Настройка соединителей для защиты потока обработки почты с партнерской организациейSet up connectors for secure mail flow with a partner organization

Чтобы ограничить обмен почтой с партнерской организацией или поставщиком услуг с учетом требований безопасности, можно создать соединители. Партнером может быть организация, с которой вы сотрудничаете, например банк. Это также может сторонняя облачная служба, которая предоставляет такие услуги, как архивация, защита от нежелательной почты и фильтры.You can create connectors to apply security restrictions to mail exchanges with a partner organization or service provider. A partner can be an organization you do business with, such as a bank. It can also be a third-party cloud service that provides services such as archiving, anti-spam, and filtering.

Можно создать соединитель для обеспечения шифрования с помощью протокола TLS. Кроме того, вы можете применить другие ограничения для обеспечения безопасности, например, указать имена домена или диапазоны IP-адресов, с которых отправляет почту партнерская организация.You can create a connector to enforce encryption via transport layer security (TLS). You can also apply other security restrictions such as specifying domain names or IP address ranges that your partner organization sends mail from.

Примечание

Настраивать соединитель для обмена почтой с партнерской организацией необязательно. Поток почты между вами и партнерской организацией работает без соединителей.Setting up a connector to exchange mail with a partner organization is optional; mail flows to and from your partner organization without connectors.

Использование сторонних производителей облачная служба для фильтрации электронной почты и требуется инструкции для выполнения этой работы с Office 365, в статье Mail flow рекомендации по работе с Exchange Online и Office 365 (Обзор).If you use a third-party cloud service for email filtering and need instructions for making this work with Office 365, see Mail flow best practices for Exchange Online and Office 365 (overview).

Использование соединителей для обмена почтой с партнерской организациейUsing connectors to exchange email with a partner organization

По умолчанию Office 365 отправляет электронную почту с использованием шифрования TLS, если целевой сервер также поддерживает TLS. Если организация вашего партнера поддерживает TLS, вам нужно лишь создать соединитель, чтобы применить определенные ограничения для обеспечения безопасности. Например, чтобы протокол TLS применялся всегда, или чтобы всякий раз при отправке сообщения от партнера на сервер вашей организации выполнялась проверка сертификатов.By default, Office 365 sends mail using TLS encryption, provided that the destination server also supports TLS. If your partner organization supports TLS, you only need to create a connector if you want to enforce certain security restrictions - for example, you always want TLS applied, or you require certificate verification whenever mail is sent from your partner to your organization.

Примечание

Сведения о TLS см. в разделе Использование протокола TLS службой Exchange Online для защиты электронной почты в Office 365, а подробные технические сведения об использовании протокола TLS в Exchange Online с порядком комплектов шифров — в разделе Повышение безопасности потока обработки почты для Exchange Online.For information about TLS, see How Exchange Online uses TLS to secure email connections in Office 365 and for detailed technical information about how Exchange Online uses TLS with cipher suite ordering, see Enhancing mail flow security for Exchange Online.

При настройке соединителя сообщения электронной почты проверяются на соответствие указанным требованиям безопасности. В случае несоответствия сообщения отклоняются соединителем, и их доставка отменяется. Это позволяет настроить безопасный канал связи с партнерской организацией.When you set up a connector, email messages are checked to make sure they meet the security restrictions that you specify. If email messages don't meet the security restrictions that you specify, the connector will reject them, and those messages will not be delivered. This makes it possible to set up a secure communication channel with a partner organization.

В зависимости от ваших требований вы можете настроить один или оба представленных ниже соединителя.You can set up one or both of the following depending on your requirements:

Также в этой статье:Also in this article:

Просмотрите этот раздел, чтобы определить параметры для своей организации.Review this section to help you determine the specific settings you need for your business.

Настройка соединителя для применения ограничений безопасности к почте, отправляемой из Office 365 партнерской организацииSet up a connector to apply security restrictions to mail sent from Office 365 to your partner organization

Чтобы создать соединитель в Office 365, нажмите кнопку Администрирование, затем нажмите Exchange для перехода в Центр администрирования Exchange. Затем выберите пункт поток обработки почты и нажмите кнопку соединители. Если для вашей организации уже существуют соединители, они будут перечислены здесь.To create a connector in Office 365, click Admin, then click Exchange to go to the Exchange Admin Center. Next, click mail flow, and click connectors. If any connectors already exist for your organization, you can see them listed here.

Примеры

Перед настройкой нового соединителя просмотрите соединители для вашей организации, которые указаны в списке. Например, если у вас уже есть соединитель, настроенный для партнерской организации, вы увидите его в списке. Убедитесь, что не создаете несколько соединителей для одного и того же партнера. Иначе могут возникнуть ошибки, и почта останется недоставленной.Before you set up a new connector, check any connectors that are already listed here for your organization. For example, if you already have a connector set up for a partner organization, you'll see it listed. Make sure you don't create duplicate connectors for a single organizational partner; when this happens, it can cause errors, and your mail might not be delivered.

Чтобы запустить мастер, нажмите знак плюса +. На первом экране выберите параметры, показанные на следующем снимке экрана:To start the wizard, click the plus symbol +. On the first screen, choose the options that are depicted in the following screenshot:

Параметры соединителя для отправки почты из Office 365 в партнерскую организацию

Нажмите кнопку Далее и следуйте указаниям мастера. Если вам нужны дополнительные сведения, перейдите по ссылкам Справка или Подробнее. Мастер поможет вам выполнить настройку. В конце убедитесь, что соединитель выполняет проверку. Если соединитель не выполняет проверку, см. раздел About fixing connector validation errors, чтобы получить советы по устранению проблем.Click Next, and follow the instructions in the wizard. Click the Help or Learn More links if you need more information. The wizard will guide you through setup. At the end, make sure your connector validates. If the connector does not validate, see About fixing connector validation errors for help resolving issues.

Если вы хотите создать безопасный канал связи с партнерской организацией в обоих направлениях, настройте соединитель, который ограничивает поток обработки почты от партнерской организации к Office 365.If you want to create a secure channel with your partner organization in both directions, set up a connector that restricts mail flow from your partner organization to Office 365.

Настройка соединителя для применения ограничений безопасности к почте, отправляемой от партнерской организации в Office 365Set up a connector to apply security restrictions to mail sent from your partner organization to Office 365

Вы можете настроить соединитель для применения ограничений безопасности к электронной почте, отправляемой вам партнерской организацией. Чтобы запустить мастер, нажмите знак плюса +. На первом экране выберите следующие параметры:You can set up a connector to apply security restrictions to email that your partner organization sends to you. To start the wizard, click the plus symbol +. On the first screen, choose the following options:

Соединитель между партнерской организацией и Office 365

Нажмите кнопку Далее и следуйте указаниям мастера. Если вам нужны дополнительные сведения, перейдите по ссылкам Справка или Подробнее. Мастер поможет вам выполнить настройку. В конце сохраните соединитель.Click Next, and follow the instructions in the wizard. Click the Help or Learn More links if you need more information. The wizard will guide you through setup. At the end, save your connector.

Попросите партнерскую организацию отправить вам тестовое сообщение электронной почты. Убедитесь, что соединитель используется для сообщения электронной почты, отправляемого партнерской организацией. Например, если вы указали ограничения безопасности для почты, отправляемой с определенного партнерского домена, убедитесь, что партнерская организация отправляет тестовое сообщение электронной почты с этого домена. Убедитесь, что тесовое сообщение электронной почты доставлено, чтобы подтвердить исправное функционировании соединителя.Ask your partner organization to send a test email. Make sure the email your partner organization sends will cause the connector to be applied. For example, if you specified security restrictions for mail sent from a specific partner domain, make sure they send test mail from that domain. Check that the test email is delivered to confirm that the connector works correctly.

Изменение соединителя, который Office 365 использует для потока обработки почтыChange a connector that Office 365 is using for mail flow

Чтобы изменить параметры соединителя, выберите его и нажмите значок редактирования, как показано на следующем снимке экрана.To change settings for a connector, select the connector you want to edit and then select the edit icon as shown in the following screen shot.

Показывает снимок экрана с выбранным соединителем и выделенным значком редактирования (значок "карандаш")

Откроется мастер соединителя, и вы сможете изменить его текущие параметры. При изменении параметров соединителя Office 365 продолжает использовать его текущие параметры для потока обработки почты. После сохранения изменений Office 365 начинает использовать новые параметры.The connector wizard opens, and you can make changes to the existing connector settings. While you change the connector settings, Office 365 continues to use the existing connector settings for mail flow. When you save changes to the connector, Office 365 starts using the new settings.

Пример ограничений безопасности, которые вы можете применить к электронной почте, отправляемой партнерской организациейExample security restrictions you can apply to email sent from a partner organization

Ознакомьтесь с этими примерами соединителей, чтобы решить, требуется ли вам применять ограничения безопасности к электронной почте, отправляемой партнерской организацией, а также определить, какие параметры удовлетворяют потребностям вашей компании.Review these connector examples to help you decide whether you want to apply security restrictions to email sent by a partner organization, and understand what settings will meet your business needs:

Создание соединителя партнерской организацииCreate a partner organization connector

Для создания соединителя в Office 365 нажмите кнопку Администрирование, а затем нажмите кнопку Exchange для перехода в Центр администрирования Exchange. Затем последовательно выберите пункты поток обработки почты и соединители. Если для вашей организации уже существуют соединители, они будут перечислены здесь.To create a connector in Office 365, click Admin, and then click Exchange to go to the Exchange Admin Center. Next, click mail flow, and click connectors. If any connectors already exist for your organization, you can see them listed here.

Чтобы запустить мастер, нажмите знак плюса +. Чтобы создать соединитель для электронной почты, получаемой от партнерской организации, используйте параметры, показанные на следующем снимке экрана:To start the wizard, click the plus symbol +. To create a connector for email you receive from a partner organization, use the options depicted in the following screenshot:

Соединитель между партнерской организацией и Office 365

После выбора этого сценария потока обработки почты можно настроить соединитель, которые применит ограничения безопасности к сообщениям электронной почты, которые направляет вам партнерская организация. Возможно, вам придется обратиться к партнерской организации, чтобы получить сведения для настройки определенных параметров некоторых ограничений безопасности. Выберите примеры, наиболее соответствующие вашим потребностям, чтобы облегчить настройку партнерского соединителя.Once you choose this mail flow scenario, you can set up a connector that will apply security restrictions to email that your partner organization sends to you. For some security restrictions, you might need to talk to your partner organization to obtain information to complete some settings. Look for the examples that best meet your needs to help you set up your partner connector.

Примечание

Сообщения электронной почты, отправленные вашей партнерской организацией, которые не соответствуют указанным вами ограничениям безопасности, не будут доставлены.Any email sent from your partner organization that does not meet security restrictions that you specify will not be delivered.

Пример 1. Требовать шифрования электронной почты, отправленной с домена партнерской организации contosobank.com, по протоколу TLSExample 1: Require that email sent from your partner organization domain contosobank.com is encrypted using transport layer security (TLS)

Для этого укажите имя домена партнерской организации, чтобы определять почту от этого партнера, и выберите шифрование TLS при создании соединителя Office 365 для партнера. При настройке используйте следующие параметры:To do this, specify your partner organization domain name to identify mail from that partner, and then choose transport layer security (TLS) encryption when you create your Partner to Office 365 connector. Use these options during setup:

Выбор имени домена отправителя

Используйте этот экран, чтобы ввести одно или несколько доменных имен партнерской организации. Так соединитель сможет определить почту, отправленную вашим партнером:Use this screen to enter your partner organization's domain name(s) so the connector can identify mail sent by your partner:

Добавление доменного имени партнерской организации

Выберите этот параметр, чтобы требовать шифрование всех сообщений электронной почты от ContosoBank.com с использованием управления правами доступа к данным:Choose this setting to require encryption for all email from ContosoBank.com using TLS:

Выбор протокола TLS для шифрования электронной почты из партнерской организации

Если выбрать эти параметры, все сообщения электронной почты, отправленные с домена партнерской организации ContosoBank.com, должны быть зашифрованы по протоколу TLS. Все незашифрованные сообщения электронной почты будут отклоняться.When you choose these settings, all email from your partner organization's domain, ContosoBank.com, must be encrypted using TLS. Any mail that is not encrypted will be rejected.

Пример 2. Требовать шифрования и использования доменного сертификата для всех сообщений электронной почты, отправленных с домена партнерской организации ContosoBank.comExample 2: Require that email sent from your partner organization domain ContosoBank.com is encrypted and uses their domain certificate

Для этого используйте все параметры из примера 1. Также добавьте доменное имя в сертификате, с помощью которого партнерская организация подключается к Office 365. При настройке используйте следующий параметр:To do this, use all the settings shown in Example 1. Also, add the certificate domain name that your partner organization uses to connect with Office 365. Use this option during setup:

Ввод имени сертификата партнерской организации

При введении этих ограничений все сообщения электронной почты от партнерской организации должны быть зашифрованы по протоколу TLS и отправляться с сервера с указанным вами именем сертификата. Сообщения электронной почты, которые не удовлетворяют этим условиям, будут отклоняться.When you set these restrictions, all mail from your partner organization domain must be encrypted using TLS, and sent from a server with the certificate name you specify. Any email that does not meet these conditions will be rejected.

Пример 3. Все сообщения должны отправляться из определенного диапазона IP-адресовExample 3: Require that all email is sent from a specific IP address range

Это сообщение может быть отправлено из партнерской организации, например ContosoBank.com, или из локальной среды. Допустим, запись MX для вашего домена, contoso.com, указывает на локальную среду, и вам нужно, чтобы все сообщения, отправленные на домен contoso.com, поступали только с локальных IP-адресов. Это помогает предотвращать спуфинг и гарантирует, что политики соответствия требованиям можно применять для всех сообщений.This email could be from a partner organization, such as ContosoBank.com, or from your on-premises environment. For instance, the MX record for your domain, contoso.com, points to on-premises, and you want all email sent to contoso.com to come from your on-premises IP addresses only. This helps prevent spoofing and makes sure your compliance policies can be enforced for all messages.

Для этого укажите доменное имя партнерской организации, чтобы определять почту от этого партнера, а затем ограничьте список IP-адресов, от которых следует принимать почту. Использование IP-адреса делает работу соединителя более точной, поскольку он определяет один адрес или диапазон адресов, с которых партнерская организация отправляет почту. Введите домен партнера, как описано в примере 1, а затем используйте следующий параметр во время настройки:To do this, specify your partner organization domain name to identify mail from that partner, and then restrict the IP addresses that you accept mail from. Using an IP address makes the connector more specific because it identifies a single address or an address range that your partner organization sends mail from. Enter your partner domain as described in Example 1, then use this option during setup:

Ввод диапазона IP-адресов партнерской организации

При установке этих ограничений, все сообщения электронной почты, отправленные с домена партнерской организации, ContosoBank.com, или из локальной среды, должны быть отправлены с указанного вами IP-адреса или диапазона адресов. Сообщения электронной почты, которые не удовлетворяют этим условиям, будут отклоняться.When you set these restrictions, all email sent from your partner organization domain, ContosoBank.com, or from your on-premises environment must be sent from the IP address or an address range you specify. Any mail that does not meet these conditions will be rejected.

Пример 4. Требовать отправки всех сообщений электронной почты из Интернета для вашей организации с определенного IP-адреса (сценарий использования сторонней службы электронной почты)Example 4: Require that all email sent to your organization from the Internet is sent from a specific IP address (third-party email service scenario)

Поток обработки почты от сторонней службы электронной почты к Office 365 работает без соединителя. Однако при таком сценарии вы можете использовать соединитель, чтобы ограничить доставку всех сообщений электронной почты для вашей организации. Если вы используете параметры, описанные в этом примере, он будут применяться ко всем сообщениям электронной почты, отправленным вашей организации . Если все сообщения электронной почты, отправленные вашей организации, приходят от одной сторонней службы электронной почты, вы можете дополнительно использовать соединитель, чтобы ограничить доставку всей почты. Доставляться будет только почта, отправленная с одного IP-адреса или диапазона IP-адресов.Mail flow from a third-party email service to Office 365 works without a connector. However, in this scenario you can optionally use a connector to restrict all mail delivery to your organization. If you use the settings described in this example, they will apply to all email sent to your organization . When all email sent to your organization comes from a single third-party email service, you can optionally use a connector to restrict all mail delivery; only mail sent from a single IP address or address range will be delivered.

Примечание

Обязательно определите весь диапазон IP-адресов, с которых сторонняя служба электронной почты отправляет почту. Если вы пропустите IP-адрес, или какой-либо адрес будет добавлен без вашего ведома, некоторые сообщения электронной почты не будут доставляться вашей организации.Make sure you identify the full range of IP addresses that your third-party email service sends mail from. If you miss an IP address, or if one gets added without your knowledge, some mail will not be delivered to your organization.

Чтобы разрешить отправку почты для вашей организации с определенного IP-адреса или диапазона адресов, используйте следующие параметры при настройке:To restrict all mail sent to your organization from a specific IP address or address range, use these options during setup:

Выбор имени домена отправителя

Ввод "*" для применения параметров ко всем доменам отправителя

Ввод диапазона IP-адресов партнерской организации

При установке этих ограничений отправка почты для вашей организации будет разрешена только с определенного диапазона IP-адресов. Вся почта из Интернета, отправленная не из этого диапазона IP-адресов, будет отклоняться.When you set these restrictions, all mail sent to your organization must be sent from a specific IP address range. Any Internet mail that does not originate from this IP address range will be rejected.

Пример 5. Требовать шифрования всей почты, отправленной с IP-адреса или диапазона адресов партнерской организации, по протоколу TLSExample 5: Require that all mail sent from your partner organization IP address or address range is encrypted using TLS

Чтобы определить партнерскую организацию по IP-адресу, используйте следующие параметры при настройке:To identify your partner organization by IP address, use these options during setup:

Выбор IP-адреса для идентификации партнерской организации

Ввод IP-адреса партнерской организации

Добавьте требование шифрования TLS с помощью следующего параметра:Add the requirement for TLS encryption by using this setting:

Выбор протокола TLS для шифрования электронной почты из партнерской организации

При установке этих ограничений вся почта от партнерской организации, отправленная с указанного вами IP-адреса или диапазона адресов, должна отправляться по протоколу TLS. Сообщения электронной почты, которые не удовлетворяют условиям этого ограничения, будут отклоняться.When you set these restrictions, all mail from your partner organization sent from the IP address or address range you specify must be sent using TLS. Any mail that does not meet this restriction will be rejected.

See alsoSee also

Configure mail flow using connectors in Office 365Configure mail flow using connectors in Office 365

Рекомендации по потоку обработки почты для Exchange Online и Office 365 (обзор)Mail flow best practices for Exchange Online and Office 365 (overview)

About fixing connector validation errorsAbout fixing connector validation errors

Что, если у меня несколько соединителей для одного сценария?What happens when I have multiple connectors for the same scenario?