Сценарий работы с партнером с принудительным TLS

  • Статья

 

Применимо к: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Дата изменения раздела: 2011-10-20

Организации могут создать безопасный канал потока почты с доверенными партнерами. Для этого потребуется настроить маршрутизацию электронной почты с помощью соединителей Forefront Online Protection for Exchange (FOPE). Некоторые партнерские организации могут потребовать при передаче данных использовать протокол TLS или выполнять вход с помощью сертификата, проверенного сторонним поставщиком. С помощью соединителей FOPE можно настроить принудительную исходящую и входящую проверку подлинности TLS с помощью самозаверяющих сертификатов или сертификатов, проверенных центром сертификации. TLS — это криптографический протокол, обеспечивающий защищенную передачу данных через Интернет. Дополнительные сведения об использовании протокола TLS в службе FOPE см. в разделе Общее представление о протоколе TLS в FOPE.

В этом сценарии организация contoso.com создала безопасный канал маршрутизации электронной почты с организацией fabrikambank.com. Для размещения почтовых ящиков организация Contoso использует облачное решение Microsoft Exchange Online. Для обеспечения безопасного обмена электронной почтой с организацией Fabrikam Bank через службу FOPE используется шифрование TLS в обоих направлениях.

Совет: видео с описанием этого сценария и инструкциями по настройке соединителей FOPE см. на веб-странице Сценарий работы с партнером с принудительным TLS.

Двусторонний поток почты

На следующем рисунке показана архитектура системы партнерской организации с входящей или исходящей электронной почтой в облаке.

Сценарий поднадзорного делового партнера

В этом сценарии поток электронной почты между организациями Contoso со службой Exchange Online и Fabrikam передается по безопасному каналу с принудительной проверкой подлинности TLS входящей и исходящей почты. Кроме того, вся электронная почта между двумя организациями проверяется с использованием сертификата ЦС.

Настройка партнерской организации

Чтобы настроить отношение с партнерской организацией, необходимо создать входящие и исходящие соединители FOPE.

Настройка входящего соединителя FOPE для партнерской организации

  1. В центре администрирования службы FOPE последовательно откройте вкладки Администрирование и Организация.

  2. В разделе Входящие соединители панели Соединители щелкните Добавить. Откроется диалоговое окно Добавление входящего соединителя.

    На следующем рисунке показаны параметры входящего соединителя для сценария партнерской организации с принудительным TLS.

    Внутренний соединитель поднадзорного партнера

  3. В поле Имя введите описательное имя для входящего соединителя.

  4. В поле Описание введите дополнительное описание входящего соединителя.

  5. В поле Домены отправителей введите имя домена организации, с которой необходимо установить безопасный канал, например fabrikambank.com.

  6. В поле IP-адреса отправителей введите IP-адрес или IP-адреса партнерской организации. При указании IP-адресов необходимо использовать формат nnn.nnn.nnn.nnn, где nnn — число от 1 до 255. Также можно указать диапазоны CIDR в формате nnn.nnn.nnn.nnn/rr, где rr — число от 24 до 31. При указании нескольких IP-адресов в качестве разделителя необходимо использовать запятую. Несмотря на то, что здесь рекомендуется указать IP-адрес, вы можете оставить это поле пустым, если не знаете IP-адрес или адреса, связанные с доменом, либо если вы хотите создать многофункциональный соединитель.

  7. Установите переключатель Добавить IP-адреса в список надежных отправителей и принимать почту только от этих IP-адресов для доменов, указанных выше. При выборе этого параметра электронная почта будет приниматься только от указанных IP-адресов отправителей. (Если вы не указали IP-адрес отправителя в предыдущем шаге, выберите Добавить эти IP-адреса в список надежных отправителей для доменов, указанных выше.)

  8. В разделе Параметры соединителя для параметра Протокол TLS установите переключатель Принудительный TLS. При выборе этого параметра партнерские организации будут использовать подключение TLS при отправке электронной почты пользователям, размещенным в облаке. Если при подключении не используется протокол TLS, служба FOPE отклоняет сообщение электронной почты.

    Дополнительные сведения об использовании протокола TLS в службе FOPE см. в разделе Общее представление о протоколе TLS в FOPE.

  9. В разделе Параметры соединителя для параметра Фильтрация можно указать, требуется ли применять к электронной почте фильтры. Параметры фильтрации включены (применяются) по умолчанию.

    Применить фильтрацию репутации IP-адресов — указывает, требуется ли применять фильтрацию репутации IP-адресов для входящих сообщений электронной почты. В этом сценарии данный параметр не используется.

    Применить фильтрацию нежелательной почты — указывает, требуется ли применять фильтрацию нежелательной почты для входящих сообщений электронной почты.

    Применить правила политики — указывает, требуется ли применять правила политики для входящих сообщений электронной почты.

  10. Нажмите кнопку Сохранить.

Добавленный соединитель отображается в разделе Входящие соединители. Чтобы просмотреть параметры соединителя, разверните его. Чтобы изменить параметры конфигурации соединителя, щелкните Изменить.

Дополнительные сведения о том, как применить эту конфигурацию соединителя ко всей организации или некоторым доменам организации либо удалить этот соединитель, см. в разделе Включение и удаление связей соединителей FOPE.

Настройка исходящего соединителя FOPE для партнерской организации

  1. В центре администрирования службы FOPE последовательно откройте вкладки Администрирование и Организация.

  2. В разделе Исходящие соединители панели Соединители щелкните Добавить. Откроется диалоговое окно Добавление исходящего соединителя.

    На следующем рисунке показаны параметры исходящего соединителя для сценария партнерской организации с принудительным TLS.

    Внешний соединитель поднадзорного партнера

  3. В поле Имя введите описательное имя для исходящего соединителя.

  4. В поле Описание введите дополнительное описание исходящего соединителя.

  5. В поле Домены получателей введите имя домена организации, с которой необходимо установить безопасный канал.

  6. Установите флажок Доставить все сообщения по следующему назначению и затем укажите Полное доменное имя. В этом поле укажите полное доменное имя, на которое служба FOPE должна отправлять электронную почту (например, fabrikambank.com).

  7. В разделе Настройки TLS можно выбрать один из нескольких параметров сертификата TLS:

    • Проверка по самозаверяющему сертификату — этот сертификат создается в организации и используется для шифрования канала.

    • Выдавший центр сертификации признан надежным корпорацией Майкрософт — удостоверяет, что сертификат получателя выдан авторизованным центром сертификации. Например, он удостоверяет, что срок действия сертификата не истек и сертификат является подлинным.

    • Сертификат получателя совпадает с доменом назначения — отличается от параметра Выдавший центр сертификации признан надежным корпорацией Майкрософт тем, что подтверждает соответствие дополнительного имени субъекта сертификата имени домена получателя.

    • Сертификат получателя соответствует — отличается от параметра Выдавший центр сертификации признан надежным корпорацией Майкрософт тем, что подтверждает соответствие дополнительного имени субъекта в сертификате введенному имени домена.

  8. Нажмите кнопку Сохранить.

Добавленный соединитель отображается в разделе Исходящие соединители. Чтобы просмотреть параметры соединителя, разверните его. Чтобы изменить параметры конфигурации соединителя, щелкните Изменить.

Дополнительные сведения о том, как применить эту конфигурацию соединителя ко всей организации или некоторым доменам организации либо удалить этот соединитель, см. в разделе Включение и удаление связей соединителей FOPE.