Esplorare il flusso di posta di Microsoft 365
Microsoft 365 offre alle organizzazioni una certa flessibilità nel determinare la migliore disposizione per la consegna delle e-mail alle loro caselle di posta elettronica. Il percorso che le e-mail compiono da Internet a una casella di posta elettronica e viceversa è chiamato flusso di posta. La maggior parte delle organizzazioni desidera che Microsoft 365 gestisca tutte le caselle di posta elettronica e i filtri. Alcune organizzazioni richiedono configurazioni complesse del flusso di posta per garantire la conformità a specifiche esigenze normative o aziendali.
La seguente tabella identifica gli scenari del flusso di posta elettronica supportati da Microsoft 365.
Configurazione del flusso di posta
Scenario dell'organizzazione
Complessità
Scenario 1 Sono un nuovo cliente Microsoft 365. Tutte le cassette postali degli utenti sono in Microsoft 365. Voglio usare tutte le soluzioni di filtro offerte da Microsoft 365.
Scenario 2 Sono un nuovo cliente Microsoft 365. Ho un servizio di posta elettronica esistente. Tuttavia, ho intenzione di spostare in una sola volta le caselle di posta elettronica di tutti gli utenti esistenti nel cloud. Voglio usare tutte le soluzioni di filtro offerte da Microsoft 365.
Semplice
Scenario 1 Ho intenzione di affidare a Microsoft 365 l'hosting di tutte le caselle di posta elettronica della mia organizzazione. La mia organizzazione utilizza (o intende utilizzare) una soluzione cloud di terze parti (servizi di posta) per il filtraggio di spam e malware. Tutte le e-mail inviate da Internet devono essere filtrate da questo servizio cloud di terze parti.
Scenario 2 Ho intenzione di affidare a Microsoft 365 l'hosting di tutte le caselle di posta elettronica della mia organizzazione. La mia organizzazione ha bisogno di inviare tutte le e-mail a un servizio di terze parti, ad esempio per l'archiviazione o la verifica. Tuttavia, il servizio di terze parti non fornisce una soluzione di filtraggio dello spam.
Complesso
Gestione del flusso di posta con caselle postali in più sedi (Microsoft 365 e locale).
Importante: Microsoft 365 sarà presto aggiornato per rifiutare i messaggi di posta elettronica provenienti da mittenti sconosciuti e inoltrati da server locali. Pertanto, se il dominio del mittente o del destinatario di un messaggio non appartiene alla vostra organizzazione, Microsoft 365 rifiuterà il messaggio, a meno che non abbiate creato un connettore che consenta questo comportamento.
Questa modifica contribuirà a evitare che soggetti non autorizzati utilizzino la vostra organizzazione per inviare spam o malware attraverso Microsoft 365. Questa modifica può influire sul flusso di posta se si utilizza uno degli scenari di questa sezione. Ogni scenario ha delle best practice per garantire che il flusso di posta continui senza interruzioni.
Scenario 1 Si esegue la migrazione delle cassette postali a Microsoft 365. Voglio mantenere alcune caselle di posta elettronica sul server di posta della mia organizzazione (server locale). Si vuole usare Microsoft 365 come soluzione di filtro della posta indesiderata. Vorrei inviare i miei messaggi dal server locale a Internet tramite Microsoft 365. Microsoft 365 invierà e riceverà tutti i messaggi.
Scenario 2 Si esegue la migrazione delle cassette postali a Microsoft 365. Voglio mantenere alcune caselle di posta elettronica sul server di posta della mia organizzazione (server locale). Si vogliono usare le soluzioni di conformità e filtro già presenti nel proprio ambiente locale. E tutti i messaggi provenienti da Internet verso le cassette postali cloud o i messaggi inviati a Internet dalle cassette postali cloud devono essere indirizzati attraverso i server locali.
Scenario 3 Si esegue la migrazione delle cassette postali a Microsoft 365. Voglio mantenere alcune caselle di posta elettronica sul server di posta della mia organizzazione (server locale). Si vogliono usare le soluzioni di conformità e filtro già presenti nel proprio ambiente di posta elettronica locale. Tutti i messaggi provenienti da Internet verso le cassette postali cloud o i messaggi inviati a Internet dalle cassette postali cloud devono essere instradati attraverso i server locali. Inoltre, è necessario indirizzare il record MX del dominio al server locale.
Scenario 4 Si esegue la migrazione delle cassette postali a Microsoft 365. Voglio mantenere alcune caselle di posta elettronica sul server di posta della mia organizzazione (server locale). Si vogliono usare le soluzioni di conformità e filtro già presenti nel proprio ambiente di posta elettronica locale. Tutti i messaggi inviati dai server locali devono essere inoltrati tramite Microsoft 365 a Internet. Inoltre, è necessario indirizzare il record MX del dominio al server locale.
Molto complesso
Scenario Sto migrando le mie caselle di posta elettronica a Microsoft 365. Voglio mantenere alcune caselle di posta elettronica sul server di posta della mia organizzazione (server locale). Voglio utilizzare un servizio cloud di terze parti per filtrare lo spam da Internet. I miei messaggi verso Internet devono passare attraverso Microsoft 365 per proteggere gli indirizzi IP dei miei server locali dall'aggiunta a liste di blocco esterne.
Più complesso
Scenario Tutte le cassette postali dell'organizzazione sono ospitate in Microsoft 365. Ho una stampante multifunzione, uno scanner, un fax o un'applicazione che deve inviare e-mail.
Complesso
Nozioni di base sul flusso di posta di Microsoft 365
Microsoft 365 utilizza domini, come contoso.com, per instradare i messaggi di posta elettronica. Quando un'organizzazione configura la posta elettronica in Microsoft 365, in genere passa dal dominio predefinito ricevuto alla prima iscrizione a Microsoft 365 (il dominio che termina con .onmicrosoft.com) al dominio dell'organizzazione (contoso.com). I nomi di dominio, come contoso.com, sono gestiti da un sistema mondiale di società di registrazione di domini (ad esempio, GoDaddy, HostGator o Moniker) e database chiamato Domain Name System (DNS). Il DNS fornisce una mappatura tra i nomi di host dei computer leggibili dall'uomo e gli indirizzi IP utilizzati dalle apparecchiature di rete.
Esistono diversi componenti DNS che sono importanti per l'autenticazione e la consegna delle e-mail nel flusso di posta di Microsoft 365. Questi componenti includono i record MX, SPF, DKIM e DMARC.
Le sezioni seguenti forniscono un'introduzione a ciascuno di questi componenti del DNS.
Record MX (Mail Exchanger)
I record MX forniscono ai server di posta un modo semplice per sapere dove inviare i messaggi di posta elettronica. È possibile considerare il record MX come un tipo di indirizzo postale. Se si vuole che Microsoft 365 riceva tutti i messaggi di posta elettronica indirizzati a anyone@contoso.com, il record MX per contoso.com deve puntare a Microsoft 365. Dovrebbe assomigliare al seguente esempio:
Nome host: contoso-com.mail.protection.outlook.com Priorità: 0 TTL: 1 ora
Per un'esperienza ottimale del flusso di posta (soprattutto per il filtraggio dello spam). si consiglia alle aziende di puntare il record MX del proprio dominio aziendale a Microsoft 365. La scansione dello spam è il punto di connessione iniziale con il servizio Microsoft 365. Le seguenti informazioni aiutano a determinare se un messaggio è legittimo o di spam:
- chi sta inviando il messaggio.
- l'indirizzo IP del server che ha originariamente inviato il messaggio
- il comportamento del server di posta collegato
Quando il record MX del dominio di un'organizzazione non punta a Microsoft 365, possono verificarsi i seguenti problemi:
- I filtri antispam non saranno altrettanto efficaci.
- Il servizio classificherà erroneamente alcuni messaggi validi come spam.
- Il servizio classificherà erroneamente alcuni messaggi di spam come messaggi di posta elettronica legittimi.
Detto questo, ci sono scenari aziendali legittimi che richiedono che il record MX del dominio di un'organizzazione punti a un luogo diverso da Microsoft 365. Ad esempio, i messaggi di posta elettronica destinati a un'organizzazione possono avere bisogno di:
- Arrivare inizialmente a un'altra destinazione (ad esempio una soluzione di archiviazione di terze parti).
- Quindi instradare attraverso Microsoft 365.
- Quindi vengono consegnati alle caselle di posta elettronica sul server di posta dell'organizzazione.
Questo tipo di configurazione può rappresentare la soluzione migliore per soddisfare le vostre esigenze aziendali.
Record SPF (Sender Policy Framework)
Un record SPF è un record di testo appositamente formattato (TXT) nel DNS. SPF convalida che solo l'organizzazione proprietaria di un dominio stia effettivamente inviando e-mail da quel dominio. L'SPF è una misura di sicurezza che aiuta a garantire che qualcuno non si spacci per un'altra organizzazione. Questa impersonificazione è spesso chiamata spoofing.
Come proprietario di un dominio, un'organizzazione può utilizzare l'SPF per pubblicare un elenco di indirizzi IP o sottoreti autorizzati a inviare e-mail per suo conto. Questo design può essere utile se l'organizzazione desidera inviare messaggi di posta elettronica da più server o servizi con indirizzi IP diversi.
Avviso
Un'organizzazione può avere un solo record SPF per dominio. La presenza di più record SPF invalida tutti i record SPF e causa problemi al flusso di posta.
La maggior parte dei moderni server di posta elettronica consulta il record SPF di un dominio prima di accettare qualsiasi messaggio di posta elettronica da esso. Per questo motivo, è importante impostare un record SPF valido nel DNS quando si imposta il flusso di posta. Per una rapida introduzione a SPF e le istruzioni di configurazione, vedere Configurare SPF in Microsoft 365 per prevenire lo spoofing.
DomainKeys Identified Mail (DKIM)
DKIM consente a un'organizzazione di apporre una firma digitale all'intestazione dei messaggi di posta elettronica inviati. I sistemi di posta elettronica che ricevono messaggi contenenti firme digitali utilizzano la firma per determinare se l'e-mail in arrivo è legittima. Per informazioni su DKIM e Microsoft 365, vedere Utilizzare DKIM per convalidare i messaggi di posta elettronica in uscita inviati dal proprio dominio in Microsoft 365.
Autenticazione, segnalazione e conformità dei messaggi basati sul dominio (DMARC)
Il DMARC aiuta i sistemi di posta elettronica riceventi a determinare cosa fare con i messaggi che non superano i controlli SPF o DKIM. In questo modo, il DMARC fornisce un ulteriore livello di fiducia ai tuoi partner di posta elettronica. Per informazioni sull'impostazione di DMARC, vedere Utilizzo di DMARC per convalidare i messaggi di posta elettronica in Microsoft 365.
Consiglio
Le organizzazioni dovrebbero utilizzare SPF, DKIM e DMARC insieme per ottenere la migliore esperienza.