使用传输规则实施强制 TLS |在线交流 |第 10 部分#12

在当前文章和下一篇文章中，我们将回顾 Exchange Online 服务器和 Exchange 2013 本地部署中存在的一个非常有趣的功能，该功能使我们能够使用 Exchange Online 传输规则“激活”强制 TLS 选项

使用传输规则来实现强制TLS选项 有以下口味：

选项 1 - 使用“简单”TLS 传输规则，其中定义与“目标邮件服务器”的邮件通信必须使用 TLS 加密（如果特定情况）条件得以实现。

选项 2 - 使用传输规则 + 条件邮件路由 选项。
此选项基于两个独立的 Exchange 组件的组合：传输规则 + 邮件连接器。
选项 - 条件邮件路由将邮件连接器“绑定”到 Exchange 传输规则，通过这样做，我们能够定义与需要在我们的邮件服务器和目标邮件服务器之间实现的 TLS 通信通道相关的更具体的设置。

当使用“简单”TLS 选项传输规则时，这将“强制”使用 TLS，我们无法定义与通信相关的特定 TLS 参数与“其他邮件服务器”。

我尝试查找有关传输规则“强制”TLS 时将实施的具体操作的信息，但我找不到该信息。

逻辑假设是，当我们使用强制 TLS 的传输规则时，传输规则将确保使用 TLS 协议保护邮件通信的安全，但是没有选项可以配置与 TLS 会话相关的特定设置，例如强制要求外部邮件服务器需要证明其身份的选项通过提供公共证书等。

当我们使用 条件邮件路由 组合使用选项 2 时color: #000080;">传输规则 + 邮件连接器，优点是我们可以使用 Exchange Online 邮件连接器来配置与 TLS 通信通道相关的非常具体的设置，例如 - 传输规则的条件“其他邮件服务器”需要通过提供受信任的证书和附加要求来证明其身份，例如服务器证书应包含特定的主机名或域名。

决定使用哪个选项取决于您的业务需求和具体场景。

例如-

情况 1 - 如果主要担心的是您的邮件服务器（在我们的场景中为 Exchange Online）与“其他邮件服务器”之间的通信通道将被加密，并且没有特殊需要毫无疑问地确定“另一边”选项 1 就足够了。

情况 2 - 如果主要担心的是您的邮件服务器（在我们的场景中为 Exchange Online）和“其他邮件服务器”之间的通信通道将被加密+我们需要识别和批准“其他邮件服务器”，需要实施选项 2，因为我们将在 Exchange Online 邮件连接器上设置所需的 TLS 配置设置。

当前文章和下一篇文章的主题

• 在本文中，我们将回顾创建“简单”TLS 传输规则所需的必要步骤。
• 在下一篇文章中 - 使用传输规则和条件邮件路由实施强制 TLS |在线交流 |第 11#12 部分，我们将回顾创建传输规则 + 条件邮件路由所需的必要步骤。

注意 - 如前所述，使用传输规则来实现强制 TLS 的选项 在 Exchange Online 服务器和本地 Exchange 2013 中受支持，但在当前文章中，我们将仅涉及 Exchange Online 基础结构。

使用邮件连接器实施强制 TLS 与使用 传输规则

在本系列文章的前几篇文章中，我们回顾了如何实现强制 TLS 选项使用邮件连接器。

激活邮件连接器的“触发器”非常简单——从特定域名发送的邮件（发出邮件）或从特定 IP 地址发送的邮件（传入邮件）。

在某些场景下，这个“触发器”可以满足我们的需求，但在其他场景下，我们需要使用更“复杂的触发器”来激活

我想强调的一个重要问题是 Exchange Online 传输规则向导界面有点棘手！

默认情况下，传输规则的向导界面将仅显示一组有限的选项。

要“显示”可用的其他选项，请单击更多选项...链接

现在我们可以看到一个“新按钮”出现，名为 - 添加条件。

单击添加条件选项。

• 在“如果...应用此规则”框中选择选项收件人...，然后在子菜单上选择- 就是这个人。

如前所述，我们希望在每次向 bob 发送向收件人发送电子邮件消息 - [email protected]

大多数情况下，如果目标收件人是外部收件人，收件人名称将不会出现在GAL（全局地址列表）中。

为了能够添加目标收件人的电子邮件地址，我们将在检查名称文本框中写入电子邮件地址

到目前为止，我们已经配置了 Exchange Online 传输规则的第一部分，即定义“条件”的部分 (IF X)。

现在，我们开始配置第二部分，定义“操作”（THEN Y）。

在选项框中- *执行以下操作...选择菜单-修改消息安全...并在子菜单中选择选项 - 需要 TLS 加密。

在下面的屏幕截图中，我们可以看到结果。 Exchange Online 传输规则 包括所有必需的条件和操作。

需要强调的是，Exchange Online TLS 传输规则并没有告诉我们他将如何实现与“另一方”的 TLS 通信。 ”

例如，我们不知道Exchange Online服务器如何找到目标邮件服务器（我知道答案是通过查找MX记录），并且我们不知道Exchange Online是否需要从目标服务器来证明他的通过提供有效的服务器证书等来验证身份。

回顾和下一篇文章

在本文中，我们回顾了使用强制 TLS 实现选项所需的配置设置Exchange Online 传输规则。

正如我提到的，没有明确的信息可以回答这个问题，逻辑假设是 Exchange Online 将“强制”使用 TLS，但不要求目标邮件服务器证明其身份等。

仅在需要更准确地设置 Exchange Online 和目标邮件服务器之间的 TLS 会话性质的情况下，我们才需要添加额外的组件 - Exchange Online 出站连接器。此选项将在下一篇文章中进行讨论（使用传输规则和条件邮件路由实施强制 TLS | Exchange online | 第 11#12 部分）