为本地 Exchange 实施 Exchange Online 保护第二部分

在我之前的博文中，我解释了如何为入站消息实施 Exchange Online Protection (EOP)。在这篇博文中，我将解释如何使用 EOP 进行出站消息传递。

正如所解释的，所需的配置应该是这样的：

目录同步已到位（之前的博客文章中未解释），创建了从 EOP 到本地 Exchange 的发送连接器，MX 记录已更改为 EOP，并且邮件通过 EOP 传递到本地邮箱。

出站邮件流

对于出站邮件流，需要创建两个连接器：

• 本地 Exchange 服务器上的一个发送连接器将所有出站邮件发送到 EOP。此发送连接器很可能会取代通常使用 DNS 向收件人发送外部电子邮件的现有 Internet 发送连接器。
• EOP 上的一个接收连接器，仅接受来自本地创建的发送连接器的消息。

出于安全目的，默认情况下强制执行 TLS，因此需要有效的第 3 方证书。

要在 EOP 中创建接收连接器，请打开 Exchange（在线保护）管理中心，选择邮件流，然后单击连接器。单击+ 图标，就像在上一篇博客文章中创建连接器时一样，但现在在“发件人：”下拉框中选择您组织的电子邮件服务器，然后选择Office 365 在“收件人：”下拉框中，如下面的屏幕截图所示（点击放大）：

单击“下一步”并按照向导进行操作。 Exchange Online Protection 有两种方法来识别出站本地 Exchange 服务器。这可以通过其证书或 IP 地址来实现。在下面的示例中，我选择了证书及其 FQDN 进行识别，但您也可以输入 IP 地址（点击放大）：

单击下一步继续并按照向导操作。检查配置并单击保存以在 Exchange Online Protection 中创建接收连接器。

本地出站连接器已就位（通过 Edge 订阅），并且需要将该连接器从 DNS 交付更改为智能主机交付。登录到本地 Exchange 管理中心，选择邮件流，然后单击连接器。打开出站连接器，单击投递，然后选择通过智能主机路由邮件单选按钮。在智能主机框中，使用 + 图标添加域特定的 EOP FQDN，类似于yourdomain-com.mail.protection.outlook.com，如图所示截图如下（点击放大）：

当边缘同步已将所有信息同步到边缘传输服务器时，就可以测试新配置。当从本地 Exchange 向我的 Gmail 帐户发送电子邮件并在收到后检查标头信息时，可以清楚地看到邮件通过边缘传输服务器通过 Exchange Online Protection 流向 Gmail（点击放大）：

注意。不要忘记更新您的 SPF 记录！如果您的 SPF 记录未更新，检查 SPF 的组织（例如 Gmail）将检测到不正确的 IP 地址或 FQDN，并可能拒绝该邮件。您可以在 Office 365 管理中心（在“设置 | 域”下）找到正确的 SPF 记录，该记录类似于“v=spf1 include:spf.protection.outlook.com -all”

概括

在前两篇博文中，我向您展示了如何在本地 Exchange 解决方案之前将 Exchange Online Protection 实施为邮件卫生解决方案。它可以配置为与边缘传输服务器一起使用，但也可以直接从邮箱服务器进行配置，或者在组织的外围网络中使用第 3 方 SMTP 解决方案时进行配置。

在下一篇博客中，我将详细解释有关配置和自定义 Exchange Online Protection 的信息。