postfix邮件系统迁徙

一、概述

原有邮件系统是大件在Debian4.0下的Postfix+Extmail，经过六年的使用十分稳定，不过由于对垃圾邮件的防护一直没有找到好的方法，而在Debian操作系统下，原有系统配置信息凌乱，再加上服务器硬盘即将寿终正寝，因此重新搭建新的邮件服务器，并将原有服务器数据进行迁徙，目标是使邮件用户没有察觉的情况下完成。

目标邮件系统经过推敲，决定使用EMOS1.5 X64。服务器依旧是PC电脑，无RAID，双硬盘，/var和/home都放在单独的硬盘上，MySQL数据库定期备份和邮件数据同步热备份，这样原有邮件系统在迁徙后依旧保留（邮件数据与现有服务器热同步），但是只配置内外IP地址，一旦现有服务器出现问题，可以立刻将外网IP切换到这台服务器上，以最低的代价保证系统的稳定性和短时间恢复故障能力。

二、步骤

2.1 先安装部署EMOS1.5 x64，以后简称新系统，Debian的邮件系统简称为老系统。

2.2 将MySQL数据库从老系统导出后，再导入到新系统的MySQL数据库中。

mysqldump -t -uroot -pxxxx postfix>posfix.sql

-t参数是为了不创建表

数据导入使用mysql或者CopyPaste大法皆可，唯一可能遇到的问题是，mysql数据库表结构有变动，或者域名有变动，或者存储邮件数据的目录位置有变动，那没办法只好手动修改sql数据文件了，当然，如果数据量过大，则需要仔细对比前后数据库表结构后，使用select条件导出符合新数据库表格式的数据后再导入。

2.3 导入导出邮件数据文件

直接scp -r xxxx.net root@ip:/home/domains/xxxx.net

拷贝完成后需要修改文件夹用户和用户组 chown -R vuser.vgroup ./xxxx.net

三、安全措施

整合的EMOS，很多地方需要进行修改，使其更符合公司形象和公司邮件安全要求，下面就是要修改的内容：

3.1 修改extmail界面

看到一篇BLOG写的很详细，在此不再重复（http://blog.163.com/jifei881121@126/blog/static/349152592010101521759415/）

3.2 去掉“免费注册邮箱”按钮

公司邮箱这个功能就鸡肋了，为了达到目的需要做两步：

第一，在extmail的webmail.cf中，将SYS_SHOW_SIGNUP=1改为0，这时首页的注册按钮就没了

第二，按钮没了，但是注册邮箱的连接还是有效的，因此需要在extman后台，选择域名后，将“允许自由注册”的勾选去掉，如图：

这样即使在浏览器输入了注册的链接也会显示如下：

3.3 最重要的：在公网上隐藏extman的访问地址

extman在邮件系统中相当有用，但是由于其可以称作是整个邮件系统的核心管理系统，对于邮箱安全来说一旦被破，形式就岌岌可危了

目前有两种方法提高这方面的安全性：

一、限制extman的访问IP地址

如果只需要在局域网内部管理邮件系统，因此对extman进行限制，不容许外部用户访问即可：

vi /etc/httpd/conf/vhost_extmail.conf

添加：

<Directory "var/www/extsuite/extman">

Order deny,allow

deny from all

allow from 192.168.1.0/24

</Directory>

这样就只容许192.168.1.0的网段访问extman，但是如果extman需要在公网可以访问，由于登录公网的IP地址不可能限制死，那么就只有采用第二支方法

二、隐藏extman的访问IP地址

在apache的virualhost中，是按照顺序依次读取httpd.conf中设置的virualhost的，如果以ip地址直接访问，则会默认以第一个virualhost作为相应，因此这个方法就是从这个规则中取巧。

首先，任意设置一个域名，比如：test.com作为访问extman的域名地址，这个域名完全按照个人喜好

其次，将extman的virualhost一定要放在extmail的virualhost之下

第三步，在自己要访问extman的电脑上，修改hosts，将上面设置的域名指向服务器IP

这样在自己的电脑上就可以访问extman了，而不知道这个域名的人就无法访问

三、提高管理账户的密码安全等级

密码大小写，数字，标点符号都是必不可少的，这样基本可以解决安全问题了