Управление потоком обработки почты с помощью почтовых ящиков в нескольких расположениях (Exchange Online и локальный Exchange)
Обзор
Эта документация содержит подробные рекомендации по обработке сложных сценариев потока обработки почты в средах, использующих Microsoft 365 или Office 365.
В примерах, описанных в этой документации, используется вымышленная организация , Contosoкоторой принадлежит домен contoso.com. IP-адрес почтового сервера Contoso — 131.107.21.231, а его сторонний поставщик использует 10.10.10.1 для своего IP-адреса. Это только примеры. При необходимости вы можете использовать их, подставляя доменное имя и общедоступный IP-адрес своей организации.
В этой документации рассматриваются следующие сложные сценарии потока обработки почты.
- Управление потоком обработки почты с помощью почтовых ящиков в нескольких расположениях (Exchange Online и локальный Exchange)
- Обзор
- Важная информация
- Сценарий 1. Запись MX указывает на Microsoft 365 или Office 365, а Microsoft 365 или Office 365 фильтрует все сообщения
- Сценарий 2. Запись MX указывает на Microsoft 365 или Office 365, а почта фильтруется локально
- Сценарий 3. Запись MX указывает на локальные серверы
- Сценарий 4. Запись MX указывает на локальный сервер, который фильтрует и предоставляет решения для соответствия вашим сообщениям. Локальный сервер должен ретранслировать сообщения в Интернет через Microsoft 365 или Office 365.
- См. также
- Обзор
Важная информация
В некоторых сценариях гибридного потока обработки почты клиенты могут столкнуться с ситуациями, когда исходящие сообщения электронной почты, исходящие от или ретранслируемые через локальный сервер Exchange Server или шлюз электронной почты, сначала направляются через клиент Office 365. Это происходит, когда шлюз электронной почты или локальный сервер Exchange Server использует определенный сертификат (например, или exchange.contoso.com), а входящий соединитель, gateway.contoso.com созданный мастером гибридной конфигурации (HCW), использует конфигурацию подстановочного сертификата по умолчанию (*.contoso.com). Следовательно, сообщения электронной почты, отправленные локальным сервером или шлюзом, относятся к клиенту Office 365, прежде чем они поступают к получателям с записями MX, указывающими на Exchange Online. Хотя это непреднамеренное, это стандартный процесс присвоения электронной почты для соответствующего клиента Office 365. Чтобы понять, как работает атрибуция сообщений в Microsoft 365, ознакомьтесь со статьей Атрибут сообщений Office 365.
Поэтому включите spf.protection.outlook.com в запись SPF домена, даже если сообщения электронной почты отправляются непосредственно с локального сервера или шлюза в Интернет. Если клиент не размещен в Microsoft 365 Global среде, домен для включения отличается. Правильную запись для соответствующей среды можно найти в документации по настройке SPF для определения допустимых источников электронной почты для домена Microsoft 365 .
Если вы хотите изменить поведение маршрутизации в этом сценарии, выполните действия, описанные в разделе Вопросы и ответы 6(b) записи блога "Атрибут сообщений Office 365".
Сценарий 1. Запись MX указывает на Microsoft 365 или Office 365, а Microsoft 365 или Office 365 фильтрует все сообщения
- Я переносю почтовые ящики в Exchange Online и хочу сохранить некоторые почтовые ящики на почтовом сервере моей организации (локальном сервере). Я хочу использовать Microsoft 365 или Office 365 в качестве решения для фильтрации спама и отправлять сообщения с локального сервера в Интернет с помощью Microsoft 365 или Office 365. Microsoft 365 или Office 365 отправляет и получает все сообщения.
Большинство клиентов, которым требуется настройка гибридного потока обработки почты, должны разрешить Microsoft 365 или Office 365 выполнять фильтрацию и маршрутизацию. Рекомендуется указать запись MX на Microsoft 365 или Office 365, так как этот параметр обеспечивает наиболее точную фильтрацию спама. В этом сценарии схема потока обработки почты организации выглядит так:
Лучшие методики
Добавьте личные домены в Microsoft 365 или Office 365. Чтобы доказать, что вы являетесь владельцем доменов, следуйте инструкциям в разделе Добавление домена в Microsoft 365.
Создание почтовых ящиков пользователей в Exchange Online или перемещение почтовых ящиков всех пользователей в Microsoft 365 или Office 365.
Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как выполнить эту задачу? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:
Запись MX. Укажите запись MX в Microsoft 365 или Office 365 в следующем формате: <domainKey-com.mail.protection.outlook.com>
Например, если ваш домен contoso.com, запись MX будет выглядеть так: contoso-com.mail.protection.outlook.com.
Запись SPF. Эта запись должна содержать Microsoft 365 или Office 365 в качестве допустимого отправителя; любые IP-адреса с локальных серверов, которые подключаются к EOP; и любых третьих лиц, которые отправляют сообщения электронной почты от имени вашей организации. Например, если IP-адрес почтового сервера вашей организации с выходом в Интернет — 131.107.21.231, запись SPF для contoso.com должна быть следующей:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -allКроме того, в зависимости от требований сторонних производителей может потребоваться включить домен из стороннего поставщика, как показано в следующем примере:
v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
В Центре администрирования Exchange (EAC) используйте мастер соединителей, чтобы настроить поток обработки почты с помощью соединителей в Microsoft 365 или Office 365 в следующих сценариях:
Отправка сообщений из Microsoft 365 или Office 365 на почтовые серверы вашей организации
Отправка сообщений с локальных серверов в Microsoft 365 или Office 365
Если в вашей организации применяется один из следующих сценариев, необходимо создать соединитель для поддержки отправки почты с локальных серверов в Microsoft 365 или Office 365.
Ваша организация уполномочена отправлять сообщения от имени клиента, но ей не принадлежит его домен. Например, домен contoso.com уполномочен отправлять сообщения через домен fabrikam.com, который не принадлежит домену contoso.com.
Ваша организация ретранслирует отчеты о недоставке (также известные как недоставки или сообщения о недоставке) в Интернет через Microsoft 365 или Office 365.
Чтобы создать соединитель, выберите первый вариант в мастере создания соединителя на экране Определение электронной почты в Office 365 для сервера электронной почты , как показано на двух снимках экрана ниже для нового центра администрирования Exchange и классического центра администрирования Exchange соответственно.
Эта конфигурация позволяет Microsoft 365 или Office 365 идентифицировать почтовый сервер с помощью сертификата. В этом сценарии сертификат CN или альтернативное имя субъекта (SAN) содержит домен, принадлежащий вашей организации. Дополнительные сведения см. в разделе Identifying email from your email server. Сведения о конфигурации соединителя см. в части 2. Настройка отправки почты с почтового сервера в Microsoft 365 или Office 365.
В приведенных ниже сценариях соединители не нужны, если у ваших партнеров нет особых требований, например требования использовать протокол TLS при соединении с банком.
Отправка почты из Microsoft 365 или Office 365 в партнерской организации
Отправка почты из партнерской организации в Microsoft 365 или Office 365
Примечание.
Если в вашей организации используется Exchange 2010 или более поздней версии, рекомендуется использовать мастер гибридной конфигурации для настройки соединителей в Microsoft 365 или Office 365, а также на локальных серверах Exchange. В этом сценарии запись MX вашего домена не может указывать на почтовый сервер вашей организации.
Сценарий 2. Запись MX указывает на Microsoft 365 или Office 365, а почта фильтруется локально
- Я переносю почтовые ящики в Exchange Online и хочу сохранить некоторые почтовые ящики на почтовом сервере организации (локальном сервере). Я хочу использовать уже существующие в локальной среде решения для фильтрации и обеспечения соответствия. Все сообщения, поступающие из Интернета в мои облачные почтовые ящики или сообщения, отправленные в Интернет из облачных почтовых ящиков, должны направляться через мои локальные серверы.
Если у вас есть деловые или нормативные причины для фильтрации почты в локальной среде, мы рекомендуем указать запись MX вашего домена на Microsoft 365 или Office 365 и включить централизованную транспортировку почты. Это обеспечит оптимальную фильтрацию спама и защитит IP-адреса вашей организации. В этом сценарии схема потока обработки почты организации выглядит так:
Лучшие методики
Добавьте личные домены в Microsoft 365 или Office 365. Чтобы доказать, что вы являетесь владельцем доменов, следуйте инструкциям в разделе Добавление домена в Microsoft 365.
Создание почтовых ящиков пользователей в Exchange Online или перемещение почтовых ящиков всех пользователей в Microsoft 365 или Office 365.
Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как выполнить эту задачу? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:
- Запись MX. Укажите запись MX в Microsoft 365 или Office 365 в следующем формате: <domainKey-com.mail.protection.outlook.com>
Например, если ваш домен contoso.com, запись MX будет выглядеть так: contoso-com.mail.protection.outlook.com.
Запись SPF. В этой записи должен быть указан Microsoft 365 или Office 365 в качестве допустимого отправителя, а также все IP-адреса с локальных серверов, которые подключаются к EOP, и любые сторонние поставщики, которые отправляют электронную почту от имени вашей организации. Например, если IP-адрес почтового сервера вашей организации с выходом в Интернет — 131.107.21.231, запись SPF для contoso.com должна быть следующей:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
Использование централизованного почтового транспорта (CMT) для локальных решений обеспечения соответствия.
Почта, которая поступает из Интернета в почтовый ящик в Exchange Online, сначала отправляется на локальный сервер, а затем возвращается в Exchange Online для доставки в почтовый ящик. Строка 1 представляет этот путь на схеме сценария 2.
Почта, которая поступает из Exchange Online и предназначена для Интернета, сначала отправляется на локальные серверы, затем возвращается в Exchange Online, а затем доставляется в Интернет. Строка 4 представляет этот путь на схеме сценария 2.
Чтобы получить эту конфигурацию, создайте соединители с помощью Hybrid Configuration Wizard или командлетов и включите централизованный почтовый транспорт. Дополнительные сведения о CMT см. в разделе Параметры транспорта в гибридных развертываниях Exchange.
В приведенных ниже сценариях соединители не нужны, если у ваших партнеров нет особых требований, например требования использовать протокол TLS при соединении с банком.
Отправка почты из Microsoft 365 или Office 365 в партнерской организации
Отправка почты из партнерской организации в Microsoft 365 или Office 365
Сценарий 3. Запись MX указывает на локальные серверы
- Я переносю почтовые ящики в Exchange Online и хочу сохранить некоторые почтовые ящики на почтовом сервере моей организации (локальном сервере). Я хочу использовать уже существующие в локальной почтовой среде решения для фильтрации и обеспечения соответствия. Все сообщения, поступающие из Интернета в мои облачные почтовые ящики или сообщения, отправленные в Интернет из облачных почтовых ящиков, должны направляться через мои локальные серверы. Записи MX домена должны указывать на локальный сервер.
В качестве альтернативы сценарию 2 вы можете указать запись MX вашего домена на почтовый сервер вашей организации, а не на Microsoft 365 или Office 365. Такая настройка может подойти некоторым организациям по корпоративным или нормативным соображениям, но фильтрация обычно эффективнее при использовании сценария 2.
В этом сценарии схема потока обработки почты организации выглядит так:
Лучшие методики
Если запись MX домена должна указывать на IP-адрес локального сервера, рекомендуется следующее:
Добавьте личные домены в Microsoft 365 или Office 365. Чтобы доказать, что вы являетесь владельцем доменов, следуйте инструкциям в разделе Добавление домена в Microsoft 365.
Создание почтовых ящиков пользователей в Exchange Online или перемещение почтовых ящиков всех пользователей в Microsoft 365 или Office 365.
Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как выполнить эту задачу? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:
Запись SPF: в этой записи должен быть указан Допустимый отправитель Microsoft 365 или Office 365. Он также должен включать любые IP-адреса с локальных серверов, которые подключаются к EOP, и от третьих лиц, отправляющих электронную почту от имени вашей организации. Например, если IP-адрес почтового сервера вашей организации с выходом в Интернет — 131.107.21.231, запись SPF для contoso.com должна быть следующей:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
Так как вы не передаете сообщения с локальных серверов в Интернет через Microsoft 365 или Office 365, технически вам не нужно создавать соединители для следующих сценариев. Но если в какой-то момент вы измените запись MX, чтобы она указывала на Microsoft 365 или Office 365, вам потребуется создать соединители. поэтому лучше сделать это заранее. В Центре администрирования Exchange используйте мастер соединителя для части 2. Настройка отправки почты с сервера электронной почты в Microsoft 365 или Office 365 в следующих сценариях или с помощью мастера гибридной конфигурации для создания соединителей:
Отправка почты из Microsoft 365 или Office 365 на почтовые серверы вашей организации
Отправка почты с локальных серверов в Microsoft 365 или Office 365
Чтобы гарантировать, что сообщения отправляются на локальные серверы организации через MX, перейдите к разделу Пример ограничений безопасности, которые вы можете применить к электронной почте, отправляемой партнерской организацией и следуйте указаниям из подраздела "Пример 3. Требовать отправки всех сообщений электронной почты с домена организации партнера ContosoBank.com с определенного диапазона IP-адресов".
Сценарий 4. Запись MX указывает на локальный сервер, который фильтрует и предоставляет решения для соответствия вашим сообщениям. Локальный сервер должен ретранслировать сообщения в Интернет через Microsoft 365 или Office 365.
- Я переносю почтовые ящики в Exchange Online и хочу сохранить некоторые почтовые ящики на почтовом сервере моей организации (локальном сервере). Я хочу использовать уже существующие в локальной почтовой среде решения для фильтрации и обеспечения соответствия. Все сообщения, отправляемые с локальных серверов, должны передаваться через Microsoft 365 или Office 365 в Интернет. Записи MX домена должны указывать на локальный сервер.
В этом сценарии схема потока обработки почты организации выглядит так:
Лучшие методики
Если запись MX домена должна указывать на IP-адрес локального сервера, рекомендуется следующее:
Добавьте личные домены в Microsoft 365 или Office 365. Чтобы доказать, что вы являетесь владельцем доменов, следуйте инструкциям в разделе Добавление домена в Microsoft 365.
Создание почтовых ящиков пользователей в Exchange Online или перемещение почтовых ящиков всех пользователей в Microsoft 365 или Office 365.
Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как выполнить эту задачу? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:
Запись MX. Для локального сервера запись MX указывается в следующем формате:mail.<domainKey>.com
Например, если ваш домен contoso.com, запись MX будет выглядеть так: .mail.contoso.com.
Запись SPF: в этой записи должен быть указан Допустимый отправитель Microsoft 365 или Office 365. Он также должен включать любые IP-адреса с локальных серверов, которые подключаются к EOP, и от третьих лиц, отправляющих электронную почту от имени вашей организации. Например, если IP-адрес почтового сервера вашей организации с выходом в Интернет — 131.107.21.231, запись SPF для contoso.com должна быть следующей:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
В Центре администрирования Exchange используйте мастер соединителей для настройки потока обработки почты с помощью соединителей в Microsoft 365 или Office 365 в следующих сценариях:
Отправка почты из Microsoft 365 или Office 365 на почтовые серверы вашей организации
Отправка почты с локальных серверов в Microsoft 365 или Office 365
Создайте соединитель для поддержки сценария "Отправка почты с локальных серверов в Microsoft 365 или Office 365", если в вашей организации применяется любой из следующих сценариев:
Ваша организация уполномочена отправлять электронную почту от имени клиента, но ей не принадлежит его домен. Например, домен contoso.com уполномочен отправлять сообщения через домен fabrikam.com, который не принадлежит домену contoso.com.
Ваша организация передает отчеты о недоставках (NDR) в Интернет через Microsoft 365 или Office 365.
Запись MX для вашего домена contoso.com указывает на локальный сервер, а пользователи в вашей организации автоматически пересылают сообщения на электронные адреса за пределами организации. Например, kate@contoso.com переадресация включена, и все сообщения отправляются в kate@tailspintoys.com. Если john@fabrikam.com отправляет сообщение в kate@contoso.com, к моменту поступления сообщения в Microsoft 365 или Office 365 домен отправителя будет fabrikam.com, а домен получателя — tailspin.com. Домен отправителя и домена получателя не принадлежат вашей организации.
Чтобы создать соединитель, выберите первый вариант в мастере создания соединителя на экране Как Microsoft 365 или Office 365 определять электронную почту для сервера электронной почты , как показано на двух снимках экрана ниже для нового центра администрирования Exchange и классического центра администрирования Exchange соответственно.
Этот параметр позволяет Microsoft 365 или Office 365 идентифицировать сервер электронной почты с помощью сертификата. В этом сценарии сертификат CN или альтернативное имя субъекта (SAN) содержит домен, принадлежащий вашей организации. Дополнительные сведения см. в разделе Identifying email from your email server. Сведения о конфигурации соединителя см. в части 2. Настройка отправки почты с почтового сервера в Microsoft 365 или Office 365.
- Настройка соединителей для защиты потока обработки почты с партнерской организацией позволяет гарантировать, что сообщения отправляются на локальные серверы организации через MX.
См. также
Рекомендации по потоку обработки почты для Exchange Online, Microsoft 365 и Office 365 (обзор)
Управление всеми почтовыми ящиками и потоком обработки почты с помощью Microsoft 365 или Office 365
Устранение неполадок с потоком обработки почты Office Microsoft 365 или 365
Тестирование потока обработки почты путем проверки соединителей Microsoft 365 или Office 365