首先申明,本文不是介绍翻墙的SDWAN!
建设和管理企业电子邮局,最大的难度是反垃圾邮件,而最大的困境则是收发海外邮件的不稳定性,面对国际网络的波动,干着急。本文以实例来介绍,用最低的成本建设一个平稳的国际性的电子邮局。
特别的准备工作:
- 一条有固定公网IP的上网宽带。在深圳,这种宽带,中国移动500Mbps速率的可以做到一千多块钱每年。它除了给邮件服务器用,还可以给局域网内所有电脑用来上网,所以不算增加成本。
- 一条国际网络专线(不走公网那种),例如MPLS。本实例是深圳公司与香港总部之间的MPLS专线。提供这种专线的ICP有中信国际电讯,香港电讯等等,价格上比中国电信的城域网宽带贵不了多少。这条专线除了给邮件服务器提供稳定的出口带宽,还可以建设VOIP,让国际电话变成内线电话,还可以做稳定的国际视频会议,还可以轻松地上国际安规认证网站申报资料,还可以做VPN,让深港两地办公室里的电脑象在同一个局域网里一样便捷访问,等等。这是本方案唯一要增加的成本,但收益也很大。
- MX解析做两个,国内和海外。大部份互联网内容服务商能提供这种解析服务,如果您的域名不好彩,是在某壳注册的,还得去其它的ICP注册一个MX主机名,把邮箱域名的MX记录指向新注册的MX主机名。验证结果如下(化名举例):
C:\>nslookup xmail.jh1999.cn 8.8.8.8
伺服器: dns.google
Address: 8.8.8.8
DNS request timed out.
timeout was 2 seconds.
未經授權的回答:
名稱: xmail.jh1999.cn
Address: 203.85.32.2
C:\>nslookup xmail.jh1999.cn 114.114.114.114
伺服器: public1.114dns.com
Address: 114.114.114.114
未經授權的回答:
名稱: xmail.jh1999.cn
Address: 119.145.3.8网络拓仆图
国内防火墙(以华为USG6300为例)配置:
- 网络 → 接口 → LAN接口(192.168.0.4):要勾选“多出口选项”和“源进源出路由控制”,但不要勾“缺省路由”,默认网关填MPLS本端路由器的内网IP地址。
- 网络 → 接口 → WAN接口(119.145.3.8):要勾选“多出口选项”和“源进源出路由控制”,还要勾“缺省路由”,默认网关填ICP供应商提供的网关IP,DNS服务器建议用223.5.5.5,自2024年6月份后114.114.114.114DNS解析海外地址有时异常。
- 策略 → NAT策略 → 源NAT:增加记录(NAT4-9),trust→trust,服务=smtp,转换方式=不做NAT转换(对方可见到源IP,以免误判),其它都选any。
- 策略 → NAT策略 → 源NAT → NAT地址池:增加记录(Addr3.8),IP地址范围=119.145.3.8,勾选“充许端口地址转换”,其它保持默认值。
- 策略 → NAT策略 → 源NAT:增加记录(NAT3.8),trust→untrust,服务=any,转换方式=地址池中的地址,地址池=Addr3.8,其它都选any。
- 策略 → NAT策略 → 服务器映射:增加记录(SMTP-HK),公网地址=192.168.0.4,私网地址=192.168.0.9,协议=TCP,公网端口=25,私网端口=25。
- 策略 → NAT策略 → 服务器映射:增加记录(SMTP-CN),公网地址=119.145.3.8,私网地址=192.168.0.9,协议=TCP,公网端口=25,私网端口=25。
香港防火墙(以SonicWall为例)配置:关键一点是,把WAN口203.85.32.2的25端口映射到深圳防火墙LAN口192.168.0.4的25端口。
通过上述组合拳,海外来的邮件通过专线进入服务器,国内来的邮件则通过上网宽带进入服务器。发往海外的邮件,添加相应的静态路由,让其通过专线离境,发往国内的邮件让其走默认路径即可。如此,收发邮件都避开了国际公共网络的波动,稳稳的一台国际电子邮局建成!
当然,如果邮局里的邮箱不到一百个,向ICP租用企业邮局,在金额上会更加实惠。
注意事项:
- 邮件服务器192.168.0.9的路由表要干净,各种策略路由线路尽量在网关中实现。
- 常用的海外SMTP接收服务器IP,可以在邮件服务器里加静态路由,经MPLS香港防火墙链接。
- 若海外的接收服务器同时兼做发送服务器,不可经MPLS建路由,呼叫和反应必须线路一致才能完成会话。
- 与邮件服务器同属一网段(192.168.0.0/24)的电脑,telnet 192.168.0.4 25 会失败,这不影响邮件收发。
