Gestire il flusso di posta usando un servizio cloud di terze parti con Exchange Online

  • Articolo

Questo argomento illustra gli scenari di flusso di posta complessi seguenti con Exchange Online:

Scenario 1 - I record MX puntano al filtro della posta indesiderata di terze parti

Scenario 2 : il record MX punta a una soluzione di terze parti senza filtro della posta indesiderata

Nota

Gli esempi in questo argomento usano l'organizzazione fittizia Contoso, proprietaria del dominio contoso.com ed è un tenant in Exchange Online. Questo è solo un esempio. È possibile adattare questo esempio in base al nome di dominio dell'organizzazione e agli indirizzi IP del servizio di terze parti, se necessario.

Uso di un servizio cloud di terze parti con Microsoft 365 o Office 365

Scenario 1 - I record MX puntano al filtro della posta indesiderata di terze parti

Importante

Microsoft consiglia vivamente di abilitare il filtro avanzato per i connettori o di ignorare completamente il filtro usando una regola del flusso di posta (vedere il punto 5). La mancata esecuzione di questo passaggio comporta inevitabilmente una classificazione errata della principale in ingresso nell'organizzazione e un'esperienza secondaria per le funzionalità di posta elettronica e protezione di Microsoft 365.

Microsoft consiglia inoltre di aggiungere servizi di terze parti che modificano i messaggi in transito come sealer ARC attendibili, se il servizio supporta il sealing ARC. Aggiungere il servizio come sealer ARC attendibile consente ai messaggi interessati di passare i controlli di autenticazione tramite posta elettronica e di impedire che i messaggi legittimi vengano recapitati alla cartella Posta indesiderata, messi in quarantena o rifiutati. I servizi di terze parti che modificano i messaggi e non supportano il sealing ARC invalideranno le firme DKIM di tali messaggi. In questi casi, è consigliabile esaminare il report Rilevamenti spoofing e creare voci consentite per i mittenti falsificati per ignorare gli errori di autenticazione della posta elettronica per i messaggi legittimi.

Si prevede di usare Exchange Online per ospitare tutte le cassette postali dell'organizzazione. L'organizzazione usa un servizio cloud di terze parti per il filtro di posta indesiderata, malware e phishing. Tutti i messaggi di posta elettronica provenienti da Internet devono prima essere filtrati in base a questo servizio cloud di terze parti prima di essere indirizzati a Microsoft 365 o Office 365.

Per questo scenario, la configurazione del flusso di posta dell'organizzazione è simile al diagramma seguente:

Diagramma del flusso di posta che mostra la posta elettronica in ingresso da Internet a un servizio di filtro di terze parti a Microsoft 365 o Office 365 e dalla posta in uscita da Microsoft 365 o Office 365 a Internet.

Procedure consigliate per l'uso di un servizio di filtro cloud di terze parti con Microsoft 365 o Office 365

  1. Aggiungere i domini personalizzati in Microsoft 365 o Office 365. Per dimostrare di essere proprietario dei domini, seguire le istruzioni in Aggiungere un dominio a Microsoft 365.

  2. Creare cassette postali utente in Exchange Online o spostare tutte le cassette postali degli utenti in Microsoft 365 o Office 365.

  3. Aggiornare i record DNS per i domini aggiunti al passaggio 1. (Non sei sicuro di come eseguire questa operazione? Seguire le istruzioni riportate in questa pagina. I record DNS seguenti controllano il flusso di posta elettronica:

    • Record MX: il record MX del dominio deve puntare al provider di servizi di terze parti. Seguire le linee guida per configurare il record MX.

    • Record SPF: tutti i messaggi inviati dal dominio a Internet hanno origine in Microsoft 365 o Office 365, quindi il record SPF richiede il valore standard per Microsoft 365 o Office 365:

      v=spf1 include:spf.protection.outlook.com -all

      È necessario includere il servizio di terze parti nel record SPF solo se l'organizzazione invia posta elettronica Internet in uscita tramite il servizio (dove il servizio di terze parti sarebbe un'origine per la posta elettronica dal dominio).

    Quando si configura questo scenario, l'"host" che è necessario configurare per ricevere messaggi di posta elettronica dal servizio di terze parti viene specificato nel record MX. Ad esempio:

    Valore del nome host di esempio.

    In questo esempio, il nome host per l'host di Microsoft 365 o Office 365 deve essere hubstream-mx.mail.protection.outlook.com. Questo valore può variare da dominio a dominio, quindi controllare il valore inDominio><di configurazione> selezionare dominio> per confermare il valore effettivo.

  4. Bloccare l'organizzazione di Exchange Online per accettare solo la posta dal servizio di terze parti.

    Creare e configurare un connettore in ingresso partner usando i parametri TlsSenderCertificateName (preferito) o SenderIpAddresses , quindi impostare i parametri RestrictDomainsToCertificate o RestrictDomainsToIPAddresses corrispondenti su $True. Tutti i messaggi che sono smart host indirizzati direttamente a Exchange Online verranno rifiutati (perché non sono arrivati tramite una connessione usando il certificato specificato o dagli indirizzi IP specificati).

    Ad esempio:

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToCertificate $true -TlsSenderCertificateName *.contoso.com -RequireTls $true

    o

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToIPAddresses $true -SenderIpAddresses <#static list of on-premises IPs or IP ranges of the third-party service>

    Nota

    Se si dispone già di un connettore in ingresso OnPremises per lo stesso certificato o lo stesso indirizzo IP mittente, è comunque necessario creare il connettore in ingresso partner (i parametri RestrictDomainsToCertificate e RestrictDomainsToIPAddresses vengono applicati solo ai connettori partner ). I due connettori possono coesistere senza problemi.

  5. Per questo passaggio sono disponibili due opzioni:

    • Usare il filtro avanzato per i connettori (scelta consigliata): usare il filtro avanzato per i connettori (noto anche come skip list) nel connettore in ingresso partner che riceve messaggi dall'applicazione di terze parti. Ciò consente l'analisi di EOP e Microsoft Defender XDR per Office 365 sui messaggi.

      Nota

      Per gli scenari ibridi in cui le applicazioni di terze parti si basano su un server Exchange locale da inviare a Exchange Online, è anche necessario abilitare il filtro avanzato per i connettori nel connettore in ingresso OnPremises in Exchange Online.

    • Ignorare il filtro della posta indesiderata: usare una regola del flusso di posta (nota anche come regola di trasporto) per ignorare il filtro della posta indesiderata. Questa opzione impedirà la maggior parte dei controlli EOP e Defender per Office 365 e impedirà quindi un doppio controllo della posta indesiderata.

      Regola del flusso di posta per impedire la doppia analisi.

      Importante

      Invece di ignorare il filtro della posta indesiderata usando una regola del flusso di posta, è consigliabile abilitare il filtro avanzato per il connettore (noto anche come skip listing). La maggior parte dei provider di posta indesiderata cloud di terze parti condivide gli indirizzi IP tra molti clienti. Ignorare l'analisi su questi indirizzi IP potrebbe consentire messaggi di spoofing e phishing da questi indirizzi IP.

Scenario 2 : il record MX punta a una soluzione di terze parti senza filtro della posta indesiderata

Si prevede di usare Exchange Online per ospitare tutte le cassette postali dell'organizzazione. Tutti i messaggi di posta elettronica inviati al dominio da Internet devono prima passare attraverso un servizio di archiviazione o controllo di terze parti prima di arrivare in Exchange Online. Anche tutti i messaggi di posta elettronica in uscita inviati dall'organizzazione Exchange Online a Internet devono passare attraverso il servizio. Tuttavia, il servizio non fornisce una soluzione di filtro della posta indesiderata.

Questo scenario richiede l'uso del filtro avanzato per i connettori. In caso contrario, la posta da tutti i mittenti Internet sembra provenire dal servizio di terze parti, non dalle vere origini su Internet.

Diagramma del flusso di posta che mostra la posta in ingresso da Internet a una soluzione di terze parti a Office 365 o Microsoft 365 e mostra la posta in uscita da Microsoft 365 o Office 365 alla soluzione di terze parti e quindi a Internet.

Procedure consigliate per l'uso di un servizio cloud di terze parti con Microsoft 365 o Office 365

È consigliabile usare le soluzioni di archiviazione e controllo fornite da Microsoft 365 e Office 365.

Vedere anche

Procedure consigliate per il flusso di posta elettronica per Exchange Online, Microsoft 365, Office 365 (panoramica)

Alcuni messaggi non vengono indirizzati attraverso l'organizzazione locale quando si usa il trasporto centralizzato della posta

Impostare i connettori per il flusso di posta sicura con un'organizzazione partner

Gestire tutte le cassette postali e il flusso di posta usando Microsoft 365 o Office 365

Gestire il flusso di posta con cassette postali in più posizioni (Microsoft 365 o Office 365 ed Exchange locale)

Gestire il flusso di posta usando un servizio cloud di terze parti con Exchange Online e le cassette postali locali

Risolvere i problemi relativi al flusso di posta elettronica di Microsoft 365 o Office 365

Testare il flusso di posta elettronica convalidando i connettori