阿里云邮箱登陆首页文章列表:

• 1、阿里云技术专家金九：Tengine HTTPS原理解析、实践与调试
• 2、用一张又酷又炫的全向图，深度盘点阿里云现有的93款产品
• 3、面对 DNS 劫持，只能坐以待毙吗？
• 4、阿里云回应未及时上报 Log4j2 重大漏洞：早期未意识到严重性
• 5、如何申请一个免费的企业邮箱

阿里云技术专家金九：Tengine HTTPS原理解析、实践与调试

本文邀请阿里云CDN HTTPS技术专家金九，分享Tengine的一些HTTPS实践经验。内容主要有四个方面：HTTPS趋势、HTTPS基础、HTTPS实践、HTTPS调试。

一、HTTPS趋势

这一章节主要介绍近几年和未来HTTPS的趋势，包括两大浏览器chrome和firefox对HTTPS的态度，以及淘宝天猫和阿里云CDN的HTTPS实践情况。

上图是 chrome 统计的HTTPS网页占比的趋势，2015年的时候，大多数国家的HTTPS网页加载次数只占了不到 50%，2016年美国这个占比到了将近60%，去年就已经超过 70%，目前已经超过 80%。最下面是日本，目前是60%左右，这里面没有统计到中国的数据，我估计中国的占比会更少，空间还有很大，但未来HTTPS趋势是明显的。

同样，Firefox 浏览器加载HTTPS网页的统计跟 chrome 差不多，全球 HTTPS网页加载占比在 70% 左右，上升趋势也很明显。

更值得关注的是，Google 在今年年初的时候在其安全博客上表明，在今年7月份左右发布的 chrome68 浏览器会将所有HTTP网站标记为不安全，现在是5月份底了，离这个时间也就一个多月的时间了。右边的截图可以看出本来是绿色的小锁变成了不安全，这种网页在输入密码时就很不安全了。

早期天猫淘宝只是在关键的登录和交易的环节上了HTTPS，但随着互联网的发展，劫持、篡改等等问题也越来越严重，试想在天猫淘宝上看的商品图片被恶意人替换了或者价格被篡改了会怎么样？这样用户、商家和平台都受到伤害，只有上了 HTTPS才能从根本上解决这些问题。所以，天猫和淘宝在2015年7月份的时候已经完成了全站HTTPS。

二、HTTPS基础

本章节主要介绍HTTPS为什么安全，包括对称加密、非对称加密、签名、证书&证书链、SSL是怎么握手的、以及私钥密钥在HTTPS中发挥什么样的作用、keyless又是解决什么样的问题等等。

HTTPS的定义

简单来讲，HTTPS就是安全的HTTP，我们知道HTTP是运行在TCP层之上的，HTTPS在HTTP层和TCP层之间加了一个SSL层，SSL向上提供加密和解密的服务，对HTTP比较透明，这样也便于服务器和客户端的实现以及升级。

HTTPS为什么安全？

HTTPS安全是由一套安全机制来保证的，主要包含这4个特性：机密性、完整性、真实性和不可否认性。

机密性是指传输的数据是采用Session Key（会话密钥）加密的，在网络上是看不到明文的。

完整性是指为了避免网络中传输的数据被非法篡改，使用MAC算法来保证消息的完整性。

真实性是指通信的对方是可信的，利用了PKI（Public Key Infrastructure 即『公钥基础设施』）来保证公钥的真实性。

不可否认性是这个消息就是你给我发的，无法伪装和否认，是因为使用了签名的技术来保证的。

对称加密和非对称加密

HTTPS有对称加密和非对称加密两种算法，目的都是把明文加密成密文，区别是密钥的个数不一样，对称加密是一把密钥，这把密钥可以加密明文，也可以解密加密后的密文，常见的对称加密算法有AES、DES、RC4，目前最常用的是AES。

非对称加密是两把密钥，分别是公钥和私钥，公钥加密的密文只有相对应的私钥才能解密，私钥加密的内容也只有相对应的公钥才能解密，其中公钥是公开的，私钥是自己保存，不能公开，常见的非对称加密算法有RSA和ECC（椭圆曲线算法）。

SSL结合了这两种加密算法的优点，通过非对称加密来协商对称加密的密钥，握手成功之后便可使用对称加密来做加密通信，对于RSA来说，客户端是用RSA的公钥把预主密钥加密后传给服务器，服务器再用私钥来解密，双方再通过相同的算法来生成会话密钥，之后的应用层数据就可以通过会话密钥来加密通信。

签名

SSL中还有一个使用非对称加密的地方就是签名，签名的目的是让对方相信这个数据是我发送的，而不是其他人发送的。

密钥安全强度与性能对比

加密之后的数据破解难度就体现在密钥的长度上，密钥越长，破解难度也越大，但是运算的时间也越长，性能也就越差。相同安全强度下，对称密钥长度在最短，ECC次之，RSA密钥长度则最长。

目前比较常用的密钥长度是：对称密钥128位、ECC 256位、RSA 2048位。

RSA和ECC在SSL中更多的是用来签名，通过测试发现，ECC 的签名性能比RSA好很多，但是RSA的验签性能比ECC更好，所以RSA更适合于验证签名频繁而签名频度较低的场景，ECC更适合于签名频繁的场景，在SSL场景中，ECC算法性能更好。

公钥基础设施（PKI）

简单的说，PKI就是浏览器和CA，CA是整个安全机制的重要保障，我们平时用的证书就是由CA机构颁发，其实就是用CA的私钥给用户的证书签名，然后在证书的签名字段中填充这个签名值，浏览器在验证这个证书的时候就是使用CA的公钥进行验签。

证书

那CA在PKI中又是怎样发挥作用的呢，首先，CA的作用就是颁发证书，颁发证书其实就是使用CA的私钥对证书请求签名文件进行签名，其次，CA颁发的证书浏览器要信任，浏览器只需要用CA的公钥进行验签成功就表示这个证书是合法可信的，这就需要浏览器内置CA的公钥，也就是内置CA的证书。一般来说，操作系统都会内置权威CA的证书，有的浏览器会使用操作系统内置的CA证书列表，有的浏览器则自己维护的CA证书列表，比如Firefox。

CA分为根CA，二级CA，三级CA，三级CA证书由二级CA的私钥签名，二级CA证书由根CA的私钥签名，根CA是自签名的，不会给用户证书签名，我们平时用的证书都是由二级CA或者三级CA签名的，这样就形成了一个证书链，浏览器在验签的时侯一层层往上验证，直到用内置的根CA证书的公钥来验签成功就可以表示用户证书是合法的证书。

根证书已经内置在浏览器或者操作系统里了，在SSL握手时就不需要发根CA证书了，只需要提供中间二级三级CA证书和用户证书就可以。

交叉证书

交叉证书的应用场景是这样的：假如现在阿里云成为一个新的根CA机构，那阿里云签发的证书想要浏览器信任的话，阿里云的根证书就需要内置在各大操作系统和浏览器中，这需要较长时间的部署，那在没有完全部署完成之前，阿里云签发的证书怎么才能让浏览器信任呢，这就需要用到交叉证书了。

上图中，根证书A是一个所有浏览器都内置了的根证书，B是一个新的根证书，用户证书D是由根证书 B的二级CA B1来签发的，但是根证书B并没有在浏览器中内置，所以浏览器不会信任用户证书D，这是因为浏览器在验签时只验证到B1这一层然后找不到根证书B就无法验证下去了。

如果二级CA B1证书是由根证书A来签名，那这个问题就解了，所以新的根证书机构B会将二级CA证书（准确地讲是二级CA的证书签名请求文件）给老的根证书A来签名，然后得到一个新的中间证书就是交叉证书。

浏览器在验证的时侯用了新的信任链，这样就可以解决用户证书的信任问题。

当B的根证书全部部署完成后，再替换成自己的二级CA就可以了。

证书分类

证书分有三类：DV、OV、EV

DV证书只校验域名的所有权，所以我们在申请DV证书的时候CA会提供几种验证域名所有权的方法：比如文件校验、DNS校验、邮件校验，DV证书支持单域名、多域名和泛域名，但不支持多个泛域名，只支持一个泛域名，一般价格比较便宜，具体价格跟域名的数量有关，域名越多价格越高。

OV证书要验证组织机构，在申请证书时CA会打电话确认这个域名是否真的属于相应的公司或者机构，OV证书是单域名、多域名、泛域名和多个泛域名都支持，价格一般比DV证书要贵。

EV证书的校验就更细了，比如组织机构的地址之类的，EV证书会在地址栏上显示组织机构的名称，EV证书只支持单域名或者多个域名，不支持泛域名，而且更贵，所以普通用户一般不会用EV证书。

证书吊销

证书是有生命周期的，如果证书的私钥泄漏了那这个证书就得吊销，一般有两种吊销方式：CRL和OCSP。

CRL是CA机构维护的一个已经被吊销的证书序列号列表，浏览器需要定时更新这个列表，浏览器在验证证书合法性的时候也会在证书吊销列表中查询是否已经被吊销，如果被吊销了那这个证书也是不可信的。可以看出，这个列表随着被吊销证书的增加而增加，列表会越来越大，浏览器还需要定时更新，实时性也比较差。

所以，后来就有了 OCSP 在线证书状态协议，这个协议就是解决了 CRL 列表越来越大和实时性差的问题而生的。有了这个协议，浏览器就可以不用定期更新CRL了，在验证证书的时候直接去CA服务器实时校验一下证书有没有被吊销就可以，是解决了CRL的问题，但是每次都要去CA服务器上校验也会很慢，在网络环境较差的时候或者跨国访问的时候，体验就非常差了，OCSP虽然解决了CRL的问题但是性能却很差。所以后来就有了OCSP stapling。

OCSP stapling主要解决浏览器OCSP查询性能差的问题，本来由浏览器去CA的OCSP服务器查询证书状态的，现在改由域名的服务器去查询，将OCSP的结果告诉浏览器即可，一般服务器的网络性能要好于用户电脑的网络，所以OCSP stapling的性能是最好的。但是并不是所有的服务器都支持OCSP stapling，所以目前浏览器还是比较依赖CRL，证书吊销的实时性要求也不是特别高，所以定期更新问题也不大。

HTTPS工作模式

对于客户端和服务器来讲，应用层协议还是HTTP，只是加了一个SSL层来做加密解密的逻辑，对应用层来说是透明的，在网络上传输的都是加密的请求和加密的响应，从而达到安全传输的目的。

这是SSL层在网络模型的位置，SSL属于应用层协议。接管应用层的数据加解密，并通过网络层发送给对方。

更细地分，SSL协议分握手协议和记录协议，握手协议用来协商会话参数（比如会话密钥、应用层协议等等），记录协议主要用来传输应用层数据和握手协议消息数据，以及做加解密处理。我们应用层的的消息数据在SSL记录协议会给分成很多段，然后再对这个片段进行加密，最后在加上记录头后就发送出去。

TLS握手协议

SSL/TLS 握手协议又细分为四个子协议，分别是握手协议、密码规格变更协议、警告协议和应用数据协议。

完整的握手流程

首先是TCP握手，TCP三次完成之后才进入SSL握手，SSL握手总是以ClientHello消息开始，就跟TCP握手总是以SYN包开始一样；

ClientHello主要包含客户端支持的协议、密钥套件、session id、客户端随机数、sni、应用层协议列表（http/1.1、h2）、签名算法等等；

服务器收到ClientHello之后会从中选取本次通信的协议版本、密钥套件、应用层协议、签名算法，以及服务器随机数，然后通过ServerHello消息响应，如果没有session复用，那将服务器的证书通过Certificate消息响应，如果是选用了ECC算法来做密钥交换的话，那还会将椭圆曲线参数以及签名值通过ServerKeyExchange消息发送给对方，最后通过ServerHelloDone消息来结束本次协商过程；

客户端收到这些消息之后，会生成预主密钥、主密钥和会话密钥，然后将椭圆曲线参数通过ClientKeyExchange发送给服务器，服务器拿到客户端的椭圆曲线参数也会生成预主密钥，如果是RSA的话ClientKeyExchange用来发送公钥加密的预主密钥，服务器用私钥来解密一下就可以得到预主密钥，再由预主密钥生成主密钥和会话密钥。最后双方都以ChangeCipherSpce和Finished消息来告知对方，自己已经准备好了可以进行加密通信了，然后握手完成。

可以看出，完整的SSL握手需要2个RTT，而且每次握手都用到了非对称加密算法签名或者解密的操作，比较耗CPU，所以后来就有了session复用的优化手段，后面会做介绍。

SSL的握手消息虽然比较多，但很多消息都是放在一个TCP包中发送的，从抓包可以看出完整的SSL握手需要2个RTT。

刚才通过完整的SSL握手可以看出几个缺点：

1、2个RTT，首包时间较长

2、每次都要做非对称加密，比较耗CPU，影响性能

3、每次都要传证书，证书一般都比较大，浪费带宽

SSL握手的目的是协商会话密钥以及参数，如果能把这些会话参数缓存那就可以没有必要每次都传证书和做非对称加密计算，这样就可以提高握手性能，而且可以将RTT减到1个，提高用户体验。

所以就有了session id的复用方式，每次完整握手之后都将协商好的会话参数缓存在服务器中，客户端下次握手时会将上次握手的session id带上，服务器通过session id查询是否有会话缓存，有的话就直接复用，没有的话就重新走完整握手流程。但是session id这种方式也有缺点，比较难支持分布式缓存以及耗费服务器的内存。

而session ticket 方案，其原理可以理解为跟 http cookie 一样，服务器将协商好的会话参数加密成 session ticket，然后发送给客户端，客户端下次握手时会将这个session ticket带上，服务器解密成功就复用上次的会话参数，否则就重新走完整握手流程。可以看出session ticket这种方式不需要服务器缓存什么，支持分布式环境，有很大的优势。这种方式有一个缺点是并不是所有客户端都支持，支持率比较低，但随着客户端版本的更新迭代，以后各种客户端会都支持。因为session id客户端支持率比较高，所以目前这两种方式都在使用。

这是 session ticket 的复用，跟 session id 的区别是 client hello 会带上 Session ticket ，将近200个字节的加密数据，服务器会用session ticket 密钥来解密，解密成功则直接复用，也简化了握手流程，提升效率和性能。

这是我们上了分布式 Session id 复用的效果，session id复用的比例在没有开启分布式缓存时只占了3%左右，复用率很低，上了分布式session缓存之后，这个比例提升到20%多。握手时间也从75ms左右降低到65ms左右，性能提升效果还是很明显的。

SSL/TLS握手时的私钥用途（RSA、ECDHE）

我们知道私钥是整个SSL中最重要的东西，那私钥在SSL握手里面又是怎么使用的呢？两种使用方式分别是：使用RSA来做密钥交换和使用ECDHE来做密钥交换。对于RSA来说，客户端生成预主密钥，然后用公钥加密再发给服务器，服务器用私钥来解密得到预主密钥，然后由预主密钥生成主密钥，再由主密钥生会话密钥，最后用会话密钥来通信。

对于ECDHE来说，客户端和服务器双方是交换椭圆曲线参数，私钥只是用来签名，这是为了保证这个消息是持有私钥的人给我发的，而不是冒充的。双方交换完参数之后生成预主密钥，再生成主密钥和会话密钥。这就跟刚才RSA后面的流程一样了。

可以看出RSA和椭圆曲线密钥交换算法的私钥用途是不一样的，RSA密钥交换时是用来做加解密的，椭圆曲线密钥交换时是用来做签名的。

SSL/TLS中的密钥

预主密钥、主密钥和会话密钥，这几个密钥都是有联系的。

对于RSA来说，预主密钥是客户端生成，加密之后发给服务器，服务器用私钥来解密。对于ECDHE来说，预主密钥是双方通过椭圆曲线算法来生成。

主密钥是由预主密钥、客户端随机数和服务器随机数通过PRF函数来生成；会话密钥是由主密钥、客户端随机数和服务器随机数通过PRF函数来生成，会话密钥里面包含对称加密密钥、消息认证和CBC模式的初始化向量，但对于非CBC模式的加密算法来说，就没有用到这个初始化向量。

session 缓存和session ticket里面保存的是主密钥，而不是会话密钥，这是为了保证每次会话都是独立的，这样才安全，即使一个主密钥泄漏了也不影响其他会话。

Keyless

刚才提到RSA和ECDHE的私钥用途，对于服务器来说，密钥交换算法是RSA时，私钥是用来做解密的，ECDHE时，私钥是用来签名的。

Keyless就是将私钥参与运算的部分分离远程服务器，这样可以解决两个问题：

1，公私钥分离，用户不需要将私钥给第三方，减少私钥泄露的风险。

2，将非对称加密运算这种cpu密集型运算剥离到keyserver，可以在keyserver中安装ssl加速卡做硬件加速，提高性能。

HTTP/2

HTTP/2主要有这几个特性：

一、二进制协议，可以做更多的优化；

二、多路复用，一定程度上解决了队头阻塞的问题，提高并发和总的加载时间

三、头部压缩，很多请求头或者响应头都没有必要重复传输浪费带宽，比如user-agent、cookie还有其他没有必要每次都传的头部在http2中都做了优化

四、安全，虽然RFC规定HTTP/2可以运行在明文之上，但目前所有浏览器都只支持https之上的http/2，所以是安全的。

开启HTTP/2会有这几个收益：

一、加载时间的提升，我们做了这么一个测试，一张大图片分割成几百个小图片，然后用http/1.1和http/2打开，http/1.1加载完所有小图片用了五六秒，但http/2加载完所有小图片只需要不到1s的时间，有5倍左右的提升，效果还是很明显的，具体提升百分之多少这得具体看具体的业务类型。

二、头部压缩有95%左右的提升，http/1.1的平均响应头大小有500个字节左右，而http/2的平均响应头大小只有20多个字节，提升非常大，所以http/2非常适合小图片小文件的业务类型，因为小文件的http头部比重较大，而http/2对头部的压缩做了非常好的优化。

三、服务器QPS的性能有60%多的提升，这是因为http/2的连接复用和多路复用机制，可以处理更多的并发请求。

三、HTTPS实践

本章节会重点给大家讲讲 Tengine 如何配置 https、HTTP/2、TLSv1.3，以及如何实现动态证书。

Tengine如何开启HTTPS

http { ssl_session_tickets on; ssl_session_ticket_key ticket.key; server { listen 443 ssl; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers EECDH CHACHA20:EECDH CHACHA20-draft:EECDH ECDSA AES128:EECDH aRSA AES128:RSA AES128:EECDH ECDSA AES256:EECDH aRSA AES256:RSA AES256:EECDH ECDSA 3DES:EECDH aRSA 3DES:RSA 3DES:!MD5; ssl_prefer_server_ciphers on; ssl_certificate www.alicdn.com.crt; ssl_certificate_key www.alicdn.com.key; ssl_session_cache shared:SSL:256M; ssl_session_timeout 15m; #…… }}

在Tengine中开启http2，只需要在listen的后面加上http2参数就可以了。

但是有一个场景需要注意，因为有些域名并不想开启http2，比如上面这个配置的b.com并不想开http2，但是因为a.com开启了http2，所以b.com也被自动开启了，这是因为http2这个参数作用在ip和端口上，在ssl握手时用了a.com的配置参数，所以tengine针对这种情况做了一个域名级别的开关来做控制。

TLSv1.3——更快、更安全

1、1-RTT & 0-RTT

2、只支持完全前向安全性的密钥交换算法

3、ServerHello 之后的所有消息都是加密的

4、淘汰 Session ID 和 Session Ticket，用 PSK 代替

5、Chrome 63 , Firefox 58

Tengine也支持了TLSv1.3，开启方式：

server { ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers TLS13-AES-128-GCM-SHA256:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH CHACHA20:EECDH CHACHA20-draft:EECDH ECDSA AES128:EECDH aRSA AES128:RSA AES128:EECDH ECDSA AES256:EECDH aRSA AES256:RSA AES256:EECDH ECDSA 3DES:EECDH aRSA 3DES:RSA 3DES:!MD5; #……}

Tengine 实现与配置动态证书

动态证书主要解决的问题是接入域名太多，server块过多导致tengine reload慢的问题，lua-nginx模块提供了一个证书的lua阶段，可以在这个阶段来做证书的热加载，不需要reload tengine，这样可以提高效率和性能。

配置也比较简单，在ssl_cert.lua里面做证书的管理，在ssl握手时拿到sni，去拿这个域名的证书和私钥，再调用lua ffi接口就可以完成证书和私钥的切换。

ssl_cert.lua:

调用 lua ffi 接口设置证书和私钥

四、HTTPS调试

我们知道HTTP是明文传输，调试就很简单，抓包就可以看得清清楚楚，但HTTPS是加密的，抓包看到的是密文，这一节我告诉大家怎么去解密HTTPS抓包文件。

抓包解密

方法一：

配置Wireshark：

Wireshark  preferences…  Protocols  SSL  (Pre)-Master-Secret log filename => /tmp/sslkey.txt

（一）：

export SSLKEYLOGFILE=/tmp/sslkey.txt

（二）：

openssl s_client -connect 127.0.0.1:443 -servername www.alicdn.com -keylogfile /tmp/sslkey.txt

（三）：

echo “CLIENT_RANDOM 7EC0498BCF09E8300A1E9F8BA6C81E2A4383D7CDCFB10907B4074520FA8DF680 FA2457782F6FAECE47CF8E01BF9E0A441CEA8DCC91664F42F45F1EF5AB18ED902E35825713FF2D4D9651CE51ED885BB4”>> /tmp/sslkey.txt

方法二：

强制使用RSA密钥交换算法，Wireshark配置私钥。

抓包解密-wireshark设置

常用命令及参数

curl

写在最后

证书的购买和申请是非常复杂耗时的，为了缩短开通周期，为开发者提供最大化便利，简化HTTPS加速设置环节，目前阿里云CDN已经支持控制台可实现一键开通HTTPS，后台将完成代理免费证书购买、证书节点部署以及证书到期之前自动续签，帮助开发者更便捷的完成全站HTTPS访问加速。

用一张又酷又炫的全向图，深度盘点阿里云现有的93款产品

DT时代，一切都将走向数据化，可视化。在阿里云所阐述的“技术拓展商业的边界,商业驱动技术的变革”理念中，密集发布的新技术与产品让业内更加震撼，让用户更为惊喜。阿里云逐步实现了“将计算能力变成像水电一样的基础设施”的目标，走向“为了无法计算的价值”。

为了帮助更多朋友一目了然地知道阿里云现在提供的所有产品和服务，并可以依照IT系统发展脉络理清产品和服务之间的内在联系，进而充分利用新技术实现业务梦想，云栖社区特别绘制了一张“2016阿里云93款产品全向图”。

2016阿里云93款产品全向图（6月制）（关注云栖社区微信号：yunqiinsight，可下载大图）

当然，以阿里云现在飞速的发展，新产品与服务的发布速度还会更加惊人。为此，云栖社区将会定期更新本图。想要第一时间知晓变化的朋友，欢迎订阅云栖社区周刊。

全向图之外，云栖社区还策划了一系列技术干货和实战视频培训。最近的一次是6月16日，阿里云推荐引擎技术负责人郑重（卢梭）在云栖社区直播分享《技术实战：21天搭建推荐系统》；接下来则是6月23日，Postgres中国用户会2016年主席、阿里云ApsaraDB数据库产品经理萧少聪的《NoSQL、RDS、Big Data异构融合实战》。如果有什么建议，欢迎邮件云栖社区（yqeditor@list.alibaba-inc.com）。

2016阿里云93款产品全向图（6月制）的产品介绍如下：

弹性计算

1.云服务器ECS：是一种简单高效、处理能力可弹性伸缩的计算服务,帮助您快速构建更稳定、安全的应用,提升运维效率,降低 IT 成本,使 您更专注于核心业务创新。

2.块存储：是阿里云为云服务器ECS提供的低时延、持久性、高可靠的数据块级随机存储。

3.专有网络VPC：帮助您基于阿里云构建出一个隔离的网络环境。

4.负载均衡：是对多台云服务器进行流量分发的负载均衡服务，可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。

5.弹性伸缩：根据用户的业务需求和策略，经济地自动调整其弹性计算资源的管理服务，能够在业务增长时自动增加ECS实例，并在业务下降时自动减少ECS实例。

6.E-MapReduce（公测中）：构建于阿里云ECS弹性虚拟机之上，利用开源大数据生态系统，包括 Hadoop、Spark、HBase，为用户提供集群、作业、数据等管理的一站式大数据处理分析服务。

7.资源编排（公测中）：是一种简单易用的云计算资源管理和自动化运维服务。用户通过模板描述多个云计算资源的依赖关系、配置等，并自动完成所有资源的创建和配置，以达到自动化部署、运维等目的。

8.容器服务：是一种高性能可伸缩的容器管理服务,支持在一组阿里云云服务器上通过Docker容器来运行或编排应用。

9.高性能计算HPC：提供一种性能卓越、稳定、安全、便捷的计算服务，帮助您快速构建处理能力出色的应用，解放计算给服务带来的压力，使您的产品在计算效率上具有非凡竞争力。

数据库

1.云数据库RDS：是一种稳定可靠、可弹性伸缩的在线数据库服务。

2.云数据库MongoDB版：基于飞天分布式系统和高性能存储，提供三节点副本集的高可用架构,容灾切换,故障迁移完全透明化。并提供专业的数据库 在线扩容、备份回滚、性能优化等解决方案。

3.云数据库Redis版：是兼容开源Redis协议的 Key-Value 类型在线存储服务。

4.云数据库Memcache：是在线缓存服务,为热点数据的访问提供高速响应

5.PB级云数据库PetaData（邀测中）：是支持PB级数据存储的分布式关系型数据库。

6.云数据库OceanBase（邀测中）：是一款阿里巴巴自主研发的高性能、分布式的关系型数据库,支持完整的ACID 特性。

7.分析型数据库：是阿里巴巴自主研发的海量数据实时高并发在线分析（Realtime OLAP）云计算服务，使得您可以在毫秒级针对千亿级数据进行即时的多维分析透视和业务探索。

8.数据传输：该服务支持以数据库为核心的结构化存储产品之间的数据传输,它是一种集数据迁移、数据订阅及实时同步于一体的数据传输服务。

9.大数据管理（公测中）：支持MySQL、SQL Server、PostgreSQL、Redis 等关系型数据库和 NoSQL 的数据管理。

存储与CDN

1.对象存储OSS：是阿里云提供的海量、安全和高可靠的云存储服务。

2.块存储：阿里云为云服务器ECS提供的低时延、持久性、高可靠的数据块级随机存储。

3.文件存储（公测中）：是面向阿里云ECS云服务器的文件存储服务,提供标准的文件访问协议,用户无需对现有应用做任何修改,即可使用具备无限容量及性能扩展、单一命名空间、多共享、高可靠和高可用等 特性的分布式文件系统。

4.表格存储：为构建分布式NoSQL数据存储服务,提供海量结构化数据的存储和实时访问。

5.归档存储：作为阿里云数据存储产品体系的重要组成部分，致力于提供低成本、高可靠的数据归档服务，适合于海量数据的长期归档、备份。

6.消息服务：是支持大规模,高可靠、高并发访问的消息产品,能够帮助应用开发者在应用组件之间自由地传递数据和构建松耦合、分布式、高可用系统。

7.CDN：即内容分发网络,它支持将源内容分发至阿里云部署在全球的500多个边缘节点;可缩短用户查看对象的延迟时间,提高用户访问网站的响应速度与网站的可用性,解决用户网络带宽不足、网站访问量大、网点分布不均等问题。

网络：

1.负载均衡：是对多台云服务器进行流量分发的服务。

2.专有网络VPC：帮助您在阿里云平台上快速搭建完全隔离的、安全的虚拟专有网络。

3.高速通道：是一款便捷高效的网络服务,用于在云上的不同网络环境间实现高速、稳定、安全的私网通信,包括跨地域/跨用户的VPC内网互通、专线接入等场景,有效的帮助您提高网络拓扑的灵活性和跨网络通信的质量和安全性。

4.CDN：将源站内容分发至全国所有的节点，缩短用户查看对象的延迟，提高用户访问网站的响应速度与网站的可用性，解决网络带宽小、用户访问量大、网点分布不均等问题

大规模计算:

1.大数据计算服务：是一种快速、完全托管的TB/PB级数据仓库解决方案。

2.批量计算（公测中）：是一种适用于大规模并行批处理作业的分布式云服务。

3.数据集成（公测中）：是阿里集团对外提供的稳定高效、弹性伸缩的数据同步平台，为阿里云各个云产品(包括MaxCompute、Analytic DB、OSS、OTS、RDS等)提供离线(批量)数据进出通道。

4.E-MapReduce（公测中）：是构建于阿里云 ECS 弹性虚拟机之上，利用开源大数据生态系统，包括 Hadoop、Spark、HBase，为用户提供集群、作业、数据等管理的一站式大数据处理分析服务。

云盾：

1.安骑士：企业级安全运维管理平台,通过云 端数据联动,提供服务器入侵防护和安全管理服务。

2.态势感知：态势感知是一个大数据安全分析平台。

3.Web应用防火墙：大数据安全能力配合阿里十余年Web攻防经验,保障网站安全、可用。

4.DDoS高防IP：DDoS高防IP是针对互联网服务器(包括非阿里云主机)在遭受大流量的 DDoS攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防IP,将攻击流量 引流到高防 IP,确保原站的稳定可靠。

5.基础防护：免费为阿里云用户提供最高5G的默认DDoS防护能力后，在此基础上，又推出了安全信誉防护联盟计划，将基于安全信誉分进一步提升DDoS防护能力，用户最高可获得100G以上的免费DDoS防护资源。

6.先知计划：私密的安全众测平台,按效果付费。

7.服务器安全托管：是由阿里安全专家团队为您提供个性化云服务器安全托管服务，包含专家人工安全体检、清除木马、系统加固、人工安全技术支持、托管服务报告等服务。

8.反欺诈：专业对抗垃圾注册、恶意登陆、活动作弊、论坛灌水,共享阿里大数据风控服务能力。

9.绿网：基于阿里巴巴多年的技术沉淀和海量的数据支撑,提供文本、图片、视频等多媒体 内容安全检测的接口服务。

10.内容检测API：基于阿里巴巴多年的技术沉淀和海量的数据支撑，提供文本、图片、视频等多媒体内容安全检测的接口服务。

11.加密服务：加密服务为用户提供安全可靠的密钥管理及数据加解密服务。

12.证书服务：证书服务为用户提供安全、方便、快捷的全站 HTTPS 解决方案。

13.数据安全险：是众安保险针对阿里云用户推出的信息安全综合保险。

14.云盾SOS服务：是依靠阿里巴巴多年的安全攻防实战技术能力和管理经验，参照国家信息安全事件响应处理相关标准，帮助云上用户业务在发生安全事件后，按照预防、情报信息收集、遏制、根除、恢复流程，提供专业的7*24远程紧急响应处理服务，帮助云上用户快速响应和处理信息安全事件并从中恢复业务，同时事后帮助您规划和设计最佳的云上安全管理方案，从根本上遏制安全事件的发生，降低业务影响。

管理与监控：

1.云监控：是一项针对阿里云资源和互联网应用进行监控的服务。

2.访问控制：是一个稳定可靠的集中式用户身份与权限管理服务。

3.资源编排（公测中）：是一款帮助阿里云用户简化云计算资源配置和维护的开放服务。

4.操作审计（公测中）：会记录您的云账户资源操作,提供操作记录查询,并可以将记录文 件保存到您指定的 OSS 存储空间。

5.密钥管理服务（公测中）：是一款安全易用的管理类服务。

应用服务：

1.日志服务（公测中）：是针对日志类数据一站式服务，在阿里巴巴集团经历大量大数据场景锤炼而成。

2.开放搜索：是解决用户结构化数据搜索需求的托管服务，支持数据结构、搜索排序、数据处理自由定制。

3.媒体转码：是为多媒体数据提供的转码计算服务。

4.性能测试：是全球领先的SaaS性能测试平台，具有强大的分布式压测能力，可模拟海量用户真实的业务场景，让应用性能问题无所遁形。

5.邮件推送：是一款简单高效的电子邮件发送服务，它构建在可靠稳定的阿里云基础之上，帮助您快速、精准地实现事务邮件、通知邮件和批量邮件的发送。

6.API网关（公测中）：提供高性能、高可用的API托管服务，帮助用户对外开放其部署在ECS、容器服务等阿里云产品上的应用，提供完整的 API 发布、管理、维护生命周期管理。

7.物联网套件（公测中）：是阿里云专门为物联网领域的开发人员推出的，其目的是帮助开发者搭建安全性能强大的数据通道，方便终端（如传感器、执行器、嵌入式设备或智能家电等等）和云端的消息通信。

互联网中间件：

1.企业级分布式应用服务EDAS：是企业级互联网架构的核心服务。

2.消息队列：是企业级互联网架构的核心服务,基于高可用分布式集群技术,搭建了包括发布订阅、接入、管理、监控报警等一套完整的高性能消息云服务。

3.分布式关系型数据库服务DRDS：是具备大规模数据实时存储、更新、检索、面向OLTP同时具备轻量OLAP能力的分布式关系型数据库产品。

移动服务：

1.移动数据分析（公测中）：是阿里云推出的一款移动App数据统计分析产品，为开发者提供一站式数据化运营服务。

2.移动推送（公测中）：是基于大数据的移动云服务，帮助App快速集成移动推送的功能，在实现高效、精确、实时的移动推送的同时，极大地降低开发成本。

3.HTTPDNS：是面向移动开发者推出的一款域名解析产品，具有域名防劫持、精准调度的特性。

视频服务：

1.视频点播：是集音视频上传、自动化转码处理、媒体资源管理、分发加速于一体的一站式音视频点播解决方案。

2.视频直播：是基于领先的内容接入与分发网络和大规模分布式实时转码技术打造的音视频直播平台,提供便捷接入、高清流畅、低延迟、高并发的音视频直播服务。

域名与网站：

1.云虚拟主机：也叫“网站空间”,每个空间都给予相应的FTP权限和Web访问权限,以用 于网站发布。

2.云解析：是一种高可用性、高可扩展的权威 DNS 服务和 DNS 管 理服务。

3.云邮箱：是阿里云自主研发的,业内唯一一家拥有独立公有云服务的邮件运营商,为企业 提供智能高效的邮件通信和管理服务。

4.弹性Web托管：新一代虚机，独享内存，高性价比。

5.企业建站：海量模板与定制网站任您选。

数加：

1.大数据开发（公测中）：提供可视化开发界面、离线任务调度运维、快速数据集成、多人协同工作等功能,为您提供一个高效、安全的离线数据开发环境。

2.机器学习（公测中）：构建于阿里云MaxCompute、GPU等计算集群之上，汇集了阿里集团大量优质分布式算法，包括数据处理、特征工程、机器学习算法、文本算法等，可高效的完成海量、亿级维度数据的复杂计算，给业务带来更为精准的洞察力。

3.BI报表（公测中）：为用户提供包括数据从采集、结构化、加工到展示分析整套的一站式大数据分析服务。

4.推荐引擎（公测中）：是一款用于实时预测用户对物品偏好的数据工具。

5.规则引擎标准版：是一款用于解决业务规则频繁变化的在线服务，它能帮助客户将业务规则从应用程序代码中分离出来，通过简单组合预定义的条件因子即可灵活编写业务规则，并根据业务规则做出业务决策。

6.移动定向营销版（公测中）：帮助移动APP快速实现流量精准运营，助力沉淀用户数据。

7.移动数据分析（公测中）：是阿里云推出的一款移动App数据统计分析产品，为开发者提供一站式数据化运营服务。

8.智能语音交互（公测中）：基于语音和自然语言技术构建的在线服务，为智能手机，智能电视以及物联网等产品提供“能听、会说、懂你”式的智能人机交互体验。

9.机器翻译（公测中）：基于阿里巴巴海量电商数据结合机器学习、自然语言处理技术，实现多语言语种识别与自动翻译功能，为跨境电商信息本地化与跨语言沟通上提供精准、快捷、可靠的在线翻译服务。

10.人脸识别（公测中）：人脸服务是一款用于提供图像和视频帧中人脸分析的在线服务。

11.电商图像分析（公测中）：提供一些与电商相关的图像分析技术的在线API给开发者和企业使用。

12.通用图像分析（公测中）：是一款面对通用类型图像的综合分析在线服务，便于开发者和企业在自己的应用中快速嵌入图像分析技术。

13.印刷文字识别（公测中）：提供光学字符识别（OCR）的在线服务，包括自然场景图片的中英文文字检测和识别。

14.大数据计算服务：是一种快速、完全托管的TB/PB级数据仓库解决方案。

15.分析型数据库：是阿里巴巴自主研发的海量数据实时高并发在线分析(Realtime OLAP)云计算服务。

16.流计算：是一个通用的流式计算平台,提供实时(秒级乃至于毫秒级)的流式数据计算服务。

17.移动App数据化运营：为开发者提供一站式数据化运营服务，助力移动开发者实现基于大数据技术的精细化运营。

18.个性化推荐：根据用户的兴趣特点和购买行为，推荐用户感兴趣的信息和物品。

19.大数据仓库：为您提供包括从数据采集、数据存储、数据加工、数据管理、数据运维调度等完整的数仓解决方案。

20.云上数据集成方案：提供可跨异构数据存储系统、可靠、安全、低成本、可弹性扩展的数据传输交互服务。

21.定向营销：面对广告定向投放、网站个性化运营和移动智能推送等多个场景，提供自定义目标人群、规则实时生效的精准营销解决方案。

22.DataV（公测中）：让企业创造自己的双 11 指挥大屏。

23.郡县图治：让政府创造自己的指挥大屏。

24.台风路径分析（公测中）：在台风来临前提供实时的各气象台预报数据对比展示分析，判断台风未来的走向及汛情

更多深度技术内容，请关注云栖社区微信公众号：yunqiinsight。

面对 DNS 劫持，只能坐以待毙吗？

DNS 劫持作为最常见的网络攻击方式，是每个站长或者运维团队最为头疼的事情。苦心经营的网站受到 DNS 劫持后，不仅会影响网站流量、权重，还会让用户置身于危险之中，泄露隐私造成财产损失。

就是这样一个简单到不能再简单的攻击方式，在 2009 年制造了轰动全球的“银行劫持案”，导致巴西最大银行 Banco Bradesco 银行近 1% 客户受到攻击而导致账户被盗。黑客利用宽带路由器缺陷对用户 DNS 进行篡改——用户浏览黑客所制作的 Web 页面，其宽带路由器 DNS 就会被黑客篡改，由于该 Web 页面设有巧妙设计的恶意代码，成功躲过安全软件检测，导致大量用户被 DNS 钓鱼诈骗。

网站被黑、被歹意镜像、被植入垃圾代码，现象屡见不鲜，其危害还包括：

钓鱼诈骗网上购物,网上支付有可能会被恶意指向别的网站，更加加大了个人账户泄密的风险；

网站内出现恶意广告；

轻则影响网速，重则不能上网。

但面对DNS劫持时，只能束手就擒吗？

知己知彼，什么是 DNS？

DNS 即 Domain Name System 的缩写，域名系统以分布式数据库的形式将域名和 IP 地址相互映射。简单的说，DNS 是用来解析域名的，在正常环境下，用户的每一个上网请求会通过 DNS 解析指向到与之相匹配的 IP 地址，从而完成一次上网行为。DNS 作为应用层协议，主要是为其他应用层协议工作的，包括不限于 HTTP、SMTP、FTP，用于将用户提供的主机名解析为 IP 地址，具体过程如下：

（1）用户主机（PC 端或手机端）上运行着 DNS 的客户端；

（2）浏览器将接收到的 URL 中抽取出域名字段，即访问的主机名，比如 http://www.aliyun.com/ , 并将这个主机名传送给 DNS 应用的客户端；

（3）DNS 客户机端向 DNS 服务器端发送一份查询报文，报文中包含着要访问的主机名字段（中间包括一些列缓存查询以及分布式 DNS 集群的工作）；

（4）该 DNS 客户机最终会收到一份回答报文，其中包含有该主机名对应的 IP 地址；

（5）一旦该浏览器收到来自 DNS 的 IP 地址，就可以向该 IP 地址定位的 HTTP 服务器发起 TCP 连接。

（图片源自网络，仅作示意）

可以看到想要获取目标网站 IP，除了在本机中查找行为，还需要第三方服务器(DNS)参与。但只要经过第三方服务，网络就不属于可控制范围，那么就有可能产生 DNS 挟持，比如获取的 IP 并不是实际想要的 IP，从而打开非目标网站。网站在经过本地 DNS 解析时，黑客将本地 DNS 缓存中的目标网站替换成其他网站的 IP 返回，而客户端并不知情，依旧按照正常流程寻址建并立连接。如果一些黑客想要盗取用户账号及密码时，黑客可以做跟目标网站一模一样的木马页面，让用户登录，当用户输入完密码提交的时候就中招了。

常见 DNS 劫持手段又有哪些？

（1）利用 DNS 服务器进行 DDoS 攻击

正常 DNS 服务器递归询问过程被利用，变成 DDoS 攻击。假设黑客知晓被攻击机器 IP 地址，攻击者使用该地址作为发送解析命令的源地址。当使用 DNS 服务器递归查询后会响应给最初用户。如果黑客控制了足够规模的肉鸡进行上述操作。那么，这个最初用户就会受到来自于 DNS 服务器的响应信息 DDoS 攻击，成为被攻击者。

（2）DNS 缓存感染

黑客使用 DNS 请求将数据注入具有漏洞的 DNS 服务器缓存中。这些缓存信息会在客户进行 DNS 访问时返回给用户，把用户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上，或通过伪造邮件和其他服务获取用户口令信息，导致客户遭遇进一步侵害。

（3）DNS 信息劫持

原则上 TCP/IP 体系通过序列号等多种方式避免仿冒数据插入，但黑客通过监听客户端和 DNS 服务器对话，就可以解析服务器响应给客户端的 DNS 查询 ID。每个 DNS 报文包括一个相关联的 16 位 ID，DNS 服务器根据这个 ID 获取请求源位置。黑客在 DNS 服务器之前将虚假响应交给用户，欺骗客户端去访问恶意网站。假设当提交给某个域名服务器域名解析请求的数据包被截获，然后按黑客的意图将虚假 IP 地址作为应答信息返回给请求者。这时，原始请求者就会把这个虚假 IP 地址作为它所要请求的域名而进行连接，显然它被引导到了别处而根本连接不上自己想要连接的那个域名。

（4）ARP 欺骗

通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗，在网络中产生大量 ARP 通信量使网络阻塞，黑客只要持续不断发出伪造的 ARP 响应包就能更改目标主机 ARP 缓存中的 IP-MAC 条目，造成网络中断或中间人攻击。ARP 攻击主要是存在于局域网网络中，局域网中若有一台计算机感染 ARP 木马，则感染该 ARP 木马的系统将会试图通过"ARP 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。ARP 欺骗通常是在用户局网中，造成用户访问域名的错误指向，但在 IDC 机房被入侵后，则也可能出现攻击者采用 ARP 包压制正常主机、或者压制 DNS 服务器，以使访问导向错误指向。

DNS 劫持对业务造成哪些影响？

一旦被劫持，相关用户查询就没办法获取到正确 IP 解析，这就很容易造成：

（1）很多用户习惯依赖书签或者易记域名进入，一旦被劫持会使这类用户无法打开网站，更换域名又没办法及时告知变更情况，导致用户大量流失。

（2）用户流量主要是通过搜索引擎 SEO 进入，DNS 被劫持后会导致搜索引擎蜘蛛抓取不到正确 IP，网站就可能会被百度 ban 掉。

（3）一些域名使用在手机应用 APP 调度上，这些域名不需要可以给客户访问，但这些域名的解析关系到应用 APP 访问，如果解析出现劫持就会导致应用 APP 无法访问。这时候更换域名就可能会导致 APP 的下架，重新上架需要审核并且不一定可以重新上架。这就会导致应用 APP 会有用户无法访问或者下载的空窗期。

可以看到，DNS 劫持对业务有着巨大影响，不仅仅是用户体验的损失，更是对用户资产安全、数据安全的造成潜在的巨大风险。

我们该如何监测网站是否被 DNS 劫持？

借助 ARMS-云拨测，我们实时对网站进行监控，实现分钟级别的监控，及时发现 DNS 劫持以及页面篡改。

劫持检测

DNS 劫持监测

利用域名白名单、元素白名单，有效探测域名劫持以及元素篡改情况。在建立拨测任务时，我们可以设置 DNS 劫持白名单。比如，我们配置 DNS 劫持格式的文件内容为 www.aliyun.com:201.1.1.22|250.3.44.67。这代表 www.aliyun.com 域名下，除了 201.1.1.22 和 250.3.44.67 之外的都是被劫持的。

页面篡改监测

我们把原始页面的元素类型加入页面篡改白名单，在进行拨测时将加载元素与白名单对比，判断页面是否被篡改。比如，我们配置页面篡改的文件内容为 www.aliyun.com:|/cc/bb/a.gif|/vv/bb/cc.jpg，这代表着 www.aliyun.com 域名下，除了基础文档 、/cc/bb/a.gif 和 /vv/bb/cc.jpg 之外的元素都属于页面被篡改。再比如，我们配置页面篡改的文件内容为 www.aliyun.com:*，代表：www.aliyuyn.com 域名下所有的元素都不认为是被篡改。

劫持告警

在持续监测的同时，及时告警也至关重要。通过灵活配置劫持告警比例，当任务的劫持比例大于阈值，即迅速通知相关运维团队，对网站进行维护，确保用户的数据安全以及网站的正常浏览。

在提升用户体验的同时，确保网站以及用户资产安全对于企业而言同样至关重要。云拨测为你的网站安全与用户体验保驾护航！

作者：白玙

原文链接：http://click.aliyun.com/m/1000307907/

本文为阿里云原创内容，未经允许不得转载。

阿里云回应未及时上报 Log4j2 重大漏洞：早期未意识到严重性

IT之家 12 月 23 日消息，近日，工信部发布通报，阿里云公司发现阿帕奇（Apache）Log4j2 组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，暂停阿里云公司作为上述合作单位 6 个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

阿里云官方今日回应称，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

以下为阿里云官方回应全文：

Log4j2 是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发。

近日，阿里云一名研发工程师发现 Log4j2 组件的一个安全 bug，遂按业界惯例以邮件方式向软件开发方 Apache 开源社区报告这一问题请求帮助。Apache 开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。

阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

IT之家了解到，本月阿里云计算有限公司发现了 Java 日志库的阿帕奇 Apache Log4j2 组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。这一组件是基于 Java 语言的开源日志框架，被广泛用于业务系统开发。漏洞编号为：CVE-2021-45046。

12 月 17 日，工信部网络安全管理局发布关于阿帕奇 Log4j2 组件重大安全漏洞的网络安全风险提示。官方表示，12 月 9 日收到了有关网络安全专业机构报告，表示这一组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

如何申请一个免费的企业邮箱

企业邮箱会让你的业务显得更加的正规一点，例如你的shopify店铺域名是aaa.com，那么你可以设置企业邮箱：contact@aaa.com，service@aaa.com等等。

其实现在创建企业邮箱一般有三个渠道，主机服务商自带的邮箱功能，域名服务商自带的邮箱功能，第三方的邮箱功能（例如腾讯企业邮箱等等）。

一，腾讯企业免费邮箱

当我们有了网站之后，特别是shopify店铺，我们肯定会利用到邮箱对用户进行邮件的发送，那么最好是使用域名的企业邮箱，而不是你个人的邮箱，这样会让你的业务显得比较正规。

这篇文章，我们详细的说下如何利用腾讯免费企业邮箱。

1，首先进入官网：https://exmail.qq.com

首先我们需要来注册一个账号，可以直接选择“扫码登录”，直接用我们的微信来扫码。

如果选择“手机号登录”，输入手机号，然后会给你手机发送验证码，填入验证码后也会让你去用微信扫码登录。

登入后，点击右上角“我的企业”，“域名管理”，然后输入自己的域名，

输入域名之后，下一步需要你到域名服务商去设置邮箱解析，例如我的域名是阿里云的，那么我就要登入到阿里云，控制台，域名，解析，如图：

然后点击“添加记录”，如下图方框的就是需要添加上去的两条记录。

主机记录：（留空不填，会自动显示@）

记录类型：MX，

记录值：mxbiz2.qq.com ，优先等级是10。另外一个是 mxbiz1.qq.com ，优先等级是5.

这样就算完成了邮箱解析了。

但是还有一个问题，就是有些喜欢contact@xxx.com，有些人喜欢info@xxx.com，如何去添加不同前缀的域名邮箱呢。

你只要点击右上角的“管理工具”，“管理邮箱账号”，然后点击“业务邮箱”

接着你就可以看到“新建业务邮箱了”，但是需要注意的是免费版的只能新建三个业务邮箱，容量是1个G，但是对于刚开始的新手来说足够使用了，等后面顾客多了，再去升级个付费的版本。

二，网易免费企业邮箱

我们打开官网：https://ym.163.com/，点击“免费”，接着我们要输入一些信息，域名，组织机构名称，所在地，类型，规模。

点击“同意协议并提交”，然后我们又要输入管理员姓名，管理账号，密码，手机号，密保邮箱。

点击下一步，我们需要用手机发送188到网易指定的号码。

点击“下一步”，我们需要验证域名MX记录了，

我这里同样以阿里云域名来举例，我们需要登入阿里云控制台，点击域名解析，然后添加两条记录，

添加第一条，记录类型选择MX，主机记录@，记录值mx.ym.163.com。

添加第二条，记录类型选择TXT，主机记录@，记录值v=spf1 include:spf.163.com ~all。

回到网易企业邮箱注册页面，点击“下一步”，就会显示企业邮箱注册成功，我们可以点击“立即登录”，尝试登入自己的企业邮箱了，但是注意可能还需要你实名认证下，同时需要等待最多48个小时才生效。

三，阿里云免费企业邮箱

打开官网：https://wanwang.aliyun.com/mail/freemail/，点击立即开通，然后会显示0元购买，我们直接购买下就可以了。

购买之后，同样需要去域名解析设置下，如下图设置就可以了。

四，主机企业邮箱

如果你自己购买了虚拟主机服务器，那么申请企业邮箱就会非常的简单，我们要登入虚拟主机后台，找到cpanel面板，（bluehost，siteground，a2等等大部分国外虚拟主机的后台都有cpanel面板的），

然后找到“Email Accounts”，

点击创建，选择域名，然后输入自己想要的名称，例如service@，contact@等等就可以了。

这样一个企业域名邮箱就创建完成了，但是有一个问题，就是如果有顾客给你发邮件，你必须是要登入到主机服务器后台的邮箱列表这里才可以看到，会比较麻烦。

下面跟大家介绍下如何把企业邮箱绑定到自己常用的gmail邮箱上面（163邮箱也可以，方法是类似的），这样的话，我们在gmail邮箱就可以看到顾客发送的邮件了，非常的方便。

首先登入你的gmail邮箱，点击右上角的“设置” - “查看所有设置”

点击“账号和导入”，“添加邮件账号”，

输入想绑定的企业邮箱，点击“下一步”，就可以了。