在多个位置管理邮箱的邮件流 (Exchange Online和本地 Exchange)
摘要:如何在 Exchange 混合环境中管理邮件流,其中一些邮箱位于本地,另一些邮箱位于 Microsoft 365 或 Office 365。
本主题介绍以下使用 Microsoft 365 或 Office 365 的复杂邮件流方案:
方案 1:MX 记录指向 Microsoft 365 或 Office 365,Microsoft 365 或 Office 365 筛选所有消息
方案 4:MX 记录指向我的本地服务器,该服务器会筛选消息并提供符合性解决方案。 本地服务器需要通过 Microsoft 365 或 Office 365 将消息中继到 Internet。
注意
本主题中的示例使用虚拟组织 Contoso,该组织拥有域contoso.com。 Contoso 电子邮件服务器的 IP 地址为 131.107.21.231,其第三方提供商使用 10.10.10.1 为其 IP 地址。 这些只是示例。 必要时,您可以对这些示例进行修改,以适合您的组织的域名和面向公众的 IP 地址。
管理邮件流,其中某些邮箱位于 Microsoft 365 或 Office 365中,而某些邮箱位于组织的电子邮件服务器上
方案 1:MX 记录指向 Microsoft 365 或 Office 365,Microsoft 365 或 Office 365 筛选所有消息
- 我正在将邮箱迁移到Exchange Online,我想将某些邮箱保留在组织的电子邮件服务器上, (本地服务器) 。 我想使用 Microsoft 365 或 Office 365 作为垃圾邮件筛选解决方案,并希望使用 Microsoft 365 或 Office 365 将邮件从本地服务器发送到 Internet。 Microsoft 365 或 Office 365发送和接收所有消息。
大多数需要混合邮件流设置的客户应允许 Microsoft 365 或Office 365执行其所有筛选和路由。 建议将 MX 记录指向 Microsoft 365 或 Office 365,因为此设置可提供最准确的垃圾邮件筛选。 针对这种情况,您组织的邮件流设置如下图所示。
最佳做法
在 Microsoft 365 或 Office 365 中添加自定义域。 若要证明你拥有这些域,请按照 将域添加到 Microsoft 365 中的说明进行操作。
在 Exchange Online 中创建用户邮箱,或将所有用户的邮箱移动到 Microsoft 365 或 Office 365。
更新你在步骤 1 中添加的域的 DNS 记录。 (不确定如何执行此任务?按照 此页上的说明操作。) 以下 DNS 记录控制邮件流:
MX 记录:按以下格式将 MX 记录指向 Microsoft 365 或 Office 365:<domainKey-com.mail.protection.outlook.com>
例如,如果您的域是 contoso.com,该 MX 记录应为: contoso-com.mail.protection.outlook.com.
SPF 记录:此记录应将 Microsoft 365 或 Office 365 列为有效的发件人;来自连接到 EOP 的本地服务器的任何 IP 地址;以及代表你的组织发送电子邮件的任何第三方。 例如,如果组织的电子邮件服务器面向 Internet 的 IP 地址为131.107.21.231,则 contoso.com 的 SPF 记录应为:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all或者,根据第三方要求,可能需要包含来自第三方的域,如以下示例所示:
v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
在 Exchange 管理中心 (EAC) ,在以下方案中,使用连接器向导在 Microsoft 365 或 Office 365 中使用连接器配置邮件流:
将 Microsoft 365 或 Office 365 的邮件发送到组织的电子邮件服务器
将邮件从本地服务器发送到 Microsoft 365 或 Office 365
如果以下任一方案适用于你的组织,则必须创建一个连接器,以支持将邮件从本地服务器发送到 Microsoft 365 或 Office 365。
你的组织有权代表你的客户端发送邮件,但你的组织对该域没有所有权。 例如,contoso.com 有权通过 fabrikam.com 发送电子邮件,但后者并不属于 contoso.com。
你的组织通过 Microsoft 365 或 Office 365 将) 未送达的报告 (也称为“NDR”或“退回邮件”中继到 Internet。
若要创建连接器,请在连接器创建向导中的“应如何Office 365识别电子邮件服务器的电子邮件”屏幕中选择第一个选项,如以下两个屏幕截图所示,分别为“新建 EAC”和“经典 EAC”。
此配置使 Microsoft 365 或 Office 365能够使用该证书来标识电子邮件服务器。 在这种情况下,证书 CN 或使用者备用名称 (SAN) 包含组织所属的域。 有关详细信息,请参阅Identifying email from your email server。 有关连接器配置的详细信息,请参阅第 2 部分:将邮件配置为从电子邮件服务器流向 Microsoft 365 或 Office 365。
除非你的合作伙伴有特殊的要求(比如银行要求实施 TLS),否则以下方案中不需要使用连接器。
从 Microsoft 365 或 Office 365 向合作伙伴组织发送邮件
将邮件从合作伙伴组织发送到 Microsoft 365 或 Office 365
注意
如果你的组织使用 Exchange 2010 或更高版本,我们建议使用混合配置向导在 Microsoft 365 或 Office 365 以及本地 Exchange 服务器上配置连接器。 对于此方案,域的 MX 记录不能指向组织的电子邮件服务器。
方案 2:MX 记录指向 Microsoft 365 或 Office 365,并在本地筛选邮件
- 我正在将邮箱迁移到 Exchange Online 并且我想将某些邮箱保留在组织的电子邮件服务器上, (本地服务器) 。 我想要使用我的本地环境中已有的筛选和合规性解决方案。 从 Internet 发往云邮箱的所有邮件或从云邮箱发送到 Internet 的邮件都必须通过本地服务器进行路由。
如果出于业务或法规原因在本地环境中筛选邮件,我们建议将域的 MX 记录指向 Microsoft 365 或 Office 365并启用集中式邮件传输。 此安装程序提供了最佳的垃圾邮件筛选功能,并保护您组织的 IP 地址。 针对这种情况,您组织的邮件流设置如下图所示。
最佳做法
在 Microsoft 365 或 Office 365 中添加自定义域。 若要证明你拥有这些域,请按照 将域添加到 Microsoft 365 中的说明进行操作。
在 Exchange Online 中创建用户邮箱,或将所有用户的邮箱移动到 Microsoft 365 或 Office 365。
更新你在步骤 1 中添加的域的 DNS 记录。 (不确定如何执行此任务?按照 此页上的说明操作。) 以下 DNS 记录控制邮件流:
- MX 记录:按以下格式将 MX 记录指向 Microsoft 365 或 Office 365:<domainKey-com.mail.protection.outlook.com>
例如,如果您的域是 contoso.com,该 MX 记录应为: contoso-com.mail.protection.outlook.com.
SPF 记录:此记录应将 Microsoft 365 或 Office 365 列为有效的发件人,以及连接到 EOP 的本地服务器以及代表组织发送电子邮件的任何第三方的任何 IP 地址。 例如,如果组织的电子邮件服务器面向 Internet 的 IP 地址为 131.107.21.231,则 contoso.com 的 SPF 记录应为:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
集中式邮件传输 (CMT) 用于本地合规性解决方案。
从 Internet 发送到 Exchange Online 邮箱的邮件首先发送到本地服务器,然后返回到要传递到邮箱的Exchange Online。 第 1 行表示方案 2 图中的此路径。
来自 Exchange Online 发往 Internet 的邮件首先发送到本地服务器,然后返回到Exchange Online,然后传递到 Internet。 第 4 行表示方案 2 图中的此路径。
若要实现此配置,请通过 Hybrid Configuration Wizard 或通过 cmdlet 创建连接器,并启用 CMT。 有关 CMT 的详细信息,请参阅 Exchange 混合部署中的传输选项。
除非你的合作伙伴有特殊的要求(比如银行要求实施 TLS),否则以下方案中不需要使用连接器。
从 Microsoft 365 或 Office 365 向合作伙伴组织发送邮件
将邮件从合作伙伴组织发送到 Microsoft 365 或 Office 365
方案 3:MX 记录指向我的本地服务器
- 我正在将邮箱迁移到Exchange Online,我想将某些邮箱保留在组织的电子邮件服务器上, (本地服务器) 。 我想要使用我的本地电子邮件环境中已有的筛选和合规性解决方案。 从 Internet 发送到我的云邮箱或从云邮箱发送到 Internet 的所有邮件都必须通过我的本地服务器进行路由。 我需要将我的域的 MX 记录指向我的本地服务器。
作为方案 2 的替代方法,可以将域的 MX 记录指向组织的电子邮件服务器,而不是指向 Microsoft 365 或 Office 365。 一些组织出于业务或法规的原因需要此设置,但如果你使用方案 2,则通常选择筛选会更合适。
针对这种情况,您组织的邮件流设置如下图所示。
最佳做法
如果您的域的 MX 记录指向您的本地 IP 地址,请使用以下最佳做法:
在 Microsoft 365 或 Office 365 中添加自定义域。 若要证明你拥有这些域,请按照 将域添加到 Microsoft 365 中的说明进行操作。
在 Exchange Online 中创建用户邮箱,或将所有用户的邮箱移动到 Microsoft 365 或 Office 365。
更新你在步骤 1 中添加的域的 DNS 记录。 (不确定如何执行此任务?按照 此页上的说明操作。) 以下 DNS 记录控制邮件流:
SPF 记录:此记录应将 Microsoft 365 或Office 365列为有效的发件人。 它还应包括连接到 EOP 的本地服务器中的任何 IP 地址和代表你的组织发送电子邮件的任何第三方。 例如,如果组织的电子邮件服务器面向 Internet 的 IP 地址为131.107.21.231,则 contoso.com 的 SPF 记录应为:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
由于不是通过 Microsoft 365 或 Office 365 将消息从本地服务器中继到 Internet,因此从技术上讲,无需为以下方案创建连接器。 但是,如果在某个时候将 MX 记录更改为指向 Microsoft 365 或 Office 365,则需要创建连接器;因此,最好是提前执行此操作。 在 Exchange 管理中心,使用连接器向导(第 2 部分:将邮件配置为在以下情况下从电子邮件服务器流向 Microsoft 365 或 Office 365),或使用混合配置向导创建连接器:
从 Microsoft 365 或 Office 365 向组织的电子邮件服务器发送邮件
将邮件从本地服务器发送到 Microsoft 365 或 Office 365
若要确保通过 MX 将邮件发送到你组织的本地服务器,请转到您可以向合作伙伴组织发送的电子邮件应用的示例安全限制,并按照"示例 3:要求发送自合作伙伴组织域 ContosoBank.com 的所有电子邮件均发送自特定的 IP 地址范围"执行相关操作。
方案 4:MX 记录指向我的本地服务器,该服务器会筛选消息并提供符合性解决方案。 本地服务器需要通过 Microsoft 365 或 Office 365 将消息中继到 Internet。
- 我正在将邮箱迁移到Exchange Online,我想将某些邮箱保留在组织的电子邮件服务器上, (本地服务器) 。 我想要使用我的本地电子邮件环境中已有的筛选和合规性解决方案。 从本地服务器发送的所有消息都必须通过 Microsoft 365 或Office 365中继到 Internet。 我需要将我的域的 MX 记录指向我的本地服务器。
针对这种情况,您组织的邮件流设置如下图所示。
最佳做法
如果您的域的 MX 记录指向您的本地 IP 地址,请使用以下最佳做法:
在 Microsoft 365 或 Office 365 中添加自定义域。 若要证明你拥有这些域,请按照 将域添加到 Microsoft 365 中的说明进行操作。
在 Exchange Online 中创建用户邮箱,或将所有用户的邮箱移动到 Microsoft 365 或 Office 365。
更新你在步骤 1 中添加的域的 DNS 记录。 (不确定如何执行此任务?按照 此页上的说明操作。) 以下 DNS 记录控制邮件流:
MX 记录:按以下格式将 MX 记录指向本地服务器:邮件。<domainKey.com>
例如,如果您的域是 contoso.com,该 MX 记录应为: .mail.contoso.com.
SPF 记录:此记录应将 Microsoft 365 或Office 365列为有效的发件人。 它还应包括连接到 EOP 的本地服务器中的任何 IP 地址和代表你的组织发送电子邮件的任何第三方。 例如,如果组织的电子邮件服务器面向 Internet 的 IP 地址为 131.107.21.231,则 contoso.com 的 SPF 记录应为:
v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
在 EAC 中,使用连接器向导在 Microsoft 365 中使用连接器配置邮件流,或针对以下方案Office 365:
从 Microsoft 365 或 Office 365 向组织的电子邮件服务器发送邮件
将邮件从本地服务器发送到 Microsoft 365 或 Office 365
如果以下任何方案适用于组织,请创建连接器以支持“将邮件从本地服务器发送到 Microsoft 365 或 Office 365”方案:
你的组织有权代表你的客户端发送邮件,但你的组织对该域没有所有权。 例如,contoso.com 有权通过 fabrikam.com 发送电子邮件,但后者并不属于 contoso.com。
你的组织通过 Microsoft 365 或 Office 365 将) 的未送达报告 (中继到 Internet。
域 contoso.com 的 MX 记录指向你的本地服务器,组织中的用户会将邮件自动转发到组织外部的电子邮件地址。 例如, kate@contoso.com 已启用转发,并且所有消息都转到 kate@tailspintoys.com。 如果在john@fabrikam.com邮件到达 Microsoft 365 或 Office 365 时将邮件发送到 kate@contoso.com,则发件人域 fabrikam.com 且收件人域 tailspin.com。 发件人域和收件人域不属于你的组织。
若要创建连接器,请在“Microsoft 365 或Office 365如何识别电子邮件服务器的电子邮件”屏幕上选择连接器创建向导中的第一个选项,如以下两个屏幕截图所示,分别为“新建 EAC”和“经典 EAC”。
此选项允许 Microsoft 365 或 Office 365使用证书标识电子邮件服务器。 在这种情况下,证书 CN 或使用者备用名称 (SAN) 包含组织所属的域。 有关详细信息,请参阅Identifying email from your email server。 有关连接器配置的详细信息,请参阅第 2 部分:将邮件配置为从电子邮件服务器流向 Microsoft 365 或 Office 365。
- 将连接器设置为确保与合作伙伴组织之间实现安全的邮件流 通过 MX 确保将邮件发送到您组织的本地服务器。
另请参阅
Exchange Online、Microsoft 365 和 Office 365 (概述) 的邮件流最佳做法
使用 Microsoft 365 或 Office 365 管理所有邮箱和邮件流
通过 Microsoft 365 或 Office 365 使用第三方云服务管理邮件流
使用具有 Microsoft 365 或 Office 365 和本地邮箱的第三方云服务管理邮件流