架构研究室

一 软件环境
最近负责一个公司网站和邮件系统的搭建，以前自己一直没有仔细的研究过邮件系统的从零开始搭建工作，趁现在工作之余也同时将文档整理一次；
主要针对快捷高效搭建，简单实用为主，基本够一个人数50-100的小型公司使用。

操作系统：CentOS release 5.3 (Final) x86_64
数据库：mysql Ver 14.12 Distrib 5.0.45
php：php 5.2 up
邮件系统：postfix 2.5.6 + iredmail 0.4.0
webmail：RoundCube 1.0.2

iRedMail 0.4.0 下载地址：戳这里

二 安装过程
因许多软件涉及到yum安装，这里我给出国内一个非常快的Centos镜像，请戳这里下载
1. 数据库和邮件系统安装
mysql 安装和postfix 安装 全部采取yum安装

———————————————-
$ yum install -y mysql mysql-server mysql-devel
$ yum install -y postfix

2.php安装

———————————————-
$ yum install -y php php-ldap php-gd php-imap php-mysql php-pear php-mbstring

3.iredmail 安装
下载解压 iRedMail-0.4.0.tar.bz2
安装指令：

———————————————-
$ cd /path/to/iRedMail-x.y.z/
$ cd pkgs/
$ sh get_all.sh
$ cd ../
$ sh iRedMail.sh

安装过程详细介绍请参看：戳这里
注：
a：安装之前请先行设定mysql的root帐号和密码；空密码不被接受；
b：其中数据库只需选择mysql即可；
c：webprogrem选择RoundCube即可，其他默认；
d：请记住设定的mail admin的帐号和密码。

三 配置过程
因为iRedMail的高度整合，使得配置过程异常的简单。甚至可以不需要对postfix进行多余设定；
注意修改以下基本配置：iRedmail安装过程中已经增加的这部分设定，请在配置文件的最末尾处修改；

1． myorigin
myorigin参数指明发件人所在的域名。如果你的用户的邮件地址为user@domain.com,则该参数指定@后面的域名。缺省地，postfix使用本地主机名作为myorigin，但是建议你最好使用你的域名，因为这样更具有可读性。比如：安装postfix的主机为 mail.domain.com则我们可以这样指定myorigin:

2． mydestination
mydestination参数指定postfix接收邮件时收件人的域名，换句话说，也就
是你的postfix系统要接收什么样的邮件。比如：你的用户的邮件地址为user@domain.com, 也就是你的域为domain.com, 则你就需要接收所有收件人为user_name@domain.com的邮件。与myorigin一样，缺省地，postfix使用本地主机名作为 mydestination。如：

3． notify_classes
在postfix系统中，必须指定一个postfix系统管理员的别名指向一个用户，
只有这样，在用户遇到问题时才有报告的对象，postfix也才能将系统的问题报告给管理员。notify_classes参数就是用来指定向postfix管理员报告错误时的信息级别。共有以下几种级别：

2bounce：将两次不可投递的邮件拷贝发送给postfix管理员。

delay：将邮件的投递延迟信息发送给管理员，仅仅包含信头。

policy：将由于UCE规则限制而被拒绝的用户请求发送给postfix管理员，包含整个SMTP会话的内容。

protocol：将协议的错误信息或用户企图执行不支持的命令的记录发送给postfix管理员。同样包含整个SMTP会话的内容。

resource：将由于资源错误而不可投递的错误信息发送给postfix管理员，比如：队列文件写错误等等。

software：将由于软件错误而导致不可投递的错误信息发送给postfix管理员。

缺省值为：

4．myhostname
myhostname 参数指定运行postfix邮件系统的主机的主机名。缺省地，该值被设定为本地机器名。你也可以指定该值，需要注意的是，要指定完整的主机名。如：

5．mydomain
mydomain参数指定你的域名，缺省地，postfix将myhostname的第一部分删除而作为mydomain的值。你也可以自己指定该值，如：

6．mynetworks
mynetworks 参数指定你所在的网络的网络地址，postfix系统根据其值来区别用户是远程的还是本地的，如果是本地网络用户则允许其访问。你可以用标准的A、B、C类网络地址，也可以用CIDR（无类域间路由）地址来表示,如：

7．inet_interfaces
inet_interfaces 参数指定postfix系统监听的网络接口。缺省地，postfix监听
所有的网络接口。如果你的postfix运行在一个虚拟的ip地址上，则必须指定其监听的地址。如：

关于postfix的配置详细介绍可参看戳这里
需要注意的是dovecat配置在main.cf中的和master.cf的端口一致；否则会导致邮件发送失败；

———————————————-
#main.cf
content_filter = smtp-amavis:[127.0.0.1]:10024
#master.cf
127.0.0.1:10024 inet n – – – – smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_delay_reject=no
-o smtpd_client_restrictions=permit_mynetworks,reject
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks_style=host
-o mynetworks=127.0.0.0/8
-o strict_rfc821_envelopes=yes
-o smtpd_error_sleep_time=0
-o smtpd_soft_error_limit=1001
-o smtpd_hard_error_limit=1000
-o smtpd_client_connection_count_limit=0
-o smtpd_client_connection_rate_limit=0
-o receive_override_options=no_header_body_checks,no_unknown_recipient_checks

以上设定完成后，确认启动postfix、policyd、dovecot、httpd、mysqld；

四、测试过程
1. 访问：http://your_server/mail/

以上设定正确，请登录测试发送邮件是否正常；

2. 增加邮件用户和邮箱容量大小配额设定
a.首先登录mysql；
b.依次执行以下指令：

———————————————-
mysql> use vmail;
Database changed
mysql> INSERT INTO mailbox (username, password, name, maildir, quota, domain, active)
-> VALUES (‘testuser@hiadmin.com’, ‘$1$W.UWoG.0$Bnq8mcbsi1UhFVpiJ2jvY0′, ‘testuser’, ‘hiamdin.com/testuser/’, ’2048′, ‘hiadmin.com’, ’1′);
Query OK, 1 row affected (0.00 sec)
注：
#在mailbox生成用户帐号、密码、以及邮箱容量quota 2048为2GB
#其中password字段值，可以使用 openssl passwd -1 testuser生成；

mysql> INSERT INTO alias (address, goto, domain, active)
-> VALUES (‘testuser@hiadmin.com’, ‘testuser@hiadmin.com’, ‘hiadmin.com’, ’1′);
Query OK, 1 row affected (0.00 sec)
注：
#alias 中生成别名；

c.也可以用iRedmail的tools 脚本；

———————————————-
$cd /path/to/iRedMail-0.4.0/tools #该目录下有个create_mail_user_MySQL.sh的脚本，可以为你生成增加用户的sql语句；
#执行脚本前实现生成userlist.txt
$echo testuser >userlist.txt #每行一个用户名即可
$sh create_mail_user_MySQL.sh userlist.txt #生成output.sql
#登录到mysql，在vmail库中执行
mysql> source /path/to/output.sql

d.设定自己域名的mx记录，再登录RoundCube测试能否收发邮件！

临时要求在apache中加防盗链。网上搜集了一些资料整理一下发在这里，方便以后翻阅。
关于mod_authz_host模块参看：http://doc.linuxpk.com/doc/apache/mod/mod_authz_host.html
1。通过User-Agent浏览器类型限制

2。通过Referer限制

referer为空禁止访问。
referer为http://baidu.com限制访问。

在负载均衡环境中（LVS, LoadBalance）为了减少浏览器数据的重复请求操作，一般需要设置 Http Header 的 Etage 和 Expires 告诉浏览器请求数据是否已过期。以下内容主要考虑Apache+squid 环境

ETag Header是文件修改时间、文件大小和inode号生成的校验（checksum）,在多台服务器的负载均衡环境下会因部署内容的inode节点差异造成 ETag 的不同，在多台WEB前端做负载均衡的情况下，会因为请求同一个数据但不同机器的 ETag 而影响了响应. 具体表现为用户在第一次请求某一内容时下载而再次时浏览器会发现ETag不同而再次请求下载.。（再次刷新时查看是否响应码为:304）
对于Apache 可以使用 FileEtag 选项配置
Apache 的默认ETag的值总是由文件的索引节点（Inode）、大小(Size)、最后修改时间(MTime)决定
这里我们只需要去掉Inode即可
FileETag MTime Size
具体关于 FileETag 详细内容可以查看Apache官方文档。

Expires用于控制请求文件的有效时间，当请求数据在有效期内时客户端浏览器从缓存请求数据而不是服务器端. 当缓存中数据失效或过期，才决定从服务器更新数据。
可以使用Apache的mod_expires 模块来设置，这包括控制应答时的Expires头内容和Cache-Control头的max-age指令

以上设置为 图片文件的有效期为从请求文件开始1个月，html,css,js,flash文件的有效期为从请求文件开始30分钟
这里只是一个常规设置，Apache官方文档 对此设置有详细介绍
当设置了expires后，会自动输出Cache-Control 的max-age 信息，这个数值是expires有效期内的秒数，(一个月的数值为2592000) 在这个时间段里，该文件的请求都将直接通过缓存服务器获取，当然如果需要忽略浏览器的刷新请求（F5)，缓存服务器squid还需要使用refresh_pattern 选项来忽略该请求

以下为实际输出的HTTP Header信息

对于动态页面的缓存如果不是频繁更新的页面数据，可以在squid缓存，只需要注意两点
1. session : 对于需要缓存的数据，一定要关闭session防止在http header 中包括session id 字段
2. Last-Modified 和 Expires 标记: 一般般纯静态页面本身都会有Last-Modified信息，这是由WEB服务器获取文件的最后修改时间生成的，而动态页面需要默认的输出内容是

这里的 Last-Modified 时间和请求文件的时间相同，也就是说该文件总是声明为最新的
在程序中需要输出Last-Modifed 和 Expires信息，比如php

以上信息设置php文件的过期时间为请求该文件的时间后的24小时(3600*24)


补充 ，以下内容来自 ： 扶凯的blog
http://www.php-oa.com/2008/09/05/squidmaxageexpires.html

Squid和Apache中的max-age与Expires的分别

主要重点在于我们要明白一个相对(Expires)一个绝对(max-age).

分别

max-age
max-age是HTTP/1.1中,他是指我们的web中的文件被用户访问(请求)后的存活时间,是个相对的值,相对Request_time(请求时间).
例如:A.html 用户请求时间是18:00,max-age设置的是600的话,相当18:00+600秒过期,也就是相对18:00的时间后面600秒后过期.默认的max-age是由Expires算出来的.

Expires
Expires是HTTP/1.0中的,它比max-age要麻烦点.Expires指定的时间分下面二种,这个主要考虑到apache中设置是A还是M.

1.相对文件的最后访问时间(Atime)
当Apache使用A时间来做Expires时.这样设置时.他就和max-age的值相等,因为max-age是相对文件的请求时间(Atime).

例如:ExpiresByType text/html A600

由上面我们得知,Apache设置Atime时,过期为600秒时.
Expires=18:00+600=18:10
max-age=18:00+600=18:10
得出:Expires=max-age

2.绝对修改时间(MTime)
这又分二种情况,我们来拿A.htm来讲
假设文件的建立时间为18:00.

当用户Request请求为18:00时,过期为600秒
Expires=18:00+600=18:10
max-age=18:00+600=18:10
得出:Expires等于max-age

当用户Request请求为18:20时,过期为600秒

Expires=18:00+600=18:10(因为设置成Mtime时,时间由文件建立时间来决定)
max-age=18:20+600=18:30
得出:Expires不等于max-age

另外要注意,象上面这种清况时,max-age优化,所以过期时间为18:30.

在squid,如果没有指明expires和max-age这二个的截止时间,那它就会使用发式截止时间,如参考 Last-Modified.
其实上面的max-age=18:20+600=18:30,这样算max-age不对,真实环境要这样算,max-age过期为http头中的Age=600过期.
注:Age域值是缓存服务器估计从响应产生或被原始服务器重新证实以来的总时间.age的值是缓存服务器算出来的,原始服务器是没有的.

上篇中我们使用系统的默认配置对nginx,lighthttpd,apache进行测试
在并发量1000时,lighthttpd以及nginx都发生了大量的无法正常抓取页面的错误
在对HTTPD服务器环境加上优化之后

nginx和lighthttpd的限制被解除
经过优化之后
测试结果如下
1. Nginx
1000并发数

2.Lighthttpd

3.Apache 1.x

4.Apache 2.x

提高了系统处理能力之后
Nginx以及Lighthttpd的表现有着翻天覆地的变化
不论是请求的处理能力还是出错率
都较Apache有很大的提升
看来Nginx以及Lighthttpd在负载量提高的时候
能够用尽系统所有的能力
例如文件的并行处理能力
而Apache这时候反而由于同时处理量变大而不堪压力

结论
1.系统优化与否对于Nginx以及Lighthttpd有着至关重要的影响.只适用系统默认状态是无法适应Nginx以及Lighthttpd的要求的.

和以往一样,本次测试均使用默认配置
不对内核以及应用程序做任何优化
配置文件优先采用程序自带的默认配置,
在没有默认配置的前提下,使用最简化的配置文件

平台
WEB:
CentOS 5.1 最小化安装
浪潮NF180
Xeon 2.8
1G RAM
73G SCSI

Nginx 0.6.31
Apache 1.3.41
Apache 2.2.8
Lighthttpd 1.4.19

CLIENT:
CentOS 5.1 最小化安装
浪潮NF260
Xeon 2.4
512M RAM
36G SCSI

http_load-12mar2006

SWITCH:
DLINK DES 1024R+

1.Nginx 0.6.31
编译参数

配置文件

2.Lighthttpd 1.4.19
编译参数

配置文件

3.Apache 1.3.41
编译参数

配置文件

4.Apache 2.2.8
编译参数

配置文件

测试结果
1.Nginx 0.6.31
200并发

500并发

1000并发

2.Lighthttpd 1.4.19
200并发

500并发

1000并发

3.Apache 1.3.41
200并发

500并发

1000并发

4.Apache 2.2.8
200并发

500并发

1000并发

在200以及500并发的情况下
我们可以看到4个httpd软件并没有本质差别
但是当并发数达到1000
我们发现lighthttpd的错误率最高,nginx紧随其后,再仔细分析数据
我们可以发现nginx的631次获取中,有631次count byte wrong,也就是说全部出错
而lighthttpd的977此获取中有973次是出错
nginx更差一些
当然这个差距.可能由于nginx以及lighthttpd的默认timeout值有关
apache作为追求稳定的服务软件,其默认timeout值比较大
策略上的差异导致性能上以及稳定性上的差异
apache 2.2.8在500并发数时就发生了错误,而且在之后的几次测试中,也均发生错误
不论是重启服务器还是其他措施,apahce2在500并发数的表现下均无法令人满意
但是其在1000并发数下的性能表现,在不增加错误数的前提下,比apache 1.3.41有着很大的提高

结论
1.nginx以及lighthttpd的性能在默认配置情况下遇到大流量将会发生无法服务的情况
2.apache 2.x的版本其压力/性能表现呈线性,更适合大型网站使用.在压力不是很大的情况下,可能apache 1.x更适合.

网上针对HTTPD的性能一直有着流言性质的定论
认为apache一定是最弱的
而且许多测试也这样表明

很多人常常引用的测试结果
源于
http://www.litespeedtech.com/products/webserver/benchmark/
而其中第二个测试的结果
与最新第三次测试的结果
apache的表现有明显差异
在详细检查文档后发现
较早的一次比对中,服务器的内存只有256MB,使用单核XEON
而较近的一次比对,服务器的内存升级至1G,而且使用双核XEON
这种条件下
apache的性能极升,与lighthttpd有着相似的性能,
并且在某些条件下还超过了lighthttpd
即便在Small Static File (Non-Keepalive)的测试中
apache与lighthttpd的差异也并不明显
所以在内存较低的情况下
使用lighthttpd等轻量服务器会比较好
而当CPU和内存比较大的情况下
APACHE的性能则未必如流言一般不堪.

压缩率6以上
则压缩效果不明显
并且CPU占用率提高过多

自从yutobe爆了他们所用的http服务是lighthttpd而非传统apache之后
轻量级http服务以其极高的分发处理能力而受到各大高流量网站的注意
而这方面的程序也越来越多
目前主要的有几种
lighthttpd
yaws
ngnix
fnord
ghttpd