使用多个位置的邮箱管理邮件流 (Exchange Online 和本地 Exchange)
概述
本文档提供有关在利用 Microsoft 365 或 Office 365 的环境中处理复杂邮件流方案的详细指南。
本文档中所述的示例使用虚构的组织, Contoso
该组织拥有域 contoso.com
。 Contoso 电子邮件服务器的 IP 地址为 131.107.21.231
,其第三方提供程序将其 10.10.10.1
用作其 IP 地址。 这些只是示例。 必要时,您可以对这些示例进行修改,以适合您的组织的域名和面向公众的 IP 地址。
本文档介绍以下复杂的邮件流方案:
重要信息
在某些混合邮件流方案中,客户可能会遇到从其本地 Exchange 服务器或电子邮件网关发起或通过其中继的出站电子邮件首先通过其 Office 365 租户路由的情况。 当电子邮件网关或本地 Exchange 服务器使用特定证书 (例如 gateway.contoso.com
或 exchange.contoso.com
) ,而混合配置向导创建的入站连接器 (HCW) 使用默认通配符证书配置 (*.contoso.com
) 时,会出现这种情况。 因此,在到达指向 Exchange Online 的 MX 记录的收件人之前,本地服务器或网关发送的电子邮件将归于 Office 365 租户。 尽管这是意外的,但这是匹配的 Office 365 租户的标准电子邮件归因过程。 若要了解 Microsoft 365 中邮件归属的工作原理,请阅读 Office 365 邮件归属。
因此,请包含在 spf.protection.outlook.com
域的 SPF 记录中,即使电子邮件直接从本地服务器或网关发送到 Internet 也是如此。 如果租户未托管在环境中 Microsoft 365 Global
,则要包含的域会有所不同。 可以在 设置 SPF 以标识 Microsoft 365 域的有效电子邮件源 文档中找到相应环境的正确条目。
如果要更改此方案中的路由行为,可以按照 “Office 365 邮件属性”博客文章的常见问题解答 #6 (b) 部分 中所述的步骤进行操作。
方案 1:MX 记录指向 Microsoft 365 或 Office 365,Microsoft 365 或 Office 365 筛选所有邮件
- 我正在将邮箱迁移到 Exchange Online,我想将某些邮箱保留在组织的电子邮件服务器上, (本地服务器) 。 我想使用 Microsoft 365 或 Office 365 作为垃圾邮件筛选解决方案,并希望使用 Microsoft 365 或 Office 365 将我的邮件从本地服务器发送到 Internet。 Microsoft 365 或 Office 365 发送和接收所有邮件。
大多数需要混合邮件流设置的客户应允许 Microsoft 365 或 Office 365 执行其所有筛选和路由。 建议将 MX 记录指向 Microsoft 365 或 Office 365,因为此设置可提供最准确的垃圾邮件筛选。 针对这种情况,您组织的邮件流设置如下图所示。
最佳做法
在 Microsoft 365 或 Office 365 中添加自定义域。 若要证明你拥有域,请按照将 域添加到 Microsoft 365 中的说明进行操作。
在 Exchange Online 中创建用户邮箱 或 将所有用户的邮箱移动到 Microsoft 365 或 Office 365。
更新你在步骤 1 中添加的域的 DNS 记录。 (不确定如何执行此任务?按照 此页上的说明操作。) 以下 DNS 记录控制邮件流:
MX 记录:按以下格式将 MX 记录指向 Microsoft 365 或 Office 365:<domainKey-com.mail.protection.outlook.com>
例如,如果您的域是 contoso.com,该 MX 记录应为: contoso-com.mail.protection.outlook.com.
SPF 记录:此记录应将 Microsoft 365 或 Office 365 列为有效的发件人;从本地服务器连接到 EOP 的任何 IP 地址;以及代表组织发送电子邮件的任何第三方。 例如,如果组织的电子邮件服务器面向 Internet 的 IP 地址为131.107.21.231,则 contoso.com 的 SPF 记录应为:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
或者,根据第三方要求,可能需要包含来自第三方的域,如以下示例所示:
v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
在 Exchange 管理中心 (EAC) ,在以下情况下,使用连接器向导 在 Microsoft 365 或 Office 365 中使用连接器配置邮件流 :
将邮件从 Microsoft 365 或 Office 365 发送到组织的电子邮件服务器
将邮件从本地服务器发送到 Microsoft 365 或 Office 365
如果以下任一方案适用于你的组织,则必须创建一个连接器,以支持将邮件从本地服务器发送到 Microsoft 365 或 Office 365。
你的组织有权代表你的客户端发送邮件,但你的组织对该域没有所有权。 例如,contoso.com 有权通过 fabrikam.com 发送电子邮件,但后者并不属于 contoso.com。
你的组织通过 Microsoft 365 或 Office 365 将) (未送达报告(也称为“NDR”或“退回邮件”)中继到 Internet。
若要创建连接器,请在 “Office 365 如何识别电子邮件服务器的电子邮件 ”屏幕上选择连接器创建向导中的第一个选项,如以下两个屏幕截图所示,分别针对“新建 EAC”和“经典 EAC”。
此配置使 Microsoft 365 或 Office 365 能够使用该证书来标识电子邮件服务器。 在这种情况下,证书 CN 或使用者备用名称 (SAN) 包含组织所属的域。 有关详细信息,请参阅Identifying email from your email server。 有关连接器配置的详细信息,请参阅 第 2 部分:将邮件配置为从电子邮件服务器流向 Microsoft 365 或 Office 365。
除非你的合作伙伴有特殊的要求(比如银行要求实施 TLS),否则以下方案中不需要使用连接器。
从 Microsoft 365 或 Office 365 向合作伙伴组织发送邮件
将邮件从合作伙伴组织发送到 Microsoft 365 或 Office 365
注意
如果你的组织使用 Exchange 2010 或更高版本,我们建议使用 混合配置向导 在 Microsoft 365 或 Office 365 以及本地 Exchange 服务器上配置连接器。 对于此方案,域的 MX 记录不能指向组织的电子邮件服务器。
方案 2:MX 记录指向 Microsoft 365 或 Office 365,并在本地筛选邮件
- 我正在将邮箱迁移到 Exchange Online,我想将一些邮箱保留在组织的电子邮件服务器上, (本地服务器) 。 我想要使用我的本地环境中已有的筛选和合规性解决方案。 从 Internet 发往云邮箱的所有邮件或从云邮箱发送到 Internet 的邮件都必须通过本地服务器进行路由。
如果你有在本地环境中筛选邮件的业务或法规原因,我们建议将域的 MX 记录指向 Microsoft 365 或 Office 365 并启用集中式邮件传输。 此安装程序提供了最佳的垃圾邮件筛选功能,并保护您组织的 IP 地址。 针对这种情况,您组织的邮件流设置如下图所示。
最佳做法
在 Microsoft 365 或 Office 365 中添加自定义域。 若要证明你拥有域,请按照将 域添加到 Microsoft 365 中的说明进行操作。
在 Exchange Online 中创建用户邮箱 或 将所有用户的邮箱移动到 Microsoft 365 或 Office 365。
更新你在步骤 1 中添加的域的 DNS 记录。 (不确定如何执行此任务?按照 此页上的说明操作。) 以下 DNS 记录控制邮件流:
- MX 记录:按以下格式将 MX 记录指向 Microsoft 365 或 Office 365:<domainKey-com.mail.protection.outlook.com>
例如,如果您的域是 contoso.com,该 MX 记录应为: contoso-com.mail.protection.outlook.com.
SPF 记录:此记录应列出 Microsoft 365 或 Office 365 作为有效发件人,以及连接到 EOP 的本地服务器以及代表组织发送电子邮件的任何第三方的任何 IP 地址。 例如,如果组织的电子邮件服务器面向 Internet 的 IP 地址为 131.107.21.231,则 contoso.com 的 SPF 记录应为:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
集中式邮件传输 (CMT) 用于本地合规性解决方案。
从 Internet 发送到 Exchange Online 邮箱的邮件首先发送到本地服务器,然后返回到 Exchange Online 以传递到邮箱。 第 1 行表示方案 2 图中的此路径。
来自 Exchange Online 且发往 Internet 的邮件首先发送到本地服务器,然后返回到 Exchange Online,然后传递到 Internet。 第 4 行表示方案 2 图中的此路径。
若要实现此配置,请通过 Hybrid Configuration Wizard 或通过 cmdlet 创建连接器,并启用 CMT。 有关 CMT 的详细信息,请参阅 Exchange 混合部署中的传输选项。
除非你的合作伙伴有特殊的要求(比如银行要求实施 TLS),否则以下方案中不需要使用连接器。
从 Microsoft 365 或 Office 365 向合作伙伴组织发送邮件
将邮件从合作伙伴组织发送到 Microsoft 365 或 Office 365
方案 3:MX 记录指向我的本地服务器
- 我正在将邮箱迁移到 Exchange Online,我想将某些邮箱保留在组织的电子邮件服务器上, (本地服务器) 。 我想要使用我的本地电子邮件环境中已有的筛选和合规性解决方案。 从 Internet 发送到我的云邮箱或从云邮箱发送到 Internet 的所有邮件都必须通过我的本地服务器进行路由。 我需要将我的域的 MX 记录指向我的本地服务器。
作为方案 2 的替代方法,可以将域的 MX 记录指向组织的电子邮件服务器,而不是Microsoft 365 或 Office 365。 一些组织出于业务或法规的原因需要此设置,但如果你使用方案 2,则通常选择筛选会更合适。
针对这种情况,您组织的邮件流设置如下图所示。
最佳做法
如果您的域的 MX 记录指向您的本地 IP 地址,请使用以下最佳做法:
在 Microsoft 365 或 Office 365 中添加自定义域。 若要证明你拥有域,请按照将 域添加到 Microsoft 365 中的说明进行操作。
在 Exchange Online 中创建用户邮箱 或 将所有用户的邮箱移动到 Microsoft 365 或 Office 365。
更新你在步骤 1 中添加的域的 DNS 记录。 (不确定如何执行此任务?按照 此页上的说明操作。) 以下 DNS 记录控制邮件流:
SPF 记录:此记录应将 Microsoft 365 或 Office 365 列为有效的发件人。 它还应包括连接到 EOP 的本地服务器中的任何 IP 地址和代表你的组织发送电子邮件的任何第三方。 例如,如果组织的电子邮件服务器面向 Internet 的 IP 地址为131.107.21.231,则 contoso.com 的 SPF 记录应为:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
由于不是通过 Microsoft 365 或 Office 365 将消息从本地服务器中继到 Internet,因此从技术上讲,无需为以下方案创建连接器。 但是,如果在某个时候将 MX 记录更改为指向 Microsoft 365 或 Office 365,则需要创建连接器;因此,最好是提前完成。 在 Exchange 管理中心,对于以下情况,请使用连接器向导( 第 2 部分:将邮件配置为从电子邮件服务器流向 Microsoft 365 或 Office 365 ),或使用 混合配置向导 创建连接器:
从 Microsoft 365 或 Office 365 向组织的电子邮件服务器发送邮件
将邮件从本地服务器发送到 Microsoft 365 或 Office 365
若要确保通过 MX 将邮件发送到你组织的本地服务器,请转到您可以向合作伙伴组织发送的电子邮件应用的示例安全限制,并按照"示例 3:要求发送自合作伙伴组织域 ContosoBank.com 的所有电子邮件均发送自特定的 IP 地址范围"执行相关操作。
方案 4:MX 记录指向我的本地服务器,该服务器会筛选消息并提供符合性解决方案。 本地服务器需要通过 Microsoft 365 或 Office 365 将消息中继到 Internet。
- 我正在将邮箱迁移到 Exchange Online,我想将某些邮箱保留在组织的电子邮件服务器上, (本地服务器) 。 我想要使用我的本地电子邮件环境中已有的筛选和合规性解决方案。 从本地服务器发送的所有邮件都必须通过 Microsoft 365 或 Office 365 中继到 Internet。 我需要将我的域的 MX 记录指向我的本地服务器。
针对这种情况,您组织的邮件流设置如下图所示。
最佳做法
如果您的域的 MX 记录指向您的本地 IP 地址,请使用以下最佳做法:
在 Microsoft 365 或 Office 365 中添加自定义域。 若要证明你拥有域,请按照将 域添加到 Microsoft 365 中的说明进行操作。
在 Exchange Online 中创建用户邮箱 或 将所有用户的邮箱移动到 Microsoft 365 或 Office 365。
更新你在步骤 1 中添加的域的 DNS 记录。 (不确定如何执行此任务?按照 此页上的说明操作。) 以下 DNS 记录控制邮件流:
MX 记录:按以下格式将 MX 记录指向本地服务器:邮件。<domainKey>.com
例如,如果您的域是 contoso.com,该 MX 记录应为: .mail.contoso.com.
SPF 记录:此记录应将 Microsoft 365 或 Office 365 列为有效的发件人。 它还应包括连接到 EOP 的本地服务器中的任何 IP 地址和代表你的组织发送电子邮件的任何第三方。 例如,如果组织的电子邮件服务器面向 Internet 的 IP 地址为 131.107.21.231,则 contoso.com 的 SPF 记录应为:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
在 EAC 中,在以下情况下,使用连接器向导 在 Microsoft 365 或 Office 365 中使用连接器配置邮件流 :
从 Microsoft 365 或 Office 365 向组织的电子邮件服务器发送邮件
将邮件从本地服务器发送到 Microsoft 365 或 Office 365
如果以下任何方案适用于组织,请创建连接器以支持“将邮件从本地服务器发送到 Microsoft 365 或 Office 365”的方案:
你的组织有权代表你的客户端发送邮件,但你的组织对该域没有所有权。 例如,contoso.com 有权通过 fabrikam.com 发送电子邮件,但后者并不属于 contoso.com。
你的组织通过 Microsoft 365 或 Office 365 将) (未送达报告中继到 Internet。
域 contoso.com 的 MX 记录指向你的本地服务器,组织中的用户会将邮件自动转发到组织外部的电子邮件地址。 例如, kate@contoso.com 已启用转发,并且所有消息都转到 kate@tailspintoys.com。 如果在 john@fabrikam.com 邮件到达 Microsoft 365 或 Office 365 时将邮件发送到 kate@contoso.com,则发件人域 fabrikam.com 并且收件人域 tailspin.com。 发件人域和收件人域不属于你的组织。
若要创建连接器,请在连接器创建向导中的“ 应如何Microsoft 365 或 Office 365 识别电子邮件服务器的电子邮件 ”屏幕上选择第一个选项,如以下两个屏幕截图所示,分别针对“新建 EAC”和“经典 EAC”。
此选项允许 Microsoft 365 或 Office 365 使用证书标识电子邮件服务器。 在这种情况下,证书 CN 或使用者备用名称 (SAN) 包含组织所属的域。 有关详细信息,请参阅Identifying email from your email server。 有关连接器配置的详细信息,请参阅 第 2 部分:将邮件配置为从电子邮件服务器流向 Microsoft 365 或 Office 365。
- 将连接器设置为确保与合作伙伴组织之间实现安全的邮件流 通过 MX 确保将邮件发送到您组织的本地服务器。
另请参阅
Exchange Online、Microsoft 365 和 Office 365 的邮件流最佳做法 (概述)
使用 Microsoft 365 或 Office 365 管理所有邮箱和邮件流
使用具有 Microsoft 365 或 Office 365 的第三方云服务管理邮件流
使用第三方云服务管理邮件流,其中邮箱位于 Microsoft 365 或 Office 365 和本地