强制 TLS | Exchange Online 环境与 Exchange 本地环境第 5 部分#12

在当前文章中，由两部分组成：

1. 在这一部分中，我们对基于 Exchange 本地环境与基于 Exchange Online 的环境之间在邮件连接器和 TLS 设置方面存在的差异进行了高级审查。研究这些差异的原因是，每个 Exchange 基础架构中与强制 TLS 相关的命名约定、管理界面和可用选项存在许多本质上的差异。
2. 我们将在 TLS 文章系列的下一篇文章中使用的场景字符的描述，这将帮助我们演示本地 Exchange 和基于 Exchange Online 的环境之间的可选 TLS 流。本文的第二部分专门描述一个假想场景，其中两个组织（组织 A 和组织 B）需要满足强制安全要求，其中该组织之间存在的邮件流必须使用 TLS 进行加密此外，双方还需要明确对方的身份。

强制 TLS |本地 Exchange 与 Exchange Online |每个环境的独特特征

尽管 Exchange Online 基于 Exchange 服务器的体系结构，但在强制 TLS 主题方面，Exchange Online 和 Exchange on-Premises 之间存在许多差异，例如 - 邮件连接器命名约定以及使用管理界面时的不同选项和参数（图形管理界面和 PowerShell 界面）。

此外，基于 Exchange Online 的环境与“标准组织网络”环境相比具有特定的特征。

邮件连接器 - 命名约定

如上一篇文章中所述，与 Exchange Online 相比，本地 Exchange 对传入和传出邮件连接器使用不同的命名约定。

在涉及 Exchange 本地基础结构和 Exchange Online 基础结构的方案中，我们需要注意用于描述每个不同环境中的邮件连接器的术语。

在基于 Exchange Online 邮件的环境中配置强制 TLS 的挑战。

在 Exchange 本地环境中，强制 TLS 的使用方式与 接收连接器与发送连接器。

Exchange 本地服务器接收连接器和 Exchange Online 服务器 IP 范围。

在 Exchange 本地服务器中，当我们配置传入邮件连接器的设置时 (接收连接器 ），我们通过指定他的IP地址来识别“其他邮件服务器”。

在“其他邮件服务器”是 Exchange Online 服务器的情况下，我们面临着一些挑战：

1. Exchange Online 基础结构不使用特定的 IP 地址来表示，而是使用非常广泛的 IP 范围来表示
2. 有关 Office 365 和 Exchange Online IP 范围的信息非常复杂。如果我们需要获取有关此 IP 范围的详细信息，我们可以使用文章中出现的信息 - Office 365 URL 和 IP 地址范围。但是，如果您尝试阅读这些信息，您会发现这并不是一件容易的事
3. 鉴于我们拥有有关代表 Exchange Online 和 EOP（Exchange Online 保护）的特定 IP 范围的所需信息，将该信息添加到 Exchange 本地服务器接收连接器的任务也不是一件容易的事，可能会出现大量的人为错误。

我们将在“xx”部分中更详细地回顾这个主题

Exchange 本地服务器发送连接器和 Exchange Online 服务器公共证书

我们应该了解的另一个要素是，Exchange Online 基础架构由“单一公共证书”表示，为所有 Office 365 租户提供服务，并且不包含特定公共域的引用托管在 Exchange Online 基础结构上的名称。

这意味着，在 Exchange 本地环境中，当我们需要关联“另一端”（Exchange Online）上的服务器证书时，我们无法定义需要的特定主机名或域名“出现”在 Exchange Online 证书中，而是与 Exchange Online 公共证书中显示的域名相关 - outlook.com

当我们说 Exchange Online 服务器代表特定组织（例如 o365pilot.com）时，它与该组织使用专用邮件服务器的“标准方案”不同。

例如，在 Exchange Online 表示域名 o365pilot.com 的场景中，不存在与该域名相关的“专用公共证书” - o365pilot.com

Exchange Online 代表数千个不同的域和组织。
因此，无法选择为每个域创建专用的公共证书。

Exchange Online 使用“通用公共证书”，代表托管在 Office 365 上并使用 Exchange Online 作为其邮件基础结构的所有租户。

我们将在“xx”部分中更详细地回顾这个主题

Exchange Online 和基于 Exchange 本地服务器环境的主要特征 |强制 TLS 和邮件连接器

在下一节中，我们将回顾 Exchange Online 和 Exchange 本地服务器环境中与配置强制 TLS 选项相关的方面

Exchange Online 环境和强制 TLS 设置

让我们简单一点 - Exchange Online 管理界面比 Exchange 本地管理界面更“友好”，因为我们可以使用 Exchange Online Web 管理界面实现所有必需的配置设置，而不需要复杂的 PowerShell命令。

Exchange Online 的额外优势是 - 我们可用于传入和传出邮件连接器的可用选项的一致性。

Exchange Online 环境 - 出站连接器

识别“另一方”（Exchange Online 地址的邮件服务器）的唯一选项是使用服务器证书选项。

我们可以选择“安全级别”，从一些非常基本的要求开始，其中目标服务器需要有一个证书，但是该证书甚至可以是自签名证书，定义对由公共证书提供的强制性需求受信任的 CA（证书颁发机构），或者通过指定需要包含在服务器证书中的特定主机名或域来“强化”安全要求。

Exchange Online 环境 - 入站连接器

关于 Exchange Online 入站连接器的可用选项，为了识别“另一端”（寻址 Exchange Online 的邮件服务器），我们可以选择不同的验证方法：

选项 1 - 基于 IP 地址的验证 - 仅接受来自特定 IP 地址代表的外部邮件服务器的邮件。

选项2 - 基于服务器证书的验证 - 仅接受来自可以通过提供证书证明其身份的外部邮件服务器的邮件（同样，我们可以选择不同级别的安全要求，例如自签名证书、公共证书或包含特定主机\域名的公共证书）。

Exchange 本地服务器环境和强制 TLS 设置

与 Exchange Online 相比，我们用于创建和配置邮件连接器的管理界面以及可用选项与 Exchange Online 选项相比不太复杂。

Exchange 本地环境 - 发送连接器

我们可用于配置 Exchange 本地 发送连接器 的可用选项与 Exchange Online 相同选项。

主要区别在于，与需要通过要求服务器提供服务器证书来证明其身份来识别“另一方”（邮件服务器，即 Exchange 本地地址）相关的配置设置需要进行更改。使用 PowerShell 而不是使用 Exchange 本地图形管理界面进行配置。

Exchange 本地环境 - 接收连接器

当涉及可用于配置 Exchange 本地 接收连接器 的选项时，我们不无法通过要求服务器证书来配置用于识别“另一端”（寻址本地 Exchange 的外部邮件服务器）的选项。

我们可以用来识别另一方的唯一方法是配置代表另一方的 IP 地址或 IP 地址范围。

场景描述 - 在两个邮件基础设施之间实施强制 TLS 配置。

为了使所需的技术步骤更加“生动”，让我们基于一个具有以下特征的场景：

组织A的特征

使用 Exchange Online 和 EOP（Exchange Online Protection 基础结构）在 Office 365 中托管其邮件基础结构的来源。

组织A的公共域名是 - o365pilot.com

组织B的特征

组织B，使用 Exchange 本地基础设施。

组织B的公共域名是 - thankyouforsharing.org

任务

业务需求是创建所需的邮件基础设施，在该基础设施中我们可以确保该组织之间的邮件流必须使用 TLS 进行加密（不应该有使用标准 SMTP 协议发送电子邮件的选项）。

为了能够满足这个要求，我们需要在两侧配置强制TLS选项。

附加的强制性要求是各方都能够识别他所寻址的邮件服务器或为其寻址的邮件服务器。

例如-

• 外发邮件 - 当组织A向组织B发送电子邮件时，组织A的邮件服务器需要确保超出合理怀疑，与组织B的“真实邮件服务器”“对话”。
• 传入邮件 - 当组织A的邮件服务器由组织B的邮件服务器寻址时，需要确定组织A的邮件服务器毫无疑问，与组织B的“真实邮件服务器”进行“对话”。

快速提醒

• 组织A使用公共域名org，并且邮件基础结构托管在Exchange Online上。
• 组织 B 使用公共域名 com ，邮件基础结构托管在本地 Exchange 上。

Exchange 本地 |强制 TLS |所需的配置。

1.交换本地传入邮件

Exchange 本地传入邮件的要求将通过创建新的 接收连接器 来实现这将适用以下要求：

当代表 o365pilot.com 收件人的合作伙伴邮件服务器对 Exchange 本地服务器进行寻址时，必须使用安全通信通道来实现邮件流。

仅当满足以下要求时，本地 Exchange 才会“同意”接收邮件：

• 邮件通信需要使用加密通信线路（TLS）来实现。
• “外部服务器”（Exchange Online）必须支持 TLS。
• “外部服务器”（Exchange Online）必须使用特定的 IP 地址进行标识。

注意 - 请注意，Exchange 本地服务器接收连接器不包含配置选项使用服务器证书识别其他邮件服务器。

2. Exchange 本地 - 外发邮件

当本地 Exchange 需要向某些具有域名的收件人发送电子邮件时 - o365pilot.com（托管在 Exchange Online 上的收件人），本地 Exchange -仅当满足以下条款时，本地服务器才会“同意”创建邮件流：

• 邮件通信需要使用加密通信线路（TLS）来实现。
• “外部服务器”（Exchange Online）必须支持 TLS。
• “外部服务器”（Exchange Online）必须使用受信任的公共证书来识别自己的身份。
• “外部服务器”的公共证书必须包含将批准邮件服务器身份的特定主机名 - *.outlook.com

注意 - 稍后在第 xxx 节中，我们将讨论此域名的含义，因为 Exchange Online 服务器无法使用具有特定 Office 365 租户域名的公共证书。

下一篇

下一篇文章是在 Exchange Online 环境中配置强制 TLS |出站连接器设置 |第 6#12 部分）。