Administrar el flujo de correo con buzones en varias ubicaciones (Exchange Online y Exchange local)
Resumen: cómo administrar el flujo de correo en un entorno híbrido de Exchange, que es cuando algunos buzones son locales y otros están en Microsoft 365 o Office 365.
En este tema se tratan los siguientes escenarios complejos de flujo de correo mediante Microsoft 365 o Office 365:
Escenario 2: El registro MX apunta a Microsoft 365 o Office 365 y el correo se filtra de forma local
Nota:
Los ejemplos de esta guía usan la organización ficticia denominada Contoso, que posee el dominiocontoso.com. La dirección IP del servidor de correo electrónico de Contoso es 131.107.21.231 y su proveedor de terceros usa 10.10.10.1 para su dirección IP. Se trata únicamente de ejemplos. Puede adaptarlos para que se ajusten al nombre de dominio y la dirección IP de acceso público de su organización, en caso de que sea necesario.
Administrar el flujo de correo donde algunos buzones están en Microsoft 365 o Office 365 y algunos buzones están en los servidores de correo electrónico de la organización
Escenario 1: el registro MX apunta a Microsoft 365 o Office 365 y Microsoft 365 o Office 365 filtra todos los mensajes
- Voy a migrar mis buzones a Exchange Online y quiero mantener algunos buzones en el servidor de correo electrónico de mi organización (servidor local). Quiero usar Microsoft 365 o Office 365 como mi solución de filtrado de correo no deseado y quiero enviar mis mensajes desde mi servidor local a Internet mediante Microsoft 365 o Office 365. Microsoft 365 o Office 365 envía y recibe todos los mensajes.
La mayoría de los clientes que necesitan una configuración de flujo de correo híbrido deben permitir que Microsoft 365 o Office 365 realicen todo su filtrado y enrutamiento. Se recomienda que apunte el registro MX a Microsoft 365 o Office 365 porque esta configuración proporciona el filtrado de correo no deseado más preciso. En este escenario, la configuración de flujo de correo de su organización es similar al diagrama siguiente.
Procedimientos recomendados
Agregue los dominios personalizados en Microsoft 365 o Office 365. Para demostrar que posee los dominios, siga las instrucciones de Agregar un dominio a Microsoft 365.
Cree buzones de usuario en Exchange Online o mueva todos los buzones de correo de todos los usuarios a Microsoft 365 o Office 365.
Actualice los registros DNS de los dominios que agregó en el paso 1. (¿No está seguro de cómo realizar esta tarea? Siga las instrucciones de esta página). Los siguientes registros DNS controlan el flujo de correo:
Registro MX: apunte el registro MX a Microsoft 365 o Office 365 en el formato siguiente: <domainKey-com.mail.protection.outlook.com>
Por ejemplo, si su dominio es contoso.com, el registro MX debe ser: contoso-com.mail.protection.outlook.com.
Registro SPF: este registro debe enumerar Microsoft 365 o Office 365 como remitente válido; las direcciones IP de los servidores locales que se conectan a EOP y cualquier tercero que envíe correo electrónico en nombre de su organización. Por ejemplo, si la dirección IP accesible desde Internet del servidor de correo electrónico de su organización es131.107.21.231, el registro SPF para contoso.com debe ser:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -allComo alternativa, en función de los requisitos de terceros, es posible que tenga que incluir el dominio de terceros, como se muestra en el ejemplo siguiente:
v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
En el Centro de administración de Exchange (EAC), use el Asistente para conectores para configurar el flujo de correo mediante conectores de Microsoft 365 o Office 365 para los escenarios siguientes:
Envío de mensajes desde Microsoft 365 o Office 365 a los servidores de correo electrónico de la organización
Envío de mensajes desde los servidores locales a Microsoft 365 o Office 365
Si cualquiera de los siguientes escenarios se aplica a su organización, debe crear un conector para admitir el envío de correo desde los servidores locales a Microsoft 365 o Office 365.
Su organización está autorizada a enviar mensajes en nombre de su cliente, pero no es la propietaria del dominio. Por ejemplo, contoso.com está autorizado a enviar correo electrónico a través de fabrikam.com, que no pertenece a contoso.com.
Su organización retransmite los informes de no entrega (también conocidos como NDR o mensajes de rebote) a Internet a través de Microsoft 365 o Office 365.
Para crear el conector, elija la primera opción en el Asistente para la creación del conector en la pantalla ¿Cómo debe Office 365 identificar el correo electrónico para el servidor de correo electrónico, como se muestra en las dos capturas de pantalla siguientes, para New EAC y Classic EAC, respectivamente.
Esta configuración permite a Microsoft 365 o Office 365 identificar el servidor de correo electrónico mediante el certificado. En este caso, el CN o el nombre alternativo del firmante (SAN) del certificado contiene el dominio que pertenece a su organización. Para obtener más información, consulte Identifying email from your email server. Para obtener detalles sobre la configuración del conector, consulte Parte 2: Configurar el correo para que fluya desde el servidor de correo electrónico a Microsoft 365 o Office 365.
No necesita conectores en los siguientes escenarios, a menos que alguno de sus asociados tenga un requisito especial, como la aplicación de TLS con una entidad bancaria.
Envío de correo desde Microsoft 365 o Office 365 a una organización asociada
Envío de correo desde una organización asociada a Microsoft 365 o Office 365
Nota:
Si la organización usa Exchange 2010 o una versión posterior, se recomienda usar el Asistente para configuración híbrida para configurar conectores en Microsoft 365 o Office 365, así como en los servidores de Exchange locales. En este escenario, el registro MX del dominio no puede apuntar al servidor de correo electrónico de la organización.
Escenario 2: El registro MX apunta a Microsoft 365 o Office 365 y el correo se filtra de forma local
- Voy a migrar mis buzones a Exchange Online y quiero mantener algunos buzones en el servidor de correo electrónico de mi organización (servidor local). Quiero usar las soluciones de filtrado y cumplimiento que ya están en mi entorno local. Todos los mensajes que proceden de Internet a mis buzones de correo en la nube, o mensajes enviados a Internet desde mis buzones de correo en la nube, deben enrutarse a través de mis servidores locales.
Si tiene motivos empresariales o normativos para filtrar el correo en el entorno local, se recomienda señalar el registro MX de su dominio a Microsoft 365 o Office 365 y habilitar el transporte de correo centralizado. Esta configuración proporciona un filtrado óptimo de correo no deseado y protege las direcciones IP de su organización. En este escenario, la configuración de flujo de correo de su organización es similar al diagrama siguiente.
Procedimientos recomendados
Agregue los dominios personalizados en Microsoft 365 o Office 365. Para demostrar que posee los dominios, siga las instrucciones de Agregar un dominio a Microsoft 365.
Cree buzones de usuario en Exchange Online o mueva todos los buzones de correo de todos los usuarios a Microsoft 365 o Office 365.
Actualice los registros DNS de los dominios que agregó en el paso 1. (¿No está seguro de cómo realizar esta tarea? Siga las instrucciones de esta página). Los siguientes registros DNS controlan el flujo de correo:
- Registro MX: apunte el registro MX a Microsoft 365 o Office 365 en el formato siguiente: <domainKey-com.mail.protection.outlook.com>
Por ejemplo, si su dominio es contoso.com, el registro MX debe ser: contoso-com.mail.protection.outlook.com.
Registro SPF: este registro debe enumerar Microsoft 365 o Office 365 como remitente válido, además de las direcciones IP de los servidores locales que se conectan a EOP y cualquier tercero que envíe correo electrónico en nombre de su organización. Por ejemplo, si la dirección IP accesible desde Internet del servidor de correo electrónico de su organización es 131.107.21.231, el registro SPF para contoso.com debe ser:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
Use el transporte de correo centralizado (CMT) para soluciones de cumplimiento locales.
El correo que procede de Internet a un buzón de Exchange Online primero se envía al servidor local y, a continuación, vuelve a Exchange Online para entregarse en el buzón. La línea 1 representa esta ruta en el diagrama del escenario 2.
El correo que procede de Exchange Online y está destinado a Internet se envía primero a los servidores locales, luego vuelve a Exchange Online y, a continuación, se entrega a Internet. La línea 4 representa esta ruta en el diagrama del escenario 2.
Para lograr esta configuración, cree conectores a través del Hybrid Configuration Wizard o de cmdlets y habilite CMT. Para obtener más información sobre CMT, consulte Opciones de transporte en implementaciones híbridas de Exchange.
No necesita conectores en los siguientes escenarios, a menos que alguno de sus asociados tenga un requisito especial, como la aplicación de TLS con una entidad bancaria.
Envío de correo desde Microsoft 365 o Office 365 a una organización asociada
Envío de correo desde una organización asociada a Microsoft 365 o Office 365
Escenario 3: El registro MX apunta a mis servidores locales
- Voy a migrar mis buzones a Exchange Online y quiero mantener algunos buzones en el servidor de correo electrónico de mi organización (servidor local). Quiero usar las soluciones de filtrado y cumplimiento que ya están en mi entorno de correo electrónico local. Todos los mensajes que proceden de Internet a mis buzones de correo en la nube, o mensajes enviados a Internet desde buzones de correo en la nube, deben enrutarse a través de mis servidores locales. Además, tengo que apuntar el registro MX de mi dominio a mi servidor local.
Como alternativa al escenario 2, puede apuntar el registro MX de su dominio al servidor de correo electrónico de su organización en lugar de a Microsoft 365 o Office 365. Algunas organizaciones usan esta configuración debido a una necesidad normativa o empresarial, pero el filtrado suele funcionar mejor si se usa el escenario 2.
En este escenario, la configuración de flujo de correo de su organización es similar al diagrama siguiente.
Procedimientos recomendados
Si el registro MX de su dominio debe apuntar a su dirección IP local, tenga en cuenta los siguientes procedimientos recomendados:
Agregue los dominios personalizados en Microsoft 365 o Office 365. Para demostrar que posee los dominios, siga las instrucciones de Agregar un dominio a Microsoft 365.
Cree buzones de usuario en Exchange Online o mueva todos los buzones de correo de todos los usuarios a Microsoft 365 o Office 365.
Actualice los registros DNS de los dominios que agregó en el paso 1. (¿No está seguro de cómo realizar esta tarea? Siga las instrucciones de esta página). Los siguientes registros DNS controlan el flujo de correo:
Registro SPF: este registro debe mostrar Microsoft 365 o Office 365 como remitente válido. Además, debe incluir todas las direcciones IP de los servidores locales que se conectan a EOP y los terceros que envían correo electrónico en nombre de su organización. Por ejemplo, si la dirección IP accesible desde Internet del servidor de correo electrónico de su organización es131.107.21.231, el registro SPF para contoso.com debe ser:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
Dado que no retransmite mensajes desde los servidores locales a Internet a través de Microsoft 365 o Office 365, técnicamente no es necesario crear conectores para los escenarios siguientes. Pero si en algún momento cambia el registro MX para que apunte a Microsoft 365 o Office 365, tendrá que crear conectores; por lo tanto, es mejor hacerlo por adelantado. En el Centro de administración de Exchange, use el Asistente para conectores en la parte 2: Configurar el correo para que fluya desde el servidor de correo electrónico a Microsoft 365 o Office 365 para los escenarios siguientes, o bien use el Asistente para configuración híbrida para crear conectores:
Envío de correo desde Microsoft 365 o Office 365 a los servidores de correo electrónico de la organización
Enviar correo desde los servidores locales a Microsoft 365 o Office 365
Para asegurarse de que los mensajes se envían a los servidores locales de su organización a través de MX, vaya a Restricciones de seguridad de ejemplo que puede aplicar a correo electrónico enviado desde una organización asociada y siga el "Ejemplo 3: requerir que todo correo electrónico desde el dominio ContosoBank.com de la organización asociada se envíe desde un intervalo específico de direcciones IP".
Escenario 4: el registro MX apunta a mi servidor local, que filtra y proporciona soluciones de cumplimiento para los mensajes. El servidor local debe retransmitir mensajes a Internet a través de Microsoft 365 o Office 365.
- Voy a migrar mis buzones a Exchange Online y quiero mantener algunos buzones en el servidor de correo electrónico de mi organización (servidor local). Quiero usar las soluciones de filtrado y cumplimiento que ya están en mi entorno de correo electrónico local. Todos los mensajes enviados desde mis servidores locales deben retransmitirse a través de Microsoft 365 o Office 365 a Internet. Además, tengo que apuntar el registro MX de mi dominio a mi servidor local.
En este escenario, la configuración de flujo de correo de su organización es similar al diagrama siguiente.
Procedimientos recomendados
Si el registro MX de su dominio debe apuntar a su dirección IP local, tenga en cuenta los siguientes procedimientos recomendados:
Agregue los dominios personalizados en Microsoft 365 o Office 365. Para demostrar que posee los dominios, siga las instrucciones de Agregar un dominio a Microsoft 365.
Cree buzones de usuario en Exchange Online o mueva todos los buzones de correo de todos los usuarios a Microsoft 365 o Office 365.
Actualice los registros DNS de los dominios que agregó en el paso 1. (¿No está seguro de cómo realizar esta tarea? Siga las instrucciones de esta página). Los siguientes registros DNS controlan el flujo de correo:
Registro MX: apunte el registro MX al servidor local con el siguiente formato: correo.< domainKey.com>
Por ejemplo, si su dominio es contoso.com, el registro MX debe ser: .mail.contoso.com.
Registro SPF: este registro debe mostrar Microsoft 365 o Office 365 como remitente válido. Además, debe incluir todas las direcciones IP de los servidores locales que se conectan a EOP y los terceros que envían correo electrónico en nombre de su organización. Por ejemplo, si la dirección IP accesible desde Internet del servidor de correo electrónico de su organización es 131.107.21.231, el registro SPF para contoso.com debe ser:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
En el EAC, use el Asistente para conectores para configurar el flujo de correo mediante conectores en Microsoft 365 o Office 365 para los siguientes escenarios:
Envío de correo desde Microsoft 365 o Office 365 a los servidores de correo electrónico de la organización
Enviar correo desde los servidores locales a Microsoft 365 o Office 365
Cree un conector para admitir el escenario "Envío de correo desde los servidores locales a Microsoft 365 o Office 365" si alguno de los siguientes escenarios se aplica a su organización:
Su organización está autorizada a enviar correo en nombre de su cliente, pero no es la propietaria del dominio. Por ejemplo, contoso.com está autorizado a enviar correo electrónico a través de fabrikam.com, que no pertenece a contoso.com.
Su organización retransmite informes de no entrega (NDR) a Internet a través de Microsoft 365 o Office 365.
El registro MX de su dominio, contoso.com, apunta a su servidor local, y los usuarios de su organización reenvían automáticamente los mensajes a direcciones de correo electrónico fuera de la organización. Por ejemplo, kate@contoso.com tiene habilitado el reenvío y todos los mensajes van a kate@tailspintoys.com. Si john@fabrikam.com envía un mensaje a kate@contoso.com, en el momento en que el mensaje llega a Microsoft 365 o Office 365, el dominio del remitente se fabrikam.com y el dominio del destinatario se tailspin.com. El dominio remitente y el dominio de destinatario no pertenecen a su organización.
Para crear el conector, elija la primera opción en el Asistente para la creación del conector en la pantalla ¿Cómo debe Microsoft 365 o Office 365 identificar el correo electrónico para el servidor de correo electrónico, como se muestra en las dos capturas de pantalla siguientes, para New EAC y Classic EAC, respectivamente.
Esta opción permite a Microsoft 365 o Office 365 identificar el servidor de correo electrónico mediante el certificado. En este caso, el CN o el nombre alternativo del firmante (SAN) del certificado contiene el dominio que pertenece a su organización. Para obtener más información, consulte Identifying email from your email server. Para obtener detalles sobre la configuración del conector, consulte Parte 2: Configurar el correo para que fluya desde el servidor de correo electrónico a Microsoft 365 o Office 365.
- Configurar conectores para flujo de correo seguro con una organización asociada para asegurarse de que los mensajes se envían a servidores locales de su organización a través de MX.
Vea también
Administrar todos los buzones y el flujo de correo mediante Microsoft 365 o Office 365
Solución de problemas del flujo de correo de Office Microsoft 365 o 365
Pruebe el flujo de correo mediante la validación de los conectores de Microsoft 365 o Office 365