Configurer un connecteur basé sur un certificat pour relayer des e-mails via Microsoft 365

Introduction

Si votre organisation dispose d’un déploiement hybride (sur site et Microsoft 365), vous devez souvent relayer des e-mails vers Internet via Microsoft 365. Autrement dit, les messages que vous envoyez depuis votre environnement local (boîtes aux lettres, applications, scanners, télécopieurs, etc.) vers des destinataires Internet sont d’abord acheminés vers Microsoft 365, puis envoyés.

La figure montre les e-mails relayés depuis vos serveurs de messagerie locaux vers Internet via Microsoft 365.

Figure : e-mail relayé depuis vos serveurs de messagerie locaux vers Internet via Microsoft 365

Pour que ce relais fonctionne correctement, votre organisation doit procéder comme suit :

  1. Créez un ou plusieurs connecteurs dans Microsoft 365 pour authentifier les e-mails provenant de vos serveurs de messagerie locaux à l’aide de l’adresse IP d’envoi ou d’un certificat.

  2. Configurez vos serveurs locaux pour qu’ils se relayent via Microsoft 365.

  3. Configurez votre environnement pour que l’une des conditions suivantes soit remplie :

    • Domaine de l’expéditeur

      Le domaine expéditeur appartient à votre organisation (c’est-à-dire que vous avez enregistré votre domaine dans Microsoft 365).

                    Remarque Pour plus d’informations, voir Ajouter un utilisateur et un domaine dans Microsoft 365.

    • Configuration d’un connecteur basé sur un certificat

      Votre serveur de messagerie local est configuré pour utiliser un certificat pour envoyer des e-mails à Microsoft 365, et le nom commun (CN) ou le nom alternatif du sujet (SAN) dans le certificat contient un nom de domaine que vous avez enregistré dans Microsoft 365, et vous avez créé un connecteur basé sur un certificat dans Microsoft 365 qui possède ce domaine.

Si aucune des conditions de l’étape 3 n’est vraie, Microsoft 365 ne peut pas déterminer si le message qui a été envoyé à partir de votre environnement local appartient à votre organisation. Par conséquent, si vous utilisez des déploiements hybrides, vous devez vous assurer de respecter l’une ou l’autre des conditions de l’étape 3.

Résumé

À compter du 5 juillet 2017, Microsoft 365 ne prend plus en charge le relais d’e-mails si un client d’environnement hybride n’a pas configuré son environnement pour l’une des conditions de l’étape 3. Ces messages sont rejetés et déclenchent le message d’erreur suivant :

550 5.7.64 Accès au relais refusé ATTR36. Pour plus d’informations, voir KB 3169958.

De plus, vous devez respecter la deuxième condition (« configuration d’un connecteur basé sur un certificat ») décrite dans l’étape 3 de la section Introduction si votre organisation exige que l’un des scénarios suivants continue de fonctionner après le 5 juillet 2017.

Remarque

La date d’échéance initiale pour ce nouveau processus avait été reportée du 1er février 2017 au 5 juillet 2017 afin de donner suffisamment de temps aux clients pour mettre en œuvre les modifications.

Scénarios dans lesquels Microsoft 365 ne prend pas en charge le relais d’e-mails par défaut

  • Votre organisation doit envoyer des rapports de non-livraison (NDR) de l’environnement local à un destinataire sur Internet, et elle doit relayer les messages via Microsoft 365. Par exemple, quelqu’un envoie un message électronique à john@contoso.com, un utilisateur qui existait dans l’environnement local de votre organisation. Cela entraîne l’envoi d’une notification d’échec de remise à l’expéditeur d’origine.

  • Votre organisation doit envoyer des messages à partir du serveur de messagerie dans votre environnement local à partir de domaines que votre organisation n’a pas ajoutés à Microsoft 365. Par exemple, votre organisation (contoso.com) envoie du courrier en tant que domaine fabrikam.com, et fabrikam.com n’appartient pas à votre organisation.

  • Une règle de transfert est configurée sur votre serveur local et les messages sont relayés via Microsoft 365.

    Par exemple, contoso.com est le domaine de votre organisation. Une utilisatrice sur le serveur local de votre organisation, kate@contoso.com, active le transfert de tous les messages vers kate@tailspintoys.com. Lorsque john@fabrikam.com envoie un message à kate@contoso.com, le message est automatiquement transféré à kate@tailspintoys.com.

    Du point de vue de Microsoft 365, le message est envoyé de john@fabrikam.com à kate@tailspintoys.com. Étant donné que le courrier de Kate est transféré, ni le domaine de l’expéditeur ni le domaine du destinataire n’appartiennent à votre organisation.

La figure montre un message transféré de contoso.com qui peut être relayé via Microsoft 365.

Figure : un message transmis par contoso.com qui peut être relayé via Microsoft 365 car la condition de l’étape 3 « configuration du connecteur basé sur les certificats » est remplie

Plus d’informations

Vous pouvez configurer un connecteur basé sur des certificats pour Microsoft 365 afin de relayer les messages vers Internet. Pour cela, utilisez la méthode suivante.

Étape 1 : créez ou modifiez un connecteur basé sur un certificat dans Microsoft 365

Pour créer ou modifier un connecteur basé sur un certificat, procédez comme suit :

  1. Connectez-vous au portail Microsoft 365 (https://portal.office.com), cliquez sur Admin, puis ouvrez le centre d’administration Exchange. Pour obtenir plus d’informations, voir Centre d’administration Exchange dans Exchange Online.

    La capture d’écran montre les étapes à suivre pour ouvrir le centre d’administration Exchange.

  2. Cliquez sur flux de courrier, puis sur connecteurs, et procédez à l’une des actions suivantes :

    • S’il n’y a pas de connecteurs, cliquez sur (Ajouter) pour créer un connecteur.

      La capture d’écran montre qu’il n’y a pas de connecteurs dans le centre d’administration Exchange, cliquez sur Ajouter une icône aime plus de forme pour créer un connecteur.

    • Si un connecteur existe déjà, sélectionnez-le, puis cliquez sur (Modifier).

      La capture d’écran montre la sélection du connecteur dans le Centre d’administration Exchange, puis le clic sur l’icône Modifier en forme de stylo.

  3. Sur la page Sélectionner votre scénario de flux de messagerie, sélectionnez Serveur de courrier de votre organisation dans la zone De, puis sélectionnez Microsoft 365 dans la zone À.

    Remarque

    Cette opération crée un connecteur qui indique que votre serveur local est la source d’envoi de vos messages.

    Capture d’écran de la page de scénario Sélectionner votre flux de messagerie, qui sélectionne le serveur de messagerie de votre organisation dans la zone De, puis sélectionne Microsoft 365 dans la zone À.

  4. Entrez le nom du connecteur et d’autres informations, puis cliquez sur Suivant.

  5. Sur la page Nouveau connecteur ou Modifier le connecteur, sélectionnez la première option pour utiliser un certificat TLS (Transport Layer Security) pour identifier la source d’expédition des messages de votre organisation. Le nom de domaine dans l’option doit correspondre au nom commun (CN) ou à l’autre nom du sujet (SAN) dans le certificat que vous utilisez.

    Remarque

    Ce domaine doit être un domaine appartenant à votre organisation et vous devez l’avoir ajouté à Microsoft 365. Pour plus d’informations, voir Ajouter des domaines dans Microsoft 365.

    Par exemple, Contoso.com appartient à votre organisation et fait partie du nom CN ou du nom SAN du certificat que votre organisation utilise pour communiquer avec Microsoft 365. Si le domaine du certificat contient plusieurs domaines (tels que mail1.contoso.com, mail2.contoso.com), il est recommandé d’utiliser le domaine *.contoso.com dans l’interface utilisateur du connecteur.

    Remarque

    Les clients hybrides existants qui ont utilisé l’assistant de configuration hybride pour configurer leurs connecteurs doivent vérifier leur connecteur existant pour s’assurer qu’il utilise, par exemple, *.contoso.com au lieu de mail.contoso.com ou <nom d’hôte>.contoso.com. En effet, mail.contoso.com et le <nom d’hôte>.contoso.com peuvent ne pas être des domaines enregistrés dans Microsoft 365.

    La figure montre un exemple de configuration du connecteur pour utiliser le format contoso.com.

    Figure : Configuration du connecteur pour utiliser le format « contoso.com » (par exemple)

Étape 2 : enregistrer votre domaine dans Microsoft 365

Pour enregistrer votre domaine, suivez la procédure décrite dans l’article Office suivant :

Ajouter des utilisateurs et un domaine à Microsoft 365

Dans le Centre d’administration Microsoft 365, cliquez sur Configuration, puis sur Domaines pour afficher la liste des domaines enregistrés.

Capture d’écran montrant les étapes nécessaires à l’affichage des domaines enregistrés.

Étape 3 : Configurer votre environnement local

Pour configurer votre environnement local, procédez comme suit :

  1. Si votre organisation utilise Exchange Server pour son serveur local, configurez le serveur pour envoyer des messages sur TLS. Pour ce faire, voir Configurer votre serveur de messagerie pour relayer le courrier vers Internet via Microsoft 365.

    Remarque

    Si vous avez déjà utilisé l’Assistant Configuration hybride, vous pouvez continuer à l’utiliser. Toutefois, assurez-vous d’utiliser un certificat qui correspond aux critères décrits dans l’étape 1, sous-étape 5 de cette section.

  2. Installez un certificat dans votre environnement local. Pour cela, reportez-vous à l’étape 6 : Configurer un certificat SSL.

Références

Pour plus d’informations sur la façon de remplir la condition de paramètre du connecteur, consultez l’article Important connector notice (en anglais uniquement).

Pour plus d’informations sur la façon de relayer les messages via Microsoft 365, consultez la section « Configuration d’un flux de messagerie pour lequel certaines boîtes aux lettres sont dans Microsoft 365 et certaines boîtes aux lettres sont sur les serveurs de messagerie de votre organisation » des Meilleures pratiques de flux de messagerie pour Exchange Online et Microsoft 365.

Encore besoin d’aide ? Accédez à Microsoft Community ou aux forums Exchange TechNet.