在 Exchange Online 环境中配置强制 TLS |出站连接器设置 |第 6 部分#12

在本文中，我们将回顾在基于 Exchange Online 的环境中实施强制 TLS 所需的配置设置。在我们的具体场景中，我们需要为“外发邮件流”配置强制TLS选项。
其含义是——由Exchange Online服务器发送到特定外部域名的邮件（由外部邮件服务器表示）。
强制 TLS 配置设置将应用于出站连接器。

场景需求|在线交流 |外发邮件

完整的场景描述出现在上一篇文章中

在本文中，我们将从完整的场景中实现以下部分：

当 Exchange Online 服务器需要向具有域名的收件人发送电子邮件时 - thankyouforsharing.org（托管在本地 Exchange 上的收件人），Exchange仅当满足以下条款时，在线服务器才会同意创建邮件流：

• 邮件通信需要使用加密通信线路（TLS）来实现。
• “外部服务器”（本地 Exchange）必须支持 TLS。
• “外部服务器”（本地 Exchange）必须使用受信任的公共证书来标识自己的身份。
• “外部服务器”的公共证书必须包含一个特定的主机名，该主机名将批准邮件服务器的身份 - o365pilot.com

在下图中，我们可以看到业务需求的说明 - 使用 强制 TLS选项> 对于从 Exchange Online 发送到本地 Exchange 上托管的域 thankyouforsharing.org 的邮件。

在线交流 |创建和配置出站连接器 |使用强制 TLS

为了能够满足要求，即 Exchange Online 发送到本地 Exchange 且代表域名的每封电子邮件 - thankyouforsharing.org 都将被加密，我们将创建一个新的出站邮件连接器

• 登录 Exchange Online 管理中心
• 在左侧栏菜单中，选择邮件流菜单
• 在顶栏菜单上，选择连接器菜单
• 单击加号符号创建新的邮件连接器

我们需要配置从 Exchange Online 发送到“另一端”的邮件的邮件流。

在发件人：选项框中选择 - Office 365

在收件人：选项框中选择 - 合作伙伴组织

在*name文本框中，写入适合您需要的名称。

我的建议是，使用描述性名称+描述，这样在将来进行故障排除过程时，就可以很容易地理解特定邮件连接器的用途。

在下一步中，我们将保护“激活”Exchange Online 出站连接器的条件。

一般来说，出站连接器可以通过传输规则或特定地址“激活”目标收件人的空间（域名）。

在我们的方案中，每次将邮件发送给域名为 thankyouforsharing.org 的收件人时，我们希望激活 Exchange Online 出站连接器。

注意 - 在xx一文中，我们将回顾 Exchange Online 功能，该功能使我们能够使用传输规则激活邮件连接器。

• 选择选项 - 仅当电子邮件发送到这些域时
• 单击加号并添加所需的域名。在我们的具体场景中，“目标域名”是 thankyouforsharing.org

在下一个屏幕中，我们需要决定 Exchange Online 如何“定位”目标邮件服务器。

我们可以在两个选项之间进行选择

• MX 记录 - Exchange Online 服务器将查询 DNS 服务器以查找特定目标域名的 MX 记录的一种方法。
• 智能主机 - 我们“强制”邮件服务器处理特定 IP 地址或特定主机名的方法。

在我们的场景中，我们将选择 MX 记录选项：使用与合作伙伴域关联的 MX 记录。

在下一个屏幕中，我们将配置强制 TLS 选项 + 决定 Exchange Online 应如何识别“目标邮件服务器”。

在我们的场景中，我们需要实现最严格的安全要求，其中包括以下参数：

• 邮件流必须使用 TLS 来实现。
• “其他邮件服务器”需要通过提供由受信任的 CA 创建的公共证书来证明其身份。
• “其他邮件服务器”提供的证书必须包含垃圾邮件\垃圾邮件主机名 - thankyouforsharing.org

1. 选择选项 - 始终使用传输层安全性 (TLS) 来保护连接（推荐）。

在这一部分中，我们指示 Exchange Online 使用强制 TLS

2. 在仅当收件人的电子邮件服务器证书符合这些条件时才连接部分中，我们将选择选项 -由受信任的证书颁发机构颁发（加拿大）

这是我们指示 Exchange Online 仅当“其他邮件服务器”可以提供公共证书时才批准邮件通信的部分。

3.此外，我们还会选择以下选项：

并且主题名称或主题备用名称 (SAN) 与此域名匹配

在我们的具体场景中，代表域名的目标邮件服务器 - thankyouforsharing.org，我们必须提供包含主机名的公共证书 -