Configurar un conector basado en certificados para retransmitir mensajes de correo electrónico a través de Microsoft 365

  • Artículo
  • Se aplica a:
    Exchange Online

Introducción

Si su organización tiene una implementación híbrida (local y Microsoft 365), tiene que retransmitir con frecuencia mensajes de correo electrónico a Internet a través de Microsoft 365. Es decir, los mensajes que envía desde su entorno local (buzones de correo, aplicaciones, escáneres, máquinas de fax, etc.) a los destinatarios de Internet se enrutan primero a Microsoft 365 y luego se envían a los destinatarios de Internet.

              La figura muestra el correo electrónico transmitido desde los servidores de correo electrónico locales a Internet a través de Microsoft 365.                 

Figura: correo electrónico transmitido desde los servidores de correo electrónico locales a Internet a través de Microsoft 365

Para que esta retransmisión funcione correctamente, su organización debe seguir estos pasos:

  1. Cree uno o más conectores en Microsoft 365 para autenticar mensajes de correo electrónico desde los servidores de correo locales mediante la dirección IP de envío o un certificado.

  2. Configure sus servidores locales para retransmitir a través de Microsoft 365.

  3. Asegúrese de que su configuración cumpla una de las condiciones siguientes:

    • Dominio del remitente

      El dominio del remitente pertenece a su organización (es decir, ha registrado su dominio en Microsoft 365).

      Nota Para obtener más información, consulte Agregar un usuario y dominio en Microsoft 365.

    • Configuración del conector basado en certificados

      Su servidor de correo electrónico local está configurado para usar un certificado para enviar correos electrónicos a Microsoft 365, y el Nombre común (CN) o el Nombre alternativo de sujeto (SAN) en el certificado contiene un nombre de dominio que ha registrado en Microsoft 365, y ha creado un conector basado en certificados en Microsoft 365 que tiene ese dominio.

Si ninguna de las condiciones del paso 3 es verdadera, Microsoft 365 no puede determinar si el mensaje enviado desde el entorno local pertenece a la organización. Por lo tanto, si usa implementaciones híbridas, asegúrese de que cumplan cualquiera de las condiciones del paso 3.

Resumen

A partir del 5 de julio de 2017, Microsoft 365 ya no admite la retransmisión de mensajes de correo electrónico si un cliente de entorno híbrido no ha configurado su entorno para cualquiera de las condiciones del paso 3. Estos mensajes se rechazan y dan lugar al siguiente mensaje de error:

550 5.7.64 Acceso de retransmisión denegado ATTR36. Para obtener más información, consulte KB 3169958.

Además, debe cumplir la segunda condición ("configuración de conector basado en certificados") del paso 3 de la sección Introducción si su organización necesita que cualquiera de los siguientes escenarios sigan siendo posibles después del 5 de julio de 2017.

Nota:

La fecha límite original para este nuevo proceso se pospuso del 1 de febrero de 2017 al 5 de julio de 2017 para dar a los clientes el tiempo suficiente para aplicar los cambios.

Escenarios en los que Microsoft 365 no admite la retransmisión de mensajes de correo electrónico de forma predeterminada

  • Su organización tiene que enviar informes de no entrega (NDR) desde el entorno local a un destinatario en Internet, y tiene que retransmitir los mensajes a través de Microsoft 365. Por ejemplo, alguien envía un mensaje de correo electrónico a john@contoso.com, un antiguo usuario del entorno local de su organización. Esto hace que se envíe un NDR al remitente original.

  • Su organización tiene que enviar mensajes desde el servidor de correo electrónico en su entorno local desde dominios que su organización no ha agregado a Microsoft 365. Por ejemplo, pongamos que su organización (contoso.com) envía un correo electrónico desde el dominio fabrikam.com y que este último no pertenece a su organización.

  • Una regla de reenvío se configura en su servidor local y los mensajes se transmiten a través de Microsoft 365.

    Por ejemplo, contoso.com es el dominio de su organización. Un usuario del servidor local de su organización, kate@contoso.com, habilita el reenvío de todos los mensajes a kate@tailspintoys.com. Cuando john@fabrikam.com envía un mensaje a kate@contoso.com, el mensaje se reenvía automáticamente a kate@tailspintoys.com.

    Desde el punto de vista de Microsoft 365, el mensaje se envía desde john@fabrikam.com a kate@tailspintoys.com. Dado que el correo de Kate se reenvía, ni el dominio del remitente ni el del destinatario pertenecen a su organización.

              La figura muestra un mensaje reenviado desde contoso.com que se puede retransmitir a través de Microsoft 365.                 

Figura: un mensaje reenviado desde contoso.com que se puede retransmitir a través de Microsoft 365 porque se cumple la condición de "configuración del conector basada en certificados" del paso 3

Más información

Puede configurar un conector basado en certificados para que Microsoft 365 retransmita mensajes a Internet. Para ello, haga lo siguiente:

Paso 1: cree o cambie un conector basado en certificados en Microsoft 365

Para crear o modificar un conector basado en certificados, siga estos pasos:

  1. Inicie sesión en el portal de Microsoft 365 (https://portal.office.com), haga clic en Administrador y, a continuación, abra el centro de administración de Exchange. Para obtener más información, consulte Centro de administración de Exchange en Exchange Online.

                                 La captura de pantalla muestra los pasos para abrir el centro de administración de Exchange.                              

  2. Haga clic en flujo de correo y en conectores y luego realice una de las siguientes acciones:

    • Si no hay conectores, haga clic en (Agregar) para crear un conector.

                                   La captura de pantalla muestra que no hay conectores en el centro de administración de Exchange, haga clic en el icono Añadir con forma de signo más para crear un conector.                              

    • Si ya existe un conector, selecciónelo y, a continuación, haga clic en (Editar).

                                   La captura de pantalla muestra la selección del conector en el centro de administración de Exchange y, luego, en el icono Editar con forma de lápiz.                              

  3. En la página Seleccione su escenario de flujo de correo, seleccione el Servidor de correo de la organización en el cuadro De y, luego, haga clic en Microsoft 365 en el cuadro Para.

    Nota:

    Esto crea un conector que indica que el servidor local es desde donde se envían los mensajes.

                  Captura de pantalla de la página Seleccione su escenario de flujo de correo, en la que se selecciona el servidor de correo electrónico de su organización en el cuadro De y, luego, Microsoft 365 en el cuadro Para.                 

  4. Escriba el nombre del conector y el resto de información y haga clic en Siguiente.

  5. En la página Nuevo conector o Editar conector, seleccione la primera opción para usar un certificado de Seguridad de la capa de transporte (TLS) que identifique el origen del remitente de los mensajes de su organización. El nombre de dominio de la opción debe coincidir con el nombre CN o SAN del certificado que esté utilizando.

    Nota:

    Este dominio debe ser un dominio que pertenezca a su organización, y debe haberlo añadido a Microsoft 365. Para obtener más información, consulte Agregar dominios en Microsoft 365.

    Por ejemplo, Contoso.com pertenece a su organización, y es parte del nombre CN o SAN en el certificado que su organización utiliza para comunicarse con Microsoft 365. Si el dominio del certificado contiene varios dominios (como mail1.contoso.com o mail2.contoso.com), se recomienda que el dominio de la interfaz de usuario del conector sea *.contoso.com.

    Nota:

    Los clientes híbridos existentes que usaron el Asistente para la configuración híbrida para configurar sus conectores deben verificar su conector existente para asegurarse de que usa, por ejemplo, *.contoso.com en lugar de mail.contoso.com o <hostname>.contoso.com. Esto se debe a que mail.contoso.com y <hostname>.contoso.com pueden no ser dominios registrados en Microsoft 365.

                  La figura muestra un ejemplo de configuración del conector para usar el formato contoso.com.                 

    Figura: Configuración del conector para que utilice el formato "contoso.com" (por ejemplo)

Paso 2: Registre su dominio en Microsoft 365

Para registrar su dominio, siga los pasos descritos en el siguiente artículo de Office:

Agregar usuarios y dominio a Microsoft 365

En el Centro de administración de Microsoft 365, haga clic en Configuración y luego en Dominios para ver la lista de dominios registrados.

                             La captura de pantalla muestra los pasos para ver los dominios registrados.                              

Paso 3: Configure su entorno local

Para configurar el entorno local, siga estos pasos:

  1. Si su organización usa Exchange Server para su servidor local, configure el servidor para que envíe mensajes mediante TLS. Para ello, consulte Configurar el servidor de correo electrónico para retransmitir el correo a Internet a través de Microsoft 365.

    Nota:

    Si ya ha usado antes el Asistente para la configuración híbrida, puede seguir utilizándolo. Ahora bien, asegúrese de utilizar un certificado que cumpla con los criterios descritos en el paso 1, subpaso 5 de esta sección.

  2. Instale un certificado en su entorno local. Para ello, consulte el paso 6: Configurar un certificado SSL.

Referencias

Para obtener más información sobre cómo cumplir el requisito de configuración del conector, consulte Aviso importante sobre el conector.

Para obtener más información sobre cómo transmitir mensajes a través de Microsoft 365, consulte la sección "Configuración del flujo de correo donde algunos buzones están en Microsoft 365 y algunos buzones están en los servidores de correo de su organización" de Procedimientos recomendados de flujo de correo para Exchange Online y Microsoft 365.

¿Aún necesita ayuda? Vaya a Microsoft Community o a los foros de Exchange TechNet.