您好,登錄后才能下訂單哦!
前面的文章《巧用Office365中的Exchange Online Protection(一)》介紹了,如何利用Office365的EOP來作為本地Exchange Server的反垃圾郵件網(wǎng)關(guān),但是對(duì)于外發(fā)郵件怎么去使用Office365的EOP來進(jìn)行過濾以防止本地Exchange Server的公網(wǎng)IP被列入黑名單呢?
由于我的權(quán)限和資源有限,在寫完之前那篇博客后我也做了嘗試:
1、 在Office365上新建一個(gè)連接器:從本地Exchange Server到Office365的固定郵件流
2、 在本地Exchange Server上新建發(fā)送連接器并將之前的所有發(fā)送連接器刪掉
但這些都沒有起作用,今天白天見了好幾撥客戶,直到今晚我能夠遠(yuǎn)程到Exchange Server虛擬機(jī)并搞了一個(gè)公網(wǎng)SSL證書上去之后一切情況得到了改變(這也是導(dǎo)致我隔了兩天才把第二部分補(bǔ)上的根本原因)。
一起來分享一下整個(gè)過程吧:
首先我在沒有做任何操作的情況下創(chuàng)建一封郵件發(fā)給我的QQ郵箱,可用看到我的QQ郵箱是可用收到郵件的,我們把這個(gè)郵件頭摘出來進(jìn)行分析
通過微軟遠(yuǎn)程分析連接器對(duì)郵件頭進(jìn)行分析,發(fā)現(xiàn)這封郵件直接從Exchange Server發(fā)到了我的QQ郵箱,而并沒有經(jīng)過Office365的Exchange Online Protection
隨即我登錄到ExchangeOnline管理中心,去新建一個(gè)連接器,并選擇郵件流的走向?yàn)楸镜谽xchange Server到Office365的路徑
定義連接器的名稱
然后我這里直接選擇使用本地Exchange Server的公網(wǎng)IP地址來識(shí)別我本地的Exchange Server,不過微軟還是建議通過公網(wǎng)SSL證書來做這個(gè)本地Exchange Server的身份識(shí)別
點(diǎn)擊下一步完成
可用看到在Office365上的連接器就創(chuàng)建完成了
接下來去本地Exchange Server上創(chuàng)建發(fā)送連接器,這里由于當(dāng)時(shí)無法遠(yuǎn)程到服務(wù)器里面去,所以只能在web中進(jìn)行創(chuàng)建(但是在web中創(chuàng)建簡(jiǎn)直坑太多,而且都是沒法定義高級(jí)功能的)
寫上發(fā)送連接器的名稱,并選擇自定義
這里來添加一個(gè)智能主機(jī),這里的智能主機(jī)名字可用參考Office365中提供MX記錄
保持默不對(duì)智能主機(jī)身份進(jìn)行驗(yàn)證配置
添加地址空間還是為 *
源服務(wù)器選擇現(xiàn)有的Exchange Server
然后創(chuàng)建完成,并把原來的發(fā)送連接器禁用掉
然后測(cè)試外發(fā)郵件,就可用看到發(fā)送失敗了,原因就是Office365 Exchange Online Protection拒絕了我的郵件,很明顯就是一個(gè)驗(yàn)證和服務(wù)的問題了。但是無法遠(yuǎn)程到郵件服務(wù)器是很蛋疼的。
來看下現(xiàn)在郵件服務(wù)器還是使用的內(nèi)網(wǎng)CA頒發(fā)的證書
然后一切的一切,都在今晚得到了改善,搞到一張通配符證書,直接給Exchange Server換上去,默認(rèn)是沒有分配SMTP和IIS服務(wù)的,手動(dòng)分配一下就好了
我也可以遠(yuǎn)程到Exchange Server上去了,然后我天真的做了set- sendconnector動(dòng)作來啟用cloud services和配置helo/ehlo響應(yīng)的fqdn,然而現(xiàn)實(shí)卻是啪啪啪打臉,直接用Set去修改現(xiàn)有參數(shù),可用修改成功,但是一樣的不能外發(fā)出去
然后去外發(fā)郵件,又是提示被拒絕
關(guān)于這部分,我反復(fù)的去調(diào)整所有的參數(shù),折騰了2個(gè)小時(shí),一直沒有搞定。。。
然后我使用了大招,直接刪掉這個(gè)發(fā)送連接器,然后用powershell來新建發(fā)送連接器
這部分微軟的官方文檔也是寫的不靠譜了,居然讓我去Exchange Online上新建發(fā)送連接器,Office365上有個(gè)毛線的發(fā)送連接器啊,只有連接器。寫文檔的印度小哥:要給點(diǎn)力啊,不能范這么低級(jí)的錯(cuò)誤了
新建的命令如下(再吐槽下Exchange產(chǎn)品組,最后的certificatevalidation參數(shù)居然tab不出來,我一個(gè)一個(gè)字母全部拼出來的):
new-sendconnector -name “Exchange Server to Office365” -addressspaces * -cloudservicesmailenable $true -fqdn mail.ucssi.cn -requiretls $true -smarhosts ucssi-cn.mail.protection.outlook.com -tlsauthlevel certificatevalidation
創(chuàng)建成功,去管理中心看一下這貨長(zhǎng)什么樣的
查看詳細(xì)信息,也和前面的并無兩樣,所有這個(gè)sendconnector還是適合用powershell來創(chuàng)建
完成這一系列操作后,已經(jīng)是凌晨了,趕緊發(fā)了一封測(cè)試郵件到QQ郵箱
這邊QQ郵箱收到test01發(fā)來的郵件了
然后打開這封郵件的郵件頭,其實(shí)已經(jīng)可用看出來這封郵件是從Exchange Online Protection傳遞過來的了
為了更加直觀的看到整個(gè)過程,我還是將整個(gè)郵件頭拿到微軟遠(yuǎn)程分析連接器中去進(jìn)行了分析,就更加直觀的看出來了test01發(fā)送郵件到外部首先在Exchange Server內(nèi)部找到新建的發(fā)送連接器,然后直接將郵件路由給Office365,最后Office365經(jīng)過EOP過濾后確認(rèn)郵件正常再傳遞給QQ郵箱
整個(gè)過程就分享完了。
總結(jié)一下:
1、 強(qiáng)烈建議Exchange Server使用公網(wǎng)SSL
2、 在Office365上創(chuàng)建連接器的時(shí)候建議用證書來標(biāo)識(shí)本地Exchange Server,有的企業(yè)Exchange Server公網(wǎng)IP地址很多,一個(gè)一個(gè)添加很麻煩
3、 不要過于的相信微軟官方文檔,自己在看文檔的時(shí)候也要根據(jù)自身的經(jīng)驗(yàn)去分析一下微軟官方說的準(zhǔn)不準(zhǔn)確
4、 這類特殊的發(fā)送連接器創(chuàng)建,還是乖乖的用Powershell去搞,不然很有可能像我這樣搞幾個(gè)小時(shí)后再去查微軟的文檔,還查出來一個(gè)有點(diǎn)小問題的文檔出來。
5、 中國(guó)版Office365和國(guó)際版Office365都提供這個(gè)功能(我的實(shí)驗(yàn)環(huán)境用的是國(guó)際版)
最后,原創(chuàng)不易,各位可以隨意打賞~
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。