Gerenciar o fluxo de email usando um serviço de nuvem de terceiros com Exchange Online
Este tópico aborda os seguintes cenários complexos de fluxo de email usando Exchange Online:
Cenário 1 - o registro MX aponta para a filtragem de spam de terceiros
Cenário 2 – O registro MX aponta para a solução de terceiros sem filtragem de spam
Observação
Exemplos neste tópico usam a organização fictícia Contoso, que possui o domínio contoso.com e é um locatário no Exchange Online. Este é apenas um exemplo. Você pode adaptar este exemplo para ajustar o nome de domínio da sua organização e endereços IP de serviço de terceiros, quando necessário.
Usando um serviço de nuvem de terceiros com o Microsoft 365 ou Office 365
Cenário 1 - o registro MX aponta para a filtragem de spam de terceiros
Importante
A Microsoft recomenda fortemente que você habilite a Filtragem Aprimorada para Conectores ou ignore completamente a filtragem usando uma regra de fluxo de email (marcar ponto 5). A falha em seguir essa etapa inevitavelmente resulta em uma classificação incorreta de main de entrada em sua organização e uma experiência de subpar para recursos de email e proteção do Microsoft 365.
A Microsoft também recomenda que você adicione serviços de terceiros que modifiquem mensagens em trânsito como selos ARC confiáveis, se o serviço de suporte à vedação ARC. Adicionar o serviço como um selador ARC confiável ajuda as mensagens afetadas a passar verificações de autenticação por email e ajuda a impedir que mensagens legítimas sejam entregues à pasta Junk Email, colocadas em quarentena ou rejeitadas. Serviços de terceiros que modificam mensagens e não dão suporte à vedação ARC invalidam as assinaturas DKIM dessas mensagens. Nesses casos, você deve examinar o relatório detecções spoof e criar entradas para remetentes falsificados para substituir falhas de autenticação de email para mensagens legítimas.
Pretendo usar Exchange Online para hospedar todas as caixas de correio da minha organização. Minha organização usa um serviço de nuvem de terceiros para spam, malware e filtragem de phish. Todos os emails da Internet devem primeiro ser filtrados por esse serviço de nuvem de terceiros antes de serem roteados para o Microsoft 365 ou Office 365.
Para esse cenário, a configuração do fluxo de email da sua organização se parece com o seguinte diagrama:
Melhores práticas para usar um serviço de filtragem de nuvem de terceiros com o Microsoft 365 ou Office 365
Adicione seus domínios personalizados no Microsoft 365 ou Office 365. Para provar que você é proprietário dos domínios, siga as instruções em Adicionar um domínio ao Microsoft 365.
Crie caixas de correio de usuário em Exchange Online ou mova as caixas de correio de todos os usuários para o Microsoft 365 ou Office 365.
Atualize os registros DNS para os domínios que você adicionou na etapa 1. (Não tem certeza de como fazer isso? Siga as instruções nesta página.) O seguinte fluxo de email de controle de registros DNS:
Registro MX: o registro MX do domínio deve apontar para o provedor de serviços de terceiros. Siga suas diretrizes de como configurar seu registro MX.
Registro SPF: todos os emails enviados de seu domínio para a Internet são originados no Microsoft 365 ou Office 365, portanto, o registro SPF requer o valor padrão do Microsoft 365 ou Office 365:
v=spf1 include:spf.protection.outlook.com -allVocê só precisaria incluir o serviço de terceiros no registro SPF se sua organização enviasse email de saída pela Internet por meio do serviço (em que o serviço de terceiros seria uma fonte de email do seu domínio).
Quando você está configurando esse cenário, o "host" que você precisa configurar para receber email do serviço de terceiros é especificado no Registro MX. Por exemplo:
Neste exemplo, o nome do host para o host do Microsoft 365 ou Office 365 deve ser hubstream-mx.mail.protection.outlook.com. Esse valor pode variar de domínio para domínio, portanto, marcar seu valor no domínio> de seleçãodo Domínio><de Configuração> para confirmar seu valor real.
Bloqueie seu Exchange Online organização para aceitar somente emails de seu serviço de terceiros.
Crie e configure um conector de entrada do Parceiro usando parâmetros TlsSenderCertificateName (preferencial) ou SenderIpAddresses e defina os parâmetros RestrictDomainsToCertificate ou RestrictDomainsToIPAddresses correspondentes como $True. Todas as mensagens roteadas diretamente para Exchange Online de host inteligente serão rejeitadas (porque não chegaram por meio de uma conexão usando o certificado especificado ou dos endereços IP especificados).
Por exemplo:
New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToCertificate $true -TlsSenderCertificateName *.contoso.com -RequireTls $trueou
New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToIPAddresses $true -SenderIpAddresses <#static list of on-premises IPs or IP ranges of the third-party service>Observação
Se você já tiver um conector de entrada OnPremises para os mesmos endereços IP de certificado ou remetente, ainda precisará criar o conector de entrada do Parceiro (os parâmetros RestrictDomainsToCertificate e RestrictDomainsToIPAddresses só serão aplicados aos conectores do Partner ). Os dois conectores podem coexistir sem problemas.
Há duas opções para esta etapa:
Use Filtragem Aprimorada para Conectores (altamente recomendado): use Filtragem Aprimorada para Conectores (também conhecida como listagem de skip) no conector de entrada do Parceiro que recebe mensagens do aplicativo de terceiros. Isso permite eOP e Microsoft Defender XDR para verificação de Office 365 nas mensagens.
Observação
Para cenários híbridos em que aplicativos de terceiros dependem de um servidor do Exchange local para enviar para Exchange Online, você também precisa habilitar a Filtragem Aprimorada para Conectores no conector de entrada OnPremises no Exchange Online.
Ignorar a filtragem de spam: use uma regra de fluxo de email (também conhecida como regra de transporte) para ignorar a filtragem de spam. Essa opção impedirá a maioria dos controles EOP e Defender para Office 365 e, portanto, impedirá um marcar anti-spam duplo.
Importante
Em vez de ignorar a filtragem de spam usando uma regra de fluxo de email, é altamente recomendável habilitar a Filtragem Aprimorada para Conector (também conhecida como Lista de Ignorar). A maioria dos provedores anti-spam de nuvem de terceiros compartilham endereços IP entre muitos clientes. Ignorar a verificação nesses IPs pode permitir mensagens falsificadas e de phishing desses endereços IP.
Cenário 2 – O registro MX aponta para a solução de terceiros sem filtragem de spam
Pretendo usar Exchange Online para hospedar todas as caixas de correio da minha organização. Todos os emails enviados para o meu domínio da Internet devem primeiro fluir por meio de um serviço de arquivamento ou auditoria de terceiros antes de chegar em Exchange Online. Todos os emails de saída enviados da minha organização de Exchange Online para a Internet também devem fluir pelo serviço. No entanto, o serviço não fornece uma solução de filtragem de spam.
Esse cenário exige que você use Filtragem Aprimorada para Conectores. Caso contrário, o email de todos os remetentes da Internet parece ter se originado do serviço de terceiros, não das fontes verdadeiras na Internet.
Melhores práticas para usar um serviço de nuvem de terceiros com o Microsoft 365 ou Office 365
Recomendamos que você use as soluções de arquivamento e auditoria fornecidas pelo Microsoft 365 e Office 365.
Confira também
Melhores práticas de fluxo de email para Exchange Online, Microsoft 365, Office 365 (visão geral)
Configurar conectores para fluxo de email seguro com uma organização parceira
Gerenciar todas as caixas de correio e o fluxo de email usando o Microsoft 365 ou Office 365
Solucionar problemas do fluxo de emails do Microsoft 365 ou Office 365