感性、信息安全性、系統(tǒng)可用性、架構(gòu)經(jīng)濟(jì)性等多重挑戰(zhàn)。

針對(duì)以上難題，劉文廣作出如下經(jīng)驗(yàn)分享：

難題一：數(shù)據(jù)敏感性

經(jīng)驗(yàn)一：

引入郵件歸檔系統(tǒng)及相應(yīng)的權(quán)限設(shè)置，以更安全可控的方式保障郵件的留存

難題二：信息安全性

經(jīng)驗(yàn)二：

• 管理：全員安全意識(shí)、定期釣魚演練、完善應(yīng)急預(yù)案
• 技術(shù)：防毒墻、郵件安全網(wǎng)關(guān)、終端安全、對(duì)外網(wǎng)郵件的警示（低成本且有效）

難題三：系統(tǒng)可用性

經(jīng)驗(yàn)三：

• 內(nèi)部當(dāng)成重要系統(tǒng)進(jìn)行管理（監(jiān)控、容量、安全等級(jí)等）
• 引入安全郵件沙箱（手機(jī)EMM、零信任SDP等）

難題四：架構(gòu)經(jīng)濟(jì)性

經(jīng)驗(yàn)四：

• 生產(chǎn)數(shù)據(jù)放高性能全閃服務(wù)器，三個(gè)月以上數(shù)據(jù)進(jìn)行歸檔削減，并存儲(chǔ)在次級(jí)硬件上
• 配額可以不限，但單封郵件收發(fā)最好進(jìn)行限制
• Coremail、Winmail、中標(biāo)麒麟、U-Mail，TurboEx等

05. 落地工具：嘉為藍(lán)鯨WeOps

嘉為藍(lán)鯨WeOps一體化運(yùn)維平臺(tái)，是為企業(yè)的IT運(yùn)維部門提供覆蓋資源管理、監(jiān)控告警、健康掃描、運(yùn)維工具、知識(shí)庫(kù)、IT服務(wù)臺(tái)等多項(xiàng)功能為一體的運(yùn)維平臺(tái)。WeOps-Exchange運(yùn)維方案，覆蓋運(yùn)行監(jiān)控、高級(jí)操作、數(shù)據(jù)分析等多個(gè)方面，多角度監(jiān)管郵件系統(tǒng)，確保郵件系統(tǒng)健康高效運(yùn)轉(zhuǎn)。

• 基于WeOps平臺(tái)打造的場(chǎng)景化運(yùn)維方案，已有平臺(tái)，則無(wú)需再次部署；
• 輕量化配置，內(nèi)置場(chǎng)景配置指導(dǎo)手冊(cè)；
• 融合聯(lián)動(dòng)，持續(xù)生長(zhǎng)的場(chǎng)景體系。

注：本文章中的所有演示，均基于嘉為藍(lán)鯨WeOps一體化運(yùn)維平臺(tái)實(shí)現(xiàn)。如客戶方已有其他類似運(yùn)維工具，可以參考本文所述內(nèi)容，自行在已有工具上進(jìn)行配置。

06. 總結(jié)

綜上所述，本次直播內(nèi)容涵蓋了Exchange運(yùn)維框架的各個(gè)環(huán)節(jié)，由運(yùn)維模板的詳細(xì)解析到運(yùn)維目標(biāo)的全面保障，均進(jìn)行了系統(tǒng)且深入的闡述。旨在為企業(yè)在郵件系統(tǒng)運(yùn)維方面提供一套具有指導(dǎo)意義的思路和模板。當(dāng)然，郵件系統(tǒng)的運(yùn)維工作涉及眾多復(fù)雜且精細(xì)的方面，例如數(shù)據(jù)泄露防護(hù)（DLP）、郵件歸檔管理、海外郵件智能收發(fā)策略以及Exchange混合架構(gòu)配置等，這些在本方案中未能一一詳盡闡述，期待后續(xù)有機(jī)會(huì)跟廣大朋友交流學(xué)習(xí)。