Escenario: Integración de Exchange Online con un servicio de complemento de correo electrónico

Muchas soluciones de servicios en la nube de terceros proporcionan servicios de complemento para Exchange Online. Por motivos de seguridad, no permitimos que se instalen servicios de complementos de correo electrónico de terceros en Exchange Online. Sin embargo, puede trabajar con el proveedor de servicios para configurar los valores de la organización Exchange Online para que pueda usar el servicio.

En este tema se describen los procedimientos recomendados para cómo su organización puede usar un servicio de complemento de correo electrónico de terceros mediante el examen de un servicio ficticio denominado Contoso Signature Service. Este servicio ficticio se ejecuta en Azure y proporciona firmas de correo electrónico personalizadas.

Nota:

Este servicio podría implementarse en un entorno en la nube distinto de Azure.

El flujo de correo y un resumen de alto nivel del servicio se muestran en el diagrama siguiente.

1. Cuando un usuario de la organización Exchange Online redacta y envía un mensaje, el mensaje se desvía a Contoso Signature Service mediante un conector y una regla de flujo de correo (también conocida como regla de transporte) que se crea.

   Connections de Exchange Online a Contoso Signature Service se cifran mediante TLS, porque configura el nombre de dominio del certificado para el servicio en la configuración del conector (por ejemplo, smtp.contososignatureservice.com).

2. Contoso Signature Service acepta el mensaje y agrega una firma de correo electrónico al mensaje. El servicio también marca el mensaje con un encabezado personalizado para indicar que el mensaje se ha procesado.

3. Contoso Signature Service enruta el mensaje a Exchange Online. Un conector que cree acepta los mensajes entrantes de Contoso Signature Service.

   • Contoso Signature Service usa el enrutamiento de host inteligente para enrutar los mensajes a la región donde se encuentra la organización Exchange Online. Por ejemplo, si el dominio de Exchange Online está fabrikam.onmicrosoft.com, se fabrikam.mail.protection.outlook.com el host inteligente de destino.
   • Contoso Signature Service proporciona un nombre de dominio de certificado único para cada cliente. Este nombre de dominio se configura como un dominio aceptado en la organización de Exchange Online y en la configuración del conector (por ejemplo, S5HG3DCG14.smtp.contososignatureservice.com).

4. Exchange Online envía el mensaje con la firma personalizada a los destinatarios originales.

En el resto de este tema se explica cómo configurar el flujo de correo en Exchange Online para trabajar con el servicio de complemento de correo electrónico.

Nota:

Estos elementos son necesarios para cualquier servicio de complemento de correo electrónico que quiera integrar con su organización de Exchange Online. Debe trabajar con el proveedor de servicios del complemento de correo electrónico para configurar los valores necesarios en Exchange Online.

Importante

En este artículo se describe la integración de Exchange Online con un servicio de complemento de correo electrónico. Si está pensando en integrar servicios de seguridad que no son de Microsoft con Microsoft 365, consulte Consideraciones para la integración de servicios de seguridad que no son de Microsoft con Microsoft 365.

¿Qué necesita saber antes de empezar?

• Tiempo estimado para finalizar: 15 minutos

• Necesita permisos para poder realizar este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el entrada "Flujo de correo" en el tema Permisos de características de Exchange Online.

• Para abrir el Centro de administración de Exchange (EAC), consulte Centro de administración de Exchange en Exchange Online. Para obtener información sobre cómo usar Windows PowerShell para conectarse a Exchange Online, vea Conexión a Exchange Online PowerShell.

• Para obtener información sobre los métodos abreviados de teclado que se pueden aplicar a los procedimientos de este tema, vea Métodos abreviados de teclado para el Centro de administración de Exchange.

Sugerencia

¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Online o Exchange Online Protection.

Paso 1: Crear un conector que enrute mensajes de Office 365 al servicio de complemento de correo electrónico

La configuración importante para el conector son:

• De Office 365 al servicio de complemento de correo electrónico.
• Usa el enrutamiento de host inteligente al servicio de complemento de correo electrónico.
• Usa TLS para cifrar la conexión en función del nombre de dominio del servicio de complemento de correo electrónico (host inteligente).

Use el EAC para crear el conector que enruta los mensajes de Office 365 al servicio de complemento de correo electrónico.

Creación del conector de salida en el nuevo EAC

1. En el EAC, vaya aConectores de flujo> de correo y, a continuación, haga clic en Agregar un icono

   

2. Se abre el nuevo asistente del conector. En la primera página, configure estas opciones:

   • Conexión desde: seleccione Office 365.
   • Conexión a: servidor de correo electrónico de la organización

   

   Cuando termine, haga clic en Siguiente.

3. En la página siguiente, configure estas opciones:

   • Nombre: escriba un nombre descriptivo (por ejemplo, Office 365 a Contoso Signature Service).
   • Descripción: escriba una descripción opcional.
   • ¿Qué desea hacer después de guardar el conector?: Configure estas opciones:
     • Actíelo , deje seleccionado este valor.
     • Conservar encabezados de correo electrónico de Exchange internos (recomendado): configure uno de estos valores:
       • Activado: conserva los encabezados internos en los mensajes que se envían al servicio de complemento de correo electrónico, lo que significa que los mensajes se tratan como mensajes internos de confianza. Si selecciona este valor, también tendrá que usar el mismo valor en esta configuración para el conector de entrada que cree en el paso 4 (de lo contrario, el conector de entrada quitará los encabezados internos de Exchange de los mensajes devueltos).
       • Desactivada: quita los encabezados internos de los mensajes antes de enviarlos al servicio de complemento de correo electrónico. Si selecciona este valor, el valor de esta configuración en el conector de entrada que cree en el paso 4 no tiene sentido (por definición, no habrá encabezados internos de Exchange que conservar o quitar al devolver mensajes).

   

   Cuando termine, haga clic en Siguiente.

4. En la página Uso del conector , seleccione Solo cuando tenga configurada una regla de transporte que redirija los mensajes a este conector y, a continuación, haga clic en Siguiente.

   

5. En la página Enrutamiento , escriba el valor de host inteligente haga clic o el servicio de complemento de correo electrónico (por ejemplo, smtp.contososignatureservice.com), haga clic en Agregar y, a continuación, haga clic en Siguiente.

   

6. En la página Restricciones de seguridad , configure estas opciones:

   • Compruebe que siempre use Seguridad de la capa de transporte (TLS) para proteger la conexión (recomendada).
   • La comprobación emitida por una entidad de certificación (CA) de confianza está seleccionada.
   • Seleccione Y el nombre del firmante o el nombre alternativo del firmante (SAN) coincide con este nombre de dominio y escriba el host inteligente que usó en el paso anterior (por ejemplo, smtp.contososignatureservice.com).

   

   Cuando termine, haga clic en Siguiente.

7. En la página Correo electrónico de validación , siga estos pasos:

   1. Escriba una dirección de correo electrónico válida en el servidor de correo electrónico de la organización y haga clic en .
   2. Haga clic en Validar para iniciar el proceso de validación.

   Una vez completado el proceso de validación, haga clic en Siguiente.

   

8. En la página Revisar conector , revise la configuración del nuevo conector. Puede hacer clic en Editar en la sección específica para editar esa configuración.

   Cuando haya terminado, haga clic en Crear conector.

   

Creación del conector de salida en el EAC clásico

1. Vaya aConectores de flujo> de correo y, a continuación, haga clic en Nuevo

   

2. Se abre el nuevo asistente del conector. En la página Seleccionar el escenario de flujo de correo , configure estas opciones:

   • Desde: seleccione Office 365.
   • Para: Seleccione el servidor de correo electrónico de su organización.

   

   Cuando termine, haga clic en Siguiente.

3. En la página siguiente, configure estas opciones:

   • Nombre: escriba un nombre descriptivo (por ejemplo, Office 365 a Contoso Signature Service).
   • Descripción: escriba una descripción opcional.
   • ¿Qué desea hacer después de guardar el conector?: Configure estas opciones:
     • Actíelo , deje seleccionado este valor.
     • Conservar encabezados de correo electrónico de Exchange internos (recomendado): configure uno de estos valores:
       • Activado: conserva los encabezados internos en los mensajes que se envían al servicio de complemento de correo electrónico, lo que significa que los mensajes se tratan como mensajes internos de confianza. Si selecciona este valor, también tendrá que usar el mismo valor en esta configuración para el conector de entrada que cree en el paso 4 (de lo contrario, el conector de entrada quitará los encabezados internos de Exchange de los mensajes devueltos).
       • Desactivada: quita los encabezados internos de los mensajes antes de enviarlos al servicio de complemento de correo electrónico. Si selecciona este valor, el valor de esta configuración en el conector de entrada que cree en el paso 4 no tiene sentido (por definición, no habrá encabezados internos de Exchange que conservar o quitar al devolver mensajes).

   (Por definición, no habrá encabezados internos de Exchange que conservar o quitar en los mensajes devueltos).

   

   Cuando termine, haga clic en Siguiente.

4. En la página ¿Cuándo desea usar este conector? , seleccione Solo cuando tenga configurada una regla de transporte que redirija los mensajes a este conector y, a continuación, haga clic en Siguiente.

   

5. En la página ¿Cómo desea enrutar los mensajes de correo electrónico?, haga clic en Agregar En el cuadro de diálogo Agregar host inteligente que aparece, escriba el valor de host inteligente para el servicio de complemento de correo electrónico (por ejemplo, smtp.contososignatureservice.com), haga clic en Guardar y, a continuación, haga clic en Siguiente.

   

6. En la página ¿Cómo debe Office 365 conectarse al servidor de correo electrónico?, configure estas opciones:

   • Compruebe que siempre use Seguridad de la capa de transporte (TLS) para proteger la conexión (recomendada).
   • La comprobación emitida por una entidad de certificación (CA) de confianza está seleccionada.
   • Seleccione Y el nombre del firmante o el nombre alternativo del firmante (SAN) coincide con este nombre de dominio y escriba el host inteligente que usó en el paso anterior (por ejemplo, smtp.contososignatureservice.com).

   

   Cuando termine, haga clic en Siguiente.

7. En la página Confirmar la configuración , compruebe la configuración. Haga clic en Atrás para modificar la configuración según sea necesario.

   Cuando termine, haga clic en Siguiente.

   

8. En la página Validar este conector, haga clic en En el cuadro de diálogo Agregar correo electrónico que aparece, escriba una dirección de correo electrónico que no esté en Exchange Online para probar el conector (por ejemplo, admin@fabrikam.com), haga clic en Aceptary, a continuación, haga clic en Validar.

   

   Aparece un indicador de progreso. Una vez completada la validación del conector, haga clic en Cerrar.

   

9. En la página Resultados de validación , haga clic en Guardar.

Use Exchange Online PowerShell para crear el conector de salida en el servicio de complemento de correo electrónico.

Para crear el conector de salida en el servicio de complemento de correo electrónico en Exchange Online PowerShell, use esta sintaxis:

New-OutboundConnector -Name "<Descriptive Name>" -ConnectorType OnPremises -IsTransportRuleScoped $true -UseMxRecord $false -SmartHosts <SmartHost> -TlsSettings DomainValidation -TlsDomain <SmartHost> [-CloudServicesMailEnabled $true]

En este ejemplo se crea un conector de salida con esta configuración:

• Nombre: Office 365 a Contoso Signature Service
• Destino de host inteligente del servicio de complemento de correo electrónico: smtp.contososignatureservice.com
• Dominio TLS para la validación de dominio: smtp.contososignatureservice.com
• Los encabezados de mensajes internos de Exchange que identifican los mensajes como internos se conservan en los mensajes salientes.

New-OutboundConnector -Name "Office 365 to Contoso Signature Service" -ConnectorType OnPremises -IsTransportRuleScoped $true -UseMxRecord $false -SmartHosts smtp.contososignatureservice.com -TlsSettings DomainValidation -TlsDomain smtp.contososignatureservice.com -CloudServicesMailEnabled $true

Para obtener información detallada sobre la sintaxis y los parámetros, consulte New-OutboundConnector.

Compruebe que ha creado correctamente el conector de salida.

Para comprobar que ha creado correctamente un conector de salida para enrutar mensajes al servicio de complemento de correo electrónico, use cualquiera de estos procedimientos:

• En el EAC, vaya aConectores de flujo> de correo, seleccione el conector y compruebe la configuración.

• En Exchange Online PowerShell, reemplace <Nombre> del conector por el nombre del conector y ejecute este comando para comprobar los valores de propiedad:

  Get-OutboundConnector -Identity "<Connector Name>" | Format-List Name,ConnectorType,IsTransportRuleScoped,UseMxRecord,SmartHosts,TlsSettings,TlsDomain,CloudServicesMailEnabled
  

Paso 2: Crear una regla de flujo de correo para enrutar mensajes sin procesar al servicio de complemento de correo electrónico

La regla enruta los mensajes de remitentes internos al conector que creó en el paso 1 si el servicio de complemento de correo electrónico no ha procesado los mensajes (el encabezado personalizado no se marca en el mensaje).

Uso del EAC para crear una regla de flujo de correo para enrutar mensajes sin procesar al servicio de complemento de correo electrónico

Nota:

La creación de reglas de flujo de correo en el nuevo EAC es exactamente la misma que en el EAC clásico.

1. Vaya aReglas de flujo> de correo, haga clic en Nuevo, a continuación, seleccione Crear una nueva regla.

   

2. En la página Nueva regla que se abre, haga clic en Más opciones cerca de la parte inferior de la página.

   

3. En la página Nueva regla , configure estas opciones:

   • Nombre: escriba un nombre descriptivo (por ejemplo, Route email to Contoso Signature Service).
   • Aplique esta regla si: seleccione El remitente>es externo o interno> Seleccione Dentro de la organización y, a continuación, haga clic en Aceptar.
   • Haga lo siguiente: Seleccione Redirigir el mensaje alconector> siguiente Seleccione el conector que creó en el paso 1 y, a > continuación, haga clic en Aceptar.
   • Excepto si: haga clic en Agregar excepción> Seleccione Un encabezado>de mensaje Incluye y de estas palabras.
   • Haga clic en Escribir texto, escriba el nombre del campo de encabezado personalizado que aplica el servicio de complemento de correo electrónico (por ejemplo, SignatureContoso) y, a continuación, haga clic en Aceptar.
   • Haga clic en Escribir palabras, escriba el valor del campo de encabezado que indica que el servicio de complemento de correo electrónico ha procesado un mensaje (por ejemplo, true), haga clic en Agregar y, a continuación, haga clic en Aceptar.
   • Cerca de la parte inferior de la página, seleccione Detener el procesamiento de más reglas.

   

   Cuando haya terminado, haga clic en Guardar.

Use Exchange Online PowerShell para crear una regla de flujo de correo para enrutar mensajes sin procesar al servicio de complemento de correo electrónico

Para crear la regla de flujo de correo en Exchange Online PowerShell, use esta sintaxis:

New-TransportRule -Name "<Descriptive Name>" -FromScope InOrganization -RouteMessageOutboundConnector "<Connector Name>" -ExceptIfHeaderContainsMessageHeader <HeaderName> -ExceptIfHeaderContainsWords <HeaderValue> -StopRuleProcessing $true

En este ejemplo se crea la regla de flujo de correo con esta configuración:

• Nombre: enrutar el correo electrónico al servicio de firma de Contoso
• Nombre del conector de salida: Office 365 a Contoso Signature Service
• Campo de encabezado y valor que indica el procesamiento por el servicio de complemento de correo electrónicoSignatureContoso con el valor true.

New-TransportRule -Name "Route email to Contoso Signature Service" -FromScope InOrganization -RouteMessageOutboundConnector "Office 365 to Contoso Signature Service" -ExceptIfHeaderContainsMessageHeader SignatureContoso -ExceptIfHeaderContainsWords true -StopRuleProcessing $true

Para obtener información detallada acerca de la sintaxis y los parámetros, vea New-TransportRule.

Compruebe que ha creado correctamente la regla de flujo de correo.

Para comprobar que ha creado correctamente una regla de flujo de correo para enrutar mensajes sin procesar al servicio de complemento de correo electrónico, use cualquiera de estos procedimientos:

• En el EAC, vaya aReglas de flujo> de correo, seleccione la regla, haga clic en el y compruebe la configuración de la regla.

• En Exchange Online PowerShell, reemplace <Nombre> de regla por el nombre de la regla y ejecute este comando para comprobar los valores de propiedad:

  Get-TransportRule -Identity "<Rule Name>" | Format-List Name,FromScope,RouteMessageOutboundConnector,ExceptIfHeaderContainsMessageHeader,ExceptIfHeaderContainsWords,StopRuleProcessing
  

Paso 3: Agregar el dominio de certificado personalizado proporcionado por el servicio de complemento de correo electrónico como dominio aceptado en Exchange Online

1. En el Centro de administración de Microsoft 365 en https://admin.microsoft.com, vaya a Dominios de configuración> y, a continuación, haga clic en Agregar dominio.

   

2. Se inicia el asistente para agregar un dominio. En la página Agregar un dominio , escriba el dominio de certificado personalizado que el servicio de complemento de correo electrónico proporcionó al inscribirse en el servicio (por ejemplo, S5HG3DCG14.smtp.contososignatureservice.com) y, a continuación, haga clic en Usar este dominio.

   Nota: El valor debe tener 48 caracteres o menos.

   

3. En la página Comprobación del dominio , seleccione uno de los siguientes valores:

   • Agregar un registro TXT a los registros DNS del dominio
   • Si no puede agregar un registro TXT, agregue un registro MX a los registros DNS del dominio.

   Cuando haya terminado, haga clic en Continuar.

4. La siguiente página que vea dependerá de la selección anterior. Use los detalles de la página para crear el registro TXT o MX de propiedad de dominio necesario para el dominio de certificado personalizado.

   Después de crear el registro de prueba de propiedad del dominio, haga clic en Comprobar y espere a los resultados.

   

5. En la página Conectar dominio , haga clic en Guardar y cerrar.

Para obtener más información, vea Agregar el dominio a Microsoft 365.

Paso 4: Crear un conector que reciba mensajes del servicio de complemento de correo electrónico

La configuración importante para el conector son:

• Del servicio de complemento de correo electrónico a Office 365.
• El cifrado TLS y la comprobación de certificados se basan en el nombre de dominio de certificado personalizado que configuró como dominio aceptado en el paso anterior.

Uso del EAC para crear un conector que reciba mensajes del servicio de complemento de correo electrónico

Creación del conector de entrada en el nuevo EAC

1. Vaya aConectores de flujo> de correo y, a continuación, haga clic en Agregue un conector.

   

2. Se abre el nuevo asistente del conector. En la primera página, configure estas opciones:

   • Conexión desde: seleccione el servidor de correo electrónico de su organización.
   • Conexión a: compruebe que Office 365 está seleccionado.

   

3. Cuando termine, haga clic en Siguiente.

4. En la página Nombre del conector , configure estas opciones:

   • Nombre: escriba un nombre descriptivo (por ejemplo, Contoso Signature Service para Office 365).
   • Descripción: escriba una descripción opcional.
   • ¿Qué desea hacer después de guardar el conector?: Configure estas opciones:
     • Activarlo: compruebe que esta configuración está seleccionada.
     • Conservar encabezados de correo electrónico de Exchange internos (recomendado): configure uno de estos valores:
       • Activada: conserva los encabezados internos en los mensajes que se devuelven desde el servicio de complemento de correo electrónico. Si seleccionó este valor en esta configuración para el conector que creó en el paso 1, tendrá que configurar el mismo valor aquí. Los encabezados internos de Exchange de los mensajes devueltos se conservan, lo que significa que los mensajes que devuelven del servicio de complemento de correo electrónico se tratan como mensajes internos de confianza.
       • Desactivada: quita los encabezados internos de Exchange (si los hay) de los mensajes que se devuelven del servicio de complemento de correo electrónico.

   

   Cuando termine, haga clic en Siguiente.

5. En la página Autenticación de correo electrónico enviado , compruebe que la primera opción está seleccionada (compruebe por certificado) y escriba el dominio de certificado que le proporcionó el servicio de complemento de correo electrónico al inscribirse en el servicio (por ejemplo, S5HG3DCG14.smtp.contososignatureservice.com).

   

   Cuando termine, haga clic en Siguiente.

6. En la página Revisar conector , compruebe la configuración. Puede hacer clic en Editar en la sección adecuada para realizar cambios. Cuando haya terminado, haga clic en Crear conector*.

   

Creación del conector de entrada en el EAC clásico

1. Vaya aConectores de flujo> de correo y, a continuación, haga clic en Nuevo

   

2. Se abre el nuevo asistente del conector. En la página Seleccionar el escenario de flujo de correo , configure estas opciones:

   • Desde: Seleccione el servidor de correo electrónico de su organización.
   • Para: seleccione Office 365.

   

   Cuando termine, haga clic en Siguiente.

3. En la página siguiente, configure estas opciones:

   • Nombre: escriba un nombre descriptivo (por ejemplo, Contoso Signature Service para Office 365).
   • Descripción: escriba una descripción opcional.
     • ¿Qué desea hacer después de guardar el conector?: Configure estas opciones:
       • Activarlo: compruebe que esta configuración está seleccionada.
       • Conservar encabezados de correo electrónico de Exchange internos (recomendado): configure uno de estos valores:
         • Activada: conserva los encabezados internos en los mensajes que se devuelven desde el servicio de complemento de correo electrónico. Si seleccionó este valor en esta configuración para el conector que creó en el paso 1, tendrá que configurar el mismo valor aquí. Los encabezados internos de Exchange de los mensajes devueltos se conservan, lo que significa que los mensajes que devuelven del servicio de complemento de correo electrónico se tratan como mensajes internos de confianza.
         • Desactivada: quita los encabezados internos de Exchange (si los hay) de los mensajes que se devuelven del servicio de complemento de correo electrónico.

   

   Cuando termine, haga clic en Siguiente.

4. En la página ¿Cómo debe Office 365 identificar el correo electrónico del servidor de correo electrónico?, compruebe que la primera opción está seleccionada (compruebe por certificado) y escriba el dominio de certificado que le proporcionó el servicio de complemento de correo electrónico cuando se inscribió en el servicio (por ejemplo, S5HG3DCG14.smtp.contososignatureservice.com).

   

   Cuando termine, haga clic en Siguiente.

5. En la página Confirmar la configuración , compruebe la configuración. Puede hacer clic en Atrás para modificar la configuración.

   Cuando haya terminado, haga clic en Guardar.

   

Usar Exchange Online PowerShell para crear un conector de entrada para recibir mensajes del servicio de complemento de correo electrónico

Para crear el conector de entrada desde el servicio de complemento de correo electrónico en Exchange Online PowerShell, use esta sintaxis:

New-InboundConnector -Name "<Descriptive Name>" -SenderDomains * -ConnectorType OnPremises -RequireTls $true -RestrictDomainsToCertificate $true -TlsSenderCertificateName <CertificateDomainName> [-CloudServicesMailEnabled $true]

• Nombre: Contoso Signature Service para Office 365
• Nombre de dominio usado por el certificado del servicio de complemento de correo electrónico para autenticarse con la organización de Office 365: S5HG3DCG14.smtp.contososignatureservice.com
• Los encabezados de mensajes internos de Exchange que identifican los mensajes como internos se conservan en los mensajes salientes.

New-InboundConnector -Name "Contoso Signature Service to Office 365" -SenderDomains * -ConnectorType OnPremises -RequireTls $true -RestrictDomainsToCertificate $true -TlsSenderCertificateName S5HG3DCG14.smtp.contososignatureservice.com -CloudServicesMailEnabled $true

Para obtener información detallada sobre la sintaxis y los parámetros, consulte New-InboundConnector.

Compruebe que ha creado correctamente el conector de entrada.

Para comprobar que ha creado correctamente un conector de entrada para recibir mensajes del servicio de complemento de correo electrónico, use cualquiera de estos procedimientos:

• En el EAC, vaya aConectores de flujo> de correo, seleccione el conector y compruebe la configuración.

• En Exchange Online PowerShell, reemplace <Nombre> del conector por el nombre del conector y ejecute este comando para comprobar los valores de propiedad:

  Get-InboundConnector -Identity "<Connector Name>" | Format-List Name,SenderDomains,ConnectorType,RequireTls,RestrictDomainsToCertificate,TlsSenderCertificateName,CloudServicesMailEnabled