使用多個位置的信箱管理郵件流程， (Exchange Online和內部部署 Exchange)

摘要：如何在 Exchange 混合式環境中管理郵件流程，也就是某些信箱位於內部部署，而有些信箱位於 Microsoft 365 或 Office 365。

本主題涵蓋下列使用 Microsoft 365 或 Office 365 的複雜郵件流程案例：

• 案例 1：MX 記錄會指向 Microsoft 365 或 Office 365，而 Microsoft 365 或 Office 365 會篩選所有訊息

• 案例 2：MX 記錄指向 Microsoft 365 或Office 365，並在內部部署環境中篩選郵件

• 案例 3：MX 記錄指向我的內部部署伺服器

• 案例 4：MX 記錄會指向我的內部部署伺服器，以篩選並提供訊息的合規性解決方案。 您的內部部署伺服器必須透過 Microsoft 365 或 Office 365 將訊息轉送至網際網路。

管理某些信箱位於 Microsoft 365 或 Office 365，而某些信箱位於您組織的電子郵件伺服器上的郵件流程

案例 1：MX 記錄會指向 Microsoft 365 或 Office 365，而 Microsoft 365 或 Office 365 會篩選所有訊息

• 我正將信箱移轉至Exchange Online，而我想要將某些信箱保留在組織的電子郵件伺服器上， (內部部署伺服器) 。 我想要使用 Microsoft 365 或 Office 365 作為垃圾郵件篩選解決方案，並想要使用 Microsoft 365 或 Office 365，將我的郵件從內部部署伺服器傳送到網際網路。 Microsoft 365 或 Office 365會傳送和接收所有訊息。

大部分需要混合式郵件流程設定的客戶都應該允許 Microsoft 365 或Office 365執行其所有篩選和路由。 建議您將 MX 記錄指向 Microsoft 365 或Office 365，因為此設定提供最精確的垃圾郵件篩選。 針對此案例，貴組織的郵件流程設定看起來會類似下圖。

最佳做法

1. 在 Microsoft 365 或 Office 365 中新增自訂網域。 若要證明您擁有網域，請遵循將 網域新增至 Microsoft 365中的指示。

2. 在Exchange Online中建立使用者信箱，或將所有使用者的信箱移至 Microsoft 365 或Office 365。

3. 更新步驟 1 中新增之網域的 DNS 記錄。 (不確定如何執行這項工作？請遵循 此頁面上的指示.) 下列 DNS 記錄控制郵件流程：

   • MX 記錄：以下列格式將 MX 記錄指向 Microsoft 365 或 Office 365： < domainKey-com.mail.protection.outlook.com >

     例如，如果您的網域 contoso.com，MX 記錄應該是：contoso-com.mail.protection.outlook.com。

   • SPF 記錄：此記錄應該將 Microsoft 365 或Office 365列為有效的寄件者;來自您內部部署伺服器連線到 EOP 的任何 IP 位址;以及代表貴組織傳送電子郵件的任何協力廠商。 例如，如果您組織的電子郵件伺服器網際網路對向 IP 位址是 131.107.21.231，則 contoso.com 的 SPF 記錄應該是：

     v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
     

     或者，根據協力廠商需求，您可能需要包含協力廠商的網域，如下列範例所示：

     v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
     

4. 在 Exchange 系統管理中心 (EAC) 中，使用連接器精靈在 Microsoft 365 中使用連接器設定郵件流程，或針對下列案例Office 365：

   • 將訊息從 Microsoft 365 或Office 365傳送至貴組織的電子郵件伺服器

   • 將訊息從內部部署伺服器傳送至 Microsoft 365 或 Office 365

     如果下列其中一個案例適用于您的組織，您必須建立連接器，以支援將郵件從內部部署伺服器傳送至 Microsoft 365 或 Office 365。

   • 您的組織有權代表您的用戶端傳送訊息，但您的組織沒有網域。 例如，contoso.com 授權透過不屬於 fabrikam.com 的 fabrikam.com 傳送 contoso.com。

   • 您的組織會透過 Microsoft 365 或 Office 365，將非傳遞報告轉送 (也稱為 NDR 或退回) 到網際網路的訊息。

     若要建立連接器，請在 [如何Office 365識別電子郵件伺服器的電子郵件] 畫面上選擇連接器建立精靈中的第一個選項，如下列兩個螢幕擷取畫面所示，分別適用于 [新增 EAC] 和 [傳統 EAC]。

此設定可讓 Microsoft 365 或Office 365使用憑證來識別您的電子郵件伺服器。 在此案例中，SAN (憑證 CN 或主體別名) 包含屬於您組織的網域。 如需詳細資訊，請 參閱識別電子郵件伺服器的電子郵件。 如需連接器設定詳細資料，請參閱第 2 部分：設定郵件從您的電子郵件伺服器流向 Microsoft 365 或Office 365。

5. 除非您的其中一個合作夥伴有特殊需求，例如對銀行強制執行 TLS，否則您在下列案例中不需要連接器。

   • 從 Microsoft 365 或Office 365傳送郵件至合作夥伴組織

   • 將郵件從合作夥伴組織傳送至 Microsoft 365 或 Office 365

案例 2：MX 記錄指向 Microsoft 365 或Office 365，並在內部部署環境中篩選郵件

• 我正將信箱移轉至Exchange Online，而且我想要將一些信箱保留在組織的電子郵件伺服器上， (內部部署伺服器) 。 我想要使用內部部署環境中已有的篩選和合規性解決方案。 所有從網際網路傳送到雲端信箱的郵件，或從雲端信箱傳送到網際網路的郵件，都必須透過內部部署伺服器進行路由傳送。

如果您有在內部部署環境中篩選郵件的商務或法規理由，建議您將網域的 MX 記錄指向 Microsoft 365 或Office 365，並啟用集中式郵件傳輸。 此設定提供最佳的垃圾郵件篩選，並保護貴組織的 IP 位址。 針對此案例，貴組織的郵件流程設定看起來會類似下圖。

最佳做法

1. 在 Microsoft 365 或 Office 365 中新增自訂網域。 若要證明您擁有網域，請遵循將 網域新增至 Microsoft 365中的指示。

2. 在Exchange Online中建立使用者信箱，或將所有使用者的信箱移至 Microsoft 365 或Office 365。

3. 更新步驟 1 中新增之網域的 DNS 記錄。 (不確定如何執行這項工作？請遵循 此頁面上的指示.) 下列 DNS 記錄控制郵件流程：

   • MX 記錄：以下列格式將 MX 記錄指向 Microsoft 365 或 Office 365： < domainKey-com.mail.protection.outlook.com >

   例如，如果您的網域 contoso.com，MX 記錄應該是：contoso-com.mail.protection.outlook.com。

   • SPF 記錄：此記錄應該將 Microsoft 365 或 Office 365 列為有效的寄件者，以及連線到 EOP 之內部部署伺服器的任何 IP 位址，以及代表貴組織傳送電子郵件的任何協力廠商。 例如，如果您組織的電子郵件伺服器網際網路對向 IP 位址是 131.107.21.231，則 contoso.com 的 SPF 記錄應該是：

     v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
     

4. 針對內部部署合規性解決方案使用集中式郵件傳輸 (CMT) 。

   • 從網際網路傳送到Exchange Online中信箱的郵件會先傳送至內部部署伺服器，然後返回Exchange Online傳遞至信箱。 第 1 行代表案例 2 圖表中的這個路徑。

   • 來自Exchange Online且目的地為網際網路的郵件會先傳送至您的內部部署伺服器，然後返回Exchange Online，然後傳遞至網際網路。 第 4 行代表案例 2 圖表中的這個路徑。

   • 若要達成此設定，請透過 混合式 設定精靈或透過 Cmdlet 建立連接器，並啟用 CMT。 如需 CMT 的詳細資訊，請參閱 Exchange 混合式部署中的傳輸選項。

除非您的其中一個合作夥伴有特殊需求，例如對銀行強制執行 TLS，否則您在下列案例中不需要連接器。

• 從 Microsoft 365 或Office 365傳送郵件至合作夥伴組織

• 將郵件從合作夥伴組織傳送至 Microsoft 365 或 Office 365

案例 3：MX 記錄指向我的內部部署伺服器

• 我正將信箱移轉至Exchange Online，而我想要將某些信箱保留在組織的電子郵件伺服器上， (內部部署伺服器) 。 我想要使用內部部署電子郵件環境中已有的篩選和合規性解決方案。 所有從網際網路傳送到雲端信箱的郵件，或從雲端信箱傳送到網際網路的郵件，都必須透過內部部署伺服器進行路由傳送。 我需要將網域的 MX 記錄指向我的內部部署伺服器。

除了案例 2，您可以將網域的 MX 記錄指向組織的電子郵件伺服器，而不是 Microsoft 365 或 Office 365。 有些組織對此設定有業務或法規需求，但如果您使用案例 2，篩選通常效果更好。

針對此案例，貴組織的郵件流程設定看起來會類似下圖。

最佳做法

如果您網域的 MX 記錄需要指向您的內部部署 IP 位址，請使用下列最佳做法：

1. 在 Microsoft 365 或 Office 365 中新增自訂網域。 若要證明您擁有網域，請遵循將 網域新增至 Microsoft 365中的指示。

2. 在Exchange Online中建立使用者信箱，或將所有使用者的信箱移至 Microsoft 365 或Office 365。

3. 更新步驟 1 中新增之網域的 DNS 記錄。 (不確定如何執行這項工作？請遵循 此頁面上的指示.) 下列 DNS 記錄控制郵件流程：

   • SPF 記錄：此記錄應該將 Microsoft 365 或Office 365列為有效的寄件者。 它也應該包含來自內部部署伺服器 (可連接至 EOP) 的任何 IP 位址，以及代表貴組織傳送電子郵件的任何協力廠商。 例如，如果您組織的電子郵件伺服器網際網路對向 IP 位址是 131.107.21.231，則 contoso.com 的 SPF 記錄應該是：

     v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
     

4. 由於您不會透過 Microsoft 365 或 Office 365 將訊息從內部部署伺服器轉送至網際網路，因此在技術上，您不需要針對下列案例建立連接器。 但是，如果您在某個時間點將 MX 記錄變更為指向 Microsoft 365 或Office 365，則必須建立連接器;因此，最好事先執行。 在 Exchange 系統管理中心，使用連接器精靈進行第 2 部分：針對下列案例，設定郵件從您的電子郵件伺服器流向 Microsoft 365 或Office 365，或使用混合式設定精靈建立連接器：

   • 從 Microsoft 365 或Office 365傳送郵件至您組織的電子郵件伺服器

   • 將郵件從內部部署伺服器傳送至 Microsoft 365 或 Office 365

5. 若要確定訊息是透過 MX 傳送至組織的內部部署伺服器，請移至 您可以套用至合作夥伴組織所傳送電子郵件的範例安全性限制，並遵循「範例 3：要求所有來自合作夥伴組織網域的電子郵件 ContosoBank.com 從特定 IP 位址範圍傳送」。

案例 4：MX 記錄會指向我的內部部署伺服器，以篩選並提供訊息的合規性解決方案。 您的內部部署伺服器必須透過 Microsoft 365 或 Office 365 將訊息轉送至網際網路。

• 我正將信箱移轉至Exchange Online，而我想要將某些信箱保留在組織的電子郵件伺服器上， (內部部署伺服器) 。 我想要使用內部部署電子郵件環境中已有的篩選和合規性解決方案。 從內部部署伺服器傳送的所有訊息都必須透過 Microsoft 365 或Office 365轉送至網際網路。 我需要將網域的 MX 記錄指向我的內部部署伺服器。

針對此案例，貴組織的郵件流程設定看起來會類似下圖。

最佳做法

如果您網域的 MX 記錄需要指向您的內部部署 IP 位址，請使用下列最佳做法：

1. 在 Microsoft 365 或 Office 365 中新增自訂網域。 若要證明您擁有網域，請遵循將 網域新增至 Microsoft 365中的指示。

2. 在Exchange Online中建立使用者信箱，或將所有使用者的信箱移至 Microsoft 365 或Office 365。

3. 更新步驟 1 中新增之網域的 DNS 記錄。 (不確定如何執行這項工作？請遵循 此頁面上的指示.) 下列 DNS 記錄控制郵件流程：

   • MX 記錄：以下列格式將 MX 記錄指向內部部署伺服器：mail。 <domainKey.com >

     例如，如果您的網域 contoso.com，MX 記錄應該是：.mail.contoso.com。

   • SPF 記錄：此記錄應該將 Microsoft 365 或Office 365列為有效的寄件者。 它也應該包含來自內部部署伺服器 (可連接至 EOP) 的任何 IP 位址，以及代表貴組織傳送電子郵件的任何協力廠商。 例如，如果您組織的電子郵件伺服器網際網路對向 IP 位址是 131.107.21.231，則 contoso.com 的 SPF 記錄應該是：

     v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
     

4. 在 EAC 中，使用連接器精靈在Microsoft 365 中使用連接器設定郵件流程，或針對下列案例使用Office 365：

   • 從 Microsoft 365 或Office 365傳送郵件至您組織的電子郵件伺服器

   • 將郵件從內部部署伺服器傳送至 Microsoft 365 或 Office 365

     如果下列任何案例適用于您的組織，請建立連接器以支援「將郵件從內部部署伺服器傳送至 Microsoft 365 或Office 365」案例：

   • 貴組織已獲授權代表您的用戶端傳送郵件，但貴組織未擁有該網域。 例如，contoso.com 授權透過不屬於 fabrikam.com 的 fabrikam.com 傳送 contoso.com。

   • 您的組織會透過 Microsoft 365 或 Office 365，將非傳遞報告 () 轉送至網際網路。

   • 您網域的 MX 記錄 contoso.com 指向您的內部部署伺服器，而貴組織的使用者會自動將郵件轉送到組織外部的電子郵件地址。 例如， kate@contoso.com 已啟用轉送，且所有訊息都會移至 kate@tailspintoys.com 。 如果 john@fabrikam.com 將訊息傳送至 kate@contoso.com ，則在訊息抵達 Microsoft 365 或Office 365時，會 fabrikam.com 寄件者網域，並 tailspin.com 收件者網域。 寄件者網域和收件者網域不屬於您的組織。

     若要建立連接器，請在 [Microsoft 365 或Office 365如何識別電子郵件伺服器的電子郵件] 畫面上選擇連接器建立精靈中的第一個選項，如下列兩個螢幕擷取畫面所示，分別適用于 [新增 EAC] 和 [傳統 EAC]。

此選項可讓 Microsoft 365 或Office 365使用憑證來識別您的電子郵件伺服器。 在此案例中，SAN (憑證 CN 或主體別名) 包含屬於您組織的網域。 如需詳細資訊，請 參閱識別電子郵件伺服器的電子郵件。 如需連接器設定詳細資料，請參閱第 2 部分：設定郵件從您的電子郵件伺服器流向 Microsoft 365 或Office 365。

5. 為合作夥伴組織的安全郵件流程設定連接器 ，以確保訊息會透過 MX 傳送至組織的內部部署伺服器。

另請參閱

Exchange Online、Microsoft 365 和 Office 365 (概觀的郵件流程最佳做法)

使用 Microsoft 365 或 Office 365 管理所有信箱和郵件流程

使用協力廠商雲端服務搭配 Microsoft 365 或 Office 365 來管理郵件流程

使用協力廠商雲端服務搭配 Microsoft 365 或 Office 365 和內部部署的信箱來管理郵件流程

針對 Office Microsoft 365 或 365 郵件流程進行疑難排解

驗證您的 Microsoft 365 或Office 365連接器來測試郵件流程