Configurare un connettore basato su certificati per inoltrare i messaggi di posta elettronica tramite Microsoft 365
Introduzione
Se l'organizzazione dispone di una distribuzione ibrida (locale e Microsoft 365), è spesso necessario inoltrare messaggi di posta elettronica a Internet tramite Microsoft 365. In altre parole, i messaggi inviati dall'ambiente locale (cassette postali, applicazioni, scanner, fax e così via) ai destinatari Internet vengono prima instradati a Microsoft 365 e quindi inviati.
Figura: E-mail inoltrata dai server di posta elettronica locali a Internet tramite Microsoft 365
Per la corretta esecuzione dell'inoltro, l'organizzazione deve attenersi alla seguente procedura:
Creare uno o più connettori in Microsoft 365 per autenticare i messaggi di posta elettronica dai server di posta locali utilizzando l'indirizzo IP di invio o un certificato.
Configurare i server locali per l'inoltro tramite Microsoft 365.
Questo errore si verifica quando si presenta una delle seguenti condizioni:
Dominio del mittente
Il dominio mittente appartiene all'organizzazione, ovvero il dominio è stato registrato in Microsoft 365.
Notare Per ulteriori informazioni, vedere Aggiungere utente e dominio in Microsoft 365.
Configurazione di un connettore basato su certificati
Il server di posta elettronica locale è configurato per l'utilizzo di un certificato per l'invio di messaggi di posta elettronica a Microsoft 365 e il nome comune (CN) o il nome alternativo del soggetto (SAN) nel certificato contiene un nome di dominio registrato in Microsoft 365 ed è stato creato un connettore basato su certificato in Microsoft 365 che dispone di tale dominio.
Se nessuna delle condizioni del passaggio 3 è vera, Microsoft 365 non è in grado di determinare se il messaggio inviato dall'ambiente locale appartiene all'organizzazione. Pertanto, se si utilizzano distribuzioni ibride, è necessario assicurarsi di soddisfare una delle condizioni indicate nel passaggio 3.
Riepilogo
A partire dal 5 luglio 2017, Microsoft 365 non supporta più l'inoltro di messaggi di posta elettronica se un cliente di ambiente ibrido non ha configurato il proprio ambiente per una delle condizioni del passaggio 3. Tali messaggi vengono rifiutati e attivano il seguente messaggio di errore:
550 5.7.64 Accesso all'inoltro negato ATTR36. Per ulteriori informazioni, vedere KB 3169958.
Inoltre, se l'organizzazione richiede che uno degli scenari indicati di seguito continui a funzionare dopo il 5 luglio 2017, è necessario soddisfare la seconda condizione ("Configurazione di un connettore basato su certificati") nel passaggio 3 della sezione Introduzione.
Nota
La scadenza di questo nuovo processo è stata spostata dal 1° febbraio 2017 al 5 luglio 2017, per fornire tempo sufficiente ai clienti per implementare le modifiche.
Scenari in cui Microsoft 365 non supporta l'inoltro di messaggi di posta elettronica per impostazione predefinita
L'organizzazione deve inviare rapporti di mancato recapito (ndr) dall'ambiente locale a un destinatario su Internet e inoltrare i messaggi tramite Microsoft 365. Ad esempio, un utente invia un messaggio di posta elettronica a john@contoso.com, un utente che esisteva in precedenza nell'ambiente locale dell'organizzazione. Questo evento produce l'invio di un rapporto di mancato recapito al mittente originale.
L'organizzazione deve inviare messaggi dal server di posta elettronica nell'ambiente locale da domini non aggiunti a Microsoft 365. Ad esempio, l'organizzazione (contoso.com) invia messaggi di posta elettronica con il dominio fabrikam.com, ma fabrikam.com non appartiene all'organizzazione.
Una regola di inoltro viene configurata nel server locale e i messaggi vengono inoltrati tramite Microsoft 365.
Ad esempio, contoso.com è il dominio dell'organizzazione. Un utente sul server locale dell'organizzazione, kate@contoso.com, consente l'inoltro di tutti i messaggi a kate@tailspintoys.com. Quando john@fabrikam.com invia un messaggio a kate@contoso.com, il messaggio viene inoltrato automaticamente a kate@tailspintoys.com.
Dal punto di vista di Microsoft 365, il messaggio viene inviato da john@fabrikam.com a kate@tailspintoys.com. Dato che la posta di Kate viene inoltrata, il dominio del mittente e il dominio del destinatario non appartengono all'organizzazione.
Figura: un messaggio inoltrato da contoso.com che può essere inoltrato tramite Microsoft 365 perché è soddisfatta la condizione di "configurazione del connettore basata su certificato" del passaggio 3
Ulteriori informazioni
È possibile configurare un connettore basato su certificati per Microsoft 365 per inoltrare messaggi a Internet. Per farlo, utilizzare il metodo seguente.
Passaggio 1: Creare o modificare un connettore basato su certificato in Microsoft 365
Per creare o modificare un connettore basato su certificati, attenersi alla seguente procedura:
Accedere al portale Microsoft 365 (https://portal.office.com), fare clic su Amministrazione e quindi aprire l'interfaccia di amministrazione di Exchange. Per altre informazioni, vedere Interfaccia di amministrazione di Exchange in Exchange Online.
Fare clic su flusso di posta, scegliere connettori, quindi eseguire una delle operazioni seguenti:
Se non sono presenti connettori, fare clic su (Aggiungi) per creare un connettore.
Se esiste già un connettore, selezionarlo e quindi fare clic su (Modifica).
Nella pagina Seleziona lo scenario del flusso di posta, selezionare Server di posta elettronica dell'organizzazione nella casella Da, quindi selezionare Microsoft 365 nella casella A.
Nota
Verrà creato un connettore che indica il server locale come origine dell'invio dei messaggi.
Immettere il nome del connettore e altre informazioni, quindi fare clic su Avanti.
Nella pagina Nuovo connettore o Modifica connettore, selezionare la prima opzione per utilizzare un certificato TLS (Transport Layer Security) per identificare l'origine del mittente dei messaggi dell'organizzazione. Il nome di dominio nell'opzione deve corrispondere al nome CN o SAN nel certificato in uso.
Nota
Questo dominio deve essere un dominio appartenente all'organizzazione e deve essere stato aggiunto a Microsoft 365. Per ulteriori informazioni, vedere Aggiungere domini in Microsoft 365.
Ad esempio, Contoso.com appartiene all'organizzazione e fa parte del nome CN o del nome SAN nel certificato utilizzato dall'organizzazione per comunicare con Microsoft 365. Se il dominio nel certificato contiene più domini (ad esempio, mail1.contoso.com, mail2.contoso.com), è consigliabile che il dominio nell'interfaccia utente del connettore sia *.contoso.com.
Nota
I clienti ibridi esistenti che hanno utilizzato Configurazione ibrida guidata per configurare i loro connettori devono verificare il connettore esistente per assicurarsi che utilizzi, ad esempio, *.contoso.com invece di mail.contoso.com o <hostname>.contoso.com. Questo perché mail.contoso.com e <nomehost>.contoso.com potrebbero non essere domini registrati in Microsoft 365.
Figura: Impostazione del connettore per l'utilizzo del formato "contoso.com" (esempio)
Passaggio 2: registra il tuo dominio in Microsoft 365
Per registrare il dominio, attenersi alla procedura descritta nel seguente articolo su Office:
Aggiungere utenti e domini a Microsoft 365
Nell'interfaccia di amministrazione di Microsoft 365, fare clic su Configurazione e scegliere Domini per visualizzare l'elenco dei domini registrati.
Passaggio 3: Configurare l'ambiente locale
Per configurare l'ambiente locale, attenersi alla procedura seguente:
Se l'organizzazione utilizza Exchange Server per il server locale, configurare il server per l'invio di messaggi tramite TLS. A tale scopo, vedere Configurare il server di posta elettronica per inoltrare la posta a Internet tramite Microsoft 365.
Nota
Se è già stata utilizzata la configurazione ibrida guidata, è possibile continuare a farlo. Tuttavia, assicurarsi di utilizzare un certificato che corrisponde ai criteri descritti nel passaggio 1, passaggio secondario 5 di questa sezione.
Installare un certificato nell'ambiente locale. Per farlo, vedere Passaggio 6: Configurare un certificato SSL.
Riferimenti
Per ulteriori informazioni su come soddisfare il requisito di configurazione del connettore, vedere Avviso importante sul connettore.
Per ulteriori informazioni su come inoltrare i messaggi tramite Microsoft 365, vedere la sezione relativa all'impostazione del flusso di posta elettronica in cui alcune cassette postali si trovano in Microsoft 365 e altre nei server di posta elettronica dell'organizzazione nelle procedure consigliate per il flusso di posta elettronica per Exchange Online e Microsoft 365.
Ulteriore assistenza Visitare la community Microsoft o i forum TechNet di Exchange.