Управление потоком обработки почты (почтовые ящики в Office 365 и на локальном сервере)

Exchange Online
 

Последнее изменение раздела:2017-01-06

Сводка. Как управлять потоком обработки почты в гибридной среде Exchange, когда одни почтовые ящики — на локальных серверах, а другие — в Office 365.

В этой статье рассмотрены следующие сложные сценарии потока обработки почты с помощью Office 365:

Сценарий 1 Запись MX указывает на службу Office 365, которая фильтрует все сообщения.

Сценарий 2 Запись MX указывает на Office 365, а почта фильтруется на локальных серверах.

Сценарий 3 Запись MX указывает на локальные серверы.

Сценарий 4 Запись MX указывает на локальный сервер, который фильтрует электронную почту и обеспечивает ее соответствие требованиям. Локальный сервер должен пересылать сообщения в Интернет через Office 365.

ПримечаниеПримечание.
В этой статье используется фиктивная организация Contoso, которая владеет доменом contoso.com. IP-адрес почтового сервера Contoso: 131.107.21.231, IP-адрес стороннего поставщика компании: 10.10.10.1 . Это только примеры. При необходимости вы можете использовать их, подставляя доменное имя и общедоступный IP-адрес своей организации.

  • Я переношу почтовые ящики в Office 365 и хочу оставить некоторые из них на почтовом (локальном) сервере организации. Я хочу использовать Office 365 для фильтрации спама и отправки сообщений с локального сервера в Интернет. Office 365 отправляет и получает все сообщения.

Большинству пользователей, которым нужна гибридная схема потока обработки почты, следует разрешить фильтрацию и маршрутизацию электронной почты только через Office 365. В записи MX мы рекомендуем указать Office 365, так как это обеспечит наиболее эффективную фильтрацию спама. В этом сценарии поток обработки почты организации выглядит следующим образом:

Схема потока обработки почты, на которой представлен сценарий, где запись MX указывает на Office 365, а электронная почта из Интернета попадает в Office 365, а затем на локальные серверы. Движение почты из локальных серверов в Office 365, а затем в Интернет.

  1. Добавьте личные домены в Office 365 и подтвердите право собственности на них, следуя инструкциям в статье Проверка домена в Office 365.

  2. Создание почтовых ящиков пользователей в Exchange Online или перенесите все почтовые ящики пользователей в Office 365.

  3. Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как это сделать? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:

    • Запись MX. Для Office 365 запись MX указывается в следующем формате: <domainKey>-com.mail.protection.outlook.com

      Например, если ваш домен — contoso.com, запись MX будет выглядеть так: contoso-com.mail.protection.outlook.com.

    • Запись SPF. В ней должны быть указаны: Office 365 как допустимый отправитель, IP-адреса локальных серверов, которые подключаются к службе EOP, а также сторонние службы, отправляющие электронную почту от имени вашей организации. Например, если IP-адрес почтового сервера вашей организации для Интернета —131.107.21.231, запись SPF для домена contoso.com должна быть такой:

      v=spf1 ipv4: 131.107.21.231  include:spf.protection.outlook.com -all
      

      В зависимости от требований стороннего поставщика, может потребоваться включить сторонний домен, как показано в ниже:

      v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
      
  4. В Центре администрирования Exchange используйте мастер соединителей (как описано в статье Настройка потока обработки почты с помощью соединителей в Office 365) для следующих сценариев:

    • отправка сообщений из Office 365 на почтовые серверы организации;

    • отправка сообщений с локальных серверов в Office 365.

    Если какой-либо из приведенных ниже сценариев применим к вашей организации, то вам необходимо создать соединитель для отправки почты с локальных серверов в Office 365.

    • Ваша организация уполномочена отправлять сообщения от имени клиента, но ей не принадлежит его домен. Например, домен contoso.com уполномочен отправлять сообщения через домен fabrikam.com, который не принадлежит домену contoso.com.

    • Ваша организация передает отчеты о недоставке в Интернет через Office 365.

    Чтобы создать соединитель, выберите первый вариант в мастере создания соединителя на экране Как Office 365 следует определять почту с вашего почтового сервера?.

    Снимок экрана: окно создания соединителя в мастере гибридного подключения для Exchange

    Это позволяет Office 365 идентифицировать почтовый сервер с помощью сертификата. В этом сценарии CN или альтернативное имя субъекта (SAN) в сертификате содержит домен, принадлежащий организации. Дополнительные сведения см. в статье Определение сообщений, отправленных с почтового сервера организации. Подробные сведения о настройке соединителей см. в разделе Часть 2. Настройка потока почты с сервера электронной почты в Office 365.

  5. В приведенных ниже сценариях соединители не нужны, если у ваших партнеров нет особых требований, например требования использовать протокол TLS при соединении с банком.

    • Отправка почты из Office 365 в партнерскую организацию

    • Отправка почты из партнерской организации в Office 365

ПримечаниеПримечание.
Если на почтовом сервере вашей организации развернута служба Exchange 2013 или Exchange 2010, рекомендуем настроить соединители в Office 365 и на локальных серверах Exchange с помощью Мастер гибридной конфигурации. В этом сценарии запись MX домена не может указывать на почтовый сервер организации.

  • Я переношу почтовые ящики в Office 365 и хочу оставить некоторые из них на почтовом (локальном) сервере организации. Я хочу использовать уже существующие в локальной среде решения для фильтрации и обеспечения соответствия. Все сообщения, поступающие из Интернета в мои облачные почтовые ящики и наоборот, должны передаваться через локальные серверы.

Если вы фильтруете почту по корпоративным или нормативным соображениям, рекомендуем указать в записи MX домена Office 365 и включить централизованный почтовый транспорт. Это обеспечит оптимальную фильтрацию спама и защитит IP-адреса вашей организации. В этом сценарии схема потока обработки почты организации выглядит так:

Схема потока обработки почты, на которой представлен сценарий, где запись MX указывает на Office 365, а фильтрация происходит на локальных серверах. Почта из Интернета направляется в Office 365, поступает на серверы для проверки соответствия, а затем возвращается в Office 365.

  1. Добавьте личные домены в Office 365 и подтвердите право собственности на них, следуя инструкциям в статье Проверка домена в Office 365.

  2. Создание почтовых ящиков пользователей в Exchange Online или перенесите все почтовые ящики пользователей в Office 365.

  3. Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как это сделать? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:

    • Запись MX. Для Office 365 запись MX указывается в следующем формате: <domainKey>-com.mail.protection.outlook.com

      Например, если ваш домен — contoso.com, запись MX будет выглядеть так: contoso-com.mail.protection.outlook.com.

    • Запись SPF. В ней должны быть указаны: Office 365 как допустимый отправитель, IP-адреса локальных серверов, которые подключаются к службе EOP, а также сторонние службы, отправляющие электронную почту от имени вашей организации. Например, если IP-адрес почтового сервера вашей организации для Интернета —131.107.21.231, запись SPF для домена contoso.com должна быть такой:

      v=spf1 ipv4: 131.107.21.231  include:spf.protection.outlook.com -all
      
  4. Использование централизованного почтового транспорта (CMT) для локальных решений обеспечения соответствия.

    • Сообщения, поступающие из Интернета в почтовый ящик в Office 365, сначала отправляются на локальный сервер, затем обратно в Office 365 и только после этого доставляются в почтовый ящик. Строка 1 представляет этот путь на схеме сценария 2.

    • Сообщения, поступающие из Office 365 в Интернет, сначала отправляются на локальные серверы, затем обратно в Office 365 и только после этого попадают в Интернет. Строка 4 представляет этот путь на схеме сценария 2.

    • Чтобы получить эту конфигурацию, создайте соединители с помощью Мастер гибридной конфигурации или командлетов и включите централизованный почтовый транспорт. Дополнительные сведения о централизованном почтовом транспорте см. в статье Параметры транспорта при гибридных развертываниях Exchange.

В приведенных ниже сценариях соединители не нужны, если у ваших партнеров нет особых требований, например требования использовать протокол TLS при соединении с банком.

  • Отправка почты из Office 365 в партнерскую организацию

  • Отправка почты из партнерской организации в Office 365

  • Я переношу почтовые ящики в Office 365 и хочу оставить некоторые из них на почтовом (локальном) сервере организации. Я хочу использовать уже существующие в локальной почтовой среде решения для фильтрации и обеспечения соответствия. Все сообщения, поступающие из Интернета в мои облачные почтовые ящики и наоборот, должны передаваться через локальные серверы. Записи MX домена должны указывать на локальный сервер.

В качестве альтернативы сценарию 2 в записи MX домена можно указать почтовый сервер организации, а не Office 365. Такая настройка может подойти некоторым организациям по корпоративным или нормативным соображениям, но фильтрация обычно эффективнее при использовании сценария 2.

В этом сценарии схема потока обработки почты организации выглядит так:

Схема потока обработки почты при которой запись MX указывает на локальные серверы, а не на Office 365. Почта направляется из Интернета на серверы вашей организации, а затем — в Office 365. Почта из Office 365 направляется на локальные серверы, а затем — в Интернет

Если запись MX домена должна указывать на IP-адрес локального сервера, рекомендуется следующее:

  1. Добавьте личные домены в Office 365 и подтвердите право собственности на них, следуя инструкциям в статье Проверка домена в Office 365.

  2. Создание почтовых ящиков пользователей в Exchange Online или перенесите все почтовые ящики пользователей в Office 365.

  3. Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как это сделать? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:

    • Запись MX. Для Office 365 запись MX указывается в следующем формате: <domainKey>-com.mail.protection.outlook.com

      Например, если ваш домен — contoso.com, запись MX будет выглядеть так: contoso-com.mail.protection.outlook.com.

    • Запись SPF. В ней необходимо указать Office 365 в качестве допустимого отправителя. В ней также должны быть указаны IP-адреса локальных серверов, которые подключаются к службе EOP, а также сторонние службы, отправляющие электронную почту от имени вашей организации. Например, если IP-адрес почтового сервера вашей организации для Интернета —131.107.21.231, запись SPF для домена contoso.com должна быть такой:

      v=spf1 ipv4: 131.107.21.231  include:spf.protection.outlook.com -all
      
  4. Так как сообщения с локальных серверов не передаются в Интернет через Office 365, вам необязательно создавать соединители для приведенных ниже сценариев. Но если в тот или иной момент вы измените запись MX, чтобы она указывала на Office 365, то потребуется создать соединители, поэтому лучше сделать это заранее. В Центре администрирования Exchange используйте мастер соединителей, чтобы настроить поток почты с почтового сервера в Office 365 для приведенных ниже сценариев, или используйте Мастер гибридной конфигурации, чтобы создать соединители.

    • Отправка сообщений из Office 365 на почтовые серверы организации

    • Отправка сообщений из локальных серверов в Office 365

  5. Чтобы гарантировать, что сообщения отправляются на локальные серверы организации через MX, перейдите к разделу Пример ограничений безопасности, которые вы можете применить к электронной почте, отправляемой партнерской организацией и следуйте указаниям из подраздела "Пример 3. Требовать отправки всех сообщений электронной почты с домена организации партнера ContosoBank.com с определенного диапазона IP-адресов".

  • Я переношу почтовые ящики в Office 365 и хочу оставить некоторые из них на почтовом (локальном) сервере организации. Я хочу использовать уже существующие в локальной почтовой среде решения для фильтрации и обеспечения соответствия. Все сообщения, отправляемые из локальных серверов в Интернет, должны передаваться через Office 365. Записи MX домена должны указывать на локальный сервер.

В этом сценарии схема потока обработки почты организации выглядит так:

Схема потока обработки почты со стрелочками, на которой показано движение почты из Интернета на локальные серверы, а затем — в Office 365. На схеме также показано движение почты из локальных серверов через Office 365 в Интернет.

Если запись MX домена должна указывать на IP-адрес локального сервера, рекомендуется следующее:

  1. Добавьте личные домены в Office 365 и подтвердите право собственности на них, следуя инструкциям в статье Проверка домена в Office 365.

  2. Создание почтовых ящиков пользователей в Exchange Online или перенесите все почтовые ящики пользователей в Office 365.

  3. Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как это сделать? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:

    • Запись MX. Для локального сервера запись MX указывается в следующем формате: mail.<domainKey>.com

      Например, если ваш домен — contoso.com, запись MX будет выглядеть так: .mail.contoso.com.

    • Запись SPF. В ней необходимо указать Office 365 в качестве допустимого отправителя. В ней также должны быть указаны IP-адреса локальных серверов, которые подключаются к службе EOP, а также сторонние службы, отправляющие электронную почту от имени вашей организации. Например, если IP-адрес почтового сервера вашей организации для Интернета —131.107.21.231, запись SPF для домена contoso.com должна быть такой:

      v=spf1 ipv4: 131.107.21.231  include:spf.protection.outlook.com -all
      
  4. В Центре администрирования Exchange используйте мастер соединителей (как описано в статье Настройка потока обработки почты с помощью соединителей в Office 365) для следующих сценариев:

    • Отправка сообщений из Office 365 на почтовые серверы организации

    • Отправка сообщений из локальных серверов в Office 365

    Если какой-либо из приведенных ниже сценариев применим к вашей организации, то вам необходимо создать соединитель для отправки почты с локальных серверов в Office 365.

    • Ваша организация уполномочена отправлять электронную почту от имени клиента, но ей не принадлежит его домен. Например, домен contoso.com уполномочен отправлять сообщения через домен fabrikam.com, который не принадлежит домену contoso.com.

    • Ваша организация передает отчеты о недоставке в Интернет через Office 365.

    • Запись MX для вашего домена contoso.com указывает на локальный сервер, а пользователи в вашей организации автоматически пересылают сообщения на электронные адреса за пределами организации. Например, для пользователя anna@contoso.com включена пересылка, и все сообщения отправляются на адрес anna@tailspintoys.com. Если пользователь с адресом innocenty@fabrikam.com отправляет сообщение на адрес anna@contoso.com, на момент доставки сообщения в Office 365 в качестве домена отправителя будет указан домен fabrikam.com, а в качестве домена получателя — tailspin.com. Ни домен отправителя, ни домен получателя не принадлежат вашей организации.

    Чтобы создать соединитель, выберите первый вариант в мастере создания соединителя на экране Как Office 365 следует определять почту с вашего почтового сервера?.

    Снимок экрана: окно создания соединителя в мастере гибридного подключения для Exchange

    Это позволяет Office 365 идентифицировать ваш почтовый сервер с помощью сертификата. В этом сценарии CN или альтернативное имя субъекта (SAN) в сертификате содержит домен, принадлежащий организации. Дополнительные сведения см. в статье Определение сообщений, отправленных с почтового сервера организации. Подробные сведения о настройке соединителей см. в разделе Часть 2. Настройка потока почты с сервера электронной почты в Office 365.

  5. Настройка соединителей для защиты потока обработки почты с партнерской организацией позволяет гарантировать, что сообщения отправляются на локальные серверы организации через MX.

 
Показ: