Opzioni di trasporto nelle distribuzioni ibride di Exchange

In una distribuzione ibrida possono essere presenti cassette postali che risiedono nell'organizzazione locale di Exchange e anche in una organizzazione di Exchange Online. Un componente critico per fare che queste due organizzazioni separate appaiano agli utenti come una organizzazione combinata e che i messaggi siano scambiati tra loro è il trasporto ibrido. Con il trasporto ibrido, i messaggi inviati tra destinatari in entrambe le organizzazioni vengono autenticati, crittografati e trasferiti tramite Transport Layer Security (TLS). Questi messaggi vengono visualizzati come "interni" per i componenti di Exchange, ad esempio regole di trasporto, inserimento nel journal e criteri di protezione dalla posta indesiderata. Il trasporto ibrido viene configurato automaticamente dalla configurazione guidata ibrida.

Affinché la configurazione del trasporto ibrido funzioni con la procedura guidata di configurazione ibrida, l'endpoint SMTP che accetta le connessioni da Exchange Online deve essere un server Cassette postali (Exchange 2016 e versioni successive), un server Accesso client (Exchange 2013), un server Trasporto Hub (Exchange 2010 e versioni precedenti) o un server Trasporto Edge (Exchange 2010 e versioni successive).

Importante

Non inserire server, servizi o dispositivi che elaborano o modificano il traffico SMTP tra i server Exchange locali e Microsoft 365 o Office 365. Il flusso di posta sicura tra l'organizzazione di Exchange locale e Microsoft 365 o Office 365 dipende dalle informazioni contenute nei messaggi inviati tra l'organizzazione. Sono supportati i firewall che consentano il traffico SMTP sulla porta TCP 25 senza alcuna modifica. Se un server, un servizio o un dispositivo elabora un messaggio inviato tra l'organizzazione di Exchange locale e Microsoft 365 o Office 365, queste informazioni vengono rimosse. In questo caso, il messaggio non verrà più considerato interno all'organizzazione e sarà soggetto ai filtri di posta indesiderata, alle regole di trasporto e di journal e ad altri criteri che potrebbero non essere applicati.

I messaggi in ingresso inviati a destinatari di entrambe le organizzazioni da mittenti Internet esterni seguono un instradamento di ingresso comune. I messaggi in uscita inviati dalle organizzazioni a destinatari Internet esterni possono essere inviati tramite un instradamento comune di uscita o possono essere inviati tramite instradamenti diversi.

Durante la pianificazione è necessario decidere come instradare la posta elettronica in ingresso e in uscita e configurare una distribuzione ibrida. La route seguita dai messaggi in ingresso e in uscita, inviati e ricevuti dai destinatari delle organizzazioni locale e di Exchange Online, dipende dai fattori elencati di seguito:

  • Si desidera che la posta Internet in entrata per le cassette postali locali e di Exchange Online venga instradata tramite Exchange Online o tramite l'organizzazione locale?

    La route che i messaggi in ingresso per entrambe le organizzazioni accettano dipende da vari fattori, ad esempio la posizione della maggior parte delle cassette postali, se si vuole proteggere l'organizzazione locale usando Microsoft 365 o l'analisi antimalware e antispam di Office 365, dove è configurata l'infrastruttura di conformità e così via.

  • Si desidera instradare la posta elettronica in uscita dall'organizzazione Exchange Online, e indirizzata a destinatari esterni, attraverso l'organizzazione locale o si vuole inviarla direttamente su Internet?

    Con il trasporto centralizzato della posta è possibile instradare tutta la posta elettronica proveniente dalle cassette postali dell'organizzazione di Exchange Online attraverso l'organizzazione locale prima che venga inviata su Internet. Allo stesso modo, i messaggi Internet in ingresso verranno indirizzati a un'organizzazione locale prima di essere recapitati a qualsiasi destinatario Exchange Online. Gli scenari possibili sono descritti in dettaglio in Routing del trasporto nelle distribuzioni ibride di Exchange. Questo approccio è utile negli scenari di conformità in cui la posta elettronica da e verso Internet deve essere elaborata da server locali. In alternativa, è possibile configurare Exchange Online per inviare messaggi diretti a destinatari esterni direttamente a Internet.

    Nota

    Il trasporto centralizzato della posta è consigliato solamente per le organizzazioni con specifiche esigenze di trasporto legate alla conformità. Nelle organizzazioni Exchange standard, è consigliabile non abilitare il trasporto centralizzato della posta poiché può aumentare in modo significativo la quantità di messaggi elaborati dai server locali, incrementare la larghezza di banda utilizzata e creare una dipendenza superflua sui server locali.

  • Si vuole distribuire un server Trasporto Edge nell'organizzazione locale?

    Se non si desidera esporre direttamente a Internet i server Exchange interni uniti al dominio, è possibile distribuire server Trasporto Edge nella propria rete perimetrale. Per ulteriori informazioni sull'aggiunta di un server Trasporto Edge alla distribuzione ibrida, vedere Server Trasporto Edge con distribuzioni ibride.

Indipendentemente da come si instradano i messaggi da e verso Internet, tutti i messaggi scambiati tra l'organizzazione locale e l'organizzazione di Exchange Online vengono inviati utilizzando il trasporto sicuro. Per ulteriori informazioni, vedere Comunicazione attendibile più avanti in questo argomento.

Per ulteriori informazioni sull'effetto di queste opzioni sul routing dei messaggi nell'organizzazione, vedere Transport routing nelle distribuzioni ibride di Exchange.

Exchange Online Protection nelle distribuzioni ibride

EOP è un servizio online fornito da Microsoft che viene utilizzato da molte società per proteggere le organizzazioni locali da virus, spam, tentativi di phishing e violazioni dei criteri. In Microsoft 365 o Office 365, EOP viene usato per proteggere Exchange Online organizzazioni dalle stesse minacce. Quando ci si iscrive a Microsoft 365 o Office 365, viene creata automaticamente una società EOP collegata all'organizzazione Exchange Online.

Una società EOP contiene diverse impostazioni di trasporto della posta che possono essere configurate per l'organizzazione Exchange Online. È possibile specificare quali domini SMTP devono provenire da indirizzi IP specifici, richiedere un certificato TLS e SSL (Secure Sockets Layer), ignorare il filtro antispam o i criteri di conformità e altro ancora. EOP è la frontdoor dell'organizzazione Exchange Online. Tutti i messaggi, indipendentemente dall'origine, devono passare attraverso EOP prima che raggiungano le cassette postali nell'organizzazione Exchange Online. Inoltre, tutti i messaggi inviati dall'organizzazione Exchange Online devono passare attraverso EOP prima che raggiungano Internet.

Quando si configura una distribuzione ibrida con la procedura guidata di configurazione ibrida, tutte le impostazioni di trasporto vengono automaticamente configurate nell'organizzazione locale e nell'azienda EOP incluse nell'organizzazione Exchange Online. La procedura guidata di configurazione ibrida consente di configurare tutti i connettori in ingresso e in uscita e altre impostazioni in questa azienda EOP, in modo da proteggere i messaggi scambiati fra l'organizzazione locale e l'organizzazione Exchange Online e da instradarli verso la destinazione corretta. Anche le impostazioni di trasporto personalizzate per l'organizzazione Exchange Online possono essere configurate nell'azienda EOP, se necessario.

Comunicazione attendibile

Per proteggere i destinatari sia nell'organizzazione locale che nell'organizzazione Exchange Online, e per assicurare che i messaggi scambiati fra le organizzazioni non vengano intercettati e letti, il trasporto tra l'organizzazione locale ed EOP viene configurato per l'uso forzato di TLS. Il componente Trasporto posta sicuro usa certificati TLS/SSL forniti da un'autorità di certificazione (CA) attendibile di terze parti. Anche i messaggi scambiati fra EOP e l'organizzazione Exchange Online utilizzano TLS.

Quando si utilizza il trasporto TLS, i server di invio e ricezione esaminano il certificato configurato sull'altro server. Il nome soggetto o uno dei nomi alternativi soggetto (SAN) configurato sui certificati deve essere uguale al nome di dominio completo (FQDN) che un amministratore ha specificato esplicitamente sull'altro server. Ad esempio, se la configurazione di EOP prevede l'accettazione e la protezione dei messaggi inviati dal nome di dominio completo mail.contoso.com, il server Accesso client o Trasporto Edge locale di invio deve possedere un certificato SSL con mail.contoso.com nel nome dell'oggetto o SAN. Se questa condizione non è soddisfatta, EOP rifiuta la connessione.

Nota

Non è necessario che il nome di dominio completo sia uguale al nome di dominio di posta elettronica dei destinatari. L'unico requisito è che il nome di dominio completo nel nome soggetto o nome alternativo soggetto del certificato sia uguale al nome di dominio completo accettato dai server di invio e ricezione.

Oltre a utilizzare TLS, i messaggi tra le organizzazioni sono trattati come "interni�?. In questo modo i messaggi possono ignorare le impostazioni di antispam e altri servizi.

Per ulteriori informazioni sui certificati SSL e sulla protezione del dominio, vedere Requisiti dei certificati per le distribuzioni ibride e Informazioni sui certificati TLS.