Office 365 环境中的 SMTP 中继 |第 3 部分#4

迁移到 Office 365 (Exchange Online) 后，用户抱怨他们无法从组织 Office 内的传真设备获取邮件。

您开始调查此问题并重新检查传真设备设置。一切看起来都正常，但传真设备发送的电子邮件仍然无法到达目的地。嗯……发生了什么？
我们忘记的一件小事是，到目前为止，启用邮件的设备\应用程序已配置为连接本地 Exchange 服务器。

在我们恢复启用邮件的设备\应用程序向组织收件人（位于云中）发送邮件的能力之前，我们需要面对一些“障碍”。 “别怕，有办法！”

向 Exchange Online 发送邮件 - 文章系列

• 向 Exchange Online 发送邮件 |第 1#4 部分
• 使用标准 SMTP 会话将邮件发送到 Exchange Online |第 2 部分#4
• Office 365 环境中的 SMTP 中继 |第 3 部分#4
• Office 365 环境中的 SMTP 中继 |故障排除场景 |第 4 部分#4

当前文章是文章系列中的第三篇文章，介绍通过 Office 365 邮件服务发送邮件的要求。
在上一篇文章中，我们描述了一个场景，在该场景中，我们使用以下方式处理 Office 365 邮件服务： Office 365 中代表“我们的邮件服务器”的 MX 记录。

此方法的缺点是此配置配置为不安全，并且具有内置限制，例如无法向外部收件人发送邮件或实现“代表发送”选项。

针对此缺点的“解决方案”以及连接 Office 365 邮件基础结构的首选方法是使用基于 TLS 协议的安全通信通道，并且需要邮件客户端提供用户凭据。

我们面临的主要挑战是，在“邮件客户端”是扫描仪、打印机等硬件设备或特定软件的情况下，很多时候这个“邮件客户端”不支持创建安全的强制需求。使用 TLS 协议的通信通道。

在这种情况下，解决方案是通过使用代理或中介来实现，这被描述为邮件中继。
在当前文章中，我们将回顾如何使用 Windows Server 操作系统中存在的内置 SMTP 服务器 - IIS SMTP 服务器。

邮件客户端寻址邮件服务|可选场景

场景 1 - LAN 邮件客户端（设备\应用程序）寻址内部邮件服务器

在 LAN 邮件客户端（设备\应用程序）对内部邮件服务器进行寻址的情况下，基本假设是 LAN 环境被视为“安全”（与外部网络隔离）。
因此，典型的启用邮件的设备\应用程序与本地邮件服务器之间的通信特征为：

1. 通信通道 - 启用邮件的设备\应用程序使用 SMTP 协议（非加密连接）与本地邮件服务器进行通信。
2. 身份验证 - 大多数时候，启用邮件的设备\应用程序不使用身份验证机制（匿名身份验证）。
3. IP 地址限制 - 在某些情况下，如果管理员想要实施基本安全机制，则本地邮件服务器配置为仅接受来自特定预定义 IP 地址的匿名 SMTP 连接。

场景 2 - LAN 邮件客户端使用安全通信通道 (TLS) 寻址 Office 365 邮件服务

在云（Office 365 邮件服务）等公共网络中的邮件流场景中，通信通道的特征基于不同的假设 - 通信通道 - 支持邮件的设备\应用程序和 Office 之间的通信通道365邮件服务是通过公共网络基础设施（非信任环境）创建的。

因此，从安全角度来看，最佳实践是需要建立一种安全机制，以便能够以安全的方式通过 Office 365 邮件基础设施发送邮件。

“安全方式”的“翻译”是实施加密通信通道 + Office 365 邮件基础设施需要识别连接他并请求邮件服务的“元素”（支持邮件的设备\应用程序）。

此方案的章程是启用邮件的设备\应用程序，它们能够通过寻址代表可用于邮件客户端的 Exchange Online 邮件服务的 Office 365 实体来“直接”寻址 Office 365 邮件基础结构。

为了能够使用安全通信通道寻址 Office 365 邮件服务器 - smtp.office365.com ，启用邮件的设备\应用程序需要能够使用 TLS 协议进行通信+ 提供拥有 Exchange Online 邮箱的 Office 365 用户的用户凭据。

场景 3 - LAN 邮件客户端（设备\应用程序）通过邮件中继寻址 Office 365 邮件服务

第三种情况是我们希望启用启用邮件的设备\应用程序使用安全通信通道来处理 Office 365 邮件基础结构。

由于启用邮件的设备\应用程序不支持使用 TLS 协议 + 身份验证的强制要求，因此我们需要使用中间元素，该元素将充当组织启用邮件的设备\应用程序和 Office 365 邮件之间的“逻辑连接器”基础设施（EOP 服务器）。

“逻辑连接器”将通过使用 SMTP 中继服务器来实现。
SMTP 中继服务器将使用两个单独的接口：

• 接口 1 - 将与组织启用邮件的设备\应用程序进行通信的内部接口。
• 接口 2 - 将使用安全通信通道联系 Office 365 邮件基础结构（EOP 服务器）的公共接口。

SMTP 中继服务器的公共接口必须满足以下强制性要求：

1. 安全通信通道 - 使用 TLS 协议（端口 587 或端口 25）创建的加密通信通道。
2. 身份验证 - 想要将邮件中继到 Office 365 邮件基础设施的“SMTP 中继服务器”需要使用基本身份验证协议提供凭据（用户名 + 密码）。
3. 邮件服务器 IP 地址\主机名 - 想要将邮件中继到 365 邮件基础设施的“SMTP 中继服务器”，需要知道 365 邮件服务器的公共主机名是什么（smtp .office365.com）。

IIS SMTP 服务器可以满足 Exchange Online 对 TLS 和身份验证的强制要求。在该场景中，IIS SMTP 服务器将配置两个“接口”：

1. 接受来自支持 LAN 邮件的设备\应用程序的请求的接口 - 此“接口”将允许\接受来自支持 LAN 邮件的设备\应用程序的邮件中继请求，无需身份验证（匿名）和我们用于的通信通道与支持 LAN 邮件的设备\应用程序的通信基于 SMTP 协议（无需加密）。
2. 与 Exchange Online 通信的接口 - IIS SMTP 服务器将使用另一个“分支”或接口通过：TLS 与 Exchange Online 进行通信，并实现身份验证的要求。

第 1 部分 - 使用 IIS 服务器实现 SMTP 邮件中继

在下一节中，我们将回顾使用 IIS SMTP 作为邮件中继服务器所需实现的所有设置和先决条件。

SMTP 邮件中继先决条件

1. IIS SMTP 用户凭据

IIS SMTP 用于与 Exchange Online 通信的凭据可以是具有有效许可证（Exchange Online 邮箱许可证）的任何 Office 365 用户凭据。

无需为此目的购买“检测到”许可证。关于收件人名称（我们用于向 Exchange Online 服务器进行身份验证的 Office 365 用户），我们应该考虑的唯一“问题”是，默认情况下，将中继到 Exchange Online 服务器的每条邮件都将包含此收件人来自字段中的名称。

例如，如果我们将 IIS SMTP 服务器配置为使用名为 John 的 Office 365 用户的凭据，则从启用 LAN 邮件的设备\应用程序发送到其他 Office 365 收件人的每个电子邮件地址都将被接受目标收件人的电子邮件地址是由“John. ”

稍后，我们将回顾启用 LAN 邮件的设备\应用程序使用不同邮件地址的场景，以及如何启用 IIS SMTP“代表”该主机发送电子邮件。

2. 防火墙设置

为了使 IIS SMTP 服务器能够创建到 Exchange Online 的通信通道，我们需要在组织防火墙中创建一个出站规则，允许 IIS SMTP 使用 TLS（端口 587 或端口 25）。

3. Office 365邮件服务器实体|主机名

为了能够引用 Exchange Online 服务器，Office 365 使用通用主机名：smtp.office365.com

如果您想要查找有关 Exchange Online 服务器名称的信息，请使用以下说明

1. 登录 Office 365 门户
2. 访问OWA（邮件）客户端
3. 在顶部菜单中单击设置图标
4. 选择选项菜单

1. 在左侧菜单栏中选择POP 和 IMAP 菜单
2. 在页面底部，单击POP 或 IMAP 设置
3. 在出现的窗口中，查找以下部分：SMTP 设置
   在这里，您可以找到 Exchange Online 服务器名称 (smtp.office365.com)，此外，我们可以看到有一个使用 TLS 协议（端口 587 或端口 25）的强制要求。

安装和配置 IIS SMTP 服务器

在下面的部分中，我们将演示如何在 Windows 2008 服务器上安装 IIS SMTP 服务器。

第1步：安装IIS服务器

1. 打开服务器管理器控制台，然后在“功能”下选择“添加功能”
2. 选择SMTP服务器选项
   （安装过程的重置就是下一步、下一步等）

第 2 步：IIS SMTP 服务

默认情况下，IIS SMTP服务不启动，启动类型为：手动

1. 我们需要将默认设置更改为 - 自动。
   双击 SMTP 服务：简单邮件传输协议 (SMTP)，然后将启动类型更改为自动
2. 启动IIS SMTP 服务 (SMTPSVC)

步骤 3：IIS SMTP 服务器 MMC

IIS SMTP 的管理控制台是 Internet Information Services 6.0。
（没有使用“标准”IIS 7 管理控制台管理 IIS SMTP 的选项）。我们可以在管理工具->Internet信息服务6.0下找到IIS 6.0管理器

第 2 部分 - 将 IIS 服务器配置为 Office 365 环境的邮件中继

在下一节中，我们将回顾将 IIS SMTP 服务器配置为“SMTP 中继”所需的所有设置。 ”

1. IIS SMTP 中继“LAN 接口”。

第一部分涉及： 为 LAN 主机（启用邮件的设备\应用程序）提供服务的接口或“IIS 分支”的设置。

打开 IIS SMTP 管理控制台，右键单击
[SMTP Virtual Server #1]，然后选择：属性

1.访问选项卡|身份验证

选择访问选项卡 -> 身份验证

在“身份验证”窗口中，选择选项：匿名访问（启用邮件的设备\应用程序不需要使用身份验证）。

2.访问选项卡 |中继

“中继”设置用于配置以下各项的 IP 地址：启用邮件的设备\应用程序，将与 IIS SMTP 服务器通信（中继邮件）。
在我们的示例中，我们有两台主机需要将邮件发送到IIS SMTP 服务器：

安装在 IP 地址为 10.100.102.2 的工作站上的帮助台应用程序以及使用 IP 地址为 10.100.102.3 的传真设备
要使该主机能够向 IIS SMTP 服务器发送（中继）邮件，我们需要将此 IP 地址添加到“允许列表”。

选择访问选项卡 -> 单击中继...按钮。

在中继限制窗口中，添加将与 IIS SMTP 服务器通信（中继邮件）的已启用邮件的设备\应用程序的 IP 地址。

注意：请确保仅输入您信任的已启用邮件的设备\应用程序的 IP 地址。此设置允许将来自这些来源的邮件转发到任何目的地。实际上，这使得运行 IIS 的本地服务器成为开放中继。

您可以在下一篇文章中阅读有关中继设置的更多信息 - Office 365 环境中的 SMTP 中继 |故障排除场景 |第 4 部分#4

2. IIS SMTP 邮件中继“云”接口

在本部分中，我们将创建所需的设置，使 IIS SMTP 服务器能够将邮件消息中继到 Exchange Online 服务器。

交付选项卡

传递选项卡，用于配置与 Exchange Online 服务器通信的 IIS SMTP“接口”。

1.交付选项卡|出站安全

选择传送选项卡 -> 出站安全选项。

在出站安全窗口中选择选项：基本身份验证

我们需要提供具有 Exchange Online 邮箱的 Office 365 用户凭据。在我们的示例中，我们将使用名为 [email protected] 的用户的凭据

选择传送选项卡 -> 出站安全选项。
在出站安全窗口中选择选项：TLS 加密（用于创建与 Exchange Online 的安全通信通道）。

2.交付选项卡| TCP端口

选择传送选项卡 -> 出站连接选项。

我们用于与 Exchange Online 通信的 TLS 端口号是：25 （或端口 587）

（请验证组织防火墙是否具有所需的出站规则，使 IIS SMTP 服务器能够使用此端口）。

3.交付选项卡|高级

选择交付选项卡 -> 高级选项

在智能主机文本框中，我们需要提供 Exchange Online 服务器名称。

注意：如果您需要有关如何查找 Exchange Online 服务器名称的提醒，请阅读以下部分：3. Exchange Online 服务器主机名

完全限定域名部分不是强制性要求。您可以添加 IIS SMTP 服务器的 FQDN。

第 3 部分 - 启用 IIS SMTP 中继以代表其他电子邮件地址发送邮件

为 IIS SMTP 中继创建所需的设置后，我们需要解决可描述为启用 IIS SMTP 中继代表另一个电子邮件地址发送邮件的其他问题。

为了演示目的，我们使用以下场景：
我们想要启用两个内部主机，使用 IIS SMTP 服务器发送电子邮件。

一台主机是使用电子邮件地址的帮助台应用程序：[email protected]，另一台主机是使用电子邮件地址的传真机：[email protected]

如果此主机尝试将邮件中继到 IIS SMTP 服务器，则该邮件将被 Exchange Online 服务器拒绝，因为： 默认情况下，收件人（在我们的示例中：John@o365info .com) 无法“代表”其他收件人发送电子邮件（在我们的示例中：FaxService@o365info. com 和 [email protected]）。

好消息是，我们不需要创建“代表”这些主机的用户帐户和邮箱，这些主机将把邮件中继到 IIS SMTP 服务器。

要使 IIS SMTP 服务器能够为此主机发送电子邮件，我们可以选择以下解决方案之一：

1. 使用通讯组并分配“作为权限发送”

此解决方案基于为需要将电子邮件中继到 IIS SMTP 服务器的每个主机创建一个通讯组。
通讯组配置为安全组（安全\通讯组）。
下一个步骤是：为 IIS SMTP 服务器用于身份验证的收件人分配“发送权限”（在我们的示例中：[email protected]）。

可以使用 Web 界面或使用 PowerShell 命令来分配发送权限。

使用 Office 365 Web 管理界面分配“作为权限发送”

1. 登录 Office 365 门户，在管理菜单中选择选项：Exchange
2. 在 Exchange 管理中心中，选择收件人菜单 -> 组
3. 单击“添加”选项并选择安全组选项。

1. 在我们的示例中，我们将新的安全分发组命名为FaxService
2. 双击新安全分发 (FaxService) 的名称，然后选择菜单 - 组委派。
3. 单击添加选项，然后添加我们用于 IIS SMTP 凭据的收件人姓名（在我们的示例中：John）。

我们需要对每个需要使用 IIS SMTP 服务器中继电子邮件的 LAN 主机重复此过程。

使用 PowerShell 命令分配“发送为”权限
为邮箱/通讯组分配“发送为”权限

PowerShell 命令语法示例：

Add-RecipientPermission FaxService -AccessRights SendAs -Trustee John

2. 添加额外的电子邮件地址（别名）

我们可以使用的另一个选项（而不是安全\分发组解决方案）是：添加将由启用 LAN 邮件的设备\应用程序使用的电子邮件地址，作为收件人使用的附加电子邮件地址（别名） IIS SMTP 服务器。

在我们的示例中，我们将向收件人添加两个额外的电子邮件地址，名为：John

1. 登录 Office 365 门户，在管理菜单中选择选项：Exchange
2. 在 Exchange 管理中心中，选择收件人菜单 -> 邮箱
3. 选择 IIS SMTP 服务器使用的收件人名称（在我们的示例中为 John）。

1. 单击“添加”选项
2. 在邮箱属性中选择选项：电子邮件地址。
3. 在我们的示例中，我们将向“John Mailbox”添加另外两个电子邮件地址（别名）：[email protected] 和 [email protected]