Параметры транспорта при гибридном развертывании Exchange 2013 и Exchange 2010

В гибридных развертываниях почтовые ящики могут размещаться в локальной организации Exchange и в организации Exchange Online. Чтобы эти две разные организации выглядели для пользователей единой структурой и между ними происходил обмен сообщениями, очень важно обеспечить гибридную транспортировку. В случае гибридного транспорта сообщения, отправляемые пользователями в обеих организациях, проходят проверку подлинности, шифруются, передаются по протоколу TLS и рассматриваются как внутренние сообщения для таких компонентов Exchange, как правила транспорта, функция ведения журналов и политики блокировки нежелательной почты. Гибридный транспорт автоматически настраивается мастером гибридной конфигурации в Exchange 2013

Чтобы конфигурация гибридного транспорта была совместима с мастером гибридной конфигурации, конечная точка локального SMTP-адреса, которая принимает подключения от службы защиты Microsoft Exchange Online Protection (EOP), обрабатывающей транспорт организации Exchange Online, должна быть сервером клиентского доступа Exchange 2013, пограничным транспортным сервером Exchange 2013 или пограничным транспортным сервером Exchange Server 2010 с пакетом обновления 3 (SP3).

Входящие сообщения, отправляемые получателям в обеих организациях от внешних отправителей в Интернете, следуют по единому входному маршруту. Исходящие сообщения от организаций для внешних получателей в Интернете могут проходить по общему выходному маршруту или отправляться независимыми маршрутами.

Во время настройки гибридного развертывания необходимо выбрать способ маршрутизации входящей и исходящей почты. Маршрут входящих и исходящих сообщений пользователей в локальной организации и в организации Exchange Online зависит от следующего.

• Вы хотите маршрутизировать входящую интернет-почту для локальных и Exchange Online почтовых ящиков через Microsoft 365, Office 365 и EOP или через локальную организацию?

  Входящую почту в обе организации можно маршрутизировать через локальную организацию или через EOP и организацию Exchange Online. Маршрут входящих сообщений для обеих организаций зависит от того, включен ли централизованный транспорт почты в гибридном развертывании.

• Следует ли маршрутизировать исходящую почту организации Exchange Online для внешних получателей через локальную организацию (централизованный транспорт почты) или напрямую в Интернет?

  Централизованный транспорт почты позволяет маршрутизировать всю почту от почтовых ящиков в организации Exchange Online через локальную организацию, прежде чем она будет доставлена в Интернет. Такой подход удобен в основном в сценариях обеспечения соблюдения требований, где вся почта, адресованная в Интернет и поступающая из него, должна обрабатываться локальными серверами. Другой вариант - настроить Exchange Online на доставку сообщений внешним пользователям напрямую в Интернет.

  Примечание.

  Централизованный почтовый транспорт рекомендуется только для организаций с определенными требованиями к транспорту. Стандартным организациям Exchange централизованный почтовый транспорт не рекомендуется.

• Будет ли разворачиваться в локальной организации пограничный транспортный сервер?

  Если вы не хотите предоставлять присоединенные к домену внутренние серверы Exchange 2013 непосредственно в Интернете, можно развернуть пограничные транспортные серверы Exchange 2013 или пограничные транспортные серверы Exchange 2010 с пакетом обновления 3 (SP3) в сети периметра. Дополнительные сведения о добавлении пограничного транспортного сервера в гибридное развертывание см. в статье Пограничные транспортные серверы в гибридных развертываниях Exchange 2013 и Exchange 2010.

Независимо от способа маршрутизации сообщений в Интернет и из интернета все сообщения, отправляемые между локальными и Exchange Online организациями, отправляются с помощью безопасного транспорта. Дополнительные сведения см. в подразделе Trusted communication далее в этом разделе.

Дополнительные сведения о том, как эти параметры влияют на маршрутизацию сообщений в организации, см. раздел Маршрутизация транспорта в гибридных развертываниях Exchange 2013 и Exchange 2010.

Служба защиты Exchange Online Protection в гибридных развертываниях

EOP - это веб-служба Майкрософт, используемая многими компаниями для защиты локальных организаций от вирусов, нежелательной почты, фишинга и нарушений политик. В Microsoft 365 и Office 365 EOP используется для защиты Exchange Online организаций от одинаковых угроз. При регистрации в Microsoft 365 или Office 365 автоматически создается компания EOP, связанная с вашей Exchange Online организацией.

Компания EOP содержит несколько параметров транспорта почты, которые можно настроить для вашей Exchange Online организации. Можно указать, какие домены SMTP должны поступать от определенных IP-адресов, а также могут требовать сертификат TLS и SSL, обходить политики соответствия требованиям и т. д. EOP — это входная дверь в вашу Exchange Online организацию. Все сообщения, независимо от их происхождения, должны пройти через EOP, прежде чем они попадают в почтовые ящики в вашей Exchange Online организации. Кроме того, все сообщения, отправляемые из вашей Exchange Online организации, должны проходить через EOP, прежде чем они пойдут в Интернет.

При настройке гибридного развертывания с помощью мастера гибридной конфигурации все параметры транспортировки создаются автоматически в локальной организации и в компании EOP, созданной для организации Exchange Online. Мастер гибридной конфигурации настраивает все входящие и исходящие соединители и другие параметры в этой компании EOP, чтобы обеспечить защиту сообщений, передаваемых между локальной организацией и организацией Exchange Online, и направлять сообщения по правильным адресам. Если необходимо настроить пользовательские параметры транспортировки для организации Exchange Online, они также должны быть настроены в этой компании EOP.

Доверенное соединение

Чтобы обеспечить защиту получателей в локальных организациях и организациях Exchange Online, а также предотвратить перехват и чтение сообщений, передаваемых между организациями, транспортировка между локальной организацией и EOP настроена на принудительное использование TLS. Транспортировка TLS использует сертификаты SSL, выдаваемые доверенным сторонним центром сертификации (CA). Сообщения между EOP и организацией Exchange Online также используют TLS.

При принудительном использовании транспорта TLS отправляющий и принимающий серверы проверяют сертификат, настроенный на другом сервере. Имя субъекта или одно из дополнительных имен субъекта (SAN), настроенное в сертификате, должно соответствовать FQDN, которое администратор явно задал на другом сервере. Например, если в EOP настроены прием и защита сообщений, отправляемых с полного доменного имени mail.contoso.com, то отправляющий локальный сервер клиентского доступа или пограничный транспортный сервер должны иметь сертификат SSL, в котором в качестве имени субъекта или имени SAN указано имя mail.contoso.com. Если данное требование не удовлетворяется, в соединении будет отказано службой EOP.

Помимо использования TLS, сообщения между организациями рассматриваются как внутренние. Такой подход позволяет сообщениям обходить параметры защиты от нежелательной почты и другие службы.

Дополнительные сведения о сертификатах SSL и безопасности доменов см. в Требования к сертификатам для гибридных развертываний и в разделе Общие сведения о сертификатах TLS.