Управление потоком обработки почты с помощью почтовых ящиков в нескольких расположениях (Exchange Online и локальной среде Exchange)

Сводка. Управление потоком обработки почты в гибридной среде Exchange, когда некоторые почтовые ящики находятся в локальной среде, а некоторые находятся в Microsoft 365 или Office 365.

В этом разделе рассматриваются следующие сложные сценарии потока обработки почты с использованием Microsoft 365 или Office 365:

• Сценарий 1. Запись MX указывает на Microsoft 365 или Office 365, а Microsoft 365 или Office 365 фильтрует все сообщения

• Сценарий 2. Запись MX указывает на Microsoft 365 или Office 365, а почта фильтруется локально

• Сценарий 3. Запись MX указывает на локальные серверы

• Сценарий 4. Запись MX указывает на локальный сервер, который фильтрует и предоставляет решения для соответствия вашим сообщениям. Локальный сервер должен ретранслировать сообщения в Интернет через Microsoft 365 или Office 365.

Управление потоком почты, когда некоторые почтовые ящики находятся в Microsoft 365 или Office 365, а некоторые почтовые ящики находятся на почтовых серверах вашей организации

Сценарий 1. Запись MX указывает на Microsoft 365 или Office 365, а Microsoft 365 или Office 365 фильтрует все сообщения

• Я переносю почтовые ящики в Exchange Online, и я хочу сохранить некоторые почтовые ящики на почтовом сервере моей организации (локальном сервере). Я хочу использовать Microsoft 365 или Office 365 в качестве решения для фильтрации спама и отправлять сообщения с локального сервера в Интернет с помощью Microsoft 365 или Office 365. Microsoft 365 или Office 365 отправляет и получает все сообщения.

Большинству клиентов, которым требуется настройка гибридного потока обработки почты, следует разрешить Microsoft 365 или Office 365 выполнять фильтрацию и маршрутизацию. Рекомендуется указать запись MX на Microsoft 365 или Office 365, так как этот параметр обеспечивает наиболее точную фильтрацию спама. В этом сценарии схема потока обработки почты организации выглядит так:

Лучшие методики

1. Добавьте личные домены в Microsoft 365 или Office 365. Чтобы доказать, что вы являетесь владельцем доменов, следуйте инструкциям в разделе Добавление домена в Microsoft 365.

2. Создание почтовых ящиков пользователей в Exchange Online или перемещение почтовых ящиков всех пользователей в Microsoft 365 или Office 365.

3. Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как выполнить эту задачу? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:

   • Запись MX. Укажите запись MX в Microsoft 365 или Office 365 в следующем формате: <domainKey-com.mail.protection.outlook.com>

     Например, если ваш домен — contoso.com, запись MX будет выглядеть так: contoso-com.mail.protection.outlook.com.

   • Запись SPF. В этой записи должен быть указан Microsoft 365 или Office 365 в качестве допустимого отправителя, все IP-адреса с локальных серверов, которые подключаются к EOP, и любые сторонние поставщики, которые отправляют электронную почту от имени вашей организации. Например, если IP-адрес почтового сервера вашей организации с выходом в Интернет — 131.107.21.231, запись SPF для contoso.com должна быть следующей:

     v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
     

     Кроме того, в зависимости от требований сторонних производителей может потребоваться включить домен из стороннего производителя, как показано в следующем примере:

     v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
     

4. В Центре администрирования Exchange (EAC) используйте мастер соединителей, чтобы настроить поток обработки почты с помощью соединителей в Microsoft 365 или Office 365 в следующих сценариях:

   • Отправка сообщений из Microsoft 365 или Office 365 на почтовые серверы вашей организации

   • Отправка сообщений с локальных серверов в Microsoft 365 или Office 365

     Если в вашей организации применяется один из следующих сценариев, необходимо создать соединитель для поддержки отправки почты с локальных серверов в Microsoft 365 или Office 365.

   • Ваша организация уполномочена отправлять сообщения от имени клиента, но ей не принадлежит его домен. Например, домен contoso.com уполномочен отправлять сообщения через домен fabrikam.com, который не принадлежит домену contoso.com.

   • Ваша организация передает отчеты о недоставке (также известные как недоставки или сообщения о недоставке) в Интернет через Microsoft 365 или Office 365.

     Чтобы создать соединитель, выберите первый вариант в мастере создания соединителя на экране Как Office 365 определить электронную почту для сервера электронной почты, как показано на двух снимках экрана ниже, для нового центра администрирования Exchange и классического центра администрирования Exchange соответственно.

Эта конфигурация позволяет Microsoft 365 или Office 365 идентифицировать сервер электронной почты с помощью сертификата. В этом сценарии сертификат CN или альтернативное имя субъекта (SAN) содержит домен, принадлежащий вашей организации. Дополнительные сведения см. в разделе Identifying email from your email server. Сведения о конфигурации соединителя см. в разделе Часть 2. Настройка почты для потоковой отправки с почтового сервера в Microsoft 365 или Office 365.

5. В приведенных ниже сценариях соединители не нужны, если у ваших партнеров нет особых требований, например требования использовать протокол TLS при соединении с банком.

   • Отправка почты из Microsoft 365 или Office 365 в партнерской организации

   • Отправка почты из партнерской организации в Microsoft 365 или Office 365

Сценарий 2. Запись MX указывает на Microsoft 365 или Office 365, а почта фильтруется локально

• Я переносю почтовые ящики в Exchange Online, и я хочу сохранить некоторые почтовые ящики на почтовом сервере моей организации (локальном сервере). Я хочу использовать уже существующие в локальной среде решения для фильтрации и обеспечения соответствия. Все сообщения, поступающие из Интернета в мои облачные почтовые ящики или сообщения, отправленные в Интернет из облачных почтовых ящиков, должны направляться через локальные серверы.

Если у вас есть бизнес-или нормативные причины для фильтрации почты в локальной среде, рекомендуется указать запись MX вашего домена на Microsoft 365 или Office 365 и включить централизованную транспортировку почты. Это обеспечит оптимальную фильтрацию спама и защитит IP-адреса вашей организации. В этом сценарии схема потока обработки почты организации выглядит так:

Лучшие методики

1. Добавьте личные домены в Microsoft 365 или Office 365. Чтобы доказать, что вы являетесь владельцем доменов, следуйте инструкциям в разделе Добавление домена в Microsoft 365.

2. Создание почтовых ящиков пользователей в Exchange Online или перемещение почтовых ящиков всех пользователей в Microsoft 365 или Office 365.

3. Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как выполнить эту задачу? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:

   • Запись MX. Укажите запись MX в Microsoft 365 или Office 365 в следующем формате: <domainKey-com.mail.protection.outlook.com>

   Например, если ваш домен — contoso.com, запись MX будет выглядеть так: contoso-com.mail.protection.outlook.com.

   • Запись SPF. В этой записи должен быть указан Microsoft 365 или Office 365 в качестве допустимого отправителя, а также все IP-адреса с локальных серверов, которые подключаются к EOP, и любые сторонние поставщики, отправляющие электронную почту от имени вашей организации. Например, если IP-адрес почтового сервера вашей организации с выходом в Интернет — 131.107.21.231, запись SPF для contoso.com должна быть следующей:

     v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
     

4. Использование централизованного почтового транспорта (CMT) для локальных решений обеспечения соответствия.

   • Почта, которая поступает из Интернета в почтовый ящик в Exchange Online, сначала отправляется на локальный сервер, а затем возвращается к Exchange Online для доставки в почтовый ящик. Строка 1 представляет этот путь на схеме сценария 2.

   • Почта, которая поступает из Exchange Online и предназначена для Интернета, сначала отправляется на локальные серверы, а затем возвращается на Exchange Online, а затем доставляется в Интернет. Строка 4 представляет этот путь на схеме сценария 2.

   • Чтобы получить эту конфигурацию, создайте соединители с помощью Hybrid Configuration Wizard или командлетов и включите централизованный почтовый транспорт. Дополнительные сведения о CMT см. в разделе Параметры транспорта в гибридных развертываниях Exchange.

В приведенных ниже сценариях соединители не нужны, если у ваших партнеров нет особых требований, например требования использовать протокол TLS при соединении с банком.

• Отправка почты из Microsoft 365 или Office 365 в партнерской организации

• Отправка почты из партнерской организации в Microsoft 365 или Office 365

Сценарий 3. Запись MX указывает на локальные серверы

• Я переносю почтовые ящики в Exchange Online, и я хочу сохранить некоторые почтовые ящики на почтовом сервере моей организации (локальном сервере). Я хочу использовать уже существующие в локальной почтовой среде решения для фильтрации и обеспечения соответствия. Все сообщения, поступающие из Интернета в мои облачные почтовые ящики или сообщения, отправленные в Интернет из облачных почтовых ящиков, должны направляться через мои локальные серверы. Записи MX домена должны указывать на локальный сервер.

В качестве альтернативы сценарию 2 можно указать запись MX вашего домена на почтовый сервер вашей организации, а не на Microsoft 365 или Office 365. Такая настройка может подойти некоторым организациям по корпоративным или нормативным соображениям, но фильтрация обычно эффективнее при использовании сценария 2.

В этом сценарии схема потока обработки почты организации выглядит так:

Лучшие методики

Если запись MX домена должна указывать на IP-адрес локального сервера, рекомендуется следующее:

1. Добавьте личные домены в Microsoft 365 или Office 365. Чтобы доказать, что вы являетесь владельцем доменов, следуйте инструкциям в разделе Добавление домена в Microsoft 365.

2. Создание почтовых ящиков пользователей в Exchange Online или перемещение почтовых ящиков всех пользователей в Microsoft 365 или Office 365.

3. Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как выполнить эту задачу? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:

   • Запись SPF. Эта запись должна содержать Microsoft 365 или Office 365 в качестве допустимого отправителя. Он также должен включать любые IP-адреса с локальных серверов, которые подключаются к EOP, и от третьих лиц, отправляющих электронную почту от имени вашей организации. Например, если IP-адрес почтового сервера вашей организации с выходом в Интернет — 131.107.21.231, запись SPF для contoso.com должна быть следующей:

     v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
     

4. Так как вы не передаете сообщения с локальных серверов в Интернет через Microsoft 365 или Office 365, технически вам не нужно создавать соединители для следующих сценариев. Но если в какой-то момент вы измените запись MX, чтобы она указывала на Microsoft 365 или Office 365, вам потребуется создать соединители. Поэтому лучше сделать это заранее. В Центре администрирования Exchange используйте мастер соединителя для части 2. Настройка отправки почты с сервера электронной почты в Microsoft 365 или Office 365 в следующих сценариях или с помощью мастера гибридной конфигурации для создания соединителей:

   • Отправка почты из Microsoft 365 или Office 365 на почтовые серверы вашей организации

   • Отправка почты с локальных серверов в Microsoft 365 или Office 365

5. Чтобы гарантировать, что сообщения отправляются на локальные серверы организации через MX, перейдите к разделу Пример ограничений безопасности, которые вы можете применить к электронной почте, отправляемой партнерской организацией и следуйте указаниям из подраздела "Пример 3. Требовать отправки всех сообщений электронной почты с домена организации партнера ContosoBank.com с определенного диапазона IP-адресов".

Сценарий 4. Запись MX указывает на локальный сервер, который фильтрует и предоставляет решения для соответствия вашим сообщениям. Локальный сервер должен ретранслировать сообщения в Интернет через Microsoft 365 или Office 365.

• Я переносю почтовые ящики в Exchange Online, и я хочу сохранить некоторые почтовые ящики на почтовом сервере моей организации (локальном сервере). Я хочу использовать уже существующие в локальной почтовой среде решения для фильтрации и обеспечения соответствия. Все сообщения, отправляемые с локальных серверов, должны передаваться через Microsoft 365 или Office 365 в Интернет. Записи MX домена должны указывать на локальный сервер.

В этом сценарии схема потока обработки почты организации выглядит так:

Лучшие методики

Если запись MX домена должна указывать на IP-адрес локального сервера, рекомендуется следующее:

1. Добавьте личные домены в Microsoft 365 или Office 365. Чтобы доказать, что вы являетесь владельцем доменов, следуйте инструкциям в разделе Добавление домена в Microsoft 365.

2. Создание почтовых ящиков пользователей в Exchange Online или перемещение почтовых ящиков всех пользователей в Microsoft 365 или Office 365.

3. Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как выполнить эту задачу? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:

   • Запись MX. Для локального сервера запись MX указывается в следующем формате:mail.<domainKey>.com

     Например, если ваш домен — contoso.com, запись MX будет выглядеть так: .mail.contoso.com.

   • Запись SPF. Эта запись должна содержать Microsoft 365 или Office 365 в качестве допустимого отправителя. Он также должен включать любые IP-адреса с локальных серверов, которые подключаются к EOP, и от третьих лиц, отправляющих электронную почту от имени вашей организации. Например, если IP-адрес почтового сервера вашей организации с выходом в Интернет — 131.107.21.231, запись SPF для contoso.com должна быть следующей:

     v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
     

4. В Центре администрирования Exchange используйте мастер соединителей для настройки потока обработки почты с помощью соединителей в Microsoft 365 или Office 365 в следующих сценариях:

   • Отправка почты из Microsoft 365 или Office 365 на почтовые серверы вашей организации

   • Отправка почты с локальных серверов в Microsoft 365 или Office 365

     Создайте соединитель для поддержки сценария "Отправка почты с локальных серверов в Microsoft 365 или Office 365", если в вашей организации применяется любой из следующих сценариев:

   • Ваша организация уполномочена отправлять электронную почту от имени клиента, но ей не принадлежит его домен. Например, домен contoso.com уполномочен отправлять сообщения через домен fabrikam.com, который не принадлежит домену contoso.com.

   • Ваша организация передает отчеты о недоставках (NDR) в Интернет через Microsoft 365 или Office 365.

   • Запись MX для вашего домена contoso.com указывает на локальный сервер, а пользователи в вашей организации автоматически пересылают сообщения на электронные адреса за пределами организации. Например, kate@contoso.com переадресация включена, и все сообщения отправляются в kate@tailspintoys.com. Если john@fabrikam.com отправляет сообщение в kate@contoso.com, к моменту поступления сообщения в Microsoft 365 или Office 365 домен отправителя будет fabrikam.com, а домен получателя — tailspin.com. Домен отправителя и домена получателя не принадлежат вашей организации.

     Чтобы создать соединитель, выберите первый вариант в мастере создания соединителя на экране Как microsoft 365 или Office 365 определить адрес электронной почты для сервера электронной почты, как показано на двух снимках экрана ниже для нового EAC и классического EAC соответственно.

Этот параметр позволяет Microsoft 365 или Office 365 идентифицировать сервер электронной почты с помощью сертификата. В этом сценарии сертификат CN или альтернативное имя субъекта (SAN) содержит домен, принадлежащий вашей организации. Дополнительные сведения см. в разделе Identifying email from your email server. Сведения о конфигурации соединителя см. в разделе Часть 2. Настройка почты для потоковой отправки с почтового сервера в Microsoft 365 или Office 365.

5. Настройка соединителей для защиты потока обработки почты с партнерской организацией позволяет гарантировать, что сообщения отправляются на локальные серверы организации через MX.

См. также

Рекомендации по потоку обработки почты для Exchange Online, Microsoft 365 и Office 365 (обзор)

Управление всеми почтовыми ящиками и потоком обработки почты с помощью Microsoft 365 или Office 365

Управление потоком обработки почты с помощью сторонней облачной службы с Microsoft 365 или Office 365

Управление потоком обработки почты с помощью сторонней облачной службы с почтовыми ящиками в Microsoft 365 или Office 365 и локально

Устранение неполадок с потоком обработки почты Office Microsoft 365 или 365

Тестирование потока обработки почты путем проверки соединителей Microsoft 365 или Office 365