案例:整合Exchange Online與電子郵件附加元件服務
許多協力廠商雲端服務解決方案都提供適用于Exchange Online的附加元件服務。 基於安全性理由,我們不允許在 Exchange Online 中安裝協力廠商電子郵件附加元件服務。 但是,您可以與服務提供者合作,在Exchange Online組織中設定設定,以便使用服務。
本主題說明貴組織如何藉由檢查名為 Contoso Signature Service 的虛構服務,來使用協力廠商電子郵件附加元件服務的最佳做法。 此虛構服務會在 Azure 中執行,並提供自訂電子郵件簽章。
注意事項
此服務可以部署在 Azure 以外的雲端環境中。
下圖顯示郵件流程和服務的高階摘要。
當您Exchange Online組織中的使用者撰寫並傳送訊息時,會使用連接器和郵件流程規則,將訊息轉移至 Contoso 簽章服務 (也稱為您建立的傳輸規則) 。
從 Exchange Online 到 Contoso 簽章服務的連線會由 TLS 加密,因為您會在連接器設定中設定服務的憑證功能變數名稱,例如,smtp.contososignatureservice.com) (。
Contoso 簽章服務會接受訊息,並將電子郵件簽章新增至郵件。 服務也會使用自訂標頭來戳記訊息,以指出訊息已處理。
Contoso 簽章服務會將訊息路由傳回Exchange Online。 您建立的連接器會接受來自 Contoso 簽章服務的傳入訊息。
- Contoso 簽章服務會使用智慧型主機路由,將訊息路由傳回Exchange Online組織所在的區域。 例如,如果您的Exchange Online網域 fabrikam.onmicrosoft.com,則會 fabrikam.mail.protection.outlook.com 目的地智慧主機。
- Contoso 簽章服務會為每個客戶提供唯一的憑證功能變數名稱。 您可以將此功能變數名稱設定為Exchange Online組織中已接受的網域,並在連接器設定中 (例如,S5HG3DCG14.smtp.contososignatureservice.com) 。
Exchange Online將具有自訂簽章的訊息傳送給原始收件者。
本主題的其餘部分說明如何在Exchange Online中設定郵件流程,以使用電子郵件附加元件服務。
注意事項
您想要與Exchange Online組織整合的任何電子郵件附加元件服務都需要這些元素。 您必須與電子郵件附加元件服務提供者合作,在 Exchange Online 中設定其必要設定。
開始之前有哪些須知?
預估完成時間:15 分鐘
您必須具備許可權,才能執行此程式或程式。 若要查看您需要的權限,請參閱<Exchange Online 中的功能權限>主題中的<郵件流程>項目。
如需開啟 Exchange 系統管理中心 (EAC),請參閱 Exchange Online 中的 Exchange 系統管理中心。 若要了解如何使用 Windows PowerShell 連線到 Exchange Online,請參閱連線到 Exchange Online Protection PowerShell。
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 請造訪論壇:Exchange Online 或 Exchange Online Protection。
步驟 1:建立連接器,將訊息從Office 365路由傳送至電子郵件附加元件服務
連接器的重要設定如下:
- 從Office 365到電子郵件附加元件服務。
- 使用電子郵件附加元件服務的智慧型主機路由。
- 使用 TLS 根據智慧型主機) (電子郵件附加元件服務的功能變數名稱來加密連線。
使用 EAC 建立連接器,將訊息從Office 365路由傳送至電子郵件附加元件服務
在新的 EAC 中建立輸出連接器
在 EAC 中,移至[郵件流程>連接器],然後按一下 [新增連接器。
新的連接器精靈隨即開啟。 在第一頁上,設定下列設定:
- 連線來源:選取 [Office 365]。
- 連線至: 貴組織的電子郵件伺服器
完成後,按 [下一步]。
在下一個頁面上,設定下列設定:
- 名稱:輸入描述性名稱 (例如,Office 365至 Contoso 簽章服務) 。
- 描述:輸入選擇性描述。
- 儲存連接器之後,您想要做什麼?:設定下列設定:
- 將它開啟 ,讓此值保持選取狀態。
- 保留內部 Exchange 電子郵件標頭 (建議) :設定下列其中一個值:
- 已核取:在傳送至電子郵件附加元件服務的郵件中保留內部標頭,這表示訊息會被視為受信任的內部訊息。 如果您選取此值,您也必須針對您在步驟 4 中建立的輸入連接器,在此設定上使用相同的值 (否則,輸入連接器會從傳回的訊息) 中移除內部 Exchange 標頭。
- 未核取:將內部標頭傳送至電子郵件附加元件服務之前,從郵件中移除內部標頭。 如果您選取此值,您在步驟 4 中建立的輸入連接器上的此設定值在定義上 (沒有意義,在傳回訊息) 時將不會有內部 Exchange 標頭可保留或移除。
完成後,按 [下一步]。
在 [ 使用連接器] 頁面上,選取 [ 只有當我已設定傳輸規則,將訊息重新導向至此連接器時],然後按 [ 下一步]。
在 [ 路由 ] 頁面上,輸入智慧型主機值 click 或電子郵件附加元件服務 (例如,smtp.contososignatureservice.com) ,按一下 [新增,然後按 [ 下一步]。
在 [ 安全性限制 ] 頁面上,設定下列設定:
- 確認 一律使用傳輸層安全性 (TLS) 來保護連線 (已選取建議) 。
- 確認已選取 信任的憑證授權單位單位 (CA) 發出。
- 選取 [SAN] (主體名稱或主體別名) 符合此功能變數名稱,然後輸入您在上一個步驟中使用的智慧型主機 (例如,smtp.contososignatureservice.com) 。
完成後,按 [下一步]。
在 [ 驗證電子郵件 ] 頁面上,執行下列步驟:
- 在您組織的電子郵件伺服器上輸入有效的電子郵件地址,然後按一下 [ 新增。
- 按一下 [驗證] 以開始驗證程式。
驗證程式完成之後,按 [ 下一步]。
在 [ 檢閱連接器] 頁面上,檢閱新連接器的設定。 您可以按一下特定區段中的 [ 編輯 ] 來編輯這些設定。
完成後,按一下 [ 建立連接器]。
在傳統 EAC 中建立輸出連接器
移至[郵件流程>連接器],然後按一下 [新增。
新的連接器精靈隨即開啟。 在 [ 選取您的郵件流程案例] 頁面上,設定下列設定:
- 從:選取 [Office 365]。
- 至:選 取您組織的電子郵件伺服器。
完成後,按 [下一步]。
在下一個頁面上,設定下列設定:
- 名稱:輸入描述性名稱 (例如,Office 365至 Contoso 簽章服務) 。
- 描述:輸入選擇性描述。
- 儲存連接器之後,您想要做什麼?:設定下列設定:
- 將它開啟 ,讓此值保持選取狀態。
- 保留內部 Exchange 電子郵件標頭 (建議) :設定下列其中一個值:
- 已核取:在傳送至電子郵件附加元件服務的郵件中保留內部標頭,這表示訊息會被視為受信任的內部訊息。 如果您選取此值,您也必須針對您在步驟 4 中建立的輸入連接器,在此設定上使用相同的值 (否則,輸入連接器會從傳回的訊息) 中移除內部 Exchange 標頭。
- 未核取:將內部標頭傳送至電子郵件附加元件服務之前,從郵件中移除內部標頭。 如果您選取此值,您在步驟 4 中建立的輸入連接器上的此設定值在定義上 (沒有意義,在傳回訊息) 時將不會有內部 Exchange 標頭可保留或移除。
(根據定義,傳回訊息時不會有內部 Exchange 標頭) 保留或移除。
完成後,按 [下一步]。
在 [ 何時要使用此連接器? ] 頁面上,選取 [ 只有當我已設定傳輸規則,將訊息重新導向至此連接器時],然後按 [ 下一步]。
在 [要如何路由傳送電子郵件訊息?] 頁面上,按一下 [。 在出現的 [ 新增智慧主機 ] 對話方塊中,輸入電子郵件附加元件服務的智慧型主機值 (例如,smtp.contososignatureservice.com) ,按一下 [ 儲存],然後按 [ 下一步]。
在 [Office 365如何連線到您的電子郵件伺服器?頁面上,設定下列設定:
- 確認 一律使用傳輸層安全性 (TLS) 來保護連線 (已選取建議) 。
- 確認已選取 信任的憑證授權單位單位 (CA) 發出。
- 選取 [SAN] (主體名稱或主體別名) 符合此功能變數名稱,然後輸入您在上一個步驟中使用的智慧型主機 (例如,smtp.contososignatureservice.com) 。
完成後,按 [下一步]。
在 [ 確認您的設定] 頁面上,確認設定。 按一下 [上一步 ] 視需要修改設定。
完成後,按 [下一步]。
在 [驗證此連接器]頁面上,按一下 [。 在出現的 [新增電子郵件] 對話方塊中,輸入不在Exchange Online中的電子郵件地址來測試連接器 (例如, admin@fabrikam.com) ,按一下 [確定],然後按一下 [驗證]。
進度指示器隨即出現。 當連接器驗證完成時,按一下 [ 關閉]。
在 [ 驗證結果] 頁面上,按一下 [ 儲存]。
使用 Exchange Online PowerShell 建立電子郵件附加元件服務的輸出連接器
若要在 Exchange Online PowerShell 中建立電子郵件附加元件服務的輸出連接器,請使用下列語法:
New-OutboundConnector -Name "<Descriptive Name>" -ConnectorType OnPremises -IsTransportRuleScoped $true -UseMxRecord $false -SmartHosts <SmartHost> -TlsSettings DomainValidation -TlsDomain <SmartHost> [-CloudServicesMailEnabled $true]
此範例會使用下列設定建立輸出連接器:
- 名稱:Office 365至 Contoso 簽章服務
- 電子郵件附加元件服務的智慧型主機目的地:smtp.contososignatureservice.com
- 用於網域驗證的 TLS 網域:smtp.contososignatureservice.com
- 將訊息識別為內部的內部 Exchange 訊息標頭會保留在輸出訊息中。
New-OutboundConnector -Name "Office 365 to Contoso Signature Service" -ConnectorType OnPremises -IsTransportRuleScoped $true -UseMxRecord $false -SmartHosts smtp.contososignatureservice.com -TlsSettings DomainValidation -TlsDomain smtp.contososignatureservice.com -CloudServicesMailEnabled $true
如需詳細的語法和參數資訊,請參閱 New-OutboundConnector。
確認您已成功建立輸出連接器
若要確認您已成功建立輸出連接器,以將訊息路由傳送至電子郵件附加元件服務,請使用下列其中一個程式:
在 EAC 中,移至[郵件流程>連接器],選取連接器,然後確認設定。
在 Exchange Online PowerShell 中,以連接器名稱取代 < 連接器名稱 >,然後執行此命令來驗證屬性值:
Get-OutboundConnector -Identity "<Connector Name>" | Format-List Name,ConnectorType,IsTransportRuleScoped,UseMxRecord,SmartHosts,TlsSettings,TlsDomain,CloudServicesMailEnabled
步驟 2:建立郵件流程規則,以將未處理的郵件路由傳送至電子郵件附加元件服務
如果電子郵件附加元件服務尚未處理郵件, (自訂標頭未在郵件) 上加上戳記,則此規則會將來自內部寄件者的訊息路由傳送至您在步驟 1 中建立的連接器。
使用 EAC 建立郵件流程規則,將未處理的郵件路由傳送至電子郵件附加元件服務
注意事項
在新的 EAC 中建立郵件流程規則,與傳統 EAC 完全相同。
移至[郵件流程>規則],然後按一下 [新增,然後選取 [建立新規則]。
在開啟 的 [新增規則 ] 頁面中,按一下接近頁面底部的 [ 更多選項 ]。
在 [ 新增規則] 頁面上,設定下列設定:
- 名稱:輸入描述性名稱 (例如,將電子郵件路由傳送至 Contoso 簽章服務) 。
- 如果:選取 [寄件者>為外部/內部> ],請在組織內部選取,然後按一下 [確定],則套用此規則。
- 執行下列動作:選取 [將訊息重新導向至>下列連接器> ]選取您在步驟 1 中建立的連接器,然後按一下 [確定]。
- 除非:按一下[新增例外狀況> ] 選取訊息標> 頭包含 和 這些字組。
- 按一下 [輸入文字],輸入電子郵件附加元件服務所套用之自訂標頭欄位的名稱 (例如 SignatureContoso) ,然後按一下 [ 確定]。
- 按一下[輸入文字],輸入標頭域值,指出電子郵件附加元件服務已處理訊息 (例如,true) ,按一下 [,然後按一下 [確定]。
- 選取接近頁面底部的 [ 停止處理更多規則]。
完成後,按一下 [儲存]。
使用 Exchange Online PowerShell 建立郵件流程規則,將未處理的郵件路由傳送至電子郵件附加元件服務
若要在 Exchange Online PowerShell 中建立郵件流程規則,請使用下列語法:
New-TransportRule -Name "<Descriptive Name>" -FromScope InOrganization -RouteMessageOutboundConnector "<Connector Name>" -ExceptIfHeaderContainsMessageHeader <HeaderName> -ExceptIfHeaderContainsWords <HeaderValue> -StopRuleProcessing $true
此範例會使用下列設定建立郵件流程規則:
- 名稱:將電子郵件路由至 Contoso 簽章服務
- 輸出連接器名稱:Office 365至 Contoso 簽章服務
- 標頭欄位和值,表示由電子郵件附加元件服務處理具有 true 值的 SignatureContoso。
New-TransportRule -Name "Route email to Contoso Signature Service" -FromScope InOrganization -RouteMessageOutboundConnector "Office 365 to Contoso Signature Service" -ExceptIfHeaderContainsMessageHeader SignatureContoso -ExceptIfHeaderContainsWords true -StopRuleProcessing $true
如需詳細的語法和參數資訊,請參閱 New-TransportRule。
確認您已成功建立郵件流程規則
若要確認您已成功建立郵件流程規則,以將未處理的郵件路由傳送至電子郵件附加元件服務,請使用下列其中一個程式:
在 EAC 中,移至[郵件流程>規則],選取規則,按一下[編輯編輯然後確認規則的設定。
在 Exchange Online PowerShell 中,以規則名稱取代 < 規則名稱 >,然後執行此命令來驗證屬性值:
Get-TransportRule -Identity "<Rule Name>" | Format-List Name,FromScope,RouteMessageOutboundConnector,ExceptIfHeaderContainsMessageHeader,ExceptIfHeaderContainsWords,StopRuleProcessing
步驟 3:將電子郵件附加元件服務所提供的自訂憑證網域新增為 Exchange Online 中接受的網域
在 的Microsoft 365 系統管理中心 https://admin.microsoft.com 中,移至 [設定> 網域],然後按一下 [新增網域]。
[新增網域精靈] 隨即啟動。 在 [ 新增網域 ] 頁面上,輸入您在服務中註冊電子郵件附加元件服務時所提供的自訂憑證網域 (例如,S5HG3DCG14.smtp.contososignatureservice.com) ,然後按一下 [ 使用此網域]。
注意:此值必須是 48 個字元或更少。
在 [ 網域驗證] 頁面上,選取下列其中一個值:
- 將 TXT 記錄新增至網域的 DNS 記錄
- 如果您無法新增 TXT 記錄,請將 MX 記錄新增至網域的 DNS 記錄
當您完成時,按一下 [ 繼續]
您看到的下一頁取決於您先前的選取範圍。 使用頁面上的詳細資料,為自訂憑證網域建立必要的 TXT 或 MX 網域擁有權記錄證明。
建立網域擁有權證明記錄之後,按一下 [ 驗證 ] 並等候結果。
在 [ 連線網域] 頁面上,按一下 [ 儲存並關閉]。
如需詳細資訊,請 參閱將您的網域新增至 Microsoft 365。
步驟 4:建立從電子郵件附加元件服務接收訊息的連接器
連接器的重要設定如下:
- 從電子郵件附加元件服務到 Office 365。
- TLS 加密和憑證驗證是以您在上一個步驟中設定為可接受網域的自訂憑證功能變數名稱為基礎。
使用 EAC 建立連接器,以接收來自電子郵件附加元件服務的訊息
在新的 EAC 中建立輸入連接器
移至[郵件流程>連接器],然後按一下 [新增連接器。
新的連接器精靈隨即開啟。 在第一頁上,設定下列設定:
- 連線來源:選取 您組織的電子郵件伺服器。
- 連線至:確認已選取Office 365。
完成後,按 [下一步]。
在 [ 連接器名稱 ] 頁面上,設定下列設定:
- 名稱:輸入描述性名稱 (例如 Contoso Signature Service to Office 365) 。
- 描述:輸入選擇性描述。
- 儲存連接器之後,您想要做什麼?:設定下列設定:
- 開啟此選項:確認已選取此設定。
- 保留內部 Exchange 電子郵件標頭 (建議) :設定下列其中一個值:
- 已核取:在從電子郵件附加元件服務傳回的郵件中保留內部標頭。 如果您針對您在步驟 1 中建立的連接器選取此設定值,您必須在這裡設定相同的值。 傳回郵件中的內部 Exchange 標頭會保留下來,這表示從電子郵件附加元件服務傳回的訊息會被視為受信任的內部訊息。
- 未核取:如果從電子郵件附加元件服務傳回的郵件有任何) ,請移除內部 Exchange 標頭 (。
完成後,按 [下一步]。
在 [ 驗證已傳送的電子郵件 ] 頁面上,確認已選取第一個選項 (憑證) 驗證,然後輸入電子郵件附加元件服務在您註冊服務時提供給您的憑證網域 (例如,S5HG3DCG14.smtp.contososignatureservice.com) 。
完成後,按 [下一步]。
在 [ 檢閱連接器] 頁面上,確認設定。 您可以在適當的區段中按一下 [ 編輯 ] 進行變更。 當您完成時,按一下 [ 建立連接器]*。
在傳統 EAC 中建立輸入連接器
移至[郵件流程>連接器],然後按一下 [新增。
新的連接器精靈隨即開啟。 在 [ 選取您的郵件流程案例] 頁面上,設定下列設定:
- 從:選 取您組織的電子郵件伺服器。
- 至:選取 [Office 365]。
完成後,按 [下一步]。
在下一個頁面上,設定下列設定:
- 名稱:輸入描述性名稱 (例如 Contoso Signature Service to Office 365) 。
- 描述:輸入選擇性描述。
- 儲存連接器之後,您想要做什麼?:設定下列設定:
- 開啟此選項:確認已選取此設定。
- 保留內部 Exchange 電子郵件標頭 (建議) :設定下列其中一個值:
- 已核取:在從電子郵件附加元件服務傳回的郵件中保留內部標頭。 如果您針對您在步驟 1 中建立的連接器選取此設定值,您必須在這裡設定相同的值。 傳回郵件中的內部 Exchange 標頭會保留下來,這表示從電子郵件附加元件服務傳回的訊息會被視為受信任的內部訊息。
- 未核取:如果從電子郵件附加元件服務傳回的郵件有任何) ,請移除內部 Exchange 標頭 (。
- 儲存連接器之後,您想要做什麼?:設定下列設定:
完成後,按 [下一步]。
在 [Office 365如何從您的電子郵件伺服器識別電子郵件?] 頁面上,確認已選取第一個選項 (憑證) 進行驗證,然後輸入在服務中註冊時,電子郵件附加元件服務提供給您的憑證網域 (,例如,S5HG3DCG14.smtp.contososignatureservice.com) 。
完成後,按 [下一步]。
在 [ 確認您的設定] 頁面上,確認設定。 您可以按一下 [上一步 ] 來修改設定。
完成後,按一下 [儲存]。
使用 Exchange Online PowerShell 建立輸入連接器,以接收來自電子郵件附加元件服務的訊息
若要從 Exchange Online PowerShell 中的電子郵件附加元件服務建立輸入連接器,請使用下列語法:
New-InboundConnector -Name "<Descriptive Name>" -SenderDomains * -ConnectorType OnPremises -RequireTls $true -RestrictDomainsToCertificate $true -TlsSenderCertificateName <CertificateDomainName> [-CloudServicesMailEnabled $true]
- 名稱:要Office 365的 Contoso 簽章服務
- 電子郵件附加元件服務憑證用來向您的Office 365組織進行驗證的功能變數名稱:S5HG3DCG14.smtp.contososignatureservice.com
- 將訊息識別為內部的內部 Exchange 訊息標頭會保留在輸出訊息中。
New-InboundConnector -Name "Contoso Signature Service to Office 365" -SenderDomains * -ConnectorType OnPremises -RequireTls $true -RestrictDomainsToCertificate $true -TlsSenderCertificateName S5HG3DCG14.smtp.contososignatureservice.com -CloudServicesMailEnabled $true
如需詳細的語法和參數資訊,請參閱 New-InboundConnector。
確認您已成功建立輸入連接器
若要確認您已成功建立輸入連接器以接收來自電子郵件附加元件服務的訊息,請使用下列其中一個程式:
在 EAC 中,移至[郵件流程>連接器],選取連接器,然後確認設定。
在 Exchange Online PowerShell 中,以連接器名稱取代 < 連接器名稱 >,然後執行此命令來驗證屬性值:
Get-InboundConnector -Identity "<Connector Name>" | Format-List Name,SenderDomains,ConnectorType,RequireTls,RestrictDomainsToCertificate,TlsSenderCertificateName,CloudServicesMailEnabled