Настройка соединителя на основе сертификатов для ретрансляции сообщений электронной почты через Microsoft 365

Введение

Если у вашей организации есть гибридное развертывание (локальное развертывание и Microsoft 365), часто приходится передавать сообщения электронной почты в Интернет через Microsoft 365. То есть сообщения, отправляемые из локальной среды (почтовые ящики, приложения, сканеры, факсы и т. д.) получателям Интернета сначала направляются в Microsoft 365, а затем отправляются.

Рис. Электронная почта, ретрансляемая с локальных почтовых серверов в Интернет через Microsoft 365

Для правильной работы этого ретранслятора ваша организация должна выполнить следующие действия.

1. Создайте один или несколько соединителей в Microsoft 365 для проверки подлинности сообщений электронной почты с локальных почтовых серверов с помощью IP-адреса отправки или сертификата.

2. Настройте локальные серверы для ретрансляции через Microsoft 365.

3. Настройте систему так, чтобы выполнилось одно из следующих условий:

   • Домен отправителя

     Домен отправителя принадлежит вашей организации (т. е. вы зарегистрировали свой домен в Microsoft 365).

     Заметка Дополнительные сведения см. в статье "Добавление пользователя и домена" в Microsoft 365.

   • Конфигурация соединителя на основе сертификатов

     Локальный почтовый сервер настроен на использование сертификата для отправки электронной почты в Microsoft 365, а Common-Name (CN) или альтернативное имя субъекта (SAN) в сертификате содержит доменное имя, зарегистрированное в Microsoft 365, и вы создали соединитель на основе сертификатов в Microsoft 365 с этим доменом.

Если ни в шаге 3 нет никаких условий, Microsoft 365 не может определить, принадлежит ли вашей организации сообщение, отправленное из локальной среды. Таким образом, если вы используете гибридные развертывания, необходимо убедиться, что выполнено любое из условий шага 3.

Сводка

Начиная с 5 июля 2017 года Microsoft 365 больше не поддерживает ретрансляцию сообщений электронной почты, если клиент гибридной среды не настроил свою среду для одного из условий 3. Такие сообщения отклоняются и вызывают следующее сообщение об ошибке:

Ретрансляция 550 5.7.64: Доступ запрещён ATTR36. Дополнительные сведения см. в 3169958 базе знаний.

Кроме того, необходимо выполнить второе условие ("конфигурация соединителя на основе сертификатов") на шаге 3 в разделе "Введение ", если вашей организации требуется, чтобы любой из следующих сценариев продолжал работать после 5 июля 2017 года.

Сценарии, в которых Microsoft 365 не поддерживает ретрансляцию сообщений электронной почты по умолчанию

• Ваша организация должна отправлять отчеты о недоставках (NDR) из локальной среды получателю в Интернете и передавать сообщения через Microsoft 365. Например, кто-то отправляет сообщение электронной почты на адрес john@contoso.com, пользователю, который раньше существовал в локальной среде вашей организации. Это приводит к отправке NDR исходному отправителю.

• Ваша организация должна отправлять сообщения с почтового сервера в локальной среде из доменов, которые ваша организация не добавила в Microsoft 365. Например, ваша организация (contoso.com) отправляет сообщение электронной почты в качестве домена fabrikam.com, а fabrikam.com не принадлежит вашей организации.

• Правило пересылки настраивается на локальном сервере, а сообщения передаются через Microsoft 365.

  Например, contoso.com — это домен вашей организации. Пользователь на локальном сервере kate@contoso.comвашей организации позволяет переадресовать все сообщения kate@tailspintoys.com. Когда john@fabrikam.com отправляет сообщение kate@contoso.com, сообщение автоматически пересылается на kate@tailspintoys.com.

  С точки зрения Microsoft 365 сообщение отправляется из john@fabrikam.com в kate@tailspintoys.com. Так как почта Кейт пересылается, ни домен отправителя, ни домен получателя не принадлежит вашей организации.

Рис. Пересылаемое сообщение из contoso.com, которое разрешено ретранслировать через Microsoft 365, так как выполняется условие 3 "конфигурация соединителя на основе сертификатов"

Дополнительные сведения

Соединитель на основе сертификатов для Microsoft 365 можно настроить для передачи сообщений в Интернет. Для этого используйте следующий метод.

Шаг 1. Создание или изменение соединителя на основе сертификатов в Microsoft 365

Чтобы создать или изменить соединитель на основе сертификатов, выполните следующие действия.

1. Войдите на портал Microsoft 365 (https://portal.office.com), щелкните "Администратор" и откройте Центр администрирования Exchange. Дополнительные сведения см. в статье Центр администрирования Exchange в Интернете.

   

2. Нажмите почтовый поток, нажмите соединители и выполните одно из следующих действий:

   • Если соединителей нет, нажмите кнопку (Добавить), чтобы создать соединитель.

     

   • Если соединитель уже существует, выберите его и нажмите кнопку (Изменить).

     

3. На странице "Выбор сценария потока почты" выберите почтовый сервер вашей организации в поле "Из", а затем в поле "Кому выберите Microsoft 365.

   Замечание

   При этом создается соединитель, указывающий, что локальный сервер является источником отправки сообщений.

   

4. Введите имя соединителя и другие сведения, а затем нажмите кнопку "Далее".

5. На странице "Создать соединитель " или " Изменить соединитель " выберите первый вариант, чтобы использовать сертификат TLS, чтобы определить источник сообщений отправителя вашей организации. Доменное имя в параметре должно соответствовать имени CN или SAN в используемом сертификате.

   Замечание

   Этот домен должен быть доменом, принадлежащим вашей организации, и его необходимо добавить в Microsoft 365. Дополнительные сведения см. в разделе "Добавление доменов" в Microsoft 365.

   Например, Contoso.com принадлежит вашей организации, и это часть имени CN или SAN в сертификате, который ваша организация использует для взаимодействия с Microsoft 365. Если домен в сертификате содержит несколько доменов (например, mail1.contoso.com, mail2.contoso.com), рекомендуется использовать домен в пользовательском интерфейсе соединителя *.contoso.com.

   Замечание

   Существующие гибридные клиенты, использующие мастер гибридной настройки для настройки соединителей, должны проверить существующий соединитель, чтобы убедиться, что он используется, например *.contoso.com вместо mail.contoso.com или <hostname.contoso.com>. Это связано с тем, что mail.contoso.com и <hostname.contoso.com> не могут быть зарегистрированы в Microsoft 365.

   

   Рис. Настройка соединителя для использования формата "contoso.com" (например)

Шаг 2. Регистрация домена в Microsoft 365

Чтобы зарегистрировать домен, выполните действия, описанные в следующей статье Office:

Добавление пользователей и домена в Microsoft 365

В Центре администрирования Microsoft 365 щелкните "Настройка" и выберите "Домены ", чтобы просмотреть список зарегистрированных доменов.

Шаг 3. Настройка локальной среды

Чтобы настроить локальную среду, выполните следующие действия.

1. Если ваша организация использует Exchange Server для локального сервера, настройте сервер для отправки сообщений через TLS. Для этого см. статью "Настройка почтового сервера для ретрансляции почты в Интернет через Microsoft 365".

   Замечание

   Если вы уже использовали мастер гибридной конфигурации, его можно продолжать использовать. Однако убедитесь, что вы используете сертификат, соответствующий критериям, описанным на шаге 1, подшаге 5 этого раздела.

2. Установите сертификат в локальной среде. Для этого см. шаг 6. Настройка SSL-сертификата.

Ссылки

Дополнительные сведения об устранении требования к настройке соединителя см. в разделе "Важное уведомление о соединителе".

Дополнительные сведения о том, как передавать сообщения через Microsoft 365, см. в разделе "Настройка потока обработки почты, в котором некоторые почтовые ящики находятся в Microsoft 365, а некоторые почтовые ящики находятся на почтовых серверах организации" в разделе "Рекомендации по потоку обработки почты Для Exchange Online и Microsoft 365".

Все еще нужна помощь? Перейдите нафорумы Microsoft Community или Exchange TechNet.