Сценарий работы с партнером с принудительным TLS
Применимо к: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange
Дата изменения раздела: 2011-10-20
Организации могут создать безопасный канал потока почты с доверенными партнерами. Для этого потребуется настроить маршрутизацию электронной почты с помощью соединителей Forefront Online Protection for Exchange (FOPE). Некоторые партнерские организации могут потребовать при передаче данных использовать протокол TLS или выполнять вход с помощью сертификата, проверенного сторонним поставщиком. С помощью соединителей FOPE можно настроить принудительную исходящую и входящую проверку подлинности TLS с помощью самозаверяющих сертификатов или сертификатов, проверенных центром сертификации. TLS — это криптографический протокол, обеспечивающий защищенную передачу данных через Интернет. Дополнительные сведения об использовании протокола TLS в службе FOPE см. в разделе Общее представление о протоколе TLS в FOPE.
В этом сценарии организация contoso.com создала безопасный канал маршрутизации электронной почты с организацией fabrikambank.com. Для размещения почтовых ящиков организация Contoso использует облачное решение Microsoft Exchange Online. Для обеспечения безопасного обмена электронной почтой с организацией Fabrikam Bank через службу FOPE используется шифрование TLS в обоих направлениях.
Совет: видео с описанием этого сценария и инструкциями по настройке соединителей FOPE см. на веб-странице Сценарий работы с партнером с принудительным TLS.
Двусторонний поток почты
На следующем рисунке показана архитектура системы партнерской организации с входящей или исходящей электронной почтой в облаке.
В этом сценарии поток электронной почты между организациями Contoso со службой Exchange Online и Fabrikam передается по безопасному каналу с принудительной проверкой подлинности TLS входящей и исходящей почты. Кроме того, вся электронная почта между двумя организациями проверяется с использованием сертификата ЦС.
Настройка партнерской организации
Чтобы настроить отношение с партнерской организацией, необходимо создать входящие и исходящие соединители FOPE.
Настройка входящего соединителя FOPE для партнерской организации
В центре администрирования службы FOPE последовательно откройте вкладки Администрирование и Организация.
В разделе Входящие соединители панели Соединители щелкните Добавить. Откроется диалоговое окно Добавление входящего соединителя.
На следующем рисунке показаны параметры входящего соединителя для сценария партнерской организации с принудительным TLS.
В поле Имя введите описательное имя для входящего соединителя.
В поле Описание введите дополнительное описание входящего соединителя.
В поле Домены отправителей введите имя домена организации, с которой необходимо установить безопасный канал, например fabrikambank.com.
В поле IP-адреса отправителей введите IP-адрес или IP-адреса партнерской организации. При указании IP-адресов необходимо использовать формат nnn.nnn.nnn.nnn, где nnn — число от 1 до 255. Также можно указать диапазоны CIDR в формате nnn.nnn.nnn.nnn/rr, где rr — число от 24 до 31. При указании нескольких IP-адресов в качестве разделителя необходимо использовать запятую. Несмотря на то, что здесь рекомендуется указать IP-адрес, вы можете оставить это поле пустым, если не знаете IP-адрес или адреса, связанные с доменом, либо если вы хотите создать многофункциональный соединитель.
Установите переключатель Добавить IP-адреса в список надежных отправителей и принимать почту только от этих IP-адресов для доменов, указанных выше. При выборе этого параметра электронная почта будет приниматься только от указанных IP-адресов отправителей. (Если вы не указали IP-адрес отправителя в предыдущем шаге, выберите Добавить эти IP-адреса в список надежных отправителей для доменов, указанных выше.)
В разделе Параметры соединителя для параметра Протокол TLS установите переключатель Принудительный TLS. При выборе этого параметра партнерские организации будут использовать подключение TLS при отправке электронной почты пользователям, размещенным в облаке. Если при подключении не используется протокол TLS, служба FOPE отклоняет сообщение электронной почты.
Дополнительные сведения об использовании протокола TLS в службе FOPE см. в разделе Общее представление о протоколе TLS в FOPE.
В разделе Параметры соединителя для параметра Фильтрация можно указать, требуется ли применять к электронной почте фильтры. Параметры фильтрации включены (применяются) по умолчанию.
Применить фильтрацию репутации IP-адресов — указывает, требуется ли применять фильтрацию репутации IP-адресов для входящих сообщений электронной почты. В этом сценарии данный параметр не используется.
Применить фильтрацию нежелательной почты — указывает, требуется ли применять фильтрацию нежелательной почты для входящих сообщений электронной почты.
Применить правила политики — указывает, требуется ли применять правила политики для входящих сообщений электронной почты.
Нажмите кнопку Сохранить.
Добавленный соединитель отображается в разделе Входящие соединители. Чтобы просмотреть параметры соединителя, разверните его. Чтобы изменить параметры конфигурации соединителя, щелкните Изменить.
Дополнительные сведения о том, как применить эту конфигурацию соединителя ко всей организации или некоторым доменам организации либо удалить этот соединитель, см. в разделе Включение и удаление связей соединителей FOPE.
Настройка исходящего соединителя FOPE для партнерской организации
В центре администрирования службы FOPE последовательно откройте вкладки Администрирование и Организация.
В разделе Исходящие соединители панели Соединители щелкните Добавить. Откроется диалоговое окно Добавление исходящего соединителя.
На следующем рисунке показаны параметры исходящего соединителя для сценария партнерской организации с принудительным TLS.
В поле Имя введите описательное имя для исходящего соединителя.
В поле Описание введите дополнительное описание исходящего соединителя.
В поле Домены получателей введите имя домена организации, с которой необходимо установить безопасный канал.
Установите флажок Доставить все сообщения по следующему назначению и затем укажите Полное доменное имя. В этом поле укажите полное доменное имя, на которое служба FOPE должна отправлять электронную почту (например, fabrikambank.com).
В разделе Настройки TLS можно выбрать один из нескольких параметров сертификата TLS:
Проверка по самозаверяющему сертификату — этот сертификат создается в организации и используется для шифрования канала.
Выдавший центр сертификации признан надежным корпорацией Майкрософт — удостоверяет, что сертификат получателя выдан авторизованным центром сертификации. Например, он удостоверяет, что срок действия сертификата не истек и сертификат является подлинным.
Сертификат получателя совпадает с доменом назначения — отличается от параметра Выдавший центр сертификации признан надежным корпорацией Майкрософт тем, что подтверждает соответствие дополнительного имени субъекта сертификата имени домена получателя.
Сертификат получателя соответствует — отличается от параметра Выдавший центр сертификации признан надежным корпорацией Майкрософт тем, что подтверждает соответствие дополнительного имени субъекта в сертификате введенному имени домена.
Нажмите кнопку Сохранить.
Добавленный соединитель отображается в разделе Исходящие соединители. Чтобы просмотреть параметры соединителя, разверните его. Чтобы изменить параметры конфигурации соединителя, щелкните Изменить.
Дополнительные сведения о том, как применить эту конфигурацию соединителя ко всей организации или некоторым доменам организации либо удалить этот соединитель, см. в разделе Включение и удаление связей соединителей FOPE.