利用利用利用利用

利用 利用 利用

利用 Google Apps for Education 建置全校性電子郵件服務 建置全校性電子郵件服務 建置全校性電子郵件服務 建置全校性電子郵件服務

林恩德 林恩德 林恩德

林恩德 萬序恬 萬序恬 萬序恬 萬序恬 楊振昌 楊振昌 楊振昌 楊振昌 吳志忠 吳志忠 吳志忠 吳志忠 臺北醫學大學 臺北醫學大學 臺北醫學大學 資訊處 臺北醫學大學 資訊處 資訊處 資訊處

[email protected] [email protected] [email protected] [email protected]

摘要 摘要 摘要 摘要

臺 北 醫 學 大 學 校 園 網 路 自 1995 年 起 接 上 TANET，即建置電子郵件伺服器提供全校教職員工 生使用，至 2010 年止，皆自行維護電子郵件伺服 器，由於本校電子郵件的開設政策為只新增不刪除，

因此每年必須編列大筆的預算更新伺服器及其儲 存設備因應帳號的成長。加上資訊安全的需求，資 訊處亦投入許多的人力來負責該郵件伺服器運作、

防毒、防垃圾信等機制的維運。

自從 2009 年起，臺北醫學大學資訊處在規劃 骨 幹 機 房 伺 服 器 雲 端 虛 擬 化 的 同 時 ， 亦 注 意 到 Google Apps for Education^[1] 在國際上成功的運用 範例，尤其 Google Apps 提供行動裝置存取得、超 大儲存空間、超強搜尋功能，應能大幅提升校園通 訊效率，加上此服務至目前為止仍對教育單位提供 免費使用。資訊處於是開始構思轉移並計算移轉成 本與所需資源的投入。經過一連串的模擬測試與沙 盤推演，在 2010/11/12 正式切換所有電子郵件服務 平臺，目前已有三萬個帳號，每日約有近 5000 個 帳號在使用中，根據本校使用者的回饋發現，使用 者普遍認為新服務好用且較穩定，目前本校原本的 電子郵件服務已於轉移後的半年後正式關機停止 運轉。

關鍵詞關鍵詞關鍵詞

關鍵詞：雲端服務、電子郵件、Google Apps

Abstract

When Taipei Medical University hook to TANET in 1995, email was the first service launched for our students and teachers. Office of Biomedical Informatics is responsible to maintain the email server and related services, such as, spam prevention, or anti-virus. In order to fulfill the increasing needs of email service, a huge portion of our annual budget was spent. Besides of financial support, manpower shortage was another important concern. Since 2009, there are several case studies of Google Apps for Education in the USA. After a long test run and policy modification, we move all email accounts onto Google Apps for Education on Nov. 12, 2010. There are nearly 30,000 email accounts under TMU’s domain hosted by Google now. Among them, 5,000 accounts are been used frequently. In user survey, most of them rate that new email service “very good” and “good.”

We now shut down the old email server and RAID.

Keywords: Clouding application, Google Apps, email

1. 前言 前言 前言 前言

臺北醫學大學電子計算機中心於 1994 年成立，

校園網路於次年接上 TANET，並建置電子郵件伺服 器提供全校教職員工生使用，歷年來該電子郵件伺 服器皆為自行維護。由於使用者行動存取需求大量 提升，使用者皆希望其電子郵件不要受到地域與時 間的限制，可隨地、隨時地在網路上存取，信件皆 希保留於電子郵件伺服器的信箱中，於是將近三萬 帳號的每位使用者的信箱擴大為 4GBytes，並建置 了 WebMail 介面以供使用者使用。

臺北醫學大學的校務資訊系統大多以電子郵 件帳號為使用者之登入認證帳號，故電子郵件伺服 器除提供使用者電子郵件服務外，更是各種資訊服 務的登入認證系統。故每年除必須編列大筆預算來 更新伺服器及其儲存設備，亦需投入大多的人力來 負責該郵件伺服器運作、防毒、防垃圾信機制的維 運。

2. TMU 電子 電子 電子 電子郵件服務架構 郵件服務架構 郵件服務架構 郵件服務架構

臺北醫學大學電子郵件服務系統為提供使用 者穩定的服務，曾歴經三次大幅的改版及移轉。

2.1 初期建置 初期建置 初期建置 初期建置(1995~2004 年 年 年 年)

臺 北 醫 學 大 學 之 郵 件 伺 服 器 係 1995 年 以 sendmail^[2] 建置於 SUN Solaris 系統平臺，每位使用 者的電子郵件信箱為 30Mbytes，使用者使用 POP3 協定將電子信件收到個人電腦，伺服器上不保留信 件，電子郵件系統的防毒的機制使用 officescan。

2.2 Solaris 移轉 移轉 移轉至 移轉 至 至 Linux 平臺 至 平臺 平臺(2004 年 平臺 年 年 年)

由於使用者帳號增加，儲存空間需求亦增加，

配合骨幹房搬遷及維運成本考量，將郵件伺服器由 原建置於 SUN Solaris 系統平臺移轉至 Linux 系統平 臺，每位使用者郵件信箱擴增至 1GBytes，並建置 WebMail 介面，以提供使用者可由網頁瀏覽器存取 處理其電子郵件。

2.3 郵件過濾 郵件過濾 郵件過濾 郵件過濾機制的加入 機制的加入 機制的加入 機制的加入(2006 年 年 年 年)

電子郵件病毒及垃圾信件日逐嚴重

病毒及垃圾信件的散佈，將原本的單一郵件伺服器 系統，擴充為多臺郵件過濾器、電子信箱伺服器及 郵件閘道器所組成的郵件服務系統

由 開 放 性 源 碼 之 sendmail Milter SpamAssassin^[4] 所組成，分別做為

及 smtp 伺服器。另每位使用者郵件信箱擴增為 4GBytes。因 mx filter、smtp server

獨立出來，大幅改善網域(mail server)

信件的機率。SpamAssassin 啟動智慧型回報學習機 制，使用者可利用 WebMail 介面回報垃圾信件 統藉由智慧學習以提供垃圾信件的辨別率

圾信件的阻擋率高達 96%，但隨著垃圾郵件的多元 化及偽裝技術增進，其辦識率有逐漸下降的趨勢

Internet

@tmu.edu.tw 郵件伺服器病毒郵件伺服器病毒郵件伺服器病毒郵件伺服器病毒

SMTP(Mfilt POP3(Mbox)

Mgate MX

Mfilt1

@tmu.edu.tw

@tmu Like Virus/Spam

Sendmail

Clamavd Amavisd /Greylisting/

Spamassassin

Sendmail

Clamavd Amavisd /Greylisting/

Spamassassin

圖圖

圖圖 1 TMU 電子郵件服務系統電子郵件服務系統電子郵件服務系統電子郵件服務系統

2.4 Google Apps 移轉 移轉 移轉(2010 年 移轉 年 年 年

使用者隨時、隨地存取電子郵件 需求增加，使用者亦希能提供及分享行事 需求。Google Apps 是一種能夠「

提供 IT 應用程式，讓使用者隨時隨地都能透過網路 使用這些應用程式，而不用維護程式的基礎架構 透過電子郵件服務的移轉，學校不必再支付大量的 建設基礎架構的費用與維運成本，

到更重要的學生學習資訊環境。

3. Google Apps 轉換規劃 轉換規劃 轉換規劃 轉換規劃

Google Apps 雖提供多種應用服務

初仍以電子郵件為主。臺北醫學大學的校務資訊系 統大多以電子郵件帳號為使用者之登入認證帳號 故電子郵件伺服器除提供使用者電子郵件服務外 更是各種資訊服務的登入認證系統

服務轉換至 Google Apps 後仍需考量到資訊系統的 認證問題。

3.1 轉換規劃 轉換規劃 轉換規劃 轉換規劃

希望使用者端(近三萬個帳號

包 含 其 登 入 的 帳 號 / 密 碼 、 各 項 讀 信 應 用 軟 體 (webmail 及 pop3)上的設定皆不必更動

信件保留於郵件伺服器上者轉換後於新的

電子郵件病毒及垃圾信件日逐嚴重，為了防堵 將原本的單一郵件伺服器 電子信箱伺服器及 郵件閘道器所組成的郵件服務系統。而郵件過濾器 sendmail Milter 、 clamav^[3] 及 分別做為 mx 郵件過濾器 另每位使用者郵件信箱擴增為 smtp server 與 mailbox 分別 (mail server)內部傳遞病毒 啟動智慧型回報學習機 介面回報垃圾信件，系 統藉由智慧學習以提供垃圾信件的辨別率，初期垃 但隨著垃圾郵件的多元 其辦識率有逐漸下降的趨勢。

USER 郵件伺服器病毒

郵件伺服器病毒 郵件伺服器病毒

郵件伺服器病毒/垃圾信件防堵機制架構圖垃圾信件防堵機制架構圖垃圾信件防堵機制架構圖垃圾信件防堵機制架構圖

2006年11月13日

Mfilt2) POP3

SMTP

tmu.edu.tw

Like Virus/Spam

電子郵件服務系統 電子郵件服務系統電子郵件服務系統 電子郵件服務系統

年 年 年 年)

電子郵件及多媒體附件 使用者亦希能提供及分享行事曆服務的

「以服務的形式」

讓使用者隨時隨地都能透過網路 而不用維護程式的基礎架構。

學校不必再支付大量的

，並可將資源投入

雖提供多種應用服務，但轉換之 北醫學大學的校務資訊系 統大多以電子郵件帳號為使用者之登入認證帳號，

故電子郵件伺服器除提供使用者電子郵件服務外，

更是各種資訊服務的登入認證系統。故於電子郵件 後仍需考量到資訊系統的

近三萬個帳號)能近無痛轉移，

各 項 讀 信 應 用 軟 體 上的設定皆不必更動，使用者將 信件保留於郵件伺服器上者轉換後於新的 Google

Apps 上仍可看到舊的信件。

一、 電 子 郵 件 伺 服 器 上 的 近 三 萬 個 帳 號 以 API 同步至 Google A

二、 架設 pop3proxy，使用者使用 定者仍可轉向至 Google Apps

三、 幫保留於郵件伺服器上的信件轉移備份 至 Google Apps。

因受 Google Apps 帳號/

碼長度…)，少部份使用者可能無法完成登入認證 使用者需另由帳號管理網頁進行密碼變更 復正常收信。

圖 圖 圖

圖 2 轉換前郵件服務系統架構圖轉換前郵件服務系統架構圖轉換前郵件服務系統架構圖轉換前郵件服務系統架構圖

圖圖

圖圖 3 轉換後郵件服務系統架構圖轉換後郵件服務系統架構圖轉換後郵件服務系統架構圖轉換後郵件服務系統架構圖

以 開 放 源 碼 perdition^[5]

Google Apps – Gmail 登入認證 使用者使用 pop3 通訊協定者，

幫使用者轉換成 pop3s 通訊協定

系統讀信視窗的問題，造成使用者信件保留於伺器 上，且在多個裝置上使用 pop3

時^[6]，會有信件遺漏或重複收信的情形 加入 recent:將可解決，故 pop3proxy pop3 的協定前加入 recent:字眼 容如下：

recent\:(.*)@tmu.edu.tw:

recent\:[email protected]\#pop.gmail.com:995 recent\:(.*): recent\:[email protected] (.*)@tmu.edu.tw: recent\:[email protected] (.*): recent\:[email protected]\#pop.gmail.com:995

3.2 SAML-Base 單一登入技術導入 單一登入技術導入 單一登入技術導入 單一登入技術導入

臺北醫學大學的校務資訊系統大多以電子 件帳號為使用者之單一登入認證帳號

電 子 郵 件 伺 服 器 上 的 近 三 萬 個 帳 號 以 Google Apps。

使用者使用 pop3 通訊協 Google Apps。

幫保留於郵件伺服器上的信件轉移備份

/密碼同步的限制(如密 少部份使用者可能無法完成登入認證，

使用者需另由帳號管理網頁進行密碼變更，才可恢

轉換前郵件服務系統架構圖 轉換前郵件服務系統架構圖 轉換前郵件服務系統架構圖 轉換前郵件服務系統架構圖

轉換後郵件服務系統架構圖 轉換後郵件服務系統架構圖 轉換後郵件服務系統架構圖 轉換後郵件服務系統架構圖

[5] 架 設 pop3proxy ， 登入認證連線為 POP3/SSL，

，需由 pop3proxy 自動 通訊協定，另因 Gmail 郵件 造成使用者信件保留於伺器 pop3 通訊協定存取信件 會有信件遺漏或重複收信的情形，在設定上 pop3proxy 亦需自動幫 字眼，perdition 設定檔內

#pop.gmail.com:995

:[email protected]\#pop.gmail.com:995 :[email protected]\#pop.gmail.com:995

#pop.gmail.com:995

單一登入技術導入 單一登入技術導入 單一登入技術導入 單一登入技術導入

臺北醫學大學的校務資訊系統大多以電子郵 登入認證帳號，以往各資訊

系統需自行處理登入的問題。一來使用不同的系統 皆另行個別登入，二來會造成程式設計師需另行處 理登入的程序、也讓程式設計師有機會接觸到使用 者的密碼，成為另一個資訊安全的議題。

Google Apps 是 建 置 在 以 SAML (Security Assertion Markup Language)^[7] 為基礎的單一登入 服務，讓使用者的登入程序即簡單又安全。在本次 的系統移轉時亦考慮將，SAML 單一登入技術導入 本校各資訊系統登入程序中。

圖圖圖

圖 4 SAML 基本架構基本架構基本架構基本架構

(http://code.google.com/intl/zh-TW/googleapps/domain/sso/saml_referenc e_implementation.html)

臺 北 醫 學 大 學 自 行 開 發 之 資 訊 系 統 大 都 以 WebBase 為主，目前已將 SAML 單一登入程序導入 各資訊系統，使用者在各不同的資訊系統間切換時，

僅需登入一次。

圖圖

圖圖 5 以以以以 SAML 為基礎的單一登入為基礎的單一登入為基礎的單一登入為基礎的單一登入

4. 結論 結論 結論 結論

利用 Google Apps for Education 建置全校電子 郵件服務，提供使用者有更大容量(7+GBytes；目前 校園版已升級到 25GBytes) 的信件儲存空間、更少 的垃圾郵件、99.9%正常運作時間服務滿意保證、

及增強的電子郵件安全性，使用者可隨時隨地於可 上網的地方接收處理信件，以增加電子郵件的處理 效率。因為網頁式應用服務不需要新增任何硬體或 是軟體投資，所以於學校的立場亦降低了電子郵件

服務的維運成本。

在本校使用此平台約一年後所進行的使用者 使用調查中可發現，70%以上的使用者非常滿意或 是滿意新的 EMAIL 服務。

Google Apps 提 供 除 了 大 容 量 的 電 子 郵 件 (Gmail)服務外，還提供多項應用服務，如：行事曆 (Calendar)、文件(Docs)、協作平臺(Sites)、通訊錄 (Contac)、即時通(Talk)、影音(Video)、行動使用 (Mobile)Apps、網上論壇(Group)等。未來將可提供 臺北醫學大學建構全方位雲端運算與協同作業服 務的解決方案。

參考文獻 參考文獻 參考文獻 參考文獻

[1] Google Apps for Education | Official Website, http://www.google.com/apps/intl/en/edu/

[2] SENDMAIL, http://www.sendmail.com/

[3] ClamAV, http://www.clamav.net/

[4] SpamAssassin, http://spamassassin.apache.org/

[5] Perdition, http://horms.net/projects/perdition/

[6] Using POP on multiple clients or mobile devices,

https://mail.google.com/support/bin/answer.py?hl=zh-Hant&a nswer=47948

[7] SAML Single Sign-On (SOO) Service for Google Apps, http://code.google.com/intl/zh-TW/googleapps/domain/sso/sa ml_reference_implementation.htmll