Gestire il flusso di posta con cassette postali in più posizioni (Exchange Online ed Exchange locale)

Panoramica

Questa documentazione fornisce indicazioni dettagliate sulla gestione di scenari di flussi di posta complessi in ambienti che sfruttano Microsoft 365 o Office 365.

Negli esempi descritti in questa documentazione viene usata l'organizzazione fittizia, , Contosoproprietaria del dominio contoso.com. L'indirizzo IP del server di posta elettronica Contoso è 131.107.21.231e il provider di terze parti usa 10.10.10.1 per il relativo indirizzo IP. Questi sono semplici esempi. È possibile adattare questi esempi in base al nome del dominio e all'indirizzo IP pubblico dell'organizzazione se necessario.

Questa documentazione illustra gli scenari di flusso di posta complessi seguenti:

Informazioni importanti

In alcuni scenari ibridi di flusso di posta, i clienti possono riscontrare situazioni in cui i messaggi di posta elettronica in uscita, provenienti da o inoltrati tramite il server Exchange locale o il gateway di posta elettronica, vengono prima indirizzati attraverso il tenant di Office 365. Ciò si verifica quando il gateway di posta elettronica o il server Exchange locale usa un certificato specifico (ad esempio, gateway.contoso.com o exchange.contoso.com) e il connettore in ingresso creato dalla Configurazione guidata ibrida (HCW) usa una configurazione predefinita del certificato con caratteri jolly (*.contoso.com). Di conseguenza, i messaggi di posta elettronica inviati dal server o dal gateway locale vengono attribuiti al tenant di Office 365 prima di raggiungere i destinatari con record MX che puntano a Exchange Online. Anche se non intenzionale, questo è il processo di attribuzione della posta elettronica standard per il tenant di Office 365 corrispondente. Per comprendere il funzionamento dell'attribuzione dei messaggi in Microsoft 365, leggere Attributo messaggi di Office 365.

spf.protection.outlook.com Includere pertanto nel record SPF del dominio, anche se i messaggi di posta elettronica vengono inviati direttamente dal server o dal gateway locale a Internet. Se il tenant non è ospitato nell'ambiente Microsoft 365 Global , il dominio da includere è diverso. È possibile trovare la voce corretta per il rispettivo ambiente nella documentazione Configurare SPF per identificare origini di posta elettronica valide per il dominio di Microsoft 365 .

Se si vuole modificare il comportamento di routing in questo scenario, è possibile seguire i passaggi descritti nella sezione Domande frequenti #6(b) del post di blog "Attribuzione di messaggi di Office 365".

Scenario 1: il record MX punta a Microsoft 365 o Office 365 e Microsoft 365 o Office 365 filtra tutti i messaggi

  • Si esegue la migrazione delle cassette postali a Exchange Online e si vogliono mantenere alcune cassette postali nel server di posta elettronica dell'organizzazione (server locale). Si vuole usare Microsoft 365 o Office 365 come soluzione di filtro della posta indesiderata e si vuole inviare i messaggi dal server locale a Internet usando Microsoft 365 o Office 365. Microsoft 365 o Office 365 invia e riceve tutti i messaggi.

La maggior parte dei clienti che necessitano di una configurazione ibrida del flusso di posta dovrebbe consentire a Microsoft 365 o Office 365 di eseguire tutti i filtri e il routing. È consigliabile puntare il record MX a Microsoft 365 o Office 365 perché questa impostazione offre il filtro della posta indesiderata più accurato. Per questo scenario, la configurazione del flusso di posta dell'organizzazione sarà simile al diagramma seguente.

Diagramma del flusso di posta che mostra lo scenario in cui il record MX punta a Microsoft 365 o Office 365 e la posta da Internet passa a Microsoft 365 o Office 365 e quindi ai server locali. La posta in viaggio dai server locali passa a Microsoft 365 o Office 365 e quindi a Internet.

Procedure consigliate

  1. Aggiungere i domini personalizzati in Microsoft 365 o Office 365. Per dimostrare di essere proprietario dei domini, seguire le istruzioni in Aggiungere un dominio a Microsoft 365.

  2. Creare cassette postali utente in Exchange Online o spostare tutte le cassette postali degli utenti in Microsoft 365 o Office 365.

  3. Aggiornare i record DNS per i domini aggiunti al passaggio 1. (Non si è certi di come eseguire questa attività? Seguire le istruzioni riportate in questa pagina. I record DNS seguenti controllano il flusso di posta elettronica:

    • Record MX: puntare il record MX a Microsoft 365 o Office 365 nel formato seguente: <domainKey-com.mail.protection.outlook.com>

      Ad esempio, se il dominio ècontoso.com, il record MX deve essere: contoso-com.mail.protection.outlook.com.

    • Record SPF: questo record deve elencare Microsoft 365 o Office 365 come mittente valido; eventuali indirizzi IP dai server locali che si connettono a EOP; e le terze parti che inviano messaggi di posta elettronica per conto dell'organizzazione. Ad esempio, se l'indirizzo IP con connessione Internet del server di posta elettronica dell'organizzazione è 131.107.21.231, il record SPF per contoso.com deve essere:

      v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
      

      In alternativa, a seconda dei requisiti di terze parti, potrebbe essere necessario includere il dominio di terze parti, come illustrato nell'esempio seguente:

      v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
      
  4. Nell'interfaccia di amministrazione di Exchange usare la procedura guidata connettore per configurare il flusso di posta tramite connettori in Microsoft 365 o Office 365 per gli scenari seguenti:

    • Invio di messaggi da Microsoft 365 o Office 365 ai server di posta elettronica dell'organizzazione

    • Invio di messaggi dai server locali a Microsoft 365 o Office 365

      Se uno degli scenari seguenti si applica all'organizzazione, è necessario creare un connettore per supportare l'invio di posta elettronica dai server locali a Microsoft 365 o Office 365.

    • L'organizzazione è autorizzata a inviare messaggi per conto del client, ma non è proprietaria del dominio. Ad esempio, contoso.com è autorizzato a inviare la posta tramite fabrikam.com, che non appartiene a contoso.com.

    • L'organizzazione inoltra i report di mancato recapito (noti anche come rapporti di mancato recapito o messaggi di mancato recapito) a Internet tramite Microsoft 365 o Office 365.

      Per creare il connettore, scegliere la prima opzione della creazione guidata del connettore nella schermata Come identificare la posta elettronica per il server di posta elettronica in Office 365 , come illustrato nelle due schermate seguenti, rispettivamente per New EAC e Classic EAC.

Schermata in cui viene creato un connettore per gestire il flusso di posta in più posizioni.

Screenshot che mostra la schermata Nuovo connettore della Connessione guidata ibrida per Exchange.

Questa configurazione consente a Microsoft 365 o Office 365 di identificare il server di posta elettronica usando il certificato. In questo scenario, il nome alternativo del soggetto (SAN) o il CN del certificato contiene il dominio che appartiene all'organizzazione. Per altre informazioni, vedere Identificazione della posta elettronica dal server di posta elettronica. Per informazioni dettagliate sulla configurazione del connettore, vedere Parte 2: Configurare la posta elettronica per il flusso dal server di posta elettronica a Microsoft 365 o Office 365.

  1. Non sono necessari connettori negli scenari seguenti a meno che uno dei partner abbia un requisito speciale, come l'applicazione di TLS con una banca.

    • Invio di posta elettronica da Microsoft 365 o Office 365 a un'organizzazione partner

    • Invio di posta elettronica da un'organizzazione partner a Microsoft 365 o Office 365

Nota

Se l'organizzazione usa Exchange 2010 o versione successiva, è consigliabile usare la Configurazione guidata ibrida per configurare i connettori in Microsoft 365 o Office 365 e nei server Exchange locali. Per questo scenario, il record MX del dominio non può puntare al server di posta elettronica dell'organizzazione.

Scenario 2: il record MX punta a Microsoft 365 o Office 365 e la posta elettronica viene filtrata in locale

  • Si esegue la migrazione delle cassette postali a Exchange Online e si vogliono mantenere alcune cassette postali nel server di posta elettronica dell'organizzazione (server locale). Si vogliono usare le soluzioni di conformità e filtro già presenti nel proprio ambiente locale. Tutti i messaggi provenienti da Internet alle cassette postali cloud o i messaggi inviati a Internet dalle cassette postali cloud devono essere indirizzati attraverso i server locali.

Se si hanno motivi aziendali o normativi per filtrare la posta nell'ambiente locale, è consigliabile puntare il record MX del dominio a Microsoft 365 o Office 365 e abilitare il trasporto centralizzato della posta. Questa configurazione fornisce un filtro per la posta indesiderata ottimale e protegge gli indirizzi IP dell'organizzazione. Per questo scenario, la configurazione del flusso di posta dell'organizzazione sarà simile al diagramma seguente.

Diagramma del flusso di posta che mostra lo scenario in cui il record MX punta a Microsoft 365 o Office 365 e il filtro viene eseguito nei server locali. La posta da Internet passa a Microsoft 365 o Office 365 e quindi ai server per il filtro di conformità e quindi torna a Microsoft 365 o Office 365.

Procedure consigliate

  1. Aggiungere i domini personalizzati in Microsoft 365 o Office 365. Per dimostrare di essere proprietario dei domini, seguire le istruzioni in Aggiungere un dominio a Microsoft 365.

  2. Creare cassette postali utente in Exchange Online o spostare tutte le cassette postali degli utenti in Microsoft 365 o Office 365.

  3. Aggiornare i record DNS per i domini aggiunti al passaggio 1. (Non si è certi di come eseguire questa attività? Seguire le istruzioni riportate in questa pagina. I record DNS seguenti controllano il flusso di posta elettronica:

    • Record MX: puntare il record MX a Microsoft 365 o Office 365 nel formato seguente: <domainKey-com.mail.protection.outlook.com>

    Ad esempio, se il dominio ècontoso.com, il record MX deve essere: contoso-com.mail.protection.outlook.com.

    • Record SPF: questo record deve elencare Microsoft 365 o Office 365 come mittente valido, oltre a tutti gli indirizzi IP dei server locali che si connettono a EOP e a eventuali terze parti che inviano messaggi di posta elettronica per conto dell'organizzazione. Ad esempio, se l'indirizzo IP con connessione Internet del server di posta elettronica dell'organizzazione è 131.107.21.231, il record SPF per contoso.com deve essere:

      v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
      
  4. Utilizzare il trasporto della posta centralizzato per le soluzioni di conformità locali.

    • La posta proveniente da Internet in una cassetta postale in Exchange Online viene prima inviata al server locale e quindi torna a Exchange Online per essere recapitata alla cassetta postale. La riga 1 rappresenta questo percorso nel diagramma dello scenario 2.

    • La posta proveniente da Exchange Online e destinata a Internet viene prima inviata ai server locali, quindi torna a Exchange Online e quindi viene recapitata a Internet. La riga 4 rappresenta questo percorso nel diagramma dello scenario 2.

    • Per ottenere questa configurazione, creare connettori tramite Hybrid Configuration Wizard o cmdlet e abilitare il trasporto della posta centralizzato. Per informazioni dettagliate su CMT, vedere Opzioni di trasporto nelle distribuzioni ibride di Exchange.

Non sono necessari connettori negli scenari seguenti a meno che uno dei partner abbia requisiti speciali, come l'applicazione di TLS con una banca.

  • Invio di posta elettronica da Microsoft 365 o Office 365 a un'organizzazione partner

  • Invio di posta elettronica da un'organizzazione partner a Microsoft 365 o Office 365

Scenario 3: Il record MX punta ai server in locale

  • Si esegue la migrazione delle cassette postali a Exchange Online e si vogliono mantenere alcune cassette postali nel server di posta elettronica dell'organizzazione (server locale). Si vogliono usare le soluzioni di conformità e filtro già presenti nel proprio ambiente di posta elettronica locale. Tutti i messaggi provenienti da Internet alle cassette postali cloud o inviati a Internet dalle cassette postali cloud devono essere indirizzati attraverso i server locali. È necessario puntare il record MX del dominio al server locale.

In alternativa allo scenario 2, è possibile puntare il record MX del dominio al server di posta elettronica dell'organizzazione anziché a Microsoft 365 o Office 365. Alcune organizzazioni hanno particolari esigenze aziendali o legate alle normative per questa configurazione, ma in genere il filtro funziona meglio se si utilizza lo scenario 2.

Per questo scenario, la configurazione del flusso di posta dell'organizzazione sarà simile al diagramma seguente.

Diagramma che mostra il flusso di posta quando il record MX punta ai server locali anziché a Microsoft 365 o Office 365. La posta elettronica passa da Internet ai server dell'organizzazione e quindi a Microsoft 365 o Office 365. La posta passa da Microsoft 365 o Office 365 ai server locali a Internet.

Procedure consigliate

Se il record MX per il dominio deve puntare all'indirizzo IP locale, utilizzare le seguenti procedure consigliate:

  1. Aggiungere i domini personalizzati in Microsoft 365 o Office 365. Per dimostrare di essere proprietario dei domini, seguire le istruzioni in Aggiungere un dominio a Microsoft 365.

  2. Creare cassette postali utente in Exchange Online o spostare tutte le cassette postali degli utenti in Microsoft 365 o Office 365.

  3. Aggiornare i record DNS per i domini aggiunti al passaggio 1. (Non si è certi di come eseguire questa attività? Seguire le istruzioni riportate in questa pagina. I record DNS seguenti controllano il flusso di posta elettronica:

    • Record SPF: questo record deve elencare Microsoft 365 o Office 365 come mittente valido. Dovrebbe includere anche qualsiasi indirizzo IP dei server locali connessi a EOP ed eventuali terze parti che inviano la posta elettronica per conto dell'organizzazione. Ad esempio, se l'indirizzo IP con connessione Internet del server di posta elettronica dell'organizzazione è 131.107.21.231, il record SPF per contoso.com deve essere:

      v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
      
  4. Poiché non si inoltrano messaggi dai server locali a Internet tramite Microsoft 365 o Office 365, tecnicamente non è necessario creare connettori per gli scenari seguenti. Ma se a un certo punto si modifica il record MX in modo che punti a Microsoft 365 o Office 365, sarà necessario creare connettori; pertanto, è meglio farlo in anticipo. Nell'interfaccia di amministrazione di Exchange usare la procedura guidata del connettore per la parte 2: Configurare la posta elettronica per il flusso dal server di posta elettronica a Microsoft 365 o Office 365 per gli scenari seguenti oppure usare la Configurazione guidata ibrida per creare connettori:

    • Invio di posta elettronica da Microsoft 365 o Office 365 ai server di posta elettronica dell'organizzazione

    • Invio di posta elettronica dai server locali a Microsoft 365 o Office 365

  5. Per accertarsi che i messaggi vengano inviati ai server locali dell'organizzazione tramite MX, consultare Esempi di restrizioni di sicurezza che è possibile applicare alla posta elettronica inviata da un'organizzazione partner e seguire "Esempio 3: Richiedere che tutta la posta elettronica inviata dal dominio dell'organizzazione partner ContosoBank.com sia inviata da un intervallo di indirizzi IP specifico".

Scenario 4: Il record MX punta al server in locale, che filtra e fornisce soluzioni di continuità per i messaggi. Il server locale deve inoltrare i messaggi a Internet tramite Microsoft 365 o Office 365.

  • Si esegue la migrazione delle cassette postali a Exchange Online e si vogliono mantenere alcune cassette postali nel server di posta elettronica dell'organizzazione (server locale). Si vogliono usare le soluzioni di conformità e filtro già presenti nel proprio ambiente di posta elettronica locale. Tutti i messaggi inviati dai server locali devono essere inoltrati tramite Microsoft 365 o Office 365 a Internet. È necessario puntare il record MX del dominio al server locale.

Per questo scenario, la configurazione del flusso di posta dell'organizzazione sarà simile al diagramma seguente.

Diagramma del flusso di posta con frecce che mostrano la posta da Internet ai server locali e quindi a Microsoft 365 o Office 365. Mostra anche i messaggi di posta elettronica che viaggiano da server locali a Microsoft 365 o Office 365 a Internet.

Procedure consigliate

Se il record MX per il dominio deve puntare all'indirizzo IP locale, utilizzare le seguenti procedure consigliate:

  1. Aggiungere i domini personalizzati in Microsoft 365 o Office 365. Per dimostrare di essere proprietario dei domini, seguire le istruzioni in Aggiungere un dominio a Microsoft 365.

  2. Creare cassette postali utente in Exchange Online o spostare tutte le cassette postali degli utenti in Microsoft 365 o Office 365.

  3. Aggiornare i record DNS per i domini aggiunti al passaggio 1. (Non si è certi di come eseguire questa attività? Seguire le istruzioni riportate in questa pagina. I record DNS seguenti controllano il flusso di posta elettronica:

    • Record MX: Puntare il record MX al server locale nel formato seguente:mail.<domainKey>.com

      Ad esempio, se il dominio ècontoso.com, il record MX deve essere: .mail.contoso.com.

    • Record SPF: questo record deve elencare Microsoft 365 o Office 365 come mittente valido. Dovrebbe includere anche qualsiasi indirizzo IP dei server locali connessi a EOP ed eventuali terze parti che inviano la posta elettronica per conto dell'organizzazione. Ad esempio, se l'indirizzo IP con connessione Internet del server di posta elettronica dell'organizzazione è 131.107.21.231, il record SPF per contoso.com deve essere:

      v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
      
  4. Nell'interfaccia di amministrazione di Exchange usare la procedura guidata del connettore per configurare il flusso di posta usando i connettori in Microsoft 365 o Office 365 per gli scenari seguenti:

    • Invio di posta elettronica da Microsoft 365 o Office 365 ai server di posta elettronica dell'organizzazione

    • Invio di posta elettronica dai server locali a Microsoft 365 o Office 365

      Creare un connettore per supportare lo scenario "Invio di posta elettronica dai server locali a Microsoft 365 o Office 365" se uno degli scenari seguenti si applica all'organizzazione:

    • L'organizzazione è autorizzata a inviare la posta per conto del client, ma non è proprietaria del dominio. Ad esempio, contoso.com è autorizzato a inviare la posta tramite fabrikam.com, che non appartiene a contoso.com.

    • L'organizzazione inoltra i report di mancato recapito a Internet tramite Microsoft 365 o Office 365.

    • Il record MX per il dominio, contoso.com, punta al server locale e gli utenti nell'organizzazione inoltrano automaticamente i messaggi agli indirizzi di posta elettronica esterni all'organizzazione. Ad esempio, kate@contoso.com l'inoltro è abilitato e tutti i messaggi passano a kate@tailspintoys.com. Se john@fabrikam.com invia un messaggio a kate@contoso.com, quando il messaggio arriva a Microsoft 365 o Office 365, il dominio del mittente viene fabrikam.com e il dominio del destinatario viene tailspin.com. Il dominio del mittente e il dominio del destinatario non appartengono all'organizzazione.

      Per creare il connettore, scegliere la prima opzione della creazione guidata del connettore nella schermata Come è necessario che Microsoft 365 o Office 365 identifichi la posta elettronica per la schermata del server di posta elettronica , come illustrato nelle due schermate seguenti, rispettivamente per New EAC e Classic EAC.

Schermata in cui viene creato un connettore per gestire il flusso di posta in più posizioni.

Screenshot che mostra la schermata Nuovo connettore della Connessione guidata ibrida per Exchange.

Questa opzione consente a Microsoft 365 o Office 365 di identificare il server di posta elettronica usando il certificato. In questo scenario, il nome alternativo del soggetto (SAN) o il CN del certificato contiene il dominio che appartiene all'organizzazione. Per altre informazioni, vedere Identificazione della posta elettronica dal server di posta elettronica. Per informazioni dettagliate sulla configurazione del connettore, vedere Parte 2: Configurare la posta elettronica per il flusso dal server di posta elettronica a Microsoft 365 o Office 365.

  1. Impostare i connettori per il flusso di posta sicura con un'organizzazione partner per accertarsi che i messaggi vengano inviati ai server locali dell'organizzazione tramite MX.

Vedere anche

Procedure consigliate per il flusso di posta per Exchange Online, Microsoft 365 e Office 365 (panoramica)

Gestire tutte le cassette postali e il flusso di posta usando Microsoft 365 o Office 365

Gestire il flusso di posta usando un servizio cloud di terze parti con Microsoft 365 o Office 365

Gestire il flusso di posta usando un servizio cloud di terze parti con cassette postali in Microsoft 365 o Office 365 e locale

Risolvere i problemi relativi al flusso di posta di Office Microsoft 365 o 365

Testare il flusso di posta convalidando i connettori di Microsoft 365 o Office 365