Настройка соединителей для защиты потока обработки почты с партнерской организацией

Exchange Online
 

Применимо к:Exchange Online, Exchange Online Protection

Последнее изменение раздела:2016-12-09

Чтобы ограничить обмен почтой с партнерской организацией или поставщиком услуг с учетом требований безопасности, можно создать соединители. Партнером может быть организация, с которой вы сотрудничаете, например банк. Это также может сторонняя облачная служба, которая предоставляет такие услуги, как архивация, защита от нежелательной почты и фильтры.

Можно создать соединитель для обеспечения шифрования с помощью протокола TLS. Кроме того, вы можете применить другие ограничения для обеспечения безопасности, например, указать имена домена или диапазоны IP-адресов, с которых отправляет почту партнерская организация.

ПримечаниеПримечание.
Настраивать соединитель для обмена почтой с партнерской организацией необязательно. Поток почты между вами и партнерской организацией работает без соединителей.
Если вы используете стороннюю облачную службу для фильтрации электронной почты и вам нужны инструкции по работе с Office 365, см. раздел Использование сторонней облачной службы с Office 365.

По умолчанию Office 365 отправляет электронную почту с использованием шифрования TLS, если целевой сервер также поддерживает TLS. Если организация вашего партнера поддерживает TLS, вам нужно лишь создать соединитель, чтобы применить определенные ограничения для обеспечения безопасности. Например, чтобы протокол TLS применялся всегда, или чтобы всякий раз при отправке сообщения от партнера на сервер вашей организации выполнялась проверка сертификатов.

ПримечаниеПримечание.
Сведения о TLS см. в разделе Использование протокола TLS службой Exchange Online для защиты электронной почты в Office 365, а подробные технические сведения об использовании протокола TLS в Exchange Online с порядком комплектов шифров — в разделе Повышение безопасности потока обработки почты для Exchange Online.

При настройке соединителя сообщения электронной почты проверяются на соответствие указанным требованиям безопасности. В случае несоответствия сообщения отклоняются соединителем, и их доставка отменяется. Это позволяет настроить безопасный канал связи с партнерской организацией.

В зависимости от ваших требований вы можете настроить один или оба представленных ниже соединителя.

Также в этой статье:

Чтобы создать соединитель в Office 365, нажмите кнопку Администрирование, затем нажмите Exchange для перехода в Центр администрирования Exchange. Затем выберите пункт поток обработки почты и нажмите кнопку соединители. Если для вашей организации уже существуют соединители, они будут перечислены здесь.

Примеры

Перед настройкой нового соединителя просмотрите соединители для вашей организации, которые указаны в списке. Например, если у вас уже есть соединитель, настроенный для партнерской организации, вы увидите его в списке. Убедитесь, что не создаете несколько соединителей для одного и того же партнера. Иначе могут возникнуть ошибки, и почта останется недоставленной.

Щелкните знак +, чтобы запустить мастер. На первом экране выберите параметры, изображенные на снимке экрана ниже.

Параметры соединителя между Office 365 и партнерской организацией

Нажмите кнопку Далее и следуйте указаниям мастера. Если вам нужны дополнительные сведения, перейдите по ссылкам Справка или Подробнее. Мастер поможет вам выполнить настройку. В конце убедитесь, что соединитель выполняет проверку. Если соединитель не выполняет проверку, см. раздел Устранение ошибок при проверке соединителей, чтобы получить советы по устранению проблем.

Если вы хотите создать безопасный канал связи с партнерской организацией в обоих направлениях, настройте соединитель, который ограничивает поток обработки почты от партнерской организации к Office 365.

Вы можете настроить соединитель для применения ограничений безопасности к электронной почте, отправляемой вам партнерской организацией. Чтобы запустить мастер, нажмите знак плюса +. На первом экране выберите следующие параметры:

Соединитель между партнерской организацией и Office 365

Нажмите кнопку Далее и следуйте указаниям мастера. Если вам нужны дополнительные сведения, перейдите по ссылкам Справка или Подробнее. Мастер поможет вам выполнить настройку. В конце сохраните соединитель.

Попросите партнерскую организацию отправить вам тестовое сообщение электронной почты. Убедитесь, что соединитель используется для сообщения электронной почты, отправляемого партнерской организацией. Например, если вы указали ограничения безопасности для почты, отправляемой с определенного партнерского домена, убедитесь, что партнерская организация отправляет тестовое сообщение электронной почты с этого домена. Убедитесь, что тесовое сообщение электронной почты доставлено, чтобы подтвердить исправное функционировании соединителя.

Чтобы изменить параметры соединителя, выберите его и нажмите значок редактирования, как показано на следующем снимке экрана.

Показывает снимок экрана с выбранным соединителем и выделенным значком редактирования (значок "карандаш")

Откроется мастер соединителя, и вы сможете изменить его текущие параметры. При изменении параметров соединителя Office 365 продолжает использовать его текущие параметры для потока обработки почты. После сохранения изменений Office 365 начинает использовать новые параметры.

Ознакомьтесь с этими примерами соединителей, чтобы решить, требуется ли вам применять ограничения безопасности к электронной почте, отправляемой партнерской организацией, а также определить, какие параметры удовлетворяют потребностям вашей компании.

Для создания соединителя в Office 365 нажмите кнопку Администрирование, а затем нажмите кнопку Exchange для перехода в Центр администрирования Exchange. Затем последовательно выберите пункты поток обработки почты и соединители. Если для вашей организации уже существуют соединители, они будут перечислены здесь.

Чтобы запустить мастер, нажмите знак плюса +. Чтобы создать соединитель для электронной почты, получаемой от партнерской организации, используйте параметры, показанные на следующем снимке экрана:

Соединитель между партнерской организацией и Office 365

После выбора этого сценария потока обработки почты можно настроить соединитель, которые применит ограничения безопасности к сообщениям электронной почты, которые направляет вам партнерская организация. Возможно, вам придется обратиться к партнерской организации, чтобы получить сведения для настройки определенных параметров некоторых ограничений безопасности. Выберите примеры, наиболее соответствующие вашим потребностям, чтобы облегчить настройку партнерского соединителя.

ПримечаниеПримечание.
Сообщения электронной почты, отправленные вашей партнерской организацией, которые не соответствуют указанным вами ограничениям безопасности, не будут доставлены.

Для этого укажите имя домена партнерской организации, чтобы определять почту от этого партнера, и выберите шифрование TLS при создании соединителя Office 365 для партнера. При настройке используйте следующие параметры:
Выбор имени домена отправителя

Используйте этот экран, чтобы ввести одно или несколько доменных имен партнерской организации. Так соединитель сможет определить почту, отправленную вашим партнером:

Добавление доменного имени партнерской организации

Выберите этот параметр, чтобы требовать шифрование всех сообщений электронной почты от ContosoBank.com с использованием управления правами доступа к данным:

Выбор протокола TLS для шифрования электронной почты из партнерской организации

Если выбрать эти параметры, все сообщения электронной почты, отправленные с домена партнерской организации ContosoBank.com, должны быть зашифрованы по протоколу TLS. Все незашифрованные сообщения электронной почты будут отклоняться.

Для этого используйте все параметры из примера 1. Также добавьте доменное имя в сертификате, с помощью которого партнерская организация подключается к Office 365. При настройке используйте следующий параметр:

Ввод имени сертификата партнерской организации

При введении этих ограничений все сообщения электронной почты от партнерской организации должны быть зашифрованы по протоколу TLS и отправляться с сервера с указанным вами именем сертификата. Сообщения электронной почты, которые не удовлетворяют этим условиям, будут отклоняться.

Это сообщение может быть отправлено из партнерской организации, например ContosoBank.com, или из локальной среды. Допустим, запись MX для вашего домена, contoso.com, указывает на локальную среду, и вам нужно, чтобы все сообщения, отправленные на домен contoso.com, поступали только с локальных IP-адресов. Это помогает предотвращать спуфинг и гарантирует, что политики соответствия требованиям можно применять для всех сообщений.

Для этого укажите доменное имя партнерской организации, чтобы определять почту от этого партнера, а затем ограничьте список IP-адресов, от которых следует принимать почту. Использование IP-адреса делает работу соединителя более точной, поскольку он определяет один адрес или диапазон адресов, с которых партнерская организация отправляет почту. Введите домен партнера, как описано в примере 1, а затем используйте следующий параметр во время настройки:

Ввод диапазона IP-адресов партнерской организации

При установке этих ограничений, все сообщения электронной почты, отправленные с домена партнерской организации, ContosoBank.com, или из локальной среды, должны быть отправлены с указанного вами IP-адреса или диапазона адресов. Сообщения электронной почты, которые не удовлетворяют этим условиям, будут отклоняться.

Поток обработки почты от сторонней службы электронной почты к Office 365 работает без соединителя. Однако при таком сценарии вы можете использовать соединитель, чтобы ограничить доставку всех сообщений электронной почты для вашей организации. Если вы используете параметры, описанные в этом примере, он будут применяться ко всем сообщениям электронной почты, отправленным вашей организации. Если все сообщения электронной почты, отправленные вашей организации, приходят от одной сторонней службы электронной почты, вы можете дополнительно использовать соединитель, чтобы ограничить доставку всей почты. Доставляться будет только почта, отправленная с одного IP-адреса или диапазона IP-адресов.

ПримечаниеПримечание.
Обязательно определите весь диапазон IP-адресов, с которых сторонняя служба электронной почты отправляет почту. Если вы пропустите IP-адрес, или какой-либо адрес будет добавлен без вашего ведома, некоторые сообщения электронной почты не будут доставляться вашей организации.

Чтобы разрешить отправку почты для вашей организации с определенного IP-адреса или диапазона адресов, используйте следующие параметры при настройке:

Выбор имени домена отправителя

Ввод "*" для применения параметров ко всем доменам отправителя

Ввод диапазона IP-адресов партнерской организации

При установке этих ограничений отправка почты для вашей организации будет разрешена только с определенного диапазона IP-адресов. Вся почта из Интернета, отправленная не из этого диапазона IP-адресов, будет отклоняться.

Чтобы определить партнерскую организацию по IP-адресу, используйте следующие параметры при настройке:

Выбор IP-адреса для идентификации партнерской организации

Ввод IP-адреса партнерской организации

Добавьте требование шифрования TLS с помощью следующего параметра:

Выбор протокола TLS для шифрования электронной почты из партнерской организации

При установке этих ограничений вся почта от партнерской организации, отправленная с указанного вами IP-адреса или диапазона адресов, должна отправляться по протоколу TLS. Сообщения электронной почты, которые не удовлетворяют условиям этого ограничения, будут отклоняться.

 
Показ: