将连接器设置为在 Microsoft 365 或 Office 365 和你自己的电子邮件服务器之间路由邮件

本主题可帮助您设置在以下两种情况下需要使用的连接器:

  • 您具有自己的电子邮件服务器(也称为本地服务器),且您订阅到 Exchange Online Protection (EOP) 以使用电子邮件保护服务。
  • 你已 (或打算在两个位置) 邮箱;某些邮箱位于 Microsoft 365 或 Office 365 中,某些邮箱位于组织电子邮件服务器上, (也称为本地服务器) 。

重要

在开始之前,请确保在 “我有自己的电子邮件服务器”中检查你的特定方案。

如果将本文中所述的步骤应用于 合作伙伴电子邮件服务,则可能会产生意外后果,包括 电子邮件传递失败。 若要了解有关合作伙伴方案的详细信息,请参阅 为合作伙伴组织设置用于安全邮件流的连接器

连接器如何与本地电子邮件服务器配合使用?

如果你有 EOP 和自己的电子邮件服务器,或者如果你的一些邮箱位于 Microsoft 365 或 Office 365 中,有些邮箱位于电子邮件服务器上,请设置连接器以启用双向邮件流。 可以在 Microsoft 365 或 Office 365 与任何基于 SMTP 的电子邮件服务器(如 Exchange 或第三方电子邮件服务器)之间启用邮件流。

下图显示了 Microsoft 365 或 Office 365 中的连接器 (包括 Exchange Online 或 EOP) 如何与你自己的电子邮件服务器配合使用。

Microsoft 365 或 Office 365 与电子邮件服务器之间的连接器。

在此示例中,John 和 Bob 均为您公司的员工。 John 有一个邮箱位于您所管理的电子邮件服务器上,而 Bob 有一个邮箱位于 Office 365 中。 John 和 Bob 都与具有 Internet 电子邮件帐户的客户 Sun 交换邮件:

  • 如果电子邮件是在 John 和 Bob 之间发送,则需要连接器。
  • 在 John 和 Sun 之间发送电子邮件时,需要连接器。 (所有 Internet 电子邮件都通过 Office 365.)
  • 如果电子邮件是在 Bob 和 Sun 之间发送,则不需要连接器。

如果你有自己的电子邮件服务器和 Microsoft 365 或 Office 365,则必须在 Microsoft 365 或 Office 365 中设置连接器。 如果没有连接器,电子邮件将不会在 Microsoft 365 或 Office 365 与组织的电子邮件服务器之间流动。

连接器如何在 Microsoft 365 或 Office 365 与我自己的电子邮件服务器之间路由邮件?

需要两个连接器才能在 Microsoft 365 或 Office 365 与电子邮件服务器之间路由电子邮件,如下所示:

  • 从 Office 365 指向您自己的电子邮件服务器的连接器

    将 Microsoft 365 或 Office 365 设置为代表组织接受所有电子邮件时,会将域的 MX (邮件交换) 记录指向 Microsoft 365 或 Office 365。 若要准备此邮件传送方案,必须设置一个名为“智能主机”) 的备用服务器 (,以便 Microsoft 365 或 Office 365 可以将电子邮件发送到组织的电子邮件服务器 (也称为“本地服务器”) 。 若要完成此方案,可能需要将电子邮件服务器配置为接受 Microsoft 365 或 Office 365 传递的邮件。

  • 连接器:从你自己的电子邮件服务器指向 Office 365

    设置此连接器后,Microsoft 365 或 Office 365 接受来自组织电子邮件服务器的邮件,并代表你向收件人发送邮件。 此收件人可以是组织在 Microsoft 365 或 Office 365 中的邮箱,也可以是 Internet 上的收件人。 若要完成此方案,还需要将电子邮件服务器配置为将电子邮件直接发送到 Microsoft 365 或 Office 365。

此连接器使 Microsoft 365 或 Office 365 能够扫描电子邮件中的垃圾邮件和恶意软件,并强制实施合规性要求,例如运行数据丢失防护策略。 当电子邮件服务器将所有电子邮件直接发送到 Microsoft 365 或 Office 365 时,将阻止将你自己的 IP 地址添加到垃圾邮件阻止列表。 若要完成此方案,可能需要将电子邮件服务器配置为将邮件发送到 Microsoft 365 或 Office 365。

注意

此方案需要两个连接器:一个从 Microsoft 365 或 Office 365 连接到邮件服务器,另一个用于管理相反方向的邮件流。 在开始之前,请确保拥有所需的所有信息,并继续按照说明操作,直到设置并验证了这两个连接器。

步骤概述

下面概述了步骤:

本地电子邮件环境的先决条件

准备本地电子邮件服务器,使其准备好与 Microsoft 365 或 Office 365 连接。 请按照下列步骤操作:

  1. 确保本地电子邮件服务器已设置,并且能够 (外部) 电子邮件发送和接收 Internet。

  2. 检查您的本地电子邮件服务器是否已启用传输层安全性 (TLS),且是否有证书颁发机构签发(CA 签发)的有效证书。 我们建议证书使用者名称中包含与您组织中的主要电子邮件服务器匹配的域名。 如有必要,请购买符合此描述的 CA 签发的数字证书。

  3. 如果要使用证书在 Microsoft 365 或 Office 365 与电子邮件服务器之间进行安全通信,请更新电子邮件服务器用于接收邮件的连接器。 当 Microsoft 365 或 Office 365 尝试与服务器建立连接时,此连接器必须识别正确的证书。 如果使用的是 Exchange,请参阅 接收连接器 了解详细信息。 在边缘传输服务器或客户端访问服务器 (CAS) 上,配置接收连接器的默认证书。 更新 Exchange 命令行管理程序中 Set-ReceiveConnector cmdlet 上的 TlsCertificateName 参数。 若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell

  4. 请记下面向外部的电子邮件服务器的名称或 IP 地址。 如果你使用的是 Exchange,则此 IP 地址是边缘传输服务器或 CAS 的完全限定域名 (FQDN) ,该服务器或 CAS 将接收来自 Microsoft 365 或 Office 365 的电子邮件。

  5. 打开防火墙上的端口 25,以便 Microsoft 365 或 Office 365 可以连接到电子邮件服务器。

  6. 确保防火墙接受来自所有 Microsoft 365 或 Office 365 IP 地址的连接。 有关已发布的 IP 地址范围,请参阅 Exchange Online

  7. 记下组织中每个域的电子邮件地址。 稍后需要此电子邮件地址来测试连接器是否正常工作。

第 1 部分:将邮件配置为从 Microsoft 365 或 Office 365 流向本地电子邮件服务器

此配置有三个步骤:

  1. 配置 Microsoft 365 或 Office 365 环境。
  2. 设置从 Office 365 指向您的电子邮件服务器的连接器。
  3. 更改 MX 记录以将邮件流从 Internet 重定向到 Microsoft 365 或 Office 365。

1. 配置 Microsoft 365 或 Office 365 环境

请确保已在 Microsoft 365 或 Office 365 中完成以下任务:

  1. 如需设置连接器,则必须先获得分配的权限,然后才能开始设置。 若要检查所需的权限,请参阅 独立 EOP 中的权限 主题中的 Microsoft 365 和 Office 365 连接器条目。

  2. 如果希望 EOP 或 Exchange Online 将电子邮件从电子邮件服务器中继到 Internet,请执行以下任一操作:

    • 使用在 Microsoft 365 或 Office 365 中用与接受的域相匹配的主题名称配置的证书。 我们建议证书的公用名或者使用者备用名称与您组织的主 SMTP 域相匹配。 有关详细信息,请参阅本地电子邮件环境的必备组件。

    - 或者 -

  3. 确定是否希望使用邮件流规则(也称为传输规则)或域名将邮件从 Microsoft 365 或 Office 365 传递到你的电子邮件服务器。 大多数企业都会选择针对所有接受的域传递邮件。 有关详细信息,请参阅方案: Exchange Online 中的条件邮件路由

    注意

    可按照 Exchange Online 中邮件流规则操作中所述设置邮件流规则。 例如,如果当前你的邮件通过通讯组列表定向到多个站点,那么你不妨结合使用邮件流规则和连接器。

2. 设置从 Microsoft 365 或 Office 365 指向你的电子邮件服务器的连接器

在设置新连接器之前,请检查已在此处为组织列出的任何连接器。 例如,如果运行 Exchange 混合配置向导,则会设置在 Microsoft 365 或 Office 365 与 Exchange Server 之间传递邮件的连接器,并在此处列出,如以下屏幕截图所示。

新 Exchange 管理中心的主页。

如果已列出连接器,则无需再次设置它们,但如果需要,可以对其进行编辑。

如果不打算使用混合配置向导,或者正在运行非 Microsoft SMTP 邮件服务器,或者未列出从组织的邮件服务器到 Microsoft 365 或 Office 365 的连接器,请使用向导设置连接器,如以下过程所述。

注意

在创建连接器之前,请在“管理中心”窗格下单击“ Exchange ”,从 Microsoft 365 管理中心 导航到 EAC。

  1. 导航到 “邮件流 > 连接器”。 此时会显示 “连接器 ”屏幕。

  2. 单击“ + 添加连接器”。 将显示 新连接器 屏幕。

    开始创建连接器过程的屏幕。

  3. “连接发件人”下,选择 “Office 365”。

  4. “连接到”下,选择 组织的电子邮件服务器

    配置了新连接器的页面。

  5. 单击“下一步”。 将显示 连接器名称 屏幕。

  6. 为连接器命名,然后单击“下一步”。 此时会显示 “使用连接器 ”屏幕。

  7. 选择确定何时要使用连接器的选项,然后单击“ 下一步”。 “ 路由” 屏幕随即出现。

    注意

    有关在“ 使用连接器” 屏幕上选择三个选项之一以及选择该选项的原因的信息,请参阅本文下面的 确定连接器使用情况的选项

  8. 输入 Office 365 将向其发送电子邮件的主计算机的域名或 IP 地址。

  9. 单击+

    注意

    输入智能主机名后,必须单击 + 以导航到下一个屏幕。

  10. 单击下一个。 此时会显示 “安全限制 ”屏幕。

  11. 通过以下方式定义设置:

    • 选中“ 始终使用传输层安全性 (TLS) ”复选框, (建议) 来保护连接

      注意

      不需要在“安全 限制 ”页上配置传输层安全性 (TLS) 设置。 无需在此屏幕上选择任何内容即可导航到下一个屏幕。 需要在此页上定义 TLS 设置取决于目标服务器是否支持 TLS。

      如果选择定义 TLS 设置,则必须进行选择。

    • 仅当收件人的电子邮件服务器证书符合此条件时,才选择“连接”下的两个选项中的任何一个。

      注意

      如果选择“ 由受信任的证书颁发机构颁发 (CA) ”选项,则会激活“ (SAN) 与此域名匹配的添加使用者名称或使用者可选名称 ”选项。

      可以选择选择“ (SAN) 与此域名匹配的添加使用者名称或使用者可选名称 ”选项。 但是,如果选择它,则必须输入证书名称匹配的域名。

    • 单击“ 下一步”,此时会显示 “验证电子邮件 ”屏幕。

  12. 输入属于组织域邮箱的电子邮件。

  13. 单击+

    注意

    必须单击 + 才能启用 “验证 ”按钮。

  14. 单击“ 验证”。 连接器验证过程将启动。

  15. 验证过程完成后,单击“ 下一步”。 此时会显示 “审阅连接器 ”屏幕。

  16. 查看配置的设置,然后单击“ 创建连接器”。

已创建连接器。

如果您无法验证此连接器,请双击所显示的消息了解详细信息,并参阅验证服务器了解如何解决问题。

3.更改 MX 记录以将邮件流从 Internet 重定向到 Microsoft 365 或 Office 365

若要将电子邮件流重定向到 Microsoft 365 或 Office 365,请更改域的 MX (邮件交换) 记录。 有关如何执行此任务的说明,请参阅 添加 DNS 记录以连接域

第 2 部分:将邮件配置为从电子邮件服务器流向 Microsoft 365 或 Office 365

此配置有两个步骤:

  1. 设置从电子邮件服务器到 Microsoft 365 或 Office 365 的连接器。
  2. 设置电子邮件服务器以通过 Microsoft 365 或 Office 365 将邮件中继到 Internet。

1. 设置从电子邮件服务器到 Microsoft 365 或 Office 365 的连接器

  1. 导航到 “邮件流 > 连接器”。 此时会显示 “连接器 ”屏幕。

    显示已创建的连接器的页面。

    注意

    如果组织已存在任何连接器,则单击“ 连接器”时会显示它们。

  2. 单击“ + 添加连接器”。 将显示 新连接器 屏幕。

    开始创建连接器过程的屏幕。

  3. “连接发件人”下,选择 组织的电子邮件服务器

    将发送服务器配置为组织服务器并将目标服务器配置为 Microsoft 365 服务器的屏幕。

    注意

    选择“从连接”下的“你的组织的电子邮件服务器”单选按钮后,“连接到”下的选项将灰显,表示它是所选的默认选项。

  4. 单击“下一步”。 将显示 连接器名称 屏幕。

  5. 为连接器命名,然后单击“下一步”。 将显示 正在验证发送的电子邮件 屏幕。

  6. 选择以下两个选项之一: 验证发送服务器用于向 Office 365 进行身份验证的证书上的使用者名称是否与以下文本框中输入的域匹配 (建议) 通过验证发送服务器的 IP 地址是否与以下 IP 地址之一匹配, 它仅属于你的组织

    注意

    如果选择第一个选项,请提供域名 (如果组织只有一个域) 或组织的任何一个域 (多个域) 。 如果选择第二个选项,请提供组织的域服务器的 IP 地址。

  7. 单击下一个。 此时会显示 “审阅连接器 ”屏幕。

  8. 查看配置的设置,然后单击“ 创建连接器”。

    已创建连接器。

如果需要更多信息,请选择 “帮助 ”或“ 了解详细信息 ”链接。 In particular, see Identifying email from your email server for help configuring certificate or IP address settings for this connector. 向导将指导你完成设置。 At the end, save your connector.

2. 设置电子邮件服务器以通过 Microsoft 365 或 Office 365 将邮件中继到 Internet

接下来,必须准备电子邮件服务器以将邮件发送到 Microsoft 365 或 Office 365。 电子邮件服务器的此配置允许通过 Microsoft 365 或 Office 365 从电子邮件服务器到 Internet 的邮件流。

如果本地电子邮件环境是 Microsoft Exchange,则创建一个发送连接器,该连接器使用智能主机路由将邮件发送到 Microsoft 365 或 Office 365。 有关详细信息,请参阅创建发送连接器以通过智能主机路由出站邮件

若要在 Exchange Server 中创建发送连接器,请在 Exchange 命令行管理程序中使用以下语法。 若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell

注意

在以下过程中, CloudServicesMailEnabled 参数在 Exchange 2013 或更高版本中可用。

New-SendConnector -Name <DescriptiveName> -AddressSpaces * -CloudServicesMailEnabled $true -Fqdn <CertificateHostNameValue> -RequireTLS $true -DNSRoutingEnabled $false -SmartHosts <YourDomain>-com.mail.protection.outlook.com -TlsAuthLevel CertificateValidation

本示例新建具有下列属性的发送连接器:

  • 名称:我的公司到 Office 365
  • FQDN:mail.contoso.com
  • SmartHosts:contoso-com.mail.protection.outlook.com
New-SendConnector -Name "My company to Office 365" -AddressSpaces * -CloudServicesMailEnabled $true -Fqdn mail.contoso.com -RequireTLS $true -DNSRoutingEnabled $false -SmartHosts contoso-com.mail.protection.outlook.com -TlsAuthLevel CertificateValidation

更改 Microsoft 365 或 Office 365 用于邮件流的连接器

若要更改连接器的设置,请选择要编辑的连接器,然后选择“ 编辑” 图标,如以下屏幕截图中所示,分别用于“新建 EAC”和“经典 EAC”。

选择编辑连接器详细信息选项的屏幕。

显示已选择连接器和已突出显示编辑(铅笔)图标的屏幕快照。

连接器向导将打开,并且您可以更改现有的连接器设置。 更改连接器设置时,Microsoft 365 或 Office 365 会继续使用邮件流的现有连接器设置。 保存对连接器所做的更改时,Microsoft 365 或 Office 365 将开始使用新设置。

如果我有多个适用于同一种情况的连接器,会发生什么情况?

大多数客户不需要设置连接器。 对于这样做的客户,每个邮件流方向一个连接器就足够了。 但你也可以为单个邮件流方向创建多个连接器,例如从 Microsoft 365 或 Office 365 到电子邮件服务器 (也称为本地服务器) 。

当有多个连接器时,解决邮件流问题的第一步是知道使用哪个连接器 Microsoft 365 或 Office 365。 Microsoft 365 或 Office 365 使用以下顺序选择要应用于电子邮件的连接器:

  1. 使用完全匹配收件人的域的连接器。
  2. 使用适用于所有接受域的连接器。
  3. 使用通配符模式匹配。 例如,*.contoso.com 将匹配 mail.contoso.com 和 sales.contoso.com。

Microsoft 365 或 Office 365 如何应用多个连接器的示例

In this example, your organization has four accepted domains, contoso.com, sales.contoso.com, fabrikam.com, and contoso.onmicrosoft.com. 你配置了从 Microsoft 365 或 Office 365 到组织电子邮件服务器的三个连接器。 For this example, these connectors are known as Connector 1, Connector 2, and Connector 3.

连接器 1 针对您组织中的所有接受域进行配置。 以下屏幕截图显示了连接器向导屏幕,可在其中定义连接器适用的域。 在这种情况下,所选的设置是 适用于发送到您组织的所有接受域的电子邮件。 以下两个屏幕截图分别描述了为“新建 EAC”和“经典 EAC”选择的设置。

“新建 EAC”的连接器向导页。

显示经典 Exchange 管理中心的连接器向导页:何时要使用此连接器?选择第二个选项。此选项为:用于发送到组织中所有接受域的电子邮件。

连接器 2 专为您的公司的 Contoso.com 域而设置。 以下屏幕截图显示了连接器向导屏幕,可在其中定义连接器适用的域。 在这种情况下,所选的设置是 仅当电子邮件发送到这些域时。 对于 连接器 2 ,指定为您公司的 Contoso.com 域。 以下两个屏幕截图分别描述了为“新建 EAC”和“经典 EAC”选择的设置。

“新建 EAC”的连接器向导屏幕。

显示经典 Exchange 管理中心中的连接器向导页:何时要使用此连接器?选中第三个选项。此选项为:仅当电子邮件发送到这些域时。已添加域 Contoso.com。

连接器 3 也通过使用选项 仅当电子邮件发送到这些域时进行设置。 但是,连接器使用通配符*.Contoso.com,而不是特定域 Contoso.com,如以下屏幕截图所示。 以下两个屏幕截图分别描述了为“新建 EAC”和“经典 EAC”选择的设置。

“新建 Exchange 管理中心”的连接器向导屏幕。

显示连接器向导页:何时要使用此连接器?选中第三个选项。此选项为:仅当电子邮件发送到这些域时。指定的域包括通配符。*.contoso.com 已添加。

对于从 Microsoft 365 或 Office 365 发送到电子邮件服务器上的邮箱的每封电子邮件,Microsoft 365 或 Office 365 会选择最具体的连接器。 对于发送至以下邮箱中的电子邮件:

  • john@fabrikam.com、Microsoft 365 或 Office 365 选择 连接器 1
  • john@contoso.com、Microsoft 365 或 Office 365 选择 连接器 2
  • john@sales.contoso.com、Microsoft 365 或 Office 365 选择 连接器 3

另请参阅

使用连接器配置邮件流

Exchange Online、Microsoft 365 和 Office 365 的邮件流最佳做法 (概述)

验证连接器

将连接器设置为确保与合作伙伴组织之间实现安全的邮件流