了解 Exchange 2010 混合部署中的傳輸選項

  • 發行項

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2013-01-25

在混合部署中,您可以將信箱放在內部部署組織中,也可放在 Exchange Online 組織中。兩個不同的組織之所以能夠對使用者以及在其之間交換的郵件顯示為一個合併組織,其中一個重要元件就是混合式傳輸。在採用混合式傳輸的情況下,系統會對任一組織中的收件者之間傳送的郵件進行驗證,使用傳輸層安全性 (TLS) 進行傳輸,並對傳輸規則、日誌及反垃圾郵件原則等 Exchange 元件顯示為「內部」。Exchange 2010 Service Pack 3 (SP3) 中的管理混合組態精靈會自動設定混合式傳輸。

若要讓混合式傳輸設定與管理混合式設定精靈共同運作,則接受 Exchange Online Protection (EOP) (其負責處理 Exchange Online 組織的傳輸) 之連線的內部部署 SMTP 端點,必須為 Exchange 2010 SP3 Hub Transport 或 Edge Transport server。混合式傳輸使用 Exchange 2010 SP3 中提供的新功能來保護郵件安全,並讓郵件顯示為「內部」。

重要事項重要事項:
內部部署 Exchange 2010 SP3 Hub Transport 或 Edge Transport Server 與 EOP 之間可以沒有其他 SMTP 主機、服務或應用程式。新增至可啟用混合式傳輸功能的郵件資訊,會在通過非 Exchange 2010 SP3 伺服器或 SMTP 主機時遭到移除。這包括舊版的 Exchange。
Hub Transport 與 Edge Transport Server 必須執行 Exchange 2010 SP3,才能使用管理混合部署精靈進行混合部署設定。

從外部網際網路寄件者傳送到兩個組織收件者的內送郵件,會遵循通用內送路由。從組織傳送給外部網際網路收件者的外寄郵件,可遵循通用外寄路由,或可經由獨立路由傳送。

當您設定混合部署時,您需要選擇如何路由傳送內送和外寄郵件。內部部署和 Exchange Online 組織收件者傳送的內送與外寄郵件所使用的路由,取決於下列條件:

  • 您想要透過 Microsoft Office 365 和 EOP 或透過您的內部部署組織,遞送您內部部署與 Exchange Online 信箱的內送網際網路郵件嗎?

    您可以選擇透過內部部署組織或透過 EOP 和 Exchange Online 組織,為這兩個組織遞送內送網際網路郵件。這兩個組織的內送郵件採用的路由,取決於您是否啟用混合部署中的集中式郵件傳輸。

  • 您想透過內部部署組織 (集中式郵件傳輸) 遞送 Exchange Online 組織的外寄郵件至外部收件者,還是要將郵件直接遞送到網際網路?

    利用所謂的集中式郵件傳輸,您可以先透過內部部署組織遞送 Exchange Online 組織中信箱的所有郵件,然後再傳遞到網際網路。這個方法用於規範案例中,因為所有傳送到及傳送自網際網路的郵件,都必須由內部部署伺服器處理。或者,您可以設定 Exchange Online 將外部收件者的郵件直接傳遞至網際網路。

    注意事項附註:
    對於有特定規範相關傳輸需求的組織,才建立使用集中式郵件傳輸。對於一般 Exchange 組織,建議不啟用集中式郵件傳輸。

  • 您想要在內部部署組織中部署 Edge Transport Server 嗎?

    如果您不想要讓加入網域的內部混合式 Hub Transport Server 直接公開在網際網路上,您可以在周邊網路部署 Edge Transport Server。如需有關新增 Edge Transport Server 至混合部署的詳細資訊,請參閱:了解 Exchange 2010 混合部署中的 Edge Transport Server

不論您如何將郵件遞送到網際網路,或從網際網路遞送郵件,所有在內部部署與 Exchange Online 組織之間傳送的郵件都會使用安全傳輸進行傳送。如需詳細資訊,請參閱本主題稍後的<信任通訊>。

若要深入了解這些選項如何影響組織中郵件遞送的方式,請參閱了解 Exchange 2010 混合部署的傳輸路由

混合部署中的 Exchange Online Protection

EOP 是 Microsoft 提供的線上服務,許多公司皆利用它保護內部部署組織免於病毒、垃圾郵件、網路釣魚詐騙及原則違規情形。在 Office 365 中,也使用 EOP 保護 Exchange Online 組織不受相同威脅的侵害。註冊 Office 365 時,會自動建立一個連結至您 Exchange Online 組織的 EOP 公司。

EOP 公司包含數個可為您 Exchange Online 組織設定的郵件傳輸設定。您可以指定哪些 SMTP 網域必須來自特定 IP 位址、要求 TLS 與安全通訊端層 (SSL) 憑證、略過反垃圾郵件篩選或規範原則及其他。EOP 是進入 Exchange Online 組織的前哨。不論郵件來源為何,所有郵件都必須通過 EOP 才能傳送到您 Exchange Online 組織中的信箱。而且,所有從您 Exchange Online 組織送出的郵件,都必須通過 EOP 才能傳送到網際網路。

使用管理混合式設定精靈設定混合部署時,所有傳輸設定都會自動在您的內部部署組織,以及在為 Exchange Online 組織設定之 EOP 公司中設定。[管理混合組態] 精靈會設定這個 EOP 公司中的所有內送和外寄連接器以及其他設定,以保護在內部部署與 Exchange Online 組織之間傳送的郵件安全,並將郵件遞送到正確的目的地。如果您想要為 Exchange Online 組織設定自訂傳輸設定,則也會在這個 EOP 公司中設定這些設定。

信任的通訊

為了協助保護在內部部署與 Exchange Online 組織中的收件者,並且協助確保組織之間傳送的郵件不會遭受攔截與讀取,內部部署組織與 EOP 之間的傳輸會設定為使用強制 TLS。TLS 傳輸會使用由信任的協力廠商憑證授權單位 (CA) 所提供的安全通訊端層 (SSL) 憑證。EOP 和 Exchange Online 組織之間的郵件也會使用 TLS。

使用強制執行的 TLS 傳輸時,傳送和接收伺服器會檢查另一部伺服器上設定的憑證。憑證上所設定的主體名稱或是其中一個主體替代名稱 (SAN),必須符合系統管理員在另一部伺服器上明確指定的 FQDN。例如,如果將 EOP 設定為接受並保護從 hybrid.contoso.com FQDN 送出的郵件安全,寄件內部部署混合伺服器必須有主體名稱或 SAN 包含 hybrid.contoso.com 的 SSL 憑證。如果未符合此需求,則連線會遭拒。

注意事項附註:
使用的 FQDN 不需要符合收件者的電子郵件網域名稱。唯一的需求是憑證主旨名稱或 SAN 中的 FQDN 必須符合負責接收或傳送的伺服器所設定要接受的 FQDN。

除了使用 TLS 外,組織之間的郵件會被視為「內部」。此方法允許郵件略過反垃圾郵件設定和其他服務。

深入了解 SSL 憑證和網域安全性: 了解混合部署的憑證需求, 瞭解 TLS 憑證

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。