使用传输规则和条件邮件路由实施强制 TLS |在线交流 |第 11 部分#12

在本文中，我们将回顾使用 Exchange 传输规则和条件邮件路由实现强制 TLS 选项的选项。通过组合两个不同的 Exchange Online 组件实现的条件邮件路由选项：

1. 交换在线交通
2. Exchange Online 邮件连接器

对比。之前使用“简单 Exchange Online 传输规则”实施的强制 TLS，我们已对此进行了审核在上一篇文章中，条件邮件路由选项使我们能够定义与 TLS 流相关的更复杂的级别设置。

Exchange Online Transport 规则负责定义需要实现的特定条件。当条件满足时，将通过“激活”Exchange Online 邮件连接器（出站 或入站 邮件连接器）。

Exchange Online 邮件连接器负责配置特定的强制 TLS 设置为“其他邮件”服务器 ”。例如，要求提供公共证书等进行身份识别。

使用 Exchange 传输规则和条件邮件路由强制 TLS 场景描述

为了演示 Exchange 传输规则和条件邮件路由的使用，我们使用以下场景：

我们的组织托管在 Exchange Online 上，并由公共域名代表 - o365pilot.com

我们有一个业务合作伙伴，使用域名 - thankyouforsharing.org

Bob ([email protected] 是我们公司的客户经理，我们需要确保每次 Bob 向我们业务合作伙伴的客户经理发送电子邮件时，对于名为 - [email protected] 的收件人，邮件通信必须通过安全通信通道实现，这意味着 - 使用 TLS 协议对通信线路进行加密。

我们场景中的业务需求是配置 Exchange Online 出站连接器，它将强制执行以下要求：

当 Exchange Online 服务器需要向域名为 thankyouforsharing.org 的收件人发送电子邮件时，Exchange Online 服务器将“同意”仅创建邮件流当下列条款得到满足时：

• 邮件通信需要使用加密通信线路（TLS）来实现。
• “外部服务器”（本地 Exchange）必须支持 TLS。
• “外部服务器”（本地 Exchange）必须使用受信任的公共证书来标识自己的身份。
• “外部服务器”的公共证书必须包含一个特定的主机名，该主机名将批准邮件服务器的身份 - o365pilot.com

1. 在第一阶段，我们将创建一个自定义出站连接器，其中将包含所有必需的配置设置对于代表 的邮件服务器的强制 TLS 流程thankyouforsharing.org 组织。
2. 在第二阶段，我们将创建一个自定义 Exchange Online 传输规则，其中将包含条件（Bob 发送到 [email protected] 的电子邮件），然后我们将把传输规则“绑定”到上一阶段创建的出站连接器。

步骤 1#2 - 在线交换 |创建和配置出站连接器 |使用强制 TLS

要创建所需的 Exchange Online 出站连接器，我们将使用以下步骤：

• 登录 Exchange Online 管理中心
• 在左侧栏菜单中，选择邮件流
• 在顶栏菜单上，选择连接器
• 单击加号 符号创建新的邮件连接器

我们需要配置从 Exchange Online 发送到“另一端”的邮件的邮件流。

在来自：选项框中选择 - Office 365

在收件人：选项框中选择 - 合作伙伴组织

在 *name 文本框中，写入适合您需要的名称。

我的建议是使用描述性名称+描述，这样在将来进行故障排除过程时，就可以很容易地理解特定邮件连接器的用途。

在下一个屏幕中，我们将选择选项 - 仅当我设置了将邮件重定向到此连接器的传输规则

此选项的含义是 - 我们“标记”或“标记”Exchange Online 出站连接器 作为可由 Exchange 传输规则使用的连接器。

稍后，在步骤 2#2 - 使用传输规则和条件邮件路由实施强制 TLS 部分中，我们将解释如何“绑定”出站连接器连接到特定的 TLS 传输规则，我们将在可供选择的可选连接器列表中看到此连接器。

在下一个屏幕中，我们需要决定如何“定位”目标邮件服务器。

我们可以在两个选项之间进行选择。

• MX 记录 - Exchange Online 服务器将查询 DNS 服务器以查找特定目标域名的 MX 记录的一种方法。
• 智能主机 - 我们“强制”邮件服务器处理特定 IP 地址或特定主机名的方法。

在我们的场景中，我们将选择 MX 记录选项：使用与合作伙伴域关联的 MX 记录。

在下一个屏幕中，我们将配置强制 TLS 选项 + 决定 Exchange Online 应如何识别“目标邮件服务器”。

在我们的特定场景中，我们需要实现最严格的安全要求，其中包括以下参数：

• 邮件流必须使用 TLS 来实现。
• “其他邮件服务器”需要通过提供由受信任的 CA 创建的公共证书来证明其身份。
• “其他邮件服务器”提供的证书，必须包含主机名 - thankyouforsharing.org

1. 选择选项 - 始终使用传输层安全性 (TLS) 来保护连接（推荐）。

在这一部分中，我们指示 Exchange Online 使用强制 TLS

2. 在仅当收件人的电子邮件服务器证书符合此条件时才连接部分中，我们将选择选项 - 由受信任的证书颁发机构 (CA) 颁发

这是我们指示 Exchange Online 仅当“其他邮件服务器”可以提供公共证书时才批准邮件通信的部分。

3. 此外，我们将选择选项：A主题名称或主题备用名称 (SAN) 与此域名匹配。

在我们的具体场景中，代表域名的目标邮件服务器 - thankyouforsharing.org，我们必须提供包含主机名的公共证书 -

在下面的屏幕截图中，我们可以看到结果。

Exchange Online 传输规则的“顶部”定义了条件。

“底部”描述了操作 - 通过 Exchange Online 邮件连接器路由电子邮件。

验证条件邮件路由传输规则

在下一节中，我们将检查是否通过使用 Exchange Online 邮件跟踪来实现条件邮件路由传输规则。

我们将“要求”Bob 向收件人 [email protected] 发送一封电子邮件，然后在邮件跟踪中查找有关该电子邮件的信息。

• 登录 Exchange Online 管理中心
• 在左侧栏菜单中，选择邮件流
• 在顶栏菜单上，选择消息跟踪菜单

• 我们将查找鲍勃发送的电子邮件 - 在发件人：框中，我们将通过单击添加来添加鲍勃发件人...并选择鲍勃

在下面的屏幕截图中，我们可以看到 Bob 发送至 [email protected] 的电子邮件信息

在EVENT行下，我们可以看到电子邮件已被传输规则“处理”。

在 ACTION 行下，我们可以看到流程视为 - RouteMessageUsingConnector

回顾和下一篇文章

在本文中，我们回顾了实现强制 TLS 选项所需的配置设置 使用 Exchange 传输规则 条件邮件路由 。

在下一篇文章（Exchange Force TLS | 安全邮件流故障排除和验证 | 第 12#12 部分）中，我们将回顾 TLS 邮件流场景中的故障排除主题