Cenário: integrar Exchange Online a um serviço de complemento de email

Muitas soluções de serviço de nuvem de terceiros fornecem serviços de complemento para Exchange Online. Por razões de segurança, não permitimos que serviços de complemento de email de terceiros sejam instalados em Exchange Online. Mas, você pode trabalhar com o provedor de serviços para configurar as configurações em seu Exchange Online organização para que você possa usar o serviço.

Este tópico descreve as melhores práticas de como sua organização pode usar um serviço de complemento de email de terceiros examinando um serviço fictício chamado Serviço de Assinatura contoso. Esse serviço fictício é executado no Azure e fornece assinaturas de email personalizadas.

Observação

Esse serviço pode ser implantado em um ambiente de nuvem diferente do Azure.

O fluxo de email e um resumo de alto nível do serviço são mostrados no diagrama a seguir.

1. Quando um usuário do Exchange Online organização compõe e envia uma mensagem, a mensagem é desviada para o Serviço de Assinatura contoso usando um conector e uma regra de fluxo de email (também conhecida como regra de transporte) que você cria.

   As conexões de Exchange Online ao Serviço de Assinatura contoso são criptografadas pelo TLS, pois você configura o nome do domínio de certificado para o serviço nas configurações do conector (por exemplo, smtp.contososignatureservice.com).

2. O Serviço de Assinatura contoso aceita a mensagem e adiciona uma assinatura de email à mensagem. O serviço também carimba a mensagem com um cabeçalho personalizado para indicar que a mensagem foi processada.

3. O Serviço de Assinatura contoso encaminha a mensagem de volta para Exchange Online. Um conector que você cria aceita as mensagens de entrada do Serviço de Assinatura contoso.

   • O Serviço de Assinatura contoso usa o roteamento de host inteligente para rotear mensagens de volta para a região onde sua organização Exchange Online está localizada. Por exemplo, se o domínio Exchange Online estiver fabrikam.onmicrosoft.com, o host inteligente de destino será fabrikam.mail.protection.outlook.com.
   • O Serviço de Assinatura contoso fornece um nome de domínio de certificado exclusivo para cada cliente. Você configura esse nome de domínio como um domínio aceito em sua organização Exchange Online e nas configurações do conector (por exemplo, S5HG3DCG14.smtp.contososignatureservice.com).

4. Exchange Online envia a mensagem com a assinatura personalizada para os destinatários originais.

O restante deste tópico explica como configurar o fluxo de email no Exchange Online para trabalhar com o serviço de complemento de email.

Observação

Esses elementos são necessários para qualquer serviço de complemento de email que você deseja integrar à sua organização Exchange Online. Você precisa trabalhar com o provedor de serviços de complemento de email para configurar as configurações necessárias no Exchange Online.

Do que você precisa saber para começar?

• Tempo estimado para conclusão: 15 minutos

• Você precisa de permissões para poder executar esse procedimento ou procedimentos. Para ver de que permissões você precisa, consulte o no tópico Permissões de recursos no Exchange Online.

• Para abrir o Centro de administração do Exchange (EAC), consulte Centro de administração do Exchange em Exchange Online. Para saber como usar o Windows PowerShell para se conectar ao Exchange Online, confira o artigo Conectar-se ao Exchange Online PowerShell.

• Para obter informações sobre atalhos de teclado que podem se aplicar aos procedimentos neste tópico, consulte Atalhos de teclado para o centro de administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em Exchange Online ou Proteção do Exchange Online.

Etapa 1: criar um conector que roteia mensagens de Office 365 para o serviço de complemento de email

As configurações importantes para o conector são:

• Do Office 365 ao serviço de complemento de email.
• Usa o roteamento de host inteligente para o serviço de complemento de email.
• Usa o TLS para criptografar a conexão com base no nome de domínio do serviço de complemento de email (host inteligente).

Use o EAC para criar o conector que roteia mensagens de Office 365 para o serviço de complemento de email

Criar o conector de saída no novo EAC

1. No EAC, vá paraConectores de fluxo> de email e clique em Adicionar um ícone de adição do conector.

   

2. O novo assistente de conector é aberto. Na primeira página, configure estas configurações:

   • Conexão de: selecione Office 365.
   • Conexão com: o servidor de email da sua organização

   

   Ao terminar, clique em Avançar.

3. Na próxima página, configure estas configurações:

   • Nome: insira um nome descritivo (por exemplo, Office 365 ao Serviço de Assinatura contoso).
   • Descrição: insira uma descrição opcional.
   • O que você deseja fazer depois que o conector for salvo?: Configurar essas configurações:
     • Ative-o , deixe esse valor selecionado.
     • Manter cabeçalhos de email internos do Exchange (recomendado): configurar um desses valores:
       • Verificado: preserva cabeçalhos internos em mensagens enviadas para o serviço de complemento de email, o que significa que as mensagens são tratadas como mensagens internas confiáveis. Se você selecionar esse valor, também precisará usar o mesmo valor nessa configuração para o conector de entrada que você criar na Etapa 4 (caso contrário, o conector de entrada removerá os cabeçalhos internos do Exchange das mensagens retornadas).
       • Desmarcado: remove cabeçalhos internos das mensagens antes de serem enviados para o serviço de complemento de email. Se você selecionar esse valor, o valor dessa configuração no conector de entrada que você criar na Etapa 4 não terá sentido (por definição, não haverá cabeçalhos internos do Exchange para manter ou remover em mensagens retornadas).

   

   Ao terminar, clique em Avançar.

4. Na página Uso do conector , selecione Somente quando tiver uma regra de transporte configurada que redirecione mensagens para esse conector e clique em Avançar.

   

5. Na página Roteamento, insira o valor do host inteligente clique ou o serviço de complemento de email (por exemplo, smtp.contososignatureservice.com), clique em clique em Avançar.

   

6. Na página Restrições de segurança , configure estas configurações:

   • Verifique Se sempre usar o TLS (Transport Layer Security) para proteger a conexão (recomendada) está selecionado.
   • Verifique se a CA (autoridade de certificado confiável) está selecionada.
   • Selecione E o nome do assunto ou o nome alternativo do assunto (SAN) corresponde a esse nome de domínio e insira o host inteligente que você usou na etapa anterior (por exemplo, smtp.contososignatureservice.com).

   

   Ao terminar, clique em Avançar.

7. Na página email validação , faça estas etapas:

   1. Insira um endereço de email válido no servidor de email da sua organização e clique em .
   2. Clique em Validar para iniciar o processo de validação.

   Depois que o processo de validação for concluído, clique em Avançar.

   

8. Na página Revisar conector , examine as configurações do novo conector. Você pode clicar em Editar na seção específica para editar essas configurações.

   Quando terminar, clique em Criar conector.

   

Criar o conector de saída no EAC clássico

1. AcesseConectores de fluxo> de email e clique em Novo.

   

2. O novo assistente de conector é aberto. Na página Selecionar seu cenário de fluxo de email , configure estas configurações:

   • Em: Selecione Office 365.
   • Para: selecione o servidor de email da sua organização.

   

   Ao terminar, clique em Avançar.

3. Na próxima página, configure estas configurações:

   • Nome: insira um nome descritivo (por exemplo, Office 365 ao Serviço de Assinatura contoso).
   • Descrição: insira uma descrição opcional.
   • O que você deseja fazer depois que o conector for salvo?: Configurar essas configurações:
     • Ative-o , deixe esse valor selecionado.
     • Manter cabeçalhos de email internos do Exchange (recomendado): configurar um desses valores:
       • Verificado: preserva cabeçalhos internos em mensagens enviadas para o serviço de complemento de email, o que significa que as mensagens são tratadas como mensagens internas confiáveis. Se você selecionar esse valor, também precisará usar o mesmo valor nessa configuração para o conector de entrada que você criar na Etapa 4 (caso contrário, o conector de entrada removerá os cabeçalhos internos do Exchange das mensagens retornadas).
       • Desmarcado: remove cabeçalhos internos das mensagens antes de serem enviados para o serviço de complemento de email. Se você selecionar esse valor, o valor dessa configuração no conector de entrada que você criar na Etapa 4 não terá sentido (por definição, não haverá cabeçalhos internos do Exchange para manter ou remover em mensagens retornadas).

   (Por definição, não haverá cabeçalhos internos do Exchange para manter ou remover em mensagens retornadas).

   

   Ao terminar, clique em Avançar.

4. Em Quando você deseja usar esse conector? página, selecione Somente quando eu tiver uma regra de transporte configurada que redirecione mensagens para esse conector e clique em Avançar.

   

5. Na página Como você deseja rotear mensagens de email? clique em Adicionar. Na caixa de diálogo Adicionar host inteligente exibida, insira o valor do host inteligente para o serviço de complemento de email (por exemplo, smtp.contososignatureservice.com), clique em Salvar e clique em Avançar.

   

6. Na página Como Office 365 se conectar ao servidor de email? Configure estas configurações:

   • Verifique Se sempre usar o TLS (Transport Layer Security) para proteger a conexão (recomendada) está selecionado.
   • Verifique se a CA (autoridade de certificado confiável) está selecionada.
   • Selecione E o nome do assunto ou o nome alternativo do assunto (SAN) corresponde a esse nome de domínio e insira o host inteligente que você usou na etapa anterior (por exemplo, smtp.contososignatureservice.com).

   

   Ao terminar, clique em Avançar.

7. Na página Confirmar suas configurações , verifique as configurações. Clique em Voltar para modificar as configurações conforme necessário.

   Ao terminar, clique em Avançar.

   

8. Na página Validar esse conector , clique em Adicionar. Na caixa de diálogo Adicionar email exibida, insira um endereço de email que não esteja em Exchange Online para testar o conector (por exemplo, admin@fabrikam.com), clique em OK e clique em Validar.

   

   Um indicador de progresso é exibido. Quando a validação do conector for concluída, clique em Fechar.

   

9. Na página Resultado da Validação , clique em Salvar.

Use Exchange Online PowerShell para criar o conector de saída para o serviço de complemento de email

Para criar o conector de saída para o serviço de complemento de email no Exchange Online PowerShell, use esta sintaxe:

New-OutboundConnector -Name "<Descriptive Name>" -ConnectorType OnPremises -IsTransportRuleScoped $true -UseMxRecord $false -SmartHosts <SmartHost> -TlsSettings DomainValidation -TlsDomain <SmartHost> [-CloudServicesMailEnabled $true]

Este exemplo cria um conector de saída com estas configurações:

• Nome: Office 365 ao Serviço de Assinatura contoso
• Destino do host inteligente do serviço de complemento de email: smtp.contososignatureservice.com
• Domínio TLS para validação de domínio: smtp.contososignatureservice.com
• Cabeçalhos de mensagens internas do Exchange que identificam mensagens como internas são preservados nas mensagens de saída.

New-OutboundConnector -Name "Office 365 to Contoso Signature Service" -ConnectorType OnPremises -IsTransportRuleScoped $true -UseMxRecord $false -SmartHosts smtp.contososignatureservice.com -TlsSettings DomainValidation -TlsDomain smtp.contososignatureservice.com -CloudServicesMailEnabled $true

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-OutboundConnector.

Verifique se você criou com êxito o conector de saída

Para verificar se você criou com êxito um conector de saída para rotear mensagens para o serviço de complemento de email, use qualquer um desses procedimentos:

• No EAC, acesseConectores de fluxo> de email, selecione o conector e verifique as configurações.

• Em Exchange Online PowerShell, substitua< o Nome> do Conector pelo nome do conector e execute este comando para verificar os valores da propriedade:

  Get-OutboundConnector -Identity "<Connector Name>" | Format-List Name,ConnectorType,IsTransportRuleScoped,UseMxRecord,SmartHosts,TlsSettings,TlsDomain,CloudServicesMailEnabled
  

Etapa 2: criar uma regra de fluxo de email para rotear mensagens não processadas para o serviço de complemento de email

A regra roteia mensagens de remetentes internos para o conector que você criou na Etapa 1 se as mensagens ainda não tiverem sido processadas pelo serviço de complemento de email (o cabeçalho personalizado não está estampado na mensagem).

Use o EAC para criar uma regra de fluxo de email para rotear mensagens não processadas para o serviço de complemento de email

Observação

A criação de regra de fluxo de email no novo EAC é exatamente a mesma que no EAC clássico.

1. Vá paraRegrasde fluxo> de email e clique em Novo selecione Criar uma nova regra.

   

2. Na página Nova regra aberta, clique em Mais opções perto da parte inferior da página.

   

3. Na página Nova regra , configure estas configurações:

   • Nome: insira um nome descritivo (por exemplo, Encaminhe email para o Serviço de Assinatura contoso).
   • Aplique essa regra se: Selecione O remetente>É externo/interno> Selecione Dentro da organização e clique em OK.
   • Faça o seguinte: Selecione Redirecionar a mensagem parao conector> a > seguir Selecione o conector criado na Etapa 1 e clique em OK.
   • Exceto se: clique em Adicionar exceção> Selecione Um cabeçalho>de mensagem Inclui e destas palavras.
   • Clique em Inserir texto, insira o nome do campo de cabeçalho personalizado aplicado pelo serviço de complemento de email (por exemplo, SignatureContoso) e clique em OK.
   • Clique em Inserir palavras, insira o valor do campo de cabeçalho que indica que uma mensagem foi processada pelo serviço de complemento de email (por exemplo, true), clique em Adicionar clique em OK.
   • Na parte inferior da página, selecione Parar de processar mais regras.

   

   Quando concluir, clique em Salvar.

Use Exchange Online PowerShell para criar uma regra de fluxo de email para rotear mensagens não processadas para o serviço de complemento de email

Para criar a regra de fluxo de email no Exchange Online PowerShell, use esta sintaxe:

New-TransportRule -Name "<Descriptive Name>" -FromScope InOrganization -RouteMessageOutboundConnector "<Connector Name>" -ExceptIfHeaderContainsMessageHeader <HeaderName> -ExceptIfHeaderContainsWords <HeaderValue> -StopRuleProcessing $true

Este exemplo cria a regra de fluxo de email com estas configurações:

• Nome: Encaminhar email para o Serviço de Assinatura contoso
• Nome do conector de saída: Office 365 ao Serviço de Assinatura contoso
• Campo de cabeçalho e valor que indica o processamento pelo serviço de complemento de email SignatureContoso com o valor true.

New-TransportRule -Name "Route email to Contoso Signature Service" -FromScope InOrganization -RouteMessageOutboundConnector "Office 365 to Contoso Signature Service" -ExceptIfHeaderContainsMessageHeader SignatureContoso -ExceptIfHeaderContainsWords true -StopRuleProcessing $true

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-TransportRule.

Verifique se você criou com êxito a regra de fluxo de email

Para verificar se você criou com êxito uma regra de fluxo de email para rotear mensagens não processadas para o serviço de complemento de email, use qualquer um desses procedimentos:

• No EAC, acesseRegras de fluxo> de email, selecione a regra, clique em Editar verifique as configurações da regra.

• Em Exchange Online PowerShell, substitua <Nome> da Regra pelo nome da regra e execute este comando para verificar os valores da propriedade:

  Get-TransportRule -Identity "<Rule Name>" | Format-List Name,FromScope,RouteMessageOutboundConnector,ExceptIfHeaderContainsMessageHeader,ExceptIfHeaderContainsWords,StopRuleProcessing
  

Etapa 3: adicionar o domínio de certificado personalizado fornecido pelo serviço de complemento de email como um domínio aceito no Exchange Online

1. No Centro de administração do Microsoft 365 em https://admin.microsoft.com, acesse Configurações Domínios> e clique em Adicionar domínio.

   

2. O assistente de adicionar um domínio é iniciado. Na página Adicionar um domínio , insira o domínio de certificado personalizado fornecido pelo serviço de complemento de email quando você registrou no serviço (por exemplo, S5HG3DCG14.smtp.contososignatureservice.com) e clique em Usar esse domínio.

   Observação: o valor deve ser de 48 caracteres ou menos.

   

3. Na página verificação de domínio , selecione um dos seguintes valores:

   • Adicionar um registro TXT aos registros DNS do domínio
   • Se você não puder adicionar um registro TXT, adicione um registro MX aos registros DNS do domínio

   Quando terminar, clique em Continuar

4. A próxima página que você vê depende da seleção anterior. Use os detalhes na página para criar a prova TXT ou MX necessária do registro de propriedade de domínio para o domínio de certificado personalizado.

   Depois de criar a prova do registro de propriedade do domínio, clique em Verificar e aguarde os resultados.

   

5. Na página Conectar domínio , clique em Salvar e fechar.

Para obter mais informações, consulte Adicionar seu domínio ao Microsoft 365.

Etapa 4: criar um conector que receba mensagens do serviço de complemento de email

As configurações importantes para o conector são:

• Do serviço de complemento de email a Office 365.
• A criptografia TLS e a verificação de certificado baseiam-se no nome de domínio de certificado personalizado que você configurou como um domínio aceito na etapa anterior.

Use o EAC para criar um conector que recebe mensagens do serviço de complemento de email

Criar o conector de entrada no novo EAC

1. AcesseConectores de fluxo> de email e clique em Adicione um conector.

   

2. O novo assistente de conector é aberto. Na primeira página, configure estas configurações:

   • Conexão de: Selecione o servidor de email da sua organização.
   • Conexão com: verifique se o Office 365 está selecionado.

   

3. Ao terminar, clique em Avançar.

4. Na página Nome do Conector , configure estas configurações:

   • Nome: insira um nome descritivo (por exemplo, Serviço de Assinatura contoso para Office 365).
   • Descrição: insira uma descrição opcional.
   • O que você deseja fazer depois que o conector for salvo?: Configurar essas configurações:
     • Ative-o: verifique se essa configuração está selecionada.
     • Manter cabeçalhos de email internos do Exchange (recomendado): configurar um desses valores:
       • Verificado: preserva cabeçalhos internos em mensagens que estão retornando do serviço de complemento de email. Se você selecionou esse valor nesta configuração para o conector criado na Etapa 1, precisará configurar o mesmo valor aqui. Os cabeçalhos internos do Exchange nas mensagens retornadas são preservados, o que significa que as mensagens retornadas do serviço de complemento de email são tratadas como mensagens internas confiáveis.
       • Desmarcado: remove os cabeçalhos internos do Exchange (se houver) das mensagens que estão retornando do serviço de complemento de email.

   

   Ao terminar, clique em Avançar.

5. Na página Autenticação de email enviado , verifique se a primeira opção está selecionada (verifique por certificado) e insira o domínio de certificado que o serviço de complemento de email deu a você quando você se registrou no serviço (por exemplo, S5HG3DCG14.smtp.contososignatureservice.com).

   

   Ao terminar, clique em Avançar.

6. Na página Revisar conector , verifique as configurações. Você pode clicar em Editar na seção apropriada para fazer alterações. Quando terminar, clique em Criar conector*.

   

Criar o conector de entrada no EAC clássico

1. AcesseConectores de fluxo> de email e clique em Novo.

   

2. O novo assistente de conector é aberto. Na página Selecionar seu cenário de fluxo de email , configure estas configurações:

   • Em: Selecione o servidor de email da sua organização.
   • Para: selecione Office 365.

   

   Ao terminar, clique em Avançar.

3. Na próxima página, configure estas configurações:

   • Nome: insira um nome descritivo (por exemplo, Serviço de Assinatura contoso para Office 365).
   • Descrição: insira uma descrição opcional.
     • O que você deseja fazer depois que o conector for salvo?: Configurar essas configurações:
       • Ative-o: verifique se essa configuração está selecionada.
       • Manter cabeçalhos de email internos do Exchange (recomendado): configurar um desses valores:
         • Verificado: preserva cabeçalhos internos em mensagens que estão retornando do serviço de complemento de email. Se você selecionou esse valor nesta configuração para o conector criado na Etapa 1, precisará configurar o mesmo valor aqui. Os cabeçalhos internos do Exchange nas mensagens retornadas são preservados, o que significa que as mensagens retornadas do serviço de complemento de email são tratadas como mensagens internas confiáveis.
         • Desmarcado: remove os cabeçalhos internos do Exchange (se houver) das mensagens que estão retornando do serviço de complemento de email.

   

   Ao terminar, clique em Avançar.

4. Na página Como Office 365 identificar o email do servidor de email? Verifique se a primeira opção está selecionada (verifique por certificado) e insira o domínio de certificado que o serviço de complemento de email lhe deu quando você registrou no serviço (por exemplo, S5HG3DCG14.smtp.contososignatureservice.com).

   

   Ao terminar, clique em Avançar.

5. Na página Confirmar suas configurações , verifique as configurações. Você pode clicar em Voltar para modificar as configurações.

   Quando concluir, clique em Salvar.

   

Use Exchange Online PowerShell para criar um conector de entrada para receber mensagens do serviço de complemento de email

Para criar o conector de entrada do serviço de complemento de email no Exchange Online PowerShell, use esta sintaxe:

New-InboundConnector -Name "<Descriptive Name>" -SenderDomains * -ConnectorType OnPremises -RequireTls $true -RestrictDomainsToCertificate $true -TlsSenderCertificateName <CertificateDomainName> [-CloudServicesMailEnabled $true]

• Nome: Serviço de Assinatura contoso para Office 365
• Nome de domínio usado pelo certificado do serviço de complemento de email para autenticar com sua organização Office 365: S5HG3DCG14.smtp.contososignatureservice.com
• Cabeçalhos de mensagens internas do Exchange que identificam mensagens como internas são preservados nas mensagens de saída.

New-InboundConnector -Name "Contoso Signature Service to Office 365" -SenderDomains * -ConnectorType OnPremises -RequireTls $true -RestrictDomainsToCertificate $true -TlsSenderCertificateName S5HG3DCG14.smtp.contososignatureservice.com -CloudServicesMailEnabled $true

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-InboundConnector.

Verifique se você criou com êxito o conector de entrada

Para verificar se você criou com êxito um conector de entrada para receber mensagens do serviço de complemento de email, use qualquer um desses procedimentos:

• No EAC, acesseConectores de fluxo> de email, selecione o conector e verifique as configurações.

• Em Exchange Online PowerShell, substitua< o Nome> do Conector pelo nome do conector e execute este comando para verificar os valores da propriedade:

  Get-InboundConnector -Identity "<Connector Name>" | Format-List Name,SenderDomains,ConnectorType,RequireTls,RestrictDomainsToCertificate,TlsSenderCertificateName,CloudServicesMailEnabled