Условная маршрутизация почты Exchange Online Protection

Опубликовано: 12 Марта, 2023
Условная маршрутизация почты Exchange Online Protection

Введение

Проще говоря, условная маршрутизация почты, также известная как маршрутизация на основе критериев, — это способ настройки соединителей Exchange Online Protection [EOP] для отправки или получения почты определенным образом в зависимости от состояния отдельного сообщения электронной почты. Например, мы можем принудительно использовать TLS для определенного отправителя или направлять электронную почту на основе свойств получателей в разные местоположения на сервере электронной почты.

Недавно я работал над глобальной миграцией Exchange на Office 365. У этого конкретного клиента был клиент Office 365, размещенный в Европе, с гибридным развертыванием в Индии. Кроме того, в Соединенном Королевстве и Соединенных Штатах Америки была развернута отдельная организация Exchange.

Чтобы мы могли обновить записи MX, чтобы они указывали на арендатора Office 365 клиента, необходимо было выполнить два требования по соображениям безопасности и юридическим причинам:

  • Требование 1: электронные письма, отправляемые партнерами в определенные почтовые ящики бизнес-приложений (размещенные локально в Великобритании), должны были направляться непосредственно из Office 365 на серверы Exchange в Великобритании, т. е. без маршрутизации через Индию;
  • Требование 2: электронные письма, адресованные пользователям из США, должны были направляться напрямую из Office 365 на локальный сервер Exchange в США, т. е. без маршрутизации через Индию.

Итак, давайте посмотрим, как мы можем удовлетворить эти 2 требования, используя условную маршрутизацию почты. Поскольку они оба очень похожи, я буду использовать Exchange Admin Center для одного и PowerShell для другого.

Требование 1 – Непосредственно в Великобританию

Чтобы перенаправлять электронные письма, отправленные на определенные почтовые ящики, непосредственно на серверы в Великобритании, мы будем использовать правило транспорта для анализа определенного атрибута AD для всех получателей и исходящий коннектор для пересылки этих электронных писем на сервер в Великобритании, если выполняется определенное условие.

В этом сценарии я использую атрибут AD для условия, но, как мы увидим, вместо него можно использовать несколько других атрибутов AD. Условие (правило транспорта) проверяет, установлен ли для конкретного получателя значение « . Таким образом, точность пользовательских атрибутов в AD имеет решающее значение для правильной работы правила транспорта.

Прежде чем мы создадим исходящий коннектор и правило транспорта, нам нужно сделать еще один шаг. Как я уже упоминал, эти почтовые ящики размещаются на локальном сервере, а это означает, что Office 365 ничего не знает об этих почтовых ящиках. Чтобы убедиться, что наше транспортное правило работает, нам нужно создать в Office 365 учетные записи пользователей AD, связанные со всеми почтовыми ящиками приложений (для которых мы хотим изменить поток почты). Для достижения этого есть два варианта:

  1. Использование ДирСинк. Размещение этих учетных записей в области DirSync обеспечит их репликацию в Office 365 со всеми необходимыми атрибутами (не забывая настроить );
  2. Создание их вручную. Другая альтернатива — вручную (или с помощью сценария) создать почтовый контакт для каждого почтового ящика приложения непосредственно в Office 365. Здесь нам просто нужно настроить , , и .

Единственная разница между обоими вариантами заключается в способе управления ими в будущем: локально или в облаке.

Чтобы продемонстрировать этот сценарий, я просто создал почтовый контакт в Exchange Online:

Изображение 2532
фигура 1

Теперь мы готовы начать. Как уже упоминалось, сначала нам нужно создать новый исходящий коннектор и настроить его для использования маршрутизации на основе критериев для маршрутизации почты напрямую в Великобританию:

  1. В Центре администрирования Exchange перейдите к потоку обработки почты > соединители. В разделе Исходящие соединители щелкните Изображение 2533 создать новый коннектор;

Изображение 2534
фигура 2

  1. Дайте соединителю имя, например . В поле «Тип соединителя» выберите «Локально» ;
  2. Решите, хотите ли вы выбрать опцию Сохранять заголовки службы при передаче (используется для гибридных развертываний);
  3. При необходимости добавьте описание соединителя в текстовое поле «Комментарий» ;

Изображение 2535
Рисунок 3

  1. Для требований безопасности подключения выберите Opportunistic TLS (попытка установить TLS-подключение, но возвращается к SMTP-подключению, если принимающий почтовый сервер не настроен на использование TLS);
  2. В разделе «Исходящая доставка» выберите «Направлять почту через промежуточные узлы» и введите IP-адреса или имена серверов, на которые вы хотите доставлять эти электронные письма. В этом примере я использую IP-адрес, но рекомендуется общее имя хоста, чтобы облегчить любые возможные будущие изменения;
  3. Для области действия выберите Использовать для маршрутизации на основе критериев (CBR). Это позволит нам назначить этому коннектору определенное транспортное правило;

Изображение 2536
Рисунок 4

  1. Нажмите «Сохранить», чтобы сохранить соединитель. Теперь он должен появиться в списке соединителей;
  2. Убедитесь, что установлен флажок ENABLED. Позже мы можем изменить настройки коннектора, щелкнув Изображение 2537.

Изображение 2538
Рисунок 5

Теперь нам нужно создать транспортное правило и настроить его для использования только что созданного исходящего соединителя:

  1. В Центре администрирования Exchange перейдите к потоку обработки почты > правила. Нажмите Изображение 2533 и выберите Создать новое правило… ;

Изображение 2539
Рисунок 6

  1. Дайте правилу имя, например . Щелкните ссылку Дополнительные параметры…, чтобы сделать все выборки доступными для правила;
  2. В поле *Применить это правило, если… выберите Получатель… и имеет определенные свойства, включая любое из этих слов. Появится окно выбора свойств пользователя ;
  3. Нажмите Изображение 2533 и в свойствах пользователя: выберите CustomAttribute10. Укажите « ». Нажмите «ОК», а затем снова нажмите «ОК», чтобы закрыть окно выбора свойств пользователя ;
  4. Для *Do the following… выберите Redirect the message to… и затем укажите следующий исходящий коннектор ;
  5. Появится окно выбора исходящего соединителя. Выберите исходящий соединитель, созданный ранее. В списке отображаются только соединители, для которых включена CBR;

Изображение 2540
Рисунок 7

  1. Вы можете выбрать дополнительные свойства правила, такие как тестовый режим и время активации правила;
  2. Нажмите «Сохранить», чтобы сохранить соединитель.

После выполнения всех этих шагов правило транспорта перенаправляет сообщения, адресованные пользователям, чье свойство имеет значение , на IP-адреса/имена хостов, указанные в исходящем соединителе.

Таким образом, пришло время проверить, что электронные письма, отправляемые в почтовые ящики этих приложений, идут по правильному пути: Отправитель > Интернет > Office 365 > UK Server. Сделать это:

  1. Я отправил электронное письмо из своей учетной записи Gmail тестовому контакту, созданному ранее (у которого тот же адрес электронной почты, что и у локального почтового ящика, а для установлено значение ). Кроме того, предполагается, что записи MX уже указывают на Office 365;
  2. В Exchange Online перейдите к почтовому потоку > трассировка сообщения, введите адрес получателя и нажмите «Поиск»:

Изображение 2541
Рисунок 8

  1. Убедитесь, что электронное письмо было получено Office 365:

Изображение 2542
Рисунок 9

  1. Дважды щелкните письмо, чтобы просмотреть дополнительные сведения. Убедитесь, что он был перенаправлен с помощью исходящего соединителя и правильного транспортного правила:

Изображение 2543
Рисунок 10

  1. Затем подтвердите получение электронной почты в локальном почтовом ящике;
  2. Наконец, проанализируйте его заголовок с помощью анализатора сообщений инструмента Microsoft Remote Connectivity Analyzer и убедитесь, что путь, по которому прошла электронная почта, соответствует ожидаемому. На следующем снимке экрана мы видим, что электронное письмо было отправлено с сервера Google в EOP (наборы с 1 по 3), а затем с Exchange Online непосредственно на мой локальный сервер , как я и хотел (шаги с 4 по 6). ):

Изображение 2544
Рисунок 11

Требование 2 – Непосредственно в США

Как уже упоминалось, требования 1 и 2 очень похожи, поэтому для этого я буду использовать PowerShell. Итак, давайте начнем с создания нашего исходящего коннектора. Для достижения нашей цели мы должны использовать как минимум три следующих параметра командлета :

  • Параметр связывает исходящий соединитель с правилом транспорта;
  • необходимо установить значение $False, так как мы хотим, чтобы коннектор отправлял почту на определенный IP-адрес или имя хоста;
  • Параметр указывает промежуточные узлы, которые исходящий соединитель использует для маршрутизации почты. Этот параметр принимает одно или несколько полных доменных имен, например , один или несколько IP-адресов или комбинацию полных доменных имен и IP-адресов.

Окончательный командлет выглядит так:

Изображение 2545
Рисунок 12

После создания мы можем использовать EAC, чтобы убедиться, что все настроено должным образом:

Изображение 2546
Рисунок 13

Следующим шагом, как и прежде, является создание транспортного правила, которое будет анализировать атрибуты получателей и решать, следует ли пересылать адресованные им электронные письма непосредственно на сервер в США. В этом сценарии я буду использовать атрибут AD пользователей и проверять, установлено ли для него значение . Мы достигаем этого с помощью параметра , который мы можем использовать для проверки любого из следующих атрибутов AD: DisplayName, FirstName, Initials, LastName, Office, PhoneNumber, OtherPhoneNumber, Email, Street, POBox, City, State, ZipCode, Country, UserLogonName, HomePhoneNumber, OtherHomePhoneNumber, PagerNumber, MobileNumber, FaxNumber, OtherFaxNumber, Notes, Должность, Отдел, Компания, Менеджер или CustomAttribute1 в CustomAttribute15.

Чтобы указать значение для атрибута AD, мы используем имя атрибута, за которым следует двоеточие и слова, которые мы хотим проверить. Например, чтобы искать слово в атрибуте , мы устанавливаем для этого параметра . Чтобы указать несколько значений для нескольких атрибутов, разделите их запятыми.

Далее нам нужно настроить правило для перенаправления электронной почты на исходящий соединитель, используя параметр и указав имя соединителя (которое в данном случае идентично имени правила).

Окончательный командлет выглядит так:

Изображение 2547
Рисунок 14

Еще раз, мы можем использовать EAC, чтобы убедиться, что все настроено так, как ожидалось:

Изображение 2548
Рисунок 15

Как и прежде, все, что нам нужно сделать сейчас, это убедиться, что все работает должным образом, отправив несколько тестовых писем и проанализировав их.

Вывод

В этой статье мы рассмотрели, что такое условная маршрутизация почты в Exchange Online, изучив пару простых сценариев. Помните, что это мощная функция, которую можно использовать для удовлетворения самых разных требований.

Microsoft

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Миграция автономного клиента Office 365 на Exchange 2010 (часть 8)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
13 Марта, 2023
Миграция автономного клиента Office 365 в Exchange 2010 (часть 7)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 1)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 6)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 11)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 5)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 10)
13 Марта, 2023