将连接器设置为确保与合作伙伴组织之间实现安全的邮件流

Exchange Online
 

适用于:Exchange Online, Exchange Online Protection

上一次修改主题:2016-12-09

您可以创建连接器,将安全限制应用于与合作伙伴组织或服务提供商进行的邮件交换。合作伙伴可以是您与之有业务往来的组织(如银行),也可以是提供存档、反垃圾邮件和过滤等服务的第三方云服务。

您可以将连接器创建为通过传输层安全性 (TLS) 强制执行加密。您还可以应用其他安全限制,如指定您合作伙伴组织发送邮件时使用的域名或 IP 地址范围。

注意注意:
您可以视需要选择设置用于与合作伙伴组织交换邮件的连接器;与合作伙伴组织之间的邮件往来无需连接器即可实现。
如果您使用第三方云服务执行电子邮件筛选,并需要获得在 Office 365 中执行此项工作的指南,请参阅 Office 365 中使用第三方云服务

默认情况下,Office 365 使用 TLS 加密发送邮件,前提是目标服务器也支持 TLS。如果您的合作伙伴组织支持 TLS,那么如果您想要强制执行某些安全限制(例如,您希望始终应用 TLS,或者您需要在合作伙伴向您的组织发送邮件时进行证书验证),您只需创建一个连接器即可。

注意注意:
有关 TLS 的信息,请参阅 Exchange Online 如何使用 TLS 保护 Office 365 中的电子邮件连接。有关 Exchange Online 如何将 TLS 与加密套件订购结合使用的详细技术信息,请参阅增强 Exchange Online 的邮件流安全

在您设置连接器后,系统会检查电子邮件,以确保它们符合您指定的安全限制。如果电子邮件不符合您指定的安全限制,则连接器会拒绝它们,并且这些邮件也不会得到传递。这样,便可以与合作伙伴组织建立安全的通信通道。

您可以根据自身需求进行以下设置:

本文内容还涉及:

若要在 Office 365 中创建连接器,请依次单击“管理”和“Exchange”,转到“Exchange 管理中心”。接下来,依次单击“邮件流”和“连接器”。 如果您的组织已有连接器,那么系统会在此处列出。

示例

在设置新的连接器之前,检查此处列出的您组织已有的任何连接器。例如,如果您已为合作伙伴组织设置了连接器,那么系统会在此处列出。请勿为单个组织合作伙伴创建重复的连接器,否则会出错,并且可能会导致您的邮件无法传递。

若要启动向导,请单击加号“+”。 在第一个屏幕上,选择以下屏幕截图中的选项:

Office 365 到合作伙伴组织的连接器选项

单击“下一步”,然后按照向导中的说明执行操作。如需了解详细信息,请单击“帮助” 或“了解详情”链接。此向导会指导您逐步完成安装。结束时,请务必验证您的连接器。如果您无法验证此连接器,请参阅修复连接器验证错误,了解如何解决问题。

如果您希望与您的合作伙伴组织之间创建双向安全通道,请将连接器设置为限制从您的合作伙伴组织流向 Office 365 的邮件流。

您可以将连接器设置为将安全限制应用于您的合作伙伴组织向您发送的电子邮件。 若要启动向导,请单击加号“+”。在第一个屏幕上,选择以下选项:

从合作伙伴组织到 Office 365 的连接器

单击“下一步”,然后按照向导中的说明执行操作。如需了解详细信息,请单击“帮助”或“了解详情”链接。此向导会指导您逐步完成安装。结束时,保存您的连接器。

让您的合作伙伴组织发送一封测试电子邮件。请确保您的合作伙伴组织发送的电子邮件能够使此连接器得以应用。例如,如果您为发送自特定合作伙伴域的邮件指定了安全限制,请确保此合作伙伴能够从相应的域发送测试邮件。检查测试电子邮件是否已传递,从而确认此连接器能否正常运行。

若要更改连接器的设置,请选择您要编辑的连接器,然后选择下面屏幕截图中所示的编辑图标。

显示已选择连接器和已突出显示编辑(铅笔)图标的屏幕快照。

连接器向导将打开,并且您可以更改现有的连接器设置。虽然您可以更改连接器设置,但是 Office 365 会继续将现有的连接器设置用于邮件流。当您将更改保存到该连接器时,Office 365 会开始使用新的设置。

查看这些连接器示例可以帮助您决定是否要将安全限制应用于合作伙伴组织发送的电子邮件,并了解哪些设置会满足您的业务需求。

若要在 Office 365 中创建连接器,请依次单击“管理”和“Exchange”转到“Exchange 管理中心”。接下来,依次单击“邮件流”和“连接器”。 如果已有您组织的连接器,则系统会在此处列出它们。

若要启动向导,请单击加号“+”。 若要为您从合作伙伴组织接收到的电子邮件创建连接器,请使用以下屏幕截图中的选项:

从合作伙伴组织到 Office 365 的连接器

在选择此邮件流方案后,您便可以设置一个连接器,将安全限制应用于合作伙伴组织发送给您的电子邮件。对于某些安全限制,您可能必须与合作伙伴组织联系,才能获取信息来完成一些设置。 查找最能满足您需求的示例,从而参考这些示例设置您的合作伙伴连接器。

注意注意:
只要合作伙伴组织发送的电子邮件不符合您指定的安全限制,系统就不会传递此电子邮件。

为此,请指定合作伙伴组织域名以标识此合作伙伴发送的邮件,然后在创建 Office 365 合作伙伴连接器时选择传输层安全性 (TLS) 加密。 在设置期间使用下面这些选项:
选择使用发件人的域名称

使用以下屏幕输入合作伙伴组织的一个或多个域名,以便此连接器可以识别合作伙伴发送的邮件:

添加合作伙伴组织的域名

选择此设置可以要求对发送自 ContosoBank.com 的所有电子邮件使用 TLS 加密:

从合作伙伴组织选择用于加密电子邮件的 TLS

当您选择这些设置后,发送自合作伙伴组织域 ContosoBank.com 的所有电子邮件都必须进行 TLS 加密。任何未加密的邮件都会遭到拒绝。

为此,请使用示例 1 中的所有设置。此外,还请添加您的合作伙伴组织用于与 Office 365 连接的证书域名。在设置期间使用以下选项:

输入合作伙伴组织的证书名称

当您设置这些限制后,发送自合作伙伴组织域的所有邮件都必须进行 TLS 加密,并且发送服务器必须具有您指定的证书名称。任何不满足这些条件的电子邮件都会遭到拒绝。

此电子邮件可来自合作伙伴组织,例如 ContosoBank.com,或来自你的本地环境。例如,你的域 contoso.com 的 MX 记录指向本地,并且你希望所有发送到 contoso.com 的电子邮件仅来自你的本地 IP 地址。这有助于防止欺骗,并确保所有邮件都可以强制实施你的合规性策略。

为此,请指定合作伙伴组织域名以标识此合作伙伴发送的邮件,然后限制您接受的邮件发送 IP 地址。使用 IP 地址可以使连接器更为具体化,因为这样做可以标识合作伙伴组织邮件发送自哪一个地址或地址范围。输入您的合作伙伴域(如示例 1 所述),然后在设置期间使用以下选项:

输入合作伙伴组织的 IP 地址范围

当你设置这些限制后,发送自合作伙伴组织域 ContosoBank.com 或发送自你的本地环境的所有电子邮件都必须发送自你指定的 IP 地址或地址范围。任何不满足这些条件的邮件都会遭到拒绝。

从第三方电子邮件服务到 Office 365 的邮件流无需连接器就能运行。 不过,在此方案中,您可以视需要选择使用连接器来限制传递到您组织的所有邮件。在您使用此示例中介绍的设置后,这些设置会应用于向您组织发送的所有电子邮件。 如果向您组织发送的所有电子邮件均来自一个第三方电子邮件服务,则您可以视需要选择使用连接器,将所有邮件限制为仅传递从单个 IP 地址或地址范围发送的邮件。

注意注意:
请务必标识第三方电子邮件服务发送邮件时使用的 IP 地址的完整范围。如果缺少 IP 地址或在您不知情的情况下添加了 IP 地址,则某邮件将无法传递到您的组织。

若要将发送到您组织的所有邮件限制为发送自特定的 IP 地址或地址范围,请在设置期间使用下面这些选项:

选择使用发件人的域名称

输入“*”将设置应用于所有发件人域

输入合作伙伴组织的 IP 地址范围

当您设置这些限制后,发送到您组织的所有邮件都必须发送自特定的 IP 地址范围。任何不是从此 IP 地址范围发出的 Internet 邮件都会遭到拒绝。

若要按 IP 地址识别您的合作伙伴组织,请在设置期间使用下面这些选项:

选择 IP 地址以标识您的合作伙伴组织

输入合作伙伴组织的 IP 地址

使用以下设置添加 TLS 加密要求:

从合作伙伴组织选择用于加密电子邮件的 TLS

当您设置这些限制后,发送自您指定的合作伙伴组织 IP 地址或地址范围的所有邮件都必须通过 TLS 发送。任何不满足此限制条件的邮件都会遭到拒绝。

 
显示: