Сценарий. Интеграция Exchange Online со службой надстройки электронной почты
Многие сторонние облачные решения предоставляют дополнительные службы для Exchange Online. По соображениям безопасности мы не разрешаем установку сторонних надстроек электронной почты в Exchange Online. Но вы можете вместе с поставщиком услуг настроить параметры в Exchange Online организации, чтобы вы могли использовать эту службу.
В этой статье представлены рекомендации по использованию сторонней дополнительной службы электронной почты на примере вымышленной службы подписей Contoso. Эта вымышленная служба работает в Azure и предоставляет пользовательские подписи электронной почты.
Примечание.
Эту службу можно развернуть в облачной среде, отличной от Azure.
Поток обработки почты и высокоуровневая сводка для службы показаны в приведенной ниже схеме.
Когда пользователь в организации Exchange Online создает и отправляет сообщение, сообщение перенаправляется в службу подписей Contoso с помощью соединителя и правила потока обработки почты (также известного как правило транспорта), которые вы создаете.
Подключения из Exchange Online к Службе подписей Contoso шифруются по протоколу TLS, так как доменное имя сертификата для службы настраивается в параметрах соединителя (например, smtp.contososignatureservice.com).
Служба подписей Contoso принимает сообщение и добавляет к нему подпись электронной почты. Служба также добавляет к сообщению настраиваемый заголовок, указывающий, что оно было обработано.
Служба подписей Contoso направляет сообщение обратно в Exchange Online. Созданный вами соединитель принимает входящие сообщения от службы подписей Contoso.
- Служба подписей Contoso использует маршрутизацию интеллектуального узла для маршрутизации сообщений обратно в регион, где находится ваша Exchange Online организация. Например, если домен Exchange Online является fabrikam.onmicrosoft.com, конечный интеллектуальный узел будет fabrikam.mail.protection.outlook.com.
- Служба подписей Contoso предоставляет уникальное доменное имя сертификата для каждого пользователя. Это доменное имя настраивается как обслуживаемый домен в организации Exchange Online и в параметрах соединителя (например, S5HG3DCG14.smtp.contososignatureservice.com).
Exchange Online отправляет сообщение с настраиваемой подписью исходным получателям.
В оставшейся части этого раздела объясняется, как настроить поток обработки почты в Exchange Online для работы со службой надстройки электронной почты.
Примечание.
Эти элементы необходимы для любой службы надстройки электронной почты, которую вы хотите интегрировать с Exchange Online организации. Чтобы настроить необходимые параметры в Exchange Online, необходимо поработать с поставщиком услуг надстройки электронной почты.
Что нужно знать перед началом работы
Предполагаемое время для завершения: 15 минут.
Для выполнения этой процедуры или процедур требуются разрешения. Сведения о необходимых разрешениях см. в записи "Поток обработки почты" в разделе Разрешения компонентов в Exchange Online.
Сведения об открытии Центра администрирования Exchange см. в статье Центр администрирования Exchange в Exchange Online. Сведения о том, как с помощью Windows PowerShell подключаться к Exchange Online, см. в статье Подключение к Exchange Online PowerShell.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в разделе Сочетания клавиш для Центра администрирования Exchange.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Online или Exchange Online Protection.
Шаг 1. Создание соединителя, который направляет сообщения из Office 365 в службу надстройки электронной почты
Ниже перечислены важные параметры соединителя.
- Из Office 365 в дополнительную службу электронной почты.
- Использует маршрутизацию через промежуточный узел в дополнительную службу электронной почты.
- Использует протокол TLS для шифрования соединения с учетом доменного имени для дополнительной службы электронной почты (промежуточного узла).
Использование EAC для создания соединителя, который направляет сообщения из Office 365 в службу надстройки электронной почты.
Создание исходящего соединителя в новом EAC
В EAC перейдите в разделСоединителипотока обработки> почты и щелкните Добавить соединитель
Откроется мастер создания соединителей. На первой странице настройте указанные ниже параметры.
- Подключение из: выберите Office 365.
- Подключение к: почтовый сервер вашей организации
По завершении нажмите кнопку Далее.
На следующей странице настройте указанные ниже параметры.
- Имя. Введите описательное имя (например, Office 365 в Службу подписей Contoso).
- Описание: введите необязательное описание.
- Что нужно сделать после сохранения соединителя? Настройте следующие параметры:
- Включите его, оставьте это значение выбранным.
- Сохранение внутренних заголовков электронной почты Exchange (рекомендуется): настройте одно из следующих значений:
- Флажок. Сохраняет внутренние заголовки в сообщениях, отправляемых в службу надстройки электронной почты, что означает, что сообщения обрабатываются как доверенные внутренние сообщения. При выборе этого значения необходимо также использовать то же значение для этого параметра для входящего соединителя, который вы создали на шаге 4 (в противном случае входящий соединитель удалит внутренние заголовки Exchange из возвращающих сообщений).
- Снят флажок. Удаляет внутренние заголовки из сообщений перед их отправкой в службу надстройки по электронной почте. Если вы выберете это значение, значение этого параметра в соединителе для входящего трафика, созданного на шаге 4, будет бессмысленным (по определению внутренние заголовки Exchange не будут храниться или удаляться в возвращающихся сообщениях).
По завершении нажмите кнопку Далее.
На странице Использование соединителя выберите Только при настройке правила транспорта, которое перенаправляет сообщения в этот соединитель, а затем нажмите кнопку Далее.
На странице Маршрутизация введите значение интеллектуального узла, щелкните или службу надстройки электронной почты (например, smtp.contososignatureservice.com), щелкните Добавить а затем нажмите кнопку Далее.
На странице Ограничения безопасности настройте следующие параметры:
- Убедитесь, что установлен флажок Всегда использовать защищенное подключение по протоколу TLS (рекомендуется).
- Убедитесь, что установлен флажок Выданный доверенным центром сертификации (ЦС).
- Установите флажок Имя субъекта или его альтернативное имя (SAN) совпадает с этим доменным именем и укажите промежуточный узел, упомянутый на предыдущем этапе (например, smtp.contososignatureservice.com).
По завершении нажмите кнопку Далее.
На странице Электронной почты для проверки сделайте следующее:
- Введите допустимый адрес электронной почты на почтовом сервере организации и нажмите кнопку Добавить
- Нажмите кнопку Проверить , чтобы запустить процесс проверки.
После завершения процесса проверки нажмите кнопку Далее.
На странице Проверка соединителя просмотрите параметры нового соединителя. Вы можете нажать кнопку Изменить в определенном разделе, чтобы изменить эти параметры.
По завершении нажмите кнопку Создать соединитель.
Создание исходящего соединителя в классическом EAC
Перейдите в раздел Соединители потока обработки>почты и нажмите кнопку Создать
Откроется мастер создания соединителей. На странице Укажите свой сценарий потока обработки почты настройте указанные ниже параметры.
- Из: выберите Office 365.
- По адресу: выберите сервер электронной почты вашей организации.
По завершении нажмите кнопку Далее.
На следующей странице настройте указанные ниже параметры.
- Имя. Введите описательное имя (например, Office 365 в Службу подписей Contoso).
- Описание: введите необязательное описание.
- Что нужно сделать после сохранения соединителя? Настройте следующие параметры:
- Включите его, оставьте это значение выбранным.
- Сохранение внутренних заголовков электронной почты Exchange (рекомендуется): настройте одно из следующих значений:
- Флажок. Сохраняет внутренние заголовки в сообщениях, отправляемых в службу надстройки электронной почты, что означает, что сообщения обрабатываются как доверенные внутренние сообщения. При выборе этого значения необходимо также использовать то же значение для этого параметра для входящего соединителя, который вы создали на шаге 4 (в противном случае входящий соединитель удалит внутренние заголовки Exchange из возвращающих сообщений).
- Снят флажок. Удаляет внутренние заголовки из сообщений перед их отправкой в службу надстройки по электронной почте. Если вы выберете это значение, значение этого параметра в соединителе для входящего трафика, созданного на шаге 4, будет бессмысленным (по определению внутренние заголовки Exchange не будут храниться или удаляться в возвращающихся сообщениях).
(По определению, внутренние заголовки Exchange не будут храниться или удаляться в возвращаемых сообщениях.
По завершении нажмите кнопку Далее.
На странице Когда вы хотите использовать этот соединитель? выберите Только при настройке правила транспорта, которое перенаправляет сообщения в этот соединитель, а затем нажмите кнопку Далее.
На странице Как маршрутизировать сообщения электронной почты? щелкните Добавить В открывшемся диалоговом окне Добавление промежуточного узла укажите значение промежуточного узла для дополнительной службы электронной почты (например, smtp.contososignatureservice.com), нажмите кнопку Сохранить, а затем — кнопку Далее.
На странице Как Office 365 следует подключаться к вашему почтовому серверу? настройте указанные ниже параметры.
- Убедитесь, что установлен флажок Всегда использовать защищенное подключение по протоколу TLS (рекомендуется).
- Убедитесь, что установлен флажок Выданный доверенным центром сертификации (ЦС).
- Установите флажок Имя субъекта или его альтернативное имя (SAN) совпадает с этим доменным именем и укажите промежуточный узел, упомянутый на предыдущем этапе (например, smtp.contososignatureservice.com).
По завершении нажмите кнопку Далее.
На странице Подтверждение параметров проверьте параметры. Нажмите кнопку Назад , чтобы изменить параметры при необходимости.
По завершении нажмите кнопку Далее.
На странице Проверка соединителя щелкните Добавить В появившемся диалоговом окне Добавление электронной почты введите адрес электронной почты, который не указан в Exchange Online для тестирования соединителя (например, admin@fabrikam.com), нажмите кнопку ОК и нажмите кнопку Проверить.
Появится индикатор хода выполнения. По завершении проверки соединителя нажмите кнопку Закрыть.
На странице Результат проверки нажмите кнопку Сохранить.
Создание исходящего соединителя для службы надстройки электронной почты с помощью PowerShell Exchange Online
Чтобы создать исходящий соединитель для службы надстройки электронной почты в Exchange Online PowerShell, используйте следующий синтаксис:
New-OutboundConnector -Name "<Descriptive Name>" -ConnectorType OnPremises -IsTransportRuleScoped $true -UseMxRecord $false -SmartHosts <SmartHost> -TlsSettings DomainValidation -TlsDomain <SmartHost> [-CloudServicesMailEnabled $true]
В этом примере создается соединитель исходящей почты с указанными ниже параметрами.
- Имя: Office 365 в Службу подписей Contoso
- Назначение интеллектуального узла службы надстройки электронной почты: smtp.contososignatureservice.com
- Домен TLS для проверки домена: smtp.contososignatureservice.com
- Внутренние заголовки сообщений Exchange, определяющие сообщения как внутренние, сохраняются в исходящих сообщениях.
New-OutboundConnector -Name "Office 365 to Contoso Signature Service" -ConnectorType OnPremises -IsTransportRuleScoped $true -UseMxRecord $false -SmartHosts smtp.contososignatureservice.com -TlsSettings DomainValidation -TlsDomain smtp.contososignatureservice.com -CloudServicesMailEnabled $true
Дополнительные сведения о синтаксисе и параметрах см. в статье New-OutboundConnector.
Убедитесь, что исходящий соединитель успешно создан.
Чтобы убедиться, что вы успешно создали соединитель исходящей почты для маршрутизации сообщений в дополнительную службу электронной почты, используйте любую из описанных ниже процедур.
В EAC перейдите в разделСоединители потока >обработки почты, выберите соединитель и проверьте параметры.
В Exchange Online PowerShell замените <имя> соединителя именем соединителя и выполните следующую команду, чтобы проверить значения свойств:
Get-OutboundConnector -Identity "<Connector Name>" | Format-List Name,ConnectorType,IsTransportRuleScoped,UseMxRecord,SmartHosts,TlsSettings,TlsDomain,CloudServicesMailEnabled
Этап 2. Создание правила для потока обработки почты, направляющего необработанные сообщения в дополнительную службу электронной почты
Правило направляет сообщения от внутренних отправителей в соединитель, созданный на шаге 1, если сообщения еще не были обработаны службой надстройки электронной почты (настраиваемый заголовок не отмечен в сообщении).
Создание правила для потока обработки почты, направляющего необработанные сообщения в дополнительную службу электронной почты, с помощью Центра администрирования Exchange
Примечание.
Создание правила потока обработки почты в новом EAC выполняется точно так же, как и в классическом EAC.
Перейдите враздел Правилапотока обработки> почты и щелкните Создать а затем выберите Создать новое правило.
В нижней части страницы Новое правило нажмите Дополнительные параметры.
На странице Новое правило настройте указанные ниже параметры.
- Имя: введите описательное имя (например, маршрут электронной почты в службу подписей Contoso).
- Примените это правило, если: выберитеВнешний или внутренний>отправитель> Выберите внутри организации, а затем нажмите кнопку ОК.
- Выполните следующие действия. Выберите Перенаправить сообщение на>следующий соединитель> Выберите соединитель, созданный на шаге 1, и нажмите кнопку ОК.
- За исключением , если: Щелкните Добавить исключение> Выберите заголовок> сообщенияВключает и из этих слов.
- Нажмите надпись Введите текст, введите имя настраиваемого поля заголовка, применяемого дополнительной службой электронной почты (например, SignatureContoso), а затем нажмите кнопку ОК.
- Щелкните Ввести слова, введите значение поля заголовка, указывающее, что сообщение было обработано службой надстроек электронной почты (например, true), нажмите кнопку и нажмите кнопку ОК.
- В нижней части страницы выберите параметр Остановить обработку других правил.
По завершении нажмите кнопку Сохранить.
Использование Exchange Online PowerShell для создания правила потока обработки почты для маршрутизации необработанных сообщений в службу надстройки электронной почты
Чтобы создать правило потока обработки почты в Exchange Online PowerShell, используйте следующий синтаксис:
New-TransportRule -Name "<Descriptive Name>" -FromScope InOrganization -RouteMessageOutboundConnector "<Connector Name>" -ExceptIfHeaderContainsMessageHeader <HeaderName> -ExceptIfHeaderContainsWords <HeaderValue> -StopRuleProcessing $true
В этом примере создается правило потока обработки почты с указанными ниже параметрами.
- Имя: маршрутизация электронной почты в службу подписей Contoso
- Имя исходящего соединителя: Office 365 в службу подписей Contoso
- Поле заголовка и его значение, обозначающее обработку дополнительной службой электронной почты: SignatureContoso со значением true.
New-TransportRule -Name "Route email to Contoso Signature Service" -FromScope InOrganization -RouteMessageOutboundConnector "Office 365 to Contoso Signature Service" -ExceptIfHeaderContainsMessageHeader SignatureContoso -ExceptIfHeaderContainsWords true -StopRuleProcessing $true
Дополнительные сведения о синтаксисе и параметрах см. в статье New-TransportRule.
Убедитесь, что правило потока обработки почты успешно создано.
Чтобы убедиться, что вы успешно создали правило потока обработки почты для маршрутизации сообщений в дополнительную службу электронной почты, используйте любую из описанных ниже процедур.
В EAC перейдите враздел Правилапотока обработки> почты, выберите правило, щелкните проверьте параметры правила.
В Exchange Online PowerShell замените <имя> правила именем правила и выполните следующую команду, чтобы проверить значения свойств:
Get-TransportRule -Identity "<Rule Name>" | Format-List Name,FromScope,RouteMessageOutboundConnector,ExceptIfHeaderContainsMessageHeader,ExceptIfHeaderContainsWords,StopRuleProcessing
Шаг 3. Добавление личного домена сертификата, предоставляемого службой надстройки электронной почты, в качестве принятого домена в Exchange Online
В Центр администрирования Microsoft 365 в https://admin.microsoft.comвыберите Параметры Домены> и нажмите кнопку Добавить домен.
Запустится мастер добавления домена. На странице Добавление домена введите домен личного сертификата, который служба надстройки электронной почты предоставила при регистрации в службе (например, S5HG3DCG14.smtp.contososignatureservice.com), а затем щелкните Использовать этот домен.
Примечание. Значение должно быть не более 48 символов.
На странице Проверка домена выберите одно из следующих значений:
- Добавление записи TXT в записи DNS домена
- Если не удается добавить запись TXT, добавьте запись MX в записи DNS домена.
По завершении нажмите кнопку Продолжить.
Следующая страница зависит от выбранного вами выбора. Используйте сведения на странице, чтобы создать необходимую запись подтверждения владения доменом TXT или MX для домена личного сертификата.
После создания записи подтверждения владения доменом нажмите кнопку Проверить и дождитесь результатов.
На странице Подключить домен нажмите кнопку Сохранить и закрыть.
Дополнительные сведения см. в статье Добавление домена в Microsoft 365.
Шаг 4. Создание соединителя, который получает сообщения из службы надстроек электронной почты
Ниже перечислены важные параметры соединителя.
- Из дополнительной службы электронной почты в Office 365.
- При шифровании по протоколу TLS и проверке сертификатов учитывается доменное имя пользовательского сертификата, настроенное в качестве обслуживаемого домена на предыдущем этапе.
Использование EAC для создания соединителя, который получает сообщения от службы надстройки электронной почты
Создание входящего соединителя в новом EAC
Перейдите в раздел Соединители потока обработки>почты и нажмите кнопку Добавьте соединитель.
Откроется мастер создания соединителей. На первой странице настройте указанные ниже параметры.
- Подключение из: выберите сервер электронной почты вашей организации.
- Подключение к: убедитесь, что выбран Office 365.
По завершении нажмите кнопку Далее.
На странице Имя соединителя настройте следующие параметры:
- Имя: введите описательное имя (например, Служба подписей Contoso для Office 365).
- Описание: введите необязательное описание.
- Что нужно сделать после сохранения соединителя? Настройте следующие параметры:
- Включите его. Убедитесь, что выбран этот параметр.
- Сохранение внутренних заголовков электронной почты Exchange (рекомендуется): настройте одно из следующих значений:
- Флажок: сохраняет внутренние заголовки в сообщениях, возвращаемых из службы надстройки электронной почты. Если вы выбрали это значение в этом параметре для соединителя, создаваемого на шаге 1, вам потребуется настроить то же значение здесь. В возвращаемых сообщениях сохраняются внутренние заголовки Exchange, то есть сообщения, возвращаемые из дополнительной службы электронной почты, рассматриваются как доверенные внутренние сообщения.
- Снят флажок: удаляет внутренние заголовки Exchange (если таковые имеются) из сообщений, возвращаемых из службы надстройки электронной почты.
По завершении нажмите кнопку Далее.
На странице Проверка подлинности отправленного сообщения электронной почты убедитесь, что выбран первый параметр (проверка по сертификату), и введите домен сертификата, который служба надстройки электронной почты предоставила вам при регистрации в службе (например, S5HG3DCG14.smtp.contososignatureservice.com).
По завершении нажмите кнопку Далее.
На странице Проверка соединителя проверьте параметры. Вы можете нажать кнопку Изменить в соответствующем разделе, чтобы внести изменения. По завершении нажмите кнопку Создать соединитель*.
Создание входящего соединителя в классическом EAC
Перейдите в раздел Соединители потока обработки>почты и нажмите кнопку Создать
Откроется мастер создания соединителей. На странице Укажите свой сценарий потока обработки почты настройте указанные ниже параметры.
- Из: выберите почтовый сервер вашей организации.
- Для: выберите Office 365.
По завершении нажмите кнопку Далее.
На следующей странице настройте указанные ниже параметры.
- Имя: введите описательное имя (например, Служба подписей Contoso для Office 365).
- Описание: введите необязательное описание.
- Что нужно сделать после сохранения соединителя? Настройте следующие параметры:
- Включите его. Убедитесь, что выбран этот параметр.
- Сохранение внутренних заголовков электронной почты Exchange (рекомендуется): настройте одно из следующих значений:
- Флажок: сохраняет внутренние заголовки в сообщениях, возвращаемых из службы надстройки электронной почты. Если вы выбрали это значение в этом параметре для соединителя, создаваемого на шаге 1, вам потребуется настроить то же значение здесь. В возвращаемых сообщениях сохраняются внутренние заголовки Exchange, то есть сообщения, возвращаемые из дополнительной службы электронной почты, рассматриваются как доверенные внутренние сообщения.
- Снят флажок: удаляет внутренние заголовки Exchange (если таковые имеются) из сообщений, возвращаемых из службы надстройки электронной почты.
- Что нужно сделать после сохранения соединителя? Настройте следующие параметры:
По завершении нажмите кнопку Далее.
На странице Как Office 365 определить электронную почту с сервера электронной почты? убедитесь, что выбран первый параметр (проверка по сертификату), и введите домен сертификата, который служба надстройки электронной почты предоставила вам при регистрации в службе (например, S5HG3DCG14.smtp.contososignatureservice.com).
По завершении нажмите кнопку Далее.
На странице Подтверждение параметров проверьте параметры. Вы можете нажать кнопку Назад , чтобы изменить параметры.
По завершении нажмите кнопку Сохранить.
Использование Exchange Online PowerShell для создания входящего соединителя для получения сообщений из службы надстройки электронной почты
Чтобы создать входящий соединитель из службы надстройки электронной почты в Exchange Online PowerShell, используйте следующий синтаксис:
New-InboundConnector -Name "<Descriptive Name>" -SenderDomains * -ConnectorType OnPremises -RequireTls $true -RestrictDomainsToCertificate $true -TlsSenderCertificateName <CertificateDomainName> [-CloudServicesMailEnabled $true]
- Имя: Служба подписей Contoso для Office 365
- Доменное имя, используемое сертификатом службы надстройки электронной почты для проверки подлинности в организации Office 365: S5HG3DCG14.smtp.contososignatureservice.com
- Внутренние заголовки сообщений Exchange, определяющие сообщения как внутренние, сохраняются в исходящих сообщениях.
New-InboundConnector -Name "Contoso Signature Service to Office 365" -SenderDomains * -ConnectorType OnPremises -RequireTls $true -RestrictDomainsToCertificate $true -TlsSenderCertificateName S5HG3DCG14.smtp.contososignatureservice.com -CloudServicesMailEnabled $true
Дополнительные сведения о синтаксисе и параметрах см. в статье New-InboundConnector.
Убедитесь, что соединитель для входящего трафика успешно создан.
Чтобы убедиться, что вы успешно создали входящий соединитель для получения сообщений от службы надстройки электронной почты, выполните одно из следующих действий:
В EAC перейдите в разделСоединители потока >обработки почты, выберите соединитель и проверьте параметры.
В Exchange Online PowerShell замените <имя> соединителя именем соединителя и выполните следующую команду, чтобы проверить значения свойств:
Get-InboundConnector -Identity "<Connector Name>" | Format-List Name,SenderDomains,ConnectorType,RequireTls,RestrictDomainsToCertificate,TlsSenderCertificateName,CloudServicesMailEnabled