方案:将Exchange Online与电子邮件加载项服务集成
许多第三方云服务解决方案为Exchange Online提供附加服务。 出于安全原因,我们不允许在 Exchange Online 中安装第三方电子邮件加载项服务。 但是,你可以与服务提供商合作,在Exchange Online组织中配置设置,以便可以使用该服务。
本主题介绍组织如何通过检查名为 Contoso 签名服务的虚构服务来使用第三方电子邮件加载项服务的最佳做法。 此虚构服务在 Azure 中运行,并提供自定义电子邮件签名。
注意
此服务可以部署在 Azure 以外的云环境中。
下图显示了邮件流和服务的高级摘要。
当Exchange Online组织中的用户撰写和发送邮件时,将使用连接器和邮件流规则将邮件转移到 Contoso 签名服务, (也称为你创建的传输规则) 。
从 Exchange Online 到 Contoso 签名服务的连接由 TLS 加密,因为你在连接器设置中配置了服务的证书域名 (例如,smtp.contososignatureservice.com) 。
Contoso 签名服务接受邮件并向邮件添加电子邮件签名。 该服务还会使用自定义标头标记消息,以指示消息已处理。
Contoso 签名服务将消息路由回Exchange Online。 创建的连接器接受来自 Contoso 签名服务的传入消息。
- Contoso 签名服务使用智能主机路由将消息路由回Exchange Online组织所在的区域。 例如,如果Exchange Online域 fabrikam.onmicrosoft.com,则会 fabrikam.mail.protection.outlook.com 目标智能主机。
- Contoso 签名服务为每个客户提供唯一的证书域名。 将此域名配置为Exchange Online组织中的接受域,并在连接器设置 (例如 S5HG3DCG14.smtp.contososignatureservice.com) 。
Exchange Online将带有自定义签名的邮件发送给原始收件人。
本主题的其余部分介绍如何在 Exchange Online 中配置邮件流以使用电子邮件加载项服务。
注意
要与Exchange Online组织集成的任何电子邮件加载项服务都需要这些元素。 你需要与电子邮件加载项服务提供商协作,以在 Exchange Online 中配置其所需的设置。
开始前,有必要了解什么?
估计完成时间:15 分钟
需要具有权限,然后才能执行此过程。 若要查看所需的权限,请参阅 Exchange Online 中的功能权限主题中的"邮件流"条目。
若要 (EAC) 打开 Exchange 管理中心,请参阅 Exchange Online 中的 Exchange 管理中心。 若要了解如何使用 Windows PowerShell 连接到 Exchange Online,请参阅连接到 Exchange Online PowerShell。
有关可能适用于本主题中的过程的键盘快捷方式的信息,请参阅 Exchange 管理中心的键盘快捷方式。
提示
是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Online 或 Exchange Online Protection 的论坛。
步骤 1:创建将邮件从Office 365路由到电子邮件加载项服务的连接器
连接器的重要设置包括:
- 从 Office 365 到电子邮件加载项服务。
- 使用到电子邮件加载项服务的智能主机路由。
- 使用 TLS 基于电子邮件加载项服务的域名加密连接, (智能主机) 。
使用 EAC 创建连接器,用于将邮件从 Office 365 路由到电子邮件加载项服务
在新的 EAC 中创建出站连接器
在 EAC 中,转到“邮件流>连接器”,然后单击“添加连接器
此时会打开“新建连接器”向导。 在第一页上,配置以下设置:
- 连接来源:选择“Office 365”。
- 连接到: 组织的电子邮件服务器
完成后,单击“下一步”。
在下一页上,配置以下设置:
- 名称:输入描述性名称 (例如,Office 365到 Contoso 签名服务) 。
- 说明:输入可选说明。
- 保存连接器后要执行什么操作?:配置以下设置:
- 将其打开 ,使此值保持选中状态。
- 保留内部 Exchange 电子邮件标头 (建议) :配置以下值之一:
- 已选中:保留发送到电子邮件加载项服务的邮件中的内部标头,这意味着邮件被视为受信任的内部邮件。 如果选择此值,还需要对在步骤 4 (中创建的入站连接器使用此设置相同的值,否则入站连接器将从返回的邮件中删除内部 Exchange 标头) 。
- 未选中:在邮件发送到电子邮件加载项服务之前,从邮件中删除内部标头。 如果选择此值,在步骤 4 中创建的入站连接器上的此设置的值在定义上 (毫无意义,则返回的邮件) 中将没有要保留或删除的内部 Exchange 标头。
完成后,单击“下一步”。
在“ 使用连接器 ”页上,选择“ 仅当设置了将邮件重定向到此连接器的传输规则时”,然后单击“ 下一步”。
在“ 路由 ”页上,输入智能主机值单击或电子邮件加载项服务 (例如,smtp.contososignatureservice.com) ,单击“ 添加
,然后单击“ 下一步”。
在 “安全限制 ”页上,配置以下设置:
- 验证 始终使用传输层安全性 (TLS) 来保护连接, (建议) 选中。
- 验证是否选择了 “由受信任的证书颁发机构颁发” (CA) 。
- 选择“ SAN) 的使用者名称或使用者可选名称 (与此域名匹配,并输入在上一步中使用的智能主机 (例如 smtp.contososignatureservice.com) 。
完成后,单击“下一步”。
在 “验证电子邮件 ”页上,执行以下步骤:
- 在组织的电子邮件服务器上输入有效的电子邮件地址,然后单击“ 添加。
- 单击“ 验证 ”以启动验证过程。
验证过程完成后,单击“ 下一步”。
- 在组织的电子邮件服务器上输入有效的电子邮件地址,然后单击“ 添加
在“ 审阅连接器 ”页上,查看新连接器的设置。 可以单击特定部分中的“ 编辑 ”以编辑这些设置。
完成后,单击“ 创建连接器”。
在经典 EAC 中创建出站连接器
转到“邮件流>连接器”,然后单击“新建
此时会打开“新建连接器”向导。 在 “选择邮件流方案 ”页上,配置以下设置:
- 发件人:选择“Office 365”。
- 目标:选择 组织的电子邮件服务器。
完成后,单击“下一步”。
在下一页上,配置以下设置:
- 名称:输入描述性名称 (例如,Office 365到 Contoso 签名服务) 。
- 说明:输入可选说明。
- 保存连接器后要执行什么操作?:配置以下设置:
- 将其打开 ,使此值保持选中状态。
- 保留内部 Exchange 电子邮件标头 (建议) :配置以下值之一:
- 已选中:保留发送到电子邮件加载项服务的邮件中的内部标头,这意味着邮件被视为受信任的内部邮件。 如果选择此值,还需要对在步骤 4 (中创建的入站连接器使用此设置相同的值,否则入站连接器将从返回的邮件中删除内部 Exchange 标头) 。
- 未选中:在邮件发送到电子邮件加载项服务之前,从邮件中删除内部标头。 如果选择此值,在步骤 4 中创建的入站连接器上的此设置的值在定义上 (毫无意义,则返回的邮件) 中将没有要保留或删除的内部 Exchange 标头。
(根据定义,在返回邮件) 时,不会保留或删除内部 Exchange 标头。
完成后,单击“下一步”。
在“ 你想要何时使用此连接器?” 页上,选择“ 仅当我设置了将邮件重定向到此连接器的传输规则时”,然后单击“ 下一步”。
在“要如何路由电子邮件?”页上,单击“添加
在出现的“ 添加智能主机 ”对话框中,输入电子邮件加载项服务 (的智能主机值,例如,smtp.contososignatureservice.com) ,单击“ 保存”,然后单击“ 下一步”。
在“Office 365应如何连接到电子邮件服务器?”页上,配置以下设置:
- 验证 始终使用传输层安全性 (TLS) 来保护连接, (建议) 选中。
- 验证是否选择了 “由受信任的证书颁发机构颁发” (CA) 。
- 选择“ SAN) 的使用者名称或使用者可选名称 (与此域名匹配,并输入在上一步中使用的智能主机 (例如 smtp.contososignatureservice.com) 。
完成后,单击“下一步”。
在 “确认设置” 页上,验证设置。 单击“ 后退 ”可根据需要修改设置。
完成后,单击“下一步”。
在 “验证此连接器 ”页上,单击“ 添加
。 在出现的“添加电子邮件”对话框中,输入不在Exchange Online中的电子邮件地址以测试连接器 (例如, admin@fabrikam.com) 单击“确定”,然后单击“验证”。
将出现一个进度指示器。 连接器验证完成后,单击“ 关闭”。
在 “验证结果 ”页上,单击“ 保存”。
使用 Exchange Online PowerShell 创建电子邮件加载项服务的出站连接器
若要在 Exchange Online PowerShell 中创建电子邮件加载项服务的出站连接器,请使用以下语法:
New-OutboundConnector -Name "<Descriptive Name>" -ConnectorType OnPremises -IsTransportRuleScoped $true -UseMxRecord $false -SmartHosts <SmartHost> -TlsSettings DomainValidation -TlsDomain <SmartHost> [-CloudServicesMailEnabled $true]
此示例使用以下设置创建出站连接器:
- 名称:Office 365到 Contoso 签名服务
- 电子邮件加载项服务的智能主机目标:smtp.contososignatureservice.com
- 用于域验证的 TLS 域:smtp.contososignatureservice.com
- 将邮件标识为内部的内部 Exchange 邮件头保留在出站邮件中。
New-OutboundConnector -Name "Office 365 to Contoso Signature Service" -ConnectorType OnPremises -IsTransportRuleScoped $true -UseMxRecord $false -SmartHosts smtp.contososignatureservice.com -TlsSettings DomainValidation -TlsDomain smtp.contososignatureservice.com -CloudServicesMailEnabled $true
有关详细语法和参数信息,请参阅 New-OutboundConnector。
验证是否已成功创建出站连接器
若要验证是否已成功创建出站连接器以将邮件路由到电子邮件加载项服务,请使用以下任一过程:
在 EAC 中,转到 “邮件流>连接器”,选择连接器,然后验证设置。
在 Exchange Online PowerShell 中,将连接器名称>替换为<连接器的名称,并运行以下命令以验证属性值:
Get-OutboundConnector -Identity "<Connector Name>" | Format-List Name,ConnectorType,IsTransportRuleScoped,UseMxRecord,SmartHosts,TlsSettings,TlsDomain,CloudServicesMailEnabled
步骤 2:创建邮件流规则,将未处理的邮件路由到电子邮件加载项服务
如果邮件尚未由电子邮件加载项服务处理,则规则会将邮件从内部发件人路由到步骤 1 中创建的连接器, (邮件) 上未标记自定义标头。
使用 EAC 创建邮件流规则,将未处理的邮件路由到电子邮件加载项服务
注意
新 EAC 中的邮件流规则创建与经典 EAC 中的创建完全相同。
转到 “邮件流>规则”,单击“ 新建
并选择“ 创建新规则”。
在打开的 “新建规则 ”页中,单击页面底部附近的“ 更多选项 ”。
在 “新建规则 ”页上,配置以下设置:
- 名称:输入描述性名称 (例如将电子邮件路由到 Contoso 签名服务) 。
- 在以下情况下应用此规则:选择 “发件人>是外部/内部> 选择 组织内部”,然后单击“ 确定”。
- 执行以下操作:选择“ 将消息重定向到>以下连接器> ”选择在步骤 1 中创建的连接器,然后单击“ 确定”。
- 除外:单击“ 添加例外> ”选择 邮件头>“包括和这些字词。
- 单击“ 输入文本”,输入电子邮件加载项服务 (应用的自定义标头字段的名称,例如 SignatureContoso) ,然后单击“ 确定”。
- 单击“ 输入字词”,输入指示电子邮件加载项服务已处理邮件的标头字段值, (例如 true) ,单击“ 添加然后单击“ 确定”。
- 在页面底部附近,选择“ 停止处理更多规则”。
完成后,单击“保存”。
使用 Exchange Online PowerShell 创建邮件流规则,将未处理的邮件路由到电子邮件加载项服务
若要在 Exchange Online PowerShell 中创建邮件流规则,请使用以下语法:
New-TransportRule -Name "<Descriptive Name>" -FromScope InOrganization -RouteMessageOutboundConnector "<Connector Name>" -ExceptIfHeaderContainsMessageHeader <HeaderName> -ExceptIfHeaderContainsWords <HeaderValue> -StopRuleProcessing $true
此示例使用以下设置创建邮件流规则:
- 名称:将电子邮件路由到 Contoso 签名服务
- 出站连接器名称:Office 365到 Contoso 签名服务
- 指示电子邮件加载项服务处理的标头字段和值值为 true 的 SignatureContoso。
New-TransportRule -Name "Route email to Contoso Signature Service" -FromScope InOrganization -RouteMessageOutboundConnector "Office 365 to Contoso Signature Service" -ExceptIfHeaderContainsMessageHeader SignatureContoso -ExceptIfHeaderContainsWords true -StopRuleProcessing $true
有关语法和参数的详细信息,请参阅 New-TransportRule。
验证是否已成功创建邮件流规则
若要验证是否已成功创建将未处理邮件路由到电子邮件加载项服务的邮件流规则,请使用以下任一过程:
在 EAC 中,转到 “邮件流>规则”,选择规则,单击“ 编辑
,然后验证规则的设置。在 Exchange Online PowerShell 中,将“规则名称”>替换为<规则的名称,并运行以下命令以验证属性值:
Get-TransportRule -Identity "<Rule Name>" | Format-List Name,FromScope,RouteMessageOutboundConnector,ExceptIfHeaderContainsMessageHeader,ExceptIfHeaderContainsWords,StopRuleProcessing
步骤 3:将电子邮件加载项服务提供的自定义证书域添加为 Exchange Online 中接受的域
在 Microsoft 365 管理中心 中https://admin.microsoft.com,转到“设置域”>,然后单击“添加域”。
将启动“添加域”向导。 在 “添加域 ”页上,输入电子邮件加载项服务在注册服务时提供的自定义证书域 (例如,S5HG3DCG14.smtp.contososignatureservice.com) ,然后单击“ 使用此域”。
注意:该值必须为 48 个字符或更少。
在 “域验证 ”页上,选择以下值之一:
- 将 TXT 记录添加到域的 DNS 记录
- 如果无法添加 TXT 记录,请将 MX 记录添加到域的 DNS 记录
完成后,单击“继续”
你看到的下一页取决于你之前的选择。 使用页面上的详细信息为自定义证书域创建所需的 TXT 或 MX 域所有权证明记录。
创建域所有权记录证明后,单击“ 验证 ”并等待结果。
在 “连接域 ”页上,单击“ 保存并关闭”。
有关详细信息,请参阅 将域添加到 Microsoft 365。
步骤 4:创建从电子邮件加载项服务接收消息的连接器
连接器的重要设置包括:
- 从电子邮件加载项服务到Office 365。
- TLS 加密和证书验证基于在上一步中配置为接受域的自定义证书域名。
使用 EAC 创建从电子邮件加载项服务接收消息的连接器
在新的 EAC 中创建入站连接器
转到 “邮件流>连接器”,然后单击“
添加连接器。
此时会打开“新建连接器”向导。 在第一页上,配置以下设置:
- 连接来源:选择 组织的电子邮件服务器。
- 连接到:验证是否已选择Office 365。
完成后,单击“下一步”。
在 “连接器名称 ”页上,配置以下设置:
- 名称:输入描述性名称 (例如 Contoso Signature Service 以Office 365) 。
- 说明:输入可选说明。
- 保存连接器后要执行什么操作?:配置以下设置:
- 将其打开:验证是否已选中此设置。
- 保留内部 Exchange 电子邮件标头 (建议) :配置以下值之一:
- 已选中:保留从电子邮件加载项服务返回的邮件中的内部标头。 如果在“步骤 1”中创建的连接器的此设置上选择了此值,则需要在此处配置相同的值。 将保留返回邮件中的内部 Exchange 标头,这意味着从电子邮件加载项服务返回的邮件被视为受信任的内部邮件。
- 未选中:如果从电子邮件加载项服务返回的邮件有任何) ,则删除内部 Exchange 标头 (。
完成后,单击“下一步”。
在 “验证已发送的电子邮件” 页上,验证第一个选项是否已选中 (通过证书) 进行验证,并输入电子邮件加载项服务在注册服务时提供给你的证书域 (例如,S5HG3DCG14.smtp.contososignatureservice.com) 。
完成后,单击“下一步”。
在“ 审阅连接器 ”页上,验证设置。 可以单击相应部分中的 “编辑 ”进行更改。 完成后,单击“ 创建连接器”*。
在经典 EAC 中创建入站连接器
转到“邮件流>连接器”,然后单击“新建
此时会打开“新建连接器”向导。 在 “选择邮件流方案 ”页上,配置以下设置:
- 发件人:选择 组织的电子邮件服务器。
- 目标:选择“Office 365”。
完成后,单击“下一步”。
在下一页上,配置以下设置:
- 名称:输入描述性名称 (例如 Contoso Signature Service 以Office 365) 。
- 说明:输入可选说明。
- 保存连接器后要执行什么操作?:配置以下设置:
- 将其打开:验证是否已选中此设置。
- 保留内部 Exchange 电子邮件标头 (建议) :配置以下值之一:
- 已选中:保留从电子邮件加载项服务返回的邮件中的内部标头。 如果在“步骤 1”中创建的连接器的此设置上选择了此值,则需要在此处配置相同的值。 将保留返回邮件中的内部 Exchange 标头,这意味着从电子邮件加载项服务返回的邮件被视为受信任的内部邮件。
- 未选中:如果从电子邮件加载项服务返回的邮件有任何) ,则删除内部 Exchange 标头 (。
- 保存连接器后要执行什么操作?:配置以下设置:
完成后,单击“下一步”。
在“Office 365如何识别电子邮件服务器的电子邮件?”页上,验证第一个选项是否已选中 (证书) 进行验证,并输入在注册服务时电子邮件加载项服务提供给你的证书域 (,例如,S5HG3DCG14.smtp.contososignatureservice.com) 。
完成后,单击“下一步”。
在 “确认设置” 页上,验证设置。 可以单击“ 后退 ”以修改设置。
完成后,单击“保存”。
使用 Exchange Online PowerShell 创建入站连接器以接收来自电子邮件加载项服务的邮件
若要在 PowerShell Exchange Online 电子邮件加载项服务中创建入站连接器,请使用以下语法:
New-InboundConnector -Name "<Descriptive Name>" -SenderDomains * -ConnectorType OnPremises -RequireTls $true -RestrictDomainsToCertificate $true -TlsSenderCertificateName <CertificateDomainName> [-CloudServicesMailEnabled $true]
- 名称:要Office 365的 Contoso 签名服务
- 电子邮件加载项服务的证书用于向Office 365组织进行身份验证的域名:S5HG3DCG14.smtp.contososignatureservice.com
- 将邮件标识为内部的内部 Exchange 邮件头保留在出站邮件中。
New-InboundConnector -Name "Contoso Signature Service to Office 365" -SenderDomains * -ConnectorType OnPremises -RequireTls $true -RestrictDomainsToCertificate $true -TlsSenderCertificateName S5HG3DCG14.smtp.contososignatureservice.com -CloudServicesMailEnabled $true
有关详细语法和参数信息,请参阅 New-InboundConnector。
验证是否已成功创建入站连接器
若要验证是否已成功创建入站连接器以接收来自电子邮件加载项服务的邮件,请使用以下任一过程:
在 EAC 中,转到 “邮件流>连接器”,选择连接器,然后验证设置。
在 Exchange Online PowerShell 中,将连接器名称>替换为<连接器的名称,并运行以下命令以验证属性值:
Get-InboundConnector -Identity "<Connector Name>" | Format-List Name,SenderDomains,ConnectorType,RequireTls,RestrictDomainsToCertificate,TlsSenderCertificateName,CloudServicesMailEnabled