Параметры транспорта при гибридных развертываниях Exchange

В гибридных развертываниях почтовые ящики могут размещаться в локальной организации Exchange и в организации Exchange Online. Чтобы эти две разные организации выглядели для пользователей единой структурой и между ними происходил обмен сообщениями, очень важно обеспечить гибридную транспортировку. В гибридной транспортировке сообщения, отправляемые пользователями в обеих организациях, проходят проверку подлинности, шифруются и перемещаются с использованием протокола TLS. Они выглядят как внутренние сообщения для таких компонентов Exchange, как правила транспортировки, ведение журналов и политики блокировки нежелательной почты. Гибридная транспортировка настраивается автоматически с помощью мастера гибридной конфигурации.

Чтобы конфигурация гибридного транспорта была совместима с мастером гибридной конфигурации, конечная точка локального SMTP, которая принимает подключения от Exchange Online, должна быть сервером почтовых ящиков (Exchange 2016 или более поздней версии), сервером клиентского доступа (Exchange 2013), транспортным сервером-концентратором (Exchange 2010 или более ранней версии) или пограничным транспортным сервером (Exchange 2010 или более поздней версии).

Входящие сообщения, отправляемые получателям в обеих организациях от внешних отправителей в Интернете, следуют по единому входному маршруту. Исходящие сообщения от организаций для внешних получателей в Интернете могут проходить по общему выходному маршруту или отправляться независимыми маршрутами.

Во время настройки гибридного развертывания необходимо выбрать способ маршрутизации входящей и исходящей почты. Маршрут входящих и исходящих сообщений пользователей в локальной организации и в организации Exchange Online зависит от следующего.

• Хотите использовать маршрутизацию входящей почты из Интернета для локальных почтовых ящиков и почтовых ящиков Exchange Online через Exchange Online или локальную организацию?

  Маршрут для входящих сообщений для обеих организаций зависит от различных факторов, таких как расположение большинства почтовых ящиков, необходимость защиты локальной организации с помощью Microsoft 365 или проверки защиты от вредоносных программ и спама Office 365, настройка инфраструктуры соответствия требованиям и т. д.

• Следует ли маршрутизировать исходящую почту организации Exchange Online для внешних получателей через локальную организацию (централизованный транспорт почты) или напрямую в Интернет?

  С помощью централизованного почтового транспорта можно передавать все сообщения из почтовых ящиков организации Exchange Online через локальную организацию, прежде чем они будут доставлены в Интернет. Таким же образом входящие интернет-сообщения будут направляться в локальную организацию, прежде чем они будут доставлены любому получателю Exchange Online. Возможные сценарии подробно описаны в статье Маршрутизация транспорта в гибридных развертываниях Exchange. Такой подход удобен в основном в сценариях обеспечения соблюдения требований, где вся почта, адресованная в Интернет и поступающая из него, должна обрабатываться локальными серверами. Другой вариант - настроить Exchange Online на доставку сообщений внешним пользователям напрямую в Интернет.

  Примечание.

  Централизованный почтовый транспорт рекомендуется только для организаций с определенными требованиями к транспорту. Для типичных организаций Exchange не рекомендуется включать централизованный почтовый транспорт, так как это существенно повысит число сообщений, обрабатываемых вашими локальными серверами, увеличит использование пропускной способности и создаст нежелательную зависимость от локальных серверов.

• Будет ли разворачиваться в локальной организации пограничный транспортный сервер?

  Если вы не хотите предоставлять присоединенные к домену внутренние серверы Exchange напрямую в Интернете, можно развернуть пограничные транспортные серверы в сети периметра. Дополнительные сведения о добавлении пограничного транспортного сервера в гибридное развертывание см. в статье Пограничные транспортные серверы с гибридными развертываниями.

Независимо от способа маршрутизации сообщений в Интернет и из интернета все сообщения, отправляемые между локальными и Exchange Online организациями, отправляются с помощью безопасного транспорта. Дополнительные сведения см. в подразделе Trusted communication далее в этом разделе.

Дополнительные сведения о том, как эти параметры влияют на маршрутизацию сообщений в организации, см. раздел Маршрутизация транспорта при гибридных развертываниях Exchange.

Служба защиты Exchange Online Protection в гибридных развертываниях

EOP - это веб-служба Майкрософт, используемая многими компаниями для защиты локальных организаций от вирусов, нежелательной почты, фишинга и нарушений политик. В Microsoft 365 или Office 365 EOP используется для защиты Exchange Online организаций от одинаковых угроз. При регистрации в Microsoft 365 или Office 365 автоматически создается компания EOP, связанная с вашей Exchange Online организацией.

Компания EOP содержит несколько параметров транспорта почты, которые можно настроить для вашей Exchange Online организации. Можно указать, какие домены SMTP должны поступать от определенных IP-адресов, какие из них должны требовать сертификат TLS и SSL, обходить фильтры нежелательной почты или политики соответствия требованиям и т. д. EOP — это входная дверь в вашу Exchange Online организацию. Все сообщения, независимо от их происхождения, должны пройти через EOP, прежде чем они попадают в почтовые ящики в вашей Exchange Online организации. Кроме того, все сообщения, отправляемые из вашей Exchange Online организации, должны проходить через EOP, прежде чем они пойдут в Интернет.

При настройке гибридного развертывания с помощью мастера гибридной конфигурации все параметры транспортировки создаются автоматически в локальной организации и в компании EOP, созданной для организации Exchange Online. Мастер гибридной конфигурации настраивает все входящие и исходящие соединители и другие параметры в этой компании EOP, чтобы обеспечить защиту сообщений, передаваемых между локальной организацией и организацией Exchange Online, и направлять сообщения по правильным адресам. Если необходимо настроить пользовательские параметры транспортировки для организации Exchange Online, они также должны быть настроены в этой компании EOP.

Доверенное соединение

Чтобы защитить получателей в локальных организациях и организациях Exchange Online, а также предотвратить перехват и чтение сообщений, передаваемых между организациями, транспортировка между локальной организацией и EOP настроена на принудительное использование TLS. Безопасный почтовый транспорт использует сертификаты TLS или SSL, выдаваемые доверенным сторонним центром сертификации (ЦС). Сообщения между EOP и организацией Exchange Online также используют TLS.

При принудительном использовании транспорта TLS отправляющий и принимающий серверы проверяют сертификат, настроенный на другом сервере. Имя субъекта или одно из дополнительных имен субъекта (SAN), настроенное в сертификате, должно соответствовать FQDN, которое администратор явно задал на другом сервере. Например, если в EOP настроены прием и защита сообщений, отправляемых с полного доменного имени mail.contoso.com, то отправляющий локальный сервер клиентского доступа или пограничный транспортный сервер должны иметь сертификат SSL, в котором в качестве имени субъекта или имени SAN указано имя mail.contoso.com. Если данное требование не удовлетворяется, в соединении будет отказано службой EOP.

Помимо использования TLS, сообщения между организациями рассматриваются как внутренние. Такой подход позволяет сообщениям обходить параметры защиты от нежелательной почты и другие службы.

Дополнительные сведения о сертификатах SSL и безопасности доменов см. в Требования к сертификатам для гибридных развертываний и в разделе Общие сведения о сертификатах TLS.