Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una implementación híbrida contiene buzones en una organización de Exchange local y también en una organización Exchange Online. Para obtener más información sobre las implementaciones híbridas, consulte Exchange Server implementaciones híbridas.
Un componente crítico de hacer que estas dos organizaciones independientes aparezcan como una es el transporte híbrido. Los mensajes enviados entre los destinatarios de cualquiera de las organizaciones se autentican, cifran y transfieren mediante Seguridad de la capa de transporte (TLS). Estos mensajes aparecen como "internos" para los componentes de Exchange (por ejemplo, como reglas de transporte, registro en diario y directivas contra correo no deseado). El Asistente para configuración híbrida configura automáticamente el transporte híbrido en Exchange 2013.
Para que el transporte híbrido funcione con el Asistente para configuración híbrida, el punto de conexión SMTP local que acepta conexiones desde Exchange Online debe ser uno de los siguientes servidores de Exchange:
- Actualización acumulativa 8 (CU8) o posterior de Exchange 2016:
- Servidor de buzones de correo
- Servidor de transporte perimetral.
- Actualización acumulativa 15 (CU15) de Exchange 2013 o posterior:
- Servidor de acceso de cliente.
- Servidor de transporte perimetral.
- Exchange 2010 Service Pack 3 (SP3) con paquete acumulativo de actualizaciones 11 (RU11) o posterior:
- Servidor de transporte de concentradores.
- Servidor de transporte perimetral.
Importante
No coloque hosts o servicios SMTP entre Microsoft 365 y el punto de conexión de la organización de Exchange local. La información crítica para el transporte híbrido se quita de los mensajes que pasan a través de un punto de conexión que ejecuta una versión no admitida de Exchange o un host SMTP genérico.
Opciones de enrutamiento híbrido
Debe elegir cómo enrutar el correo entrante y saliente al planear y configurar la implementación híbrida:
¿Desea enrutar el correo entrante desde remitentes externos de Internet a destinatarios locales y en la nube a través de Microsoft 365 o a través de la organización local de Exchange? La configuración depende de varios factores:
- ¿La mayoría de los buzones están en la nube o en Exchange local?
- ¿Desea usar el complemento de seguridad integrado para buzones locales para proteger su organización de Exchange local?
- ¿Dónde está configurada la infraestructura de cumplimiento?
La ruta para los mensajes entrantes a ambas organizaciones depende de si habilita el transporte de correo centralizado en la implementación híbrida.
¿Desea enrutar el correo saliente desde Exchange Online remitentes a destinatarios externos a través de su organización local (transporte de correo centralizado) o directamente a Internet?
El transporte de correo centralizado enruta todo el correo de Exchange Online remitentes a través de la organización local antes de la entrega a Internet. Este enfoque es importante en escenarios de cumplimiento en los que los servidores locales deben procesar todo el correo enviado hacia y desde Internet. O bien, puede enviar mensajes desde Exchange Online remitentes a destinatarios externos directamente a Internet.
Nota:
Se recomienda el transporte de correo centralizado solo para organizaciones con necesidades de transporte específicas relacionadas con el cumplimiento. Nuestra recomendación típica es no usar el transporte de correo centralizado debido al aumento del ancho de banda y la sobrecarga de procesamiento de correo en la organización local.
¿Desea implementar un servidor de transporte perimetral en su organización local?
Si no desea exponer los servidores de Exchange internos unidos a un dominio directamente a Internet, puede implementar servidores de transporte perimetral compatibles en la red perimetral. Para obtener más información, vea Servidores de transporte perimetral con implementaciones híbridas.
Independientemente de la selección, todos los mensajes enviados entre la organización local de Exchange y la organización Exchange Online usan transporte seguro. Para obtener más información, vea Comunicación de confianza más adelante en este artículo.
Para obtener más información sobre cómo estas opciones afectan el enrutamiento de mensajes en su organización, consulte Enrutamiento de transporte en las implementaciones híbridas de Exchange.
Características de seguridad en la nube integradas en implementaciones híbridas
Todas las organizaciones en la nube de Microsoft con buzones de correo en la nube incluyen características de seguridad integradas para proteger a los destinatarios frente a virus, spam, estafas de suplantación de identidad (phishing) e infracciones de directivas. Estas mismas características de seguridad integradas también están disponibles para proteger entornos de correo electrónico locales (no solo Exchange) en el complemento de seguridad integrado para buzones locales.
Las características de seguridad integradas para todos los buzones de correo en la nube son la puerta principal de la organización Exchange Online. Todos los mensajes entrantes (independientemente de su origen) pasan a través de estas características de seguridad integradas antes de que lleguen a los destinatarios de la organización en la nube. Todos los mensajes enviados desde la organización Exchange Online pasan a través de estas características de seguridad integradas antes de que lleguen a Internet.
Comunicación de confianza
El flujo de correo entre la organización local y la organización Exchange Online está configurado para usar TLS forzado. Esta configuración ayuda a garantizar que los mensajes enviados entre las organizaciones no se interceptan. El transporte de correo seguro usa certificados TLS proporcionados por una entidad de certificación comercial (CA) de confianza.
En el transporte TLS forzado, los servidores de envío y recepción se examinan entre sí. El campo Nombre alternativo del firmante o firmante (SAN) del certificado debe contener el FQDN que identifica el otro servidor.
Por ejemplo, la organización Exchange Online está configurada para aceptar y proteger los mensajes enviados desde el fqdn mail.contoso.com. El certificado TLS en el servidor de acceso de cliente local de origen o el servidor de transporte perimetral debe contener mail.contoso.com en el campo Asunto o Nombre alternativo del firmante (SAN). De lo contrario, Microsoft 365 rechaza la conexión.
Sugerencia
El FQDN no necesita coincidir con el nombre de dominio de correo electrónico de los destinatarios. El campo Nombre alternativo del firmante o firmante (SAN) del certificado debe contener el FQDN que los servidores de recepción o envío están configurados para aceptar.
Además de usar TLS, los mensajes entre las organizaciones locales y en la nube se tratan como "internos". Este enfoque permite que los mensajes omitan algunos filtros de protección contra amenazas y otros servicios.
Para obtener más información, consulte Requisitos de certificados para implementaciones híbridas y Descripción de los certificados TLS.