在多个位置(Office 365 和本地)通过邮箱管理邮件流

Exchange Online
 

上一次修改主题:2017-01-06

摘要:某些邮箱位于本地而某些邮箱位于 Office 365 中时,如何管理 Exchange 混合环境中的邮件流。

本主题涵盖以下使用 Office 365 的复杂邮件流方案:

方案 1 MX 记录指向Office 365,并且 Office 365 筛选所有邮件。

方案 2 MX 记录指向 Office 365并且邮件将在本地进行筛选

方案 3 MX 记录指向我的本地服务器。

方案 4 MX 记录指向我的本地服务器,以便为你的邮件筛选并提供合规性解决方案。你的本地服务器必须通过 Office 365 将邮件中继到 Internet。

注意注意:
本主题中的示例使用虚拟组织 Contoso,该组织拥有域contoso.com。Contoso 邮件服务器的 IP 地址是 131.107.21.231,它的第三方提供程序将 10.10.10.1 用作其 IP 地址。这些只是示例。必要时,您可以对这些示例进行修改,以适合您的组织的域名和面向公众的 IP 地址。

  • 我要将我的邮箱迁移到 Office 365,并且我希望将某些邮箱保留在我组织的邮件服务器(本地服务器)上。我想要使用 Office 365 作为我的垃圾邮件筛选解决方案,并且想要通过使用 Office 365 将邮件从我的本地服务器发送到 Internet。Office 365 将发送和接收所有邮件。

需要混合邮件流设置的大多数客户应允许 Office 365 执行所有的筛选和路由操作。我们建议将 MX 记录指向 Office 365,因为这可以提供最准确的垃圾邮件筛选服务。针对这种情况,你的组织的邮件流设置如下图所示。

邮件流图表,显示有关指向 Office 365 的 MX 记录以及从 Internet 转到 Office 365 再发送到内部部署服务器的邮件的情况。从内部部署服务器转到 Office 365 再传输到 Internet 的邮件。

  1. 在 Office 365 中添加你的自定义域。若要证明你拥有这些域,请按照添加用户和域中的说明操作。

  2. 在 Exchange Online 中创建用户邮箱将所有用户的邮箱移动到 Office 365

  3. 更新你在步骤 1 中添加的域的 DNS 记录。(不确定该怎么做?按照此页中的说明进行操作。)以下 DNS 记录控制邮件流:

    • MX 记录 – 使用下面的格式将您的 MX 记录指向 Office 365: <domainKey>-com.mail.protection.outlook.com

      例如,如果您的域是 contoso.com,该 MX 记录应为: contoso-com.mail.protection.outlook.com.

    • SPF 记录 – 这应将 Office 365 列为有效的发件人,并列出连接到 EOP 的本地服务器中的任何 IP 地址和代表你的组织发送电子邮件的任何第三方。例如,如果你组织的邮件服务器的面向 Internet 的 IP 地址是131.107.21.231,那么 contoso.com 的 SPF 记录应为:

      v=spf1 ipv4: 131.107.21.231  include:spf.protection.outlook.com -all
      

      此外,根据第三方的要求,你必须包括第三方的域,如以下示例所示:

      v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
      
  4. 在 Exchange 管理中心 中,在以下情况下对在 Office 365 中使用连接器配置邮件流使用连接器向导:

    • 将邮件从 Office 365 发送到您组织的邮件服务器

    • 将邮件从您的本地服务器发送到 Office 365

    如果以下存在适用于你的组织的方案,为了支持将邮件从你的本地服务器发送到 Office 365,你必须创建一个连接器。

    • 你的组织有权代表你的客户端发送邮件,但你的组织对该域没有所有权。例如,contoso.com 有权通过 fabrikam.com 发送电子邮件,但后者并不属于 contoso.com。

    • 你的组织通过 Office 365 将未送达报告 (NDR) 中继到 Internet。

    若要创建连接器,请在“Office 365 应如何识别发往电子邮件服务器的电子邮件 ”屏幕上的连接器创建向导中选择第一个选项。

    显示 Exchange 混合连接向导的“新建连接器”屏幕的屏幕截图

    这将允许 Office 365 使用证书识别你的电子邮件服务器。在这种情况下,证书 CN 或使用者备用名称 (SAN) 包含组织所属的域。有关更多详细信息,请参阅识别从您的电子邮件服务器发送的电子邮件。有关连接器配置的详细信息,请参阅第 2 部分:将邮件配置为从你的电子邮件服务器传递到 Office 365

  5. 除非你的合作伙伴有特殊的要求(比如银行要求实施 TLS),否则以下方案中不需要使用连接器。

    • 将邮件从 Office 365 发送到合作伙伴组织

    • 将邮件从合作伙伴组织发送到 Office 365

注意注意:
如果您组织的邮件服务器部署了 Exchange 2013 或 Exchange 2010,我们建议您使用 “混合配置”向导 配置 Office 365 以及您本地 Exchange 服务器上的连接器。这种情况下,您的域的 MX 记录不能指向您组织的邮件服务器。

  • 我要将我的邮箱迁移到 Office 365,并且我希望将某些邮箱保留在我组织的邮件服务器(本地服务器)上。我想要使用我的本地环境中已有的筛选和合规性解决方案。从 Internet 发送至我的云邮箱的所有邮件,或从我的云邮箱发送至 Internet 的所有邮件都必须通过我的本地服务器进行路由。

如果您出于业务或法规的原因在您的本地环境中筛选邮件,我们建议将您的域的 MX 记录指向 Office 365 并启用集中式的邮件传输。此安装程序提供了最佳的垃圾邮件筛选功能,并保护您组织的 IP 地址。针对这种情况,您组织的邮件流设置如下图所示。

邮件流图表,显示有关指向 Office 365 的 MX 记录以及内部部署服务器上发生筛选的情况。邮件从 Internet 转到 Office 365 再发送到服务器以实现合规性筛选,然后再转回到 Office 365。

  1. 在 Office 365 中添加你的自定义域。若要证明你拥有这些域,请按照添加用户和域中的说明操作。

  2. 在 Exchange Online 中创建用户邮箱将所有用户的邮箱移动到 Office 365

  3. 更新你在步骤 1 中添加的域的 DNS 记录。(不确定该怎么做?按照此页中的说明进行操作。)以下 DNS 记录控制邮件流:

    • MX 记录 – 使用下面的格式将您的 MX 记录指向 Office 365: <domainKey>-com.mail.protection.outlook.com

      例如,如果您的域是 contoso.com,该 MX 记录应为: contoso-com.mail.protection.outlook.com.

    • SPF 记录 – 这应将 Office 365 列为有效的发件人,并列出连接到 EOP 的本地服务器中的任何 IP 地址和代表你的组织发送电子邮件的任何第三方。例如,如果你组织的邮件服务器的面向 Internet 的 IP 地址是131.107.21.231,那么 contoso.com 的 SPF 记录应为:

      v=spf1 ipv4: 131.107.21.231  include:spf.protection.outlook.com -all
      
  4. 集中式邮件传输 (CMT) 用于本地合规性解决方案。

    • 从 Internet 发送到 Office 365 的邮箱中的邮件首先被发送到你的本地服务器,然后再发回到 Office 365 以传递至邮箱。第 1 行表示方案 2 图中的此路径。

    • 从 Office 365 发出并面向 Internet 的邮件首先被发送到你的本地服务器,然后再发回到 Office 365,并传递至 Internet。第 4 行表示方案 2 图中的此路径。

    • 若要实现此配置,请通过 “混合配置”向导 或通过 cmdlet 创建连接器,并启用 CMT。有关 CMT 的详细信息,请参阅 Exchange 混合部署的传输选项

除非你的合作伙伴有特殊的要求(比如银行要求实施 TLS),否则以下方案中不需要使用连接器。

  • 将邮件从 Office 365 发送到合作伙伴组织

  • 将邮件从合作伙伴组织发送到 Office 365

  • 我要将我的邮箱迁移到 Office 365,并且我希望将某些邮箱保留在我组织的邮件服务器(本地服务器)上。我想要使用我的本地电子邮件环境中已有的筛选和合规性解决方案。从 Internet 发送至我的云邮箱的所有邮件,或从我的云邮箱发送至 Internet 的所有邮件都必须通过我的本地服务器进行路由。我需要将我的域的 MX 记录指向我的本地服务器。

作为方案 2 的替代方法,你可以将你的域的 MX 记录指向你组织的邮件服务器,而不是指向 Office 365。一些组织出于业务或法规的原因需要此设置,但如果你使用方案 2,则通常选择筛选会更合适。

针对这种情况,您组织的邮件流设置如下图所示。

显示当 MX 记录指向内部部署服务器(而非 Office 365)时的邮件流的图表。邮件从 Internet 转到您组织的服务器,然后再发送到 Office 365。邮件从 Office 365 转到内部部署服务器,再发送到 Internet

如果您的域的 MX 记录指向您的本地 IP 地址,请使用以下最佳做法:

  1. 在 Office 365 中添加你的自定义域。若要证明你拥有这些域,请按照添加用户和域中的说明操作。

  2. 在 Exchange Online 中创建用户邮箱将所有用户的邮箱移动到 Office 365

  3. 更新你在步骤 1 中添加的域的 DNS 记录。(不确定该怎么做?按照此页中的说明进行操作。)以下 DNS 记录控制邮件流:

    • MX 记录 – 使用下面的格式将您的 MX 记录指向 Office 365: <domainKey>-com.mail.protection.outlook.com

      例如,如果您的域是 contoso.com,该 MX 记录应为: contoso-com.mail.protection.outlook.com.

    • SPF 记录 – 这应将 Office 365 列为有效的发件人。它还应包括连接到 EOP 的本地服务器中的任何 IP 地址和代表你的组织发送电子邮件的任何第三方。例如,如果你组织的邮件服务器的面向 Internet 的 IP 地址是 131.107.21.231,那么 contoso.com 的 SPF 记录应为:

      v=spf1 ipv4: 131.107.21.231  include:spf.protection.outlook.com -all
      
  4. 由于你此时不通过 Office 365 将邮件从你的本地服务器中继到 Internet,所以从技术上讲,在以下情况下不需要创建连接器。但如果在某一时刻你将你的 MX 记录更改为指向 Office 365,则将需要创建连接器,因此最好提前做好准备。在 Exchange 管理中心 中,在以下情况下使用连接器向导将邮件配置为从你的电子邮件服务器传递到 Office 365,或使用“混合配置”向导创建连接器:

    • 将邮件从 Office 365 发送到您组织的邮件服务器

    • 将邮件从您的本地服务器发送到 Office 365

  5. 若要确保通过 MX 将邮件发送到你组织的本地服务器,请转到你可以对从合作伙伴组织发送的电子邮件应用的示例安全限制,并按照“示例 3:要求发送自合作伙伴组织域 ContosoBank.com 的所有电子邮件均发送自特定的 IP 地址范围”执行相关操作。

  • 我要将我的邮箱迁移到 Office 365,并且我希望将某些邮箱保留在我组织的邮件服务器(本地服务器)上。我想要使用我的本地电子邮件环境中已有的筛选和合规性解决方案。从我的本地服务器发送的所有邮件都必须通过 Office 365 中继到 Internet。我需要将我的域的 MX 记录指向我的本地服务器。

针对这种情况,您组织的邮件流设置如下图所示。

带箭头的邮件流图表,显示从 Internet 发送到内部部署服务器,然后再传输到 Office 365 的邮件。也显示从内部部署服务器转到 Office 365 再传输到 Internet 的电子邮件。

如果您的域的 MX 记录指向您的本地 IP 地址,请使用以下最佳做法:

  1. 在 Office 365 中添加你的自定义域。若要证明你拥有这些域,请按照添加用户和域中的说明操作。

  2. 在 Exchange Online 中创建用户邮箱将所有用户的邮箱移动到 Office 365

  3. 更新你在步骤 1 中添加的域的 DNS 记录。(不确定该怎么做?按照此页中的说明进行操作。)以下 DNS 记录控制邮件流:

    • MX 记录 – 使用下面的格式将您的 MX 记录指向您的本地服务器: mail.<domainKey>.com

      例如,如果您的域是 contoso.com,该 MX 记录应为: .mail.contoso.com.

    • SPF 记录 – 这应将 Office 365 列为有效的发件人。它还应包括连接到 EOP 的本地服务器中的任何 IP 地址和代表你的组织发送电子邮件的任何第三方。例如,如果你的组织的邮件服务器的面向 Internet 的 IP 地址是 131.107.21.231,那么 contoso.com 的 SPF 记录应为:

      v=spf1 ipv4: 131.107.21.231  include:spf.protection.outlook.com -all
      
  4. 在 Exchange 管理中心 中,在以下情况下对在 Office 365 中使用连接器配置邮件流使用连接器向导:

    • 将邮件从 Office 365 发送到您组织的邮件服务器

    • 将邮件从您的本地服务器发送到 Office 365

    如果以下存在适用于你的组织的方案,为了支持将邮件从你的本地服务器发送到 Office 365 的方案,你需要创建一个连接器。

    • 你的组织有权代表你的客户端发送邮件,但你的组织对该域没有所有权。例如,contoso.com 有权通过 fabrikam.com 发送电子邮件,但后者并不属于 contoso.com。

    • 你的组织通过 Office 365 将未送达报告 (NDR) 中继到 Internet。

    • 域 contoso.com 的 MX 记录指向你的本地服务器,组织中的用户会将邮件自动转发到组织外部的电子邮件地址。例如,kate@contoso.com 已启用转发功能,所有邮件都将转到 kate@tailspintoys.com。如果 john@fabrikam.com 向 kate@contoso.com 发送了一封邮件,在邮件到达 Office 365 之前,发件人域为 fabrikam.com,收件人域为 tailspin.com。发件人域和收件人域均不属于你的组织。

    若要创建连接器,请在“Office 365 应如何识别发往电子邮件服务器的电子邮件”屏幕上的连接器创建向导中选择第一个选项。

    显示 Exchange 混合连接向导的“新建连接器”屏幕的屏幕截图

    这将允许 Office 365 使用证书识别你的电子邮件服务器。在这种情况下,证书 CN 或使用者备用名称 (SAN) 包含组织所属的域。有关更多详细信息,请参阅识别从您的电子邮件服务器发送的电子邮件。有关连接器配置的详细信息,请参阅第 2 部分:将邮件配置为从你的电子邮件服务器传递到 Office 365

  5. 将连接器设置为确保与合作伙伴组织之间实现安全的邮件流 通过 MX 确保将邮件发送到您组织的本地服务器。

 
显示: