Debian邮件服务器迁移方案

Debian 邮件服务器迁移方案

一 迁移总览与准备

• 明确范围：邮件传输与投递（如 Postfix）、邮件存储与 IMAP/POP3（如 Dovecot）、用户账户与认证（系统账户或虚拟域）、Webmail、反垃圾/反病毒、TLS 证书、以及 DNS 记录（MX、SPF、DKIM、DMARC）。
• 版本与目录基线：记录旧服务器 Debian 版本、Postfix/Dovecot 版本、邮件存储路径（常见为 /var/vmail、/home/ 或 /var/spool/mail）、用户数据库类型（系统用户或虚拟用户）。
• 网络与连通：开放 25/587/993/995，确保新服务器可达；如使用第三方中继，提前准备凭据与白名单。
• 工具与账号：准备 rsync/tar/scp 等迁移工具；为批量账户准备 IMAP 账号与密码（或应用专用口令）；如需保持业务连续性，准备 imapsync 做增量同步。
• 备份与回滚：全量备份配置、数据与证书，保留旧环境至少 7–14 天 以便回滚。

二 迁移路径选择

• 路径 A 停机冷迁移（简单、低风险）
  • 适用：允许短时维护窗口；系统账户 + 文件型邮箱（Maildir 或 mbox）。
  • 思路：停机→备份→传输→恢复→校验→切换 DNS→观察。
• 路径 B 在线增量迁移（不停机）
  • 适用：要求业务不中断；使用 IMAP 的任意邮箱。
  • 思路：先做一次全量同步→切换 DNS 一小部分用户灰度→持续增量同步→彻底切换→保留旧库一段时间用于回溯。
• 路径 C 混合迁移
  • 适用：系统账户 + 虚拟域并存；部分用户需不停机。
  • 思路：系统账户按路径 A；IMAP 用户按路径 B；统一通过 DNS 与灰度策略收敛。

三 详细步骤

• 步骤 1 备份旧环境
  • 配置与证书：打包 /etc/postfix、/etc/dovecot、证书目录（如 /etc/letsencrypt 或 /etc/ssl）。
  • 邮件数据：按实际路径备份（示例：系统邮箱 /var/spool/mail，用户目录 /home，或虚拟域 /var/vmail）。
  • 账户信息：系统账户备份 /etc/passwd、/etc/group、/etc/shadow、/etc/gshadow；如使用虚拟用户，备份数据库与映射文件。
  • 示例命令：
    • 打包配置：tar czvf etc_mail_backup.tar.gz /etc/postfix /etc/dovecot /etc/letsencrypt
    • 打包邮箱：tar czvf vmail_backup.tar.gz /var/vmail
    • 打包系统账户：tar czvf accounts_backup.tar.gz /etc/passwd /etc/group /etc/shadow /etc/gshadow
• 步骤 2 准备新服务器
  • 安装同版本或兼容版本的 Debian 与邮件组件（Postfix/Dovecot），按旧环境规划目录与权限。
  • 恢复证书与基础配置框架，暂不启用对外投递，先完成数据与账户恢复。
• 步骤 3 恢复数据与账户
  • 系统账户与邮箱文件：将备份的 /etc/passwd、/etc/group、/etc/shadow、/etc/gshadow 拷回相应位置；恢复 /var/spool/mail、/home 或 /var/vmail 目录，确保 UID/GID、权限与 SELinux/AppArmor 一致。
  • 服务启动：重启 Postfix/Dovecot 并检查日志。
• 步骤 4 在线增量迁移 IMAP 邮箱（不停机）
  • 安装 imapsync（Debian 可用 apt 安装依赖，再用 cpanm 安装 Perl 模块；或下载官方发布包）。
  • 单次全量示例：
    • imapsync --host1 旧IMAP --user1 user@domain.com --password1 ‘旧口令’ --host2 新IMAP --user2 user@domain.com --password2 ‘新口令’
  • 批量与增量：将账户写入文件，循环调用 imapsync；在切换 DNS 前后多次运行以追平新到邮件。
• 步骤 5 切换与验证
  • 切换 DNS：将 MX 指向新服务器；逐步缩短 TTL；验证 SPF、DKIM、DMARC 对齐。
  • 功能验证：发信/收信、IMAP/POP3、Webmail、别名/转发、自动回复、垃圾/反病毒策略。
  • 观察与回滚：保留旧环境与增量任务 7–14 天，确认无异常后再下线。

四 关键注意事项

• 权限与所有权：恢复 /var/spool/mail、/home、/var/vmail 等目录时，确保 UID/GID 与旧环境一致；必要时使用 rsync 的 -a（归档）与 –numeric-ids 选项，避免名称解析差异导致权限错配。
• 服务停机窗口：迁移 Postfix/Dovecot 前后建议短暂停机，避免队列与索引不一致；迁移 Postfix 队列（/var/spool/postfix） 时务必先停止服务，再恢复，确保权限为 postfix:postfix。
• 增量一致性：imapsync 支持断点续传与重复运行，建议在切换前、切换中、切换后多次执行，直至无明显新增邮件；对大邮箱可分批进行。
• 安全合规：迁移全程使用加密传输（如 scp/rsync over SSH、IMAPS）；妥善保护明文口令；更新 TLS 证书与链文件；复核防火墙与 SASL 认证配置。

五 回滚与演练

• 回滚预案：若切换后异常，立即将 MX 切回旧服务器；必要时恢复旧服务器配置与数据分区；检查队列与用户反馈。
• 演练建议：在测试环境按上述流程演练，覆盖系统账户与 IMAP 账户两类场景；验证权限、配额、搜索索引、自动转发与反垃圾策略的可用性。