配置基于证书的连接器以通过 Microsoft 365 中继电子邮件

• 适用于:

  Exchange Online

简介

如果组织具有混合部署 (本地和 Microsoft 365) ，则经常必须通过 Microsoft 365 将电子邮件中继到 Internet。 也就是说，从本地环境 (邮箱、应用程序、扫描程序、传真机等) 发送到 Internet 收件人的邮件首先路由到 Microsoft 365，然后发送出去。

图：Email通过 Microsoft 365 从本地电子邮件服务器中继到 Internet

要使此中继正常工作，你的组织必须遵循以下步骤：

1. 在 Microsoft 365 中创建一个或多个连接器，以使用发送 IP 地址或证书对来自本地邮件服务器的电子邮件进行身份验证。

2. 将本地服务器配置为通过 Microsoft 365 中继。

3. 配置你的设置，使以下任一条件成立：

   • 发件人域

     发件人域属于你的组织 (即你已在 Microsoft 365) 中注册了域。

     注意 有关详细信息，请参阅 在 Microsoft 365 中添加用户和域。

   • 基于证书的连接器配置

     本地电子邮件服务器配置为使用证书向 Microsoft 365 发送电子邮件，证书中的 Common-Name (CN) 或主题备用名称 (SAN) 包含已在 Microsoft 365 中注册的域名，并且已在 Microsoft 365 中创建具有该域的基于证书的连接器。

如果步骤 3 中的两个条件均不成立，则 Microsoft 365 无法确定从本地环境发送的消息是否属于你的组织。 因此，如果使用混合部署，则应确保满足步骤 3 中的一个条件。

摘要

从 2017 年 7 月 5 日开始，如果混合环境客户未针对任何步骤 3 条件配置其环境，Microsoft 365 不再支持中继电子邮件。 此类邮件将被拒绝并触发以下错误消息：

550 5.7.64 中继访问被拒绝 ATTR36。 有关详细信息，请参阅 知识库3169958。

此外，如果贵组织要求以下任一方案在 2017 年 7 月 5 日之后继续工作，则必须满足“简介”部分步骤 3 中的第二个条件（“基于证书的连接器配置”）。

注意

此新流程的原始截止时间从 2017 年 2 月 1 日延后到 2017 年 7 月 5 日，以便客户有足够的时间实施更改。

默认情况下，Microsoft 365 不支持中继电子邮件的方案

• 组织必须从本地环境向 Internet 上的收件人发送未送达报告 () ，并且必须通过 Microsoft 365 中继邮件。 例如，有人向john@contoso.com发送电子邮件，该用户曾经存在于组织的本地环境中。 这将导致向原始发件人发送 NDR。

• 组织必须从本地环境中的电子邮件服务器发送邮件，这些服务器来自组织尚未添加到 Microsoft 365 的域。 例如，你的组织 (contoso.com) 将电子邮件作为 fabrikam.com 域发送，并且 fabrikam.com 不属于你的组织。

• 在本地服务器上配置转发规则，并通过 Microsoft 365 中继消息。

  例如，contoso.com 是你组织的域。 你组织本地服务器上的用户，kate@contoso.com 允许将所有邮件转发到 kate@tailspintoys.com。 john@fabrikam.com 向 kate@contoso.com 发送邮件后，会将邮件自动转发到 kate@tailspintoys.com。

  从 Microsoft 365 的角度来看，消息从 john@fabrikam.com 发送到 kate@tailspintoys.com。 由于凯特的邮件已转发，因此发件人域和收件人域都不属于你的组织。

图：由于满足步骤 3“基于证书的连接器配置”条件，允许通过 Microsoft 365 中继来自 contoso.com 转发的消息

更多信息

可以为 Microsoft 365 设置基于证书的连接器，以将消息中继到 Internet。 若要执行此操作，请使用以下方法。

步骤 1：在 Microsoft 365 中创建或更改基于证书的连接器

要创建或更改基于证书的连接器，请按照以下步骤操作：

1. 登录到 Microsoft 365 门户 (https://portal.office.com) ，单击“管理员”，然后打开 Exchange 管理中心。 有关详细信息，请参阅 Exchange Online 中的 Exchange 管理中心。

   

2. 单击“邮件流”，单击“连接器”，然后执行以下操作之一：

   • 如果没有连接器，请单击“ (添加) ”以创建连接器。

     

   • 如果连接器已存在，请选择它，然后单击 (编辑) 。

     

3. 在“选择邮件流方案”页上，在“发件人”框中选择你的组织的电子邮件服务器，然后在“到”框中选择“Microsoft 365”。

   注意

   这将创建一个连接器，指示本地服务器是邮件的发送源。

   

4. 输入连接器名称和其他信息，然后单击“下一步”。

5. 在“新建连接器”或“编辑连接器”页中，选择第一个选项，以便使用传输层安全性 (TLS) 证书来识别组织邮件的发件人来源。 选项中的域名应与你正在使用的证书中的 CN 名称或 SAN 匹配。

   注意

   此域必须是属于你的组织的域，并且你必须将其添加到 Microsoft 365。 有关详细信息，请参阅 在 Microsoft 365 中添加域。

   例如，Contoso.com 属于你的组织，它是组织用来与 Microsoft 365 通信的证书中 CN 名称或 SAN 名称的一部分。 如果证书中的域包含多个域（如 mail1.contoso.com，mail2.contoso.com），我们建议连接器 UI 中的域为 *.contoso.com。

   注意

   使用混合配置向导配置其连接器的现有混合客户应检查其现有连接器，以确保它使用 *.contoso.com 而不是 mail.contoso.com 或 <hostname.contoso.com>。 这是因为 mail.contoso.com 和 <hostname.contoso.com> 可能不是 Microsoft 365 中的注册域。

   

   图表：将连接器设置为使用"contoso.com"格式（例如）

步骤 2：在 Microsoft 365 中注册域

要注册域，请按照以下 Office 文章中的步骤操作：

将用户和域添加到 Microsoft 365

在 Microsoft 365 管理中心中，单击“设置”，然后单击“域”，查看已注册的域列表。

第 3 步：配置本地环境

要配置本地环境，请执行以下步骤：

1. 如果贵组织使用 Exchange Server 作为其本地服务器，请将服务器配置为通过 TLS 发送邮件。 若要执行此操作，请参阅 设置电子邮件服务器以通过 Microsoft 365 将邮件中继到 Internet。

   注意

   如果你已经使用“混合配置向导”，则可以继续使用它。 但是，请确保使用的证书与本节的步骤 1 分步骤 5 中概述的条件相匹配。

2. 在本地环境中安装证书。 要执行此操作，请参见“步骤 6”：配置 SSL 证书。

参考

有关如何满足连接器设置要求的详细信息，请参阅重要连接器通知。

有关如何通过 Microsoft 365 中继邮件的详细信息，请参阅 Exchange Online 和 Microsoft 365 的邮件流最佳做法中的“设置邮件流，其中某些邮箱位于 Microsoft 365 中，某些邮箱位于组织的邮件服务器上”部分。

仍然需要帮助？ 转到 Microsoft 社区或 Exchange TechNet 论坛。