Настройка соединителя на основе сертификата для ретрансляции сообщений электронной почты через Microsoft 365

  • Статья
  • Применяется к:
    Exchange Online

Введение

Если в вашей организации используется гибридное развертывание (локальное и Microsoft 365), вам часто приходится передавать сообщения электронной почты в Интернет через Microsoft 365. То есть сообщения, отправляемые из локальной среды (почтовые ящики, приложения, сканеры, факсимильные машины и т. д.), сначала направляются в Microsoft 365, а затем отправляются.

На рисунке показана электронная почта, ретрансляемая с локальных почтовых серверов в Интернет через Microsoft 365.

Рисунок: Email ретрансляция с локальных серверов электронной почты в Интернет через Microsoft 365

Для правильной работы такой ретрансляции организация должна выполнить следующие шаги:

  1. Создайте один или несколько соединителей в Microsoft 365 для проверки подлинности сообщений электронной почты с локальных почтовых серверов с помощью IP-адреса отправки или сертификата.

  2. Настройте локальные серверы для ретрансляции через Microsoft 365.

  3. Установите настройки таким образом, чтобы выполнялось любое из следующих условий:

    • Домен отправителя

      Домен отправителя принадлежит вашей организации (то есть вы зарегистрировали свой домен в Microsoft 365).

      Примечание Дополнительные сведения см. в статье Добавление пользователя и домена в Microsoft 365.

    • Конфигурация соединителя на основе сертификатов

      Локальный почтовый сервер настроен на использование сертификата для отправки электронной почты в Microsoft 365, а Common-Name (CN) или альтернативное имя субъекта (SAN) в сертификате содержит доменное имя, зарегистрированное в Microsoft 365, и вы создали соединитель на основе сертификата в Microsoft 365 с этим доменом.

Если ни один из условий на шаге 3 не выполняется, Microsoft 365 не может определить, принадлежит ли сообщение, отправленное из локальной среды вашей организации. Поэтому, если вы используете гибридные развертывания, следует убедиться, что выполняется какое-либо из условий шага 3.

Аннотация

С 5 июля 2017 г. Microsoft 365 больше не поддерживает ретрансляцию сообщений электронной почты, если клиент гибридной среды не настроил свою среду для выполнения любого из условий шага 3. Такие сообщения отклоняются и вызывают следующее сообщение об ошибке:

550 5.7.64 Relay Access Denied ATTR36. Дополнительные сведения см. в 3169958 базы знаний.

Кроме того, вы должны выполнить второе условие («конфигурация соединителя на основе сертификата») в шаге 3 в разделе Введение, если ваша организация требует, чтобы любой из следующих сценариев продолжал работать после 5 июля 2017 года.

Примечание.

Первоначальный срок окончания для этого нового процесса был перенесен с 1 февраля 2017 года на 5 июля 2017 года, чтобы предоставить клиентам достаточно времени для внедрения изменений.

Сценарии, в которых Microsoft 365 не поддерживает ретрансляцию сообщений электронной почты по умолчанию

  • Ваша организация должна отправлять отчеты о недоставках (NDR) из локальной среды получателю в Интернете, а также передавать сообщения через Microsoft 365. Например, кто-то отправляет сообщение электронной почты пользователю john@contoso.com, который раньше существовал в локальной среде вашей организации. Это приводит к отправке NDR первоначальному отправителю.

  • Ваша организация должна отправлять сообщения с почтового сервера в локальной среде из доменов, которые ваша организация не добавила в Microsoft 365. Например, организация (contoso.com) отправляет электронную почту в качестве домена fabrikam.com, и этот домен не принадлежит вашей организации.

  • Правило переадресации настраивается на локальном сервере, а сообщения передаются через Microsoft 365.

    Например, contoso.com является доменом вашей организации. Пользователь на локальном сервере вашей организации, kate@contoso.com, позволяет пересылать все сообщения на kate@tailspintoys.com. Когда john@fabrikam.com отправляет сообщение kate@contoso.com, это сообщение автоматически пересылается kate@tailspintoys.com.

    С точки зрения Microsoft 365 сообщение отправляется из john@fabrikam.com в kate@tailspintoys.com. Поскольку почта Кейт пересылается, ни домен отправителя, ни домен получателя не принадлежат вашей организации.

На рисунке показано пересылаемое сообщение от contoso.com, которое можно ретранслировать через Microsoft 365.

Рисунок. Пересылаемое сообщение от contoso.com, которое можно ретранслировать через Microsoft 365, так как выполняется условие "Конфигурация соединителя на основе сертификата" шага 3

Дополнительная информация

Вы можете настроить соединитель на основе сертификатов для Microsoft 365 для передачи сообщений в Интернет. Сделать это можно следующим способом.

Шаг 1. Создание или изменение соединителя на основе сертификата в Microsoft 365

Чтобы создать или изменить соединитель на основе сертификата, выполните следующие действия:

  1. Войдите на портал Microsoft 365 (https://portal.office.com), щелкните Администратор, а затем откройте Центр администрирования Exchange. Дополнительные сведения см. в статье Центр администрирования Exchange в Exchange Online.

    Снимок экрана: шаги по открытию Центра администрирования Exchange.

  2. Нажмите поток обработки почты, выберите соединители, а затем выполните одно из следующих действий:

    • Если соединителей нет, щелкните (Добавить), чтобы создать соединитель.

      Снимок экрана: в Центре администрирования Exchange нет соединителей. Щелкните Добавить значок

    • Если соединитель уже существует, выберите его и нажмите кнопку (Изменить).

      Снимок экрана: выбор соединителя в Центре администрирования Exchange и нажатие кнопки Изменить значок

  3. На странице Выберите сценарий потока обработки почты выберите Сервер электронной почты вашей организации в поле От , а затем выберите Microsoft 365 в поле "По ".

    Примечание.

    Создается соединитель, который указывает, что ваш локальный сервер является источником отправки ваших сообщений.

    Снимок экрана: страница

  4. Введите имя соединителя и другую информацию, а затем нажмите Далее.

  5. На странице Новый соединитель или Редактировать соединитель выберите первый вариант для использования сертификата TLS для идентификации источника сообщений организации. Доменное имя в этом параметре должно совпадать с именем CN или SAN в сертификате, который вы используете.

    Примечание.

    Этот домен должен быть доменом, принадлежащим вашей организации, и вы должны добавить его в Microsoft 365. Дополнительные сведения см. в статье Добавление доменов в Microsoft 365.

    Например, Contoso.com принадлежит вашей организации и является частью имени CN или имени SAN в сертификате, который ваша организация использует для связи с Microsoft 365. Если домен в сертификате содержит несколько доменов (например, mail1.contoso.com, mail2.contoso.com), мы рекомендуем, чтобы домен в соединителе UI был contoso.com.

    Примечание.

    Существующие пользователи гибридной конфигурации, которые использовали мастер гибридной конфигурации для настройки соединителей, должны проверка существующий соединитель, чтобы убедиться, что он использует, например, *.contoso.com вместо mail.contoso.com или <hostname.contoso.com>. Это связано с тем, что mail.contoso.com и <hostname.contoso.com> не могут быть зарегистрированы доменами в Microsoft 365.

    На рисунке показан пример настройки соединителя для использования формата contoso.com.

    Рисунок. Настройка соединителя для использования формата "contoso.com" (например)

Шаг 2. Регистрация домена в Microsoft 365

Чтобы зарегистрировать свой домен, выполните действия, приведенные в следующей статье Office:

Добавление пользователей и домена в Microsoft 365

В Центре администрирования Microsoft 365 нажмитеНастройка, а затемДомены, чтобы увидеть список зарегистрированных доменов.

Снимок экрана: шаги для просмотра зарегистрированных доменов.

Шаг 3. Настройка локальной среды

Для настройки локальной среды необходимо выполнить следующие действия:

  1. Если организация использует Exchange Server в качестве своего локального сервера, назначьте этот сервер для отправки сообщений через TLS. Для этого см . статью Настройка сервера электронной почты для ретрансляции почты в Интернет через Microsoft 365.

    Примечание.

    Если вы уже использовали мастер гибридной конфигурации, вы можете продолжать использовать его. Однако убедитесь, что вы используете сертификат, который соответствует критериям, изложенным в шаге 1, подшаге 5 этого раздела.

  2. Установите сертификат в вашей локальной среде. Для этого см. Шаг 6. Настройка сертификата SSL.

Ссылки

Для получения дополнительной информации о том, как выполнить требование о настройке соединителя, см.Важная информация о соединителе.

Дополнительные сведения о том, как ретранслировать сообщения через Microsoft 365, см. в разделе "Настройка потока обработки почты, когда некоторые почтовые ящики находятся в Microsoft 365, а некоторые почтовые ящики находятся на почтовых серверах вашей организации" статьи Рекомендации по потоку обработки почты для Exchange Online и Microsoft 365.

Требуется дополнительная помощь? Перейдите на страницу сообщества Майкрософт или к форумам Exchange TechNet.