向 Exchange Online 发送邮件 |第 1#4 部分

Office 365 客户最常见的问题之一是：如何实现本地设备或应用程序通过 Exchange Online 基础结构发送邮件的方案。

该过程的不确定性主要原因来自两个主要因素：

• 与本地邮件基础设施相比，Office 365 和 Exchange Online 环境对于许多 IT 经理来说是一个未知的领域。
• 此场景中存在的正式信息很难理解，并且不包括对不同类型的邮件流场景、故障排除场景等的明确引用。

当前四篇文章系列的主要目的是揭示和解释我们可用于通过 Exchange Online 实现邮件传递的两个主要选项，并提供所需步骤和配置设置的“操作方法”说明。

我需要向云端发送邮件！ ——谁是“云”？

让我们从最基本术语的定义开始。当我们说需要将邮件发送到“云”时，是什么意思？我们要针对的这个“云”是谁？

在 Office 365 环境中，邮件基础结构是通过使用 Exchange Online 架构来实现的。

在 Office 365 环境中，当我们说要向“云”发送电子邮件时，我们的意思是 - 将电子邮件发送到基于 Exchange Online 的服务器。如果我们想更准确的话，在 Office 365 环境中，与公共网络元素“对话”的 Office 365 邮件基础设施的“代表”是 EOP - Exchange Online Protection。

EOP 充当保护 Office 365 邮件基础结构的邮件安全网关。

Exchange Online 服务器的职责是托管 Office 365 用户邮箱，EOP 职责是处理邮件安全以及与公共网络的通信。

大多数时候，我们将 EOP 服务器视为“单个实体”，但如果我们想要更准确，术语“EOP”并不是指特定的 Exchange 邮件服务器，而是指数十甚至数百个“主机”（EOP 邮件服务器）。

在本文中，我们将要寻址的邮件服务器称为 Exchange Online 或 EOP（Exchange Online Protection），尽管最准确的术语是 EOP。

我需要向云端发送邮件！ - 我是谁？

我们需要澄清的另一个术语是“我”或“我”。

当我们说需要向Exchange Online发送电子邮件时，充当“源邮件客户端”的对象是什么？

实际上，“源邮件客户端”可以翻译为多种选项，例如：

• 打印机或扫描仪等硬件设备需要通过将 Exchange Online 寻址为“他的邮件服务器”来向我们的用户发送电子邮件。
• 特定应用程序，例如邮件应用程序或具有“客户端功能”的应用程序，需要通过连接到邮件服务器来发送电子邮件消息，该邮件服务器将电子邮件转发给所需的收件人。
• 需要将电子邮件转发或传递到 Exchange Online 的本地邮件服务器或邮件安全网关（此方案与 Exchange 混合环境无关）。
• 需要通过 Exchange Online 向收件人发送电子邮件的外部网站。

重要的是，我们要了解存在不同类型的“源邮件客户端”，因为每个特定的邮件客户端都有不同的特征和功能。

例如：

• 大多数硬件设备（例如打印机和扫描仪）不支持使用 TLS 等协议的选项，该协议能够在邮件客户端和服务器之间创建加密的通信通道。
• 如果我们处理邮件客户端和邮件服务器之间的通信失败的场景（在我们的场景中为 EOP），并非所有邮件客户端都包含错误日志来帮助我们找到邮件流问题的特定情况。

Office 365 公共邮件基础设施 |两个接口

当我们想要寻址Office 365的“公共邮件服务器”时，我们可以通过使用两个不同的“实体”来关联EOP（Exchange Online Protection）服务器。 ”

• EOP 实体 1 - 由通用名称表示的 EOP 实体：smtp.office365.com
  当我们使用此主机名寻址 EOP 服务器时，EOP 服务器将放置邮件客户端之前的强制性要求 - 需要进行身份验证（提供 Office 365 用户凭据），并且需要支持安全通信通道选项（使用 TLS 协议）。
• EOP 实体 2 - 由 MX 记录主机名表示的 EOP 实体。 Office 365 为 Office 365 租户注册的每个公共域名提供专用 MX 记录。

当我们使用域 MX 记录中出现的主机名或使用“映射”到 MX 记录的公共 IP 地址来寻址 EOP 服务器时，邮件客户端可以使用“标准 SMTP 通信通道”来寻址 EOP 服务器。 ”。

在这种情况下，邮件客户端不需要实现加密和身份验证。

EOP - 两个接口

在下图中，我们可以看到EOP服务器的“两个接口”的表示。 ”

乍一看，我们脑海中可能会出现一个明显的问题：为什么 EOP 需要有两个不同的接口（实体）？

这个问题的一般答案是 - 每个 EOP“身份”都是为回答不同的邮件流场景而创建的。

在下图中，我们可以看到一个汇总表，比较了两个“EOP 标识”以及每个场景的特征。

实施 - “安全邮件流。 ”

EOP 的“正式身份”或接口被定义为安全通信通道。
当我们选择使用 EOP 实现安全通信通道时，我们使用通用主机名来寻址 EOP 服务器： smtp.office365.com

我使用术语“通用主机名”，因为此主机名与特定 Office 365 原则或特定公共域无关，但对于所有使用邮件客户端的 Office 365 租户而言，需要寻址“邮件服务器”。 ”

我使用术语：“安全通信链接”，因为当我们寻址 EOP 主机名时：smtp.office365.com 强制要求是邮件客户端将能够提供用户凭据+ 使用加密邮件协议 - TLS 协议。

使用 EOP 的“安全通信链路”的优点

使用“安全通信链路”的主要好处是：

1. 数据隐私和保护——通过公共网络基础设施在通信通道上传输的信息（邮件流）受到保护。
2. 向外部收件人发送电子邮件的能力 - 安全通信链接基于一个步骤，其中邮件客户端需要通过提供 Office 365 用户凭据来识别自己的身份。
   身份验证后，过程完成，邮件客户端将能够向内部 Office 365 收件人或外部收件人发送
   电子邮件。

收件人对邮件服务器进行寻址并要求其将电子邮件传递给外部收件人（具有邮件服务器对其不具有权威性的域名的收件人）的能力被视为“中继”。 ”

仅当邮件客户端被视为“经过身份验证的用户”时，EOP 和 Exchange Online 才会执行“中继操作”。 ”

例如：

如果我们想要启用特定设备，例如由电子邮件地址表示的打印机：[email protected]。

要向使用电子邮件地址 [email protected] 的外部收件人发送电子邮件，邮件客户端（我们场景中的打印机）必须将其视为“经过身份验证的用户”。只有这样，EOP 服务器才会“同意”将电子邮件转发给外部收件人。

使用 EOP 的“安全通信链路”的缺点

使用“安全通信链路”的主要缺点是：

1. 如果邮件客户端（例如硬件设备）不支持 TLS，我们需要安装和配置支持 TLS 通信的邮件中继。邮件中继的目的是在 EOP 服务器前面代表不支持 TLS 的邮件客户端。
2. 如果我们使用邮件中继，并且需要使用委派选项（邮件客户端使用与邮件中继凭据不同的身份 - 电子邮件地址的选项），我们将需要提供“发送为”权限邮件中继用户帐户。 “发送为”权限将使邮件中继能够代表邮件客户端发送电子邮件。您可以在 Office 365 环境中的 SMTP 中继一文中阅读有关此主题的更多信息。
3. 在一个故障排除场景中，我们尝试配置特定的邮件客户端来实现与 EOP 服务器的安全通信通道（使用 TLS 协议），并且与 EOP 的连接失败，大多数时候很难获得有关原因的详细信息或阻止与 EOP 创建安全通信链接的问题原因。

实施 - “非安全邮件流。 ”

在某些情况下，需要创建与 EOP 服务器的 TLS 通信通道并提供用户凭据可能会被视为“有问题”。

例如，邮件客户端（应用程序或硬件设备）不支持使用 TLS 协议的选项的场景。

在这种情况下，我们可以使用的可用选项是：

1. 使用中介元素，例如支持基于 TLS 通信的邮件中继，它将在邮件客户端（不支持 TLS 通信）和 EOP 服务器之间进行中介。
2. 通过使用 EOP 主机名来解决 EOP 的“其他身份”，该主机名用于代表我们的域名（出现在域 MX 记录中的主机名）。

使用 EOP 的“非安全通信链路”的优点

使用被视为“非安全通信链接”的邮件流的主要优点是，如果我们的设备或应用程序不支持 TLS，并且我们无法选择使用中间元素；例如邮件中继，我们可以使邮件客户端直接与EOP服务器通信。

换句话说：邮件客户端需要提供用户凭据并支持 TLS 协议的使用。

使用 EOP 的“非安全通信链路”的缺点

1. 无法向外部（非 Office 365 收件人）收件人发送电子邮件。
2. 通过非安全网络（公共网络基础设施）传输的数据（邮件流）不受保护。
3. 需要在 Exchange Online 服务器中添加配置设置，以防止“匿名邮件客户端”发送的电子邮件被归类为垃圾邮件的现象。