Параметры транспорта при гибридных развертываниях Exchange

 

Применимо к:Exchange Server 2013, Exchange Server 2016

Последнее изменение раздела:2016-12-09

В гибридных развертываниях почтовые ящики могут размещаться в локальной организации Exchange и в организации Exchange Online. Чтобы эти две разные организации выглядели для пользователей единой структурой и между ними происходил обмен сообщениями, очень важно обеспечить гибридную транспортировку. В гибридной транспортировке сообщения, отправляемые пользователями в обеих организациях, проходят проверку подлинности, шифруются и перемещаются с использованием протокола TLS. Они выглядят как внутренние сообщения для таких компонентов Exchange, как правила транспортировки, ведение журналов и политики блокировки нежелательной почты. Гибридная транспортировка настраивается автоматически с помощью мастера гибридной конфигурации.

Чтобы конфигурация гибридного транспорта была совместима с мастером гибридной конфигурации, конечная точка локального SMTP, которая принимает подключения от Exchange Online, должна быть сервером почтовых ящиков (Exchange 2016 или более поздней версии), сервером клиентского доступа (Exchange 2013), транспортным сервером-концентратором (Exchange 2010 или более ранней версии) или пограничным транспортным сервером (Exchange 2010 или более поздней версии).

ВажноВажно!
Не размещайте между локальными серверами Exchange и Office 365 серверы, службы или устройства, которые обрабатывают или изменяют SMTP-трафик. Безопасность потока обработки почты между локальной организацией Exchange и Office 365 зависит от информации, которая содержится в отправляемых сообщениях. Поддерживаются брандмауэры, пропускающие SMTP-трафик через TCP-порт 25 без изменений. Когда сервер, служба или устройство обрабатывает сообщение, отправленное из организации Exchange в Office 365 или наоборот, эта информация удаляется. В этом случае сообщение больше не считается внутренним, и на него распространяются правила фильтрации нежелательной почты, транспорта и журнала, а также другие политики.

Входящие сообщения, отправляемые получателям в обеих организациях от внешних отправителей в Интернете, следуют по единому входному маршруту. Исходящие сообщения от организаций для внешних получателей в Интернете могут проходить по общему выходному маршруту или отправляться независимыми маршрутами.

Во время настройки гибридного развертывания необходимо выбрать способ маршрутизации входящей и исходящей почты. Маршрут входящих и исходящих сообщений пользователей в локальной организации и в организации Exchange Online зависит от следующего.

  • Хотите использовать маршрутизацию входящей почты из Интернета для локальных почтовых ящиков и почтовых ящиков Exchange Online через Exchange Online или локальную организацию?

    Маршрут входящих сообщений для обеих организаций зависит от различных факторов, например, от того, где расположено большинство почтовых ящиков, хотите ли вы защитить локальную организацию с помощью средств поиска вредоносных программ и спама в Office 365, где выполняется настройка инфраструктуры соответствия требованиям и т. д.

  • Следует ли маршрутизировать исходящую почту организации Exchange Online для внешних получателей через локальную организацию (централизованный транспорт почты) или напрямую в Интернет?

    С помощью централизованного почтового транспорта можно передавать все сообщения из почтовых ящиков организации Exchange Online через локальную организацию, прежде чем они будут доставлены в Интернет. Этот способ полезен в сценариях обеспечения соответствия, когда вся почта, поступающая из Интернета и обратно, должна обрабатываться на локальных серверах. Кроме того, можно настроить Exchange Online так, чтобы сообщения для внешних получателей доставлялись непосредственно в Интернет.

    ПримечаниеПримечание.
    Централизованный почтовый транспорт рекомендуется только для организаций с определенными требованиями к транспорту. Для типичных организаций Exchange не рекомендуется включать централизованный почтовый транспорт, так как это существенно повысит число сообщений, обрабатываемых вашими локальными серверами, увеличит использование пропускной способности и создаст нежелательную зависимость от локальных серверов.
  • Будет ли разворачиваться в локальной организации пограничный транспортный сервер?

    Если вы не хотите открывать подключенные к домену внутренние серверы Exchange непосредственно в Интернете, можно развернуть пограничные транспортные серверы в сети периметра. Дополнительные сведения о добавлении пограничного транспортного сервера в гибридное развертывание см. в статье Пограничные транспортные серверы в гибридных развертываниях.

Независимо от способа маршрутизации сообщений в Интернет и из Интернета, все сообщения между локальной организацией и организацией Exchange Online передаются с использованием безопасной транспортировки. Дополнительные сведения см. в подразделе Доверенное соединение далее в этом разделе.

Дополнительные сведения о том, как эти параметры влияют на маршрутизацию сообщений в организации, см. раздел Маршрутизация транспорта при гибридных развертываниях Exchange.

EOP — это веб-служба Майкрософт, используемая многими компаниями для защиты локальных организаций от вирусов, нежелательной почты, фишинга и нарушений политик. В Office 365 служба EOP используется для защиты организаций Exchange Online от этих же угроз. При регистрации в Office 365 автоматически создается компания EOP, сопоставленная организации Exchange Online.

Компания EOP содержит несколько параметров транспортировки почты, которые можно настроить для организации Exchange Online. Можно указать, какие домены SMTP должны поступать от определенных IP-адресов, какие из них должны требовать сертификат TLS и SSL, обходить фильтры нежелательной почты или политики соответствия требованиям и т. д. EOP — это вход в организацию Exchange Online. Все сообщения, независимо от их происхождения, должны проходить через EOP, прежде чем попасть в почтовые ящики в организации Exchange Online. А все сообщения, отправленные из организации Exchange Online, должны проходить через EOP, прежде чем попасть в Интернет.

При настройке гибридного развертывания с помощью мастера гибридной конфигурации все параметры транспортировки создаются автоматически в локальной организации и в компании EOP, созданной для организации Exchange Online. Мастер гибридной конфигурации настраивает все входящие и исходящие соединители и другие параметры в этой компании EOP, чтобы обеспечить защиту сообщений, передаваемых между локальной организацией и организацией Exchange Online, и направлять сообщения по правильным адресам. Если необходимо настроить пользовательские параметры транспортировки для организации Exchange Online, они также должны быть настроены в этой компании EOP.

Чтобы защитить получателей в локальных организациях и организациях Exchange Online, а также предотвратить перехват и чтение сообщений, передаваемых между организациями, транспортировка между локальной организацией и EOP настроена на принудительное использование TLS. Безопасный почтовый транспорт использует сертификаты TLS или SSL, выдаваемые доверенным сторонним центром сертификации (ЦС). Сообщения между EOP и организацией Exchange Online также используют TLS.

При принудительном использовании транспорта TLS отправляющий и принимающий серверы проверяют сертификат, настроенный на другом сервере. Имя субъекта или одно из дополнительных имен субъекта (SAN), настроенное в сертификате, должно соответствовать FQDN, которое администратор явно задал на другом сервере. Например, если в EOP настроены прием и защита сообщений, отправляемых с полного доменного имени mail.contoso.com, то отправляющий локальный сервер клиентского доступа или пограничный транспортный сервер должны иметь сертификат SSL, в котором в качестве имени субъекта или имени SAN указано имя mail.contoso.com. Если данное требование не удовлетворяется, в соединении будет отказано службой EOP.

ПримечаниеПримечание.
Используемое имя FQDN не обязано совпадать с именем домена электронной почты получателей. Единственное требование заключается в том, что имя FQDN в поле имени субъекта сертификата или имени SAN должно совпадать с именем FQDN, на прием которого настроены принимающий или отправляющий серверы.

Помимо использования TLS, сообщения между организациями рассматриваются как внутренние. Такой подход позволяет сообщениям обходить параметры защиты от нежелательной почты и другие службы.

Дополнительные сведения о сертификатах SSL и безопасности доменов см. в Требования к сертификатам для гибридных развертываний и в разделе Общие сведения о сертификатах TLS.

 
Показ: