具有強制 TLS 的規範化合作夥伴案例

  • 發行項

 

適用於: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

主題上次修改日期: 2011-10-20

組織可以使用 Forefront Online Protection for Exchange (FOPE) 連接器來設定其郵件路由,進而設定與受信任合作夥伴間的安全郵件流程通道。 某些商業合作夥伴可能會要求組織透過傳輸層安全性 (TLS) 通訊或使用協力廠商驗證的憑證來登入。 透過 FOPE 連接器,您可以使用自我簽署或 CA 驗證的憑證來設定強制內送和外寄 TLS。 TLS 是一種密碼編譯通訊協定,可針對網際網路通訊提供安全性。 如需有關在 FOPE 中使用 TLS 的詳細資訊,請參閱了解 FOPE 中的傳輸層安全性 (TLS)

在此範例案例中,contoso.com 與 fabrikambank.com 之間已經設定了安全郵件路由通道。Contoso 是使用 Microsoft Exchange Online 雲端裝載郵件解決方案來裝載其信箱。 當此組織透過 FOPE 與 Fabrikam Bank 交換郵件時,會藉由 TLS 加密確保郵件的雙向安全。

秘訣: 若要檢視描述此案例並且示範 FOPE 連接器之設定步驟的影片,請參閱具有強制 TLS 的規範化合作夥伴案例

雙向郵件流程

在雲端中接收內送或外寄郵件時,規範化合作夥伴架構的運作方式如下:

商業規範化合作夥伴案例

在此案例中,Contoso 的 Exchange Online 組織與 Fabrikam 之間流動的郵件會使用強制內送和外寄 TLS,透過安全線路傳輸。 此外,這兩個組織之間的所有郵件都會使用 CA 憑證來驗證。

設定規範化合作夥伴

若要設定規範化合作夥伴關聯,您必須建立內送和外寄 FOPE 連接器。

若要針對規範化合作夥伴設定 FOPE 內送連接器

  1. 在 FOPE Administration Center 內,按一下 [管理] 索引標籤,然後按一下 [公司] 索引標籤。

  2. 在 [連接器] 區段中,針對 [內送連接器] 按一下 [新增]。 [新增內送連接器] 對話方塊隨即開啟。

    下圖將顯示具有強制 TLS 的規範化合作夥伴範例案例的內送連接器設定。

    規範化合作夥伴內送連接器

  3. 在 [名稱] 欄位中,輸入內送連接器的描述性名稱。

  4. 在 [描述] 欄位中,輸入有關內送連接器的其他描述性資訊。

  5. 在 [寄件者網域] 文字方塊中,輸入您想要建立安全通道之組織的網域名稱 (例如 fabrikambank.com)。

  6. 在 [寄件者 IP 位址] 欄位中,輸入合作夥伴的 IP 位址。您必須使用下列格式來指定 IP 位址: nnn.nnn.nnn.nnn,其中 nnn 是 1 到 255 之間的數字。您也可以使用下列格式來指定無類別域內郵件路由 (CIDR) 範圍: nnn.nnn.nnn.nnn/rr,其中 rr 是 24 到 31 之間的數字。您必須用逗號分隔多個 IP 位址。 雖然建議您在這裡指定 IP 位址,但如果您不知道具體的 IP 位址或與網域關聯的位址,或者您想要建立較大範圍的連接器,您可以將這個欄位保留空白。

  7. 選取 [針對上述指定的網域,將這些 IP 位址新增至安全清單並僅接受來自這些 IP 位址的郵件]。 這樣可確保源自指定之寄件者網域的郵件只來自指定的寄件者 IP 位址。 (如果未在上一個步驟中指定寄件者 IP 位址,請改為選取 [將這些 IP 位址新增至上述指定之網域的安全清單])。

  8. 在 [連接器設定] 區段中,針對 [傳輸層安全性 (TLS)] 選項選取 [強制 TLS]。 此選項將強制合作夥伴使用 TLS 連接,傳送電子郵件給裝載在雲端的使用者。 如果連接並非以 TLS 為基礎,FOPE 就會拒絕電子郵件訊息。

    如需有關在 FOPE 中使用 TLS 的詳細資訊,請參閱了解 FOPE 中的傳輸層安全性 (TLS)

  9. 在 [連接器設定] 區段中,您可以使用核取方塊來指定要套用或略過下列 [篩選] 作業。 這些篩選選項預設為啟用 (套用)。

    套用 IP 信譽篩選:指出是否要針對內送電子郵件套用 IP 信譽篩選。 這個選項並不適用於此案例。

    套用垃圾郵件篩選:指出是否要針對內送電子郵件套用垃圾郵件篩選。

    套用原則規則:指出是否要針對內送電子郵件套用原則規則。

  10. 按一下 [儲存]。

此連接器現在會列在 [內送連接器] 底下。 您可以展開連接器來檢視其設定。 您可以按一下 [編輯] 變更此連接器的組態設定。

若要將此連接器組態套用至整間公司或公司內的特定網域,或要移除此連接器,請參閱強制執行和移除 FOPE 連接器關聯

在規範化合作夥伴案例中設定 FOPE 外寄連接器

  1. 在 FOPE Administration Center 內,按一下 [管理] 索引標籤,然後按一下 [公司] 索引標籤。

  2. 在 [連接器] 區段中,針對 [外寄連接器] 按一下 [新增]。 [新增外寄連接器] 對話方塊隨即開啟。

    下圖將顯示具有強制 TLS 的規範化合作夥伴範例案例的外寄連接器設定。

    規範化合作夥伴外寄連接器

  3. 在 [名稱] 欄位中,輸入外寄連接器的描述性名稱。

  4. 在 [描述] 欄位中,輸入有關外寄連接器的其他描述性資訊。

  5. 在 [收件者網域] 文字方塊中,輸入您想要建立安全通道之組織的網域名稱。

  6. 選取 [將所有郵件傳送到下列目的地] 核取方塊,然後指定 [完整網域名稱]。 在這個欄位中,請指定 FOPE 應該傳送電子郵件的目標完整網域名稱 (例如 fabrikambank.com)。

  7. 在 [傳輸層安全性 (TLS) 設定] 區段中,您可以選取下列其中一個 TLS 憑證選項:

    • 對自我簽署憑證驗證:這個憑證 (建立在組織內部) 是用來加密通道。

    • 憑證授權單位 (CA) 受 Microsoft 信任:驗證收件者憑證是由授權的憑證授權單位所發出。 例如,它會驗證憑證是否未過期,以及憑證是否可靠。

    • 收件者憑證符合目的地網域:這個選項會一併驗證憑證的「主體別名」是否符合收件者網域名稱,藉以進一步強化 [憑證授權單位 (CA) 受 Microsoft 信任] 選項。

    • 收件者憑證相符:這個選項會一併驗證憑證的「主體別名」是否符合您在文字方塊中輸入的網域名稱,藉以進一步強化 [憑證授權單位 (CA) 受 Microsoft 信任] 選項。

  8. 按一下 [儲存]。

此連接器現在會列在 [外寄連接器] 底下。 您可以展開連接器來檢視其設定。 您可以按一下 [編輯] 變更此連接器的組態設定。

若要將此連接器組態套用至整間公司或公司內的特定網域,或要移除此連接器,請參閱強制執行和移除 FOPE 連接器關聯