共用方式為

Exchange 混合式部署中的傳輸選項

混合部署包含本地 Exchange 組織中的信箱,以及 Exchange Online 組織中的信箱。 欲了解更多混合式相關資訊,請參閱 Exchange Server 混合式部署

讓這兩個獨立組織看起來像一體的關鍵要素之一是混合運輸。 在任一組織的收件人之間發送的訊息,都會透過傳輸層安全 (TLS) 進行認證、加密並傳輸。 這些訊息在 Exchange 元件中呈現為「內部」 (,例如傳輸規則、日誌管理及反垃圾郵件政策) 。 混合配置精靈會自動配置 Exchange 2013 中的混合傳輸。

為了讓混合傳輸能與混合組態精靈配合,接受來自 Exchange Online 連線的本地 SMTP 端點必須是以下 Exchange 伺服器之一:

  • Exchange 2016 累積更新 8 (CU8) 或更新版本:
    • 信箱伺服器
    • 邊緣傳輸伺服器。
  • Exchange 2013 累積更新 15 (CU15) 或更新版本:
    • 用戶端存取伺服器。
    • 邊緣傳輸伺服器。
  • Exchange 2010 服務包 3 (SP3) ,更新為 11 (RU11) 或更新版本:
    • 樞紐運輸伺服器。
    • 邊緣傳輸伺服器。

重要事項

不要在 Microsoft 365 與本地 Exchange 組織端點之間放置 SMTP 主機或服務。 對於混合傳輸至關重要的資訊,會從經過運行不支援版本 Exchange 或通用 SMTP 主機端點的訊息中移除。

混合路由選項

在規劃與配置混合部署時,你需要選擇如何路由入站與出站郵件:

  • 你想將來自外部網路寄件者的入站郵件路由到本地或雲端的收件人,透過 Microsoft 365 還是透過你的本地 Exchange 組織? 配置取決於多種因素:

    • 你的大部分信箱是在雲端還是本地部署的 Exchange?
    • 你想使用內建的安全外掛來保護本地 Exchange 組織嗎?
    • 你的合規基礎設施配置在哪裡?

    兩個組織的入站郵件路由取決於你在混合部署中是否啟用集中郵件傳輸。

  • 你想將Exchange Online寄件人發出的郵件經由本地組織 (集中郵件傳輸) 系統轉送給外部收件人,還是直接傳送到網際網路?

    集中式郵件傳輸會將所有來自 Exchange Online 寄件者的郵件經過本地組織,然後再送達至網際網路。 這種做法在合規情境中尤為重要,因為本地伺服器必須處理所有寄出網際網路的郵件。 或者,您也可以直接將 Exchange Online 寄件者發送訊息給外部收件人至網際網路。

    注意事項

    我們建議僅針對有特定合規相關運輸需求的組織使用集中郵件運輸。 我們通常建議不要使用集中式郵件傳輸,因為這會增加頻寬且郵件處理負擔增加,導致本地組織負擔較大。

  • 您想要在內部部署組織中部署 Edge Transport Server 嗎?

    如果你不想讓已加入網域的內部 Exchange 伺服器直接暴露在網際網路上,可以在邊界網路中部署支援的邊緣傳輸伺服器。 如需詳細資訊,請參閱 混合式部署與 Edge Transport Server

無論你選擇哪種方式,所有在本地 Exchange 組織與 Exchange Online 組織之間傳送的訊息都使用安全傳輸。 欲了解更多資訊,請參閱本文後面 的「可信溝通 」。

若要深入了解這些選項如何影響組織中郵件路由傳送的方式,請參閱Exchange 混合式部署中的傳輸路由

混合部署中的內建雲端安全功能

所有擁有雲端信箱的 Microsoft 雲端組織都內建安全功能,以保護收件人免受病毒、垃圾郵件、釣魚詐騙及政策違規。 這些內建安全功能也可用於保護本地電子郵件環境 (不僅是 Exchange) ,也適用於 本地郵箱內建安全外掛

所有雲端信箱內建的安全功能,是你 Exchange Online 組織的前門。 所有來信 (無論來源為何,) 在抵達雲端組織收件人前,都會經過這些內建的安全功能。 所有從 Exchange Online 組織發送的訊息,都會在抵達網際網路前經過這些內建的安全功能。

信任的通訊

本地組織與 Exchange Online 組織之間的郵件流被設定為使用強制 TLS。 此配置有助於確保組織間傳送的訊息不會被攔截。 安全郵件傳輸使用由加州) (受信任的商業認證機構提供的TLS憑證。

在強制 TLS 傳輸中,發送端與接收端伺服器會互相檢查彼此的憑證。 憑證的 主體主體替代名稱 (SAN) 欄位必須包含識別另一台伺服器的 FQDN。

例如,Exchange Online組織被設定為接受並保護來自 FQDN mail.contoso.com 的訊息。 來源本地用戶端存取伺服器或邊緣傳輸伺服器的 TLS 憑證必須包含 SAN) 欄位 (主體替代名稱 mail.contoso.com。 否則,Microsoft 365 會拒絕連線。

提示

FQDN 不需要和收件人的電子郵件網域名稱相符。 憑證的 主體主體替代名稱 (SAN) 欄位必須包含接收端或發送端伺服器設定以接受的 FQDN。

除了使用 TLS 外,本地與雲端組織之間的訊息也被視為「內部」的。此方法允許訊息繞過部分威脅防護、過濾及其他服務。

欲了解更多資訊,請參閱 混合部署的憑證要求TLS憑證的理解

  • Last updated on