我們前面的文章介紹了Office365與本地Exchange混合部署及Office365與本地Exchange互相遷移使用者的配置介紹,今天就介紹Office365與本地的Exchange郵箱使用者實作郵件互相收發介紹,說到Online與本地的Exchange郵件互發,我們都知道,在配置Online與本地Exchange互發及添加本地域的時候,驗證本地域,驗證的時候,需要在本地的DNS中将MX記錄指向Online,隻有這樣配置後,才能驗證本地域及完成混合部署,但是對于企業來說,将MX記錄指向Online的時候對于管理上有點不太友善,是以一般也會将MX記錄指向本地的郵箱伺服器,是以我們還需要修改DNS的解析将MX記錄指向本地域。當然對于今天我們介紹的主題來說,這個不是關鍵,不管指向哪都會正常投遞郵件,隻是郵件流有點改變而已。對于郵件流的問題我們下一篇在着重介紹。我們今天介紹的主要内容就是本地的Exchange郵箱使用者與Online郵箱使用者實作互發郵件介紹。具體見下:
我們在介紹郵件互發之前需要申明的是,由于Online與本地的Exchange郵件投遞都會通過公網(Internet),是以在Exchange的證書配置上有嚴格要求。由于郵件的投遞會經過公網,是以Exchange伺服器的證書必須在公網上受信任。如果我們使用的是内部的CA為exchange頒發的證書的話,會在公網上不受信任。是以如果要想實作本地郵件與Onlne的郵件的正常投遞,我們需要為Exchange伺服器申請公網的受信任的證書。
如果不申請公網證書的話會出現以下問題;
我們部署完混合環境後,發現office365的mailuser無法正常投遞郵件到本地的mailuser郵箱内;我們通過檢視官網介紹檢視到。如果證書不受信任會出現郵件無法正常投遞的現象(Online無法給本地的Exchange投遞郵件)。
<a>混合部署中的 Exchange Online Protection</a>
EOP 是 Microsoft 提供的聯機服務,由許多公司用于保護其内部部署組織免受病毒、垃圾郵件、欺詐郵件和政策違規的危害。在 Office 365 中,EOP 用于保護 Exchange Online 組織免受相同威脅的危害。在注冊 Office 365 時,會自動建立與您的 Exchange Online 組織關聯的 EOP 公司。
EOP 公司包含一些郵件傳輸設定,可以為 Exchange Online 組織配置這些設定。可以指定哪些 SMTP 域必須來自特定 IP 位址,需要 TLS 和安全套接字層 (SSL) 證書,可以繞過反垃圾郵件篩選或合規性政策,等等。EOP 是 Exchange Online 組織的前門。所有郵件(無論其來源如何)都必須先經過 EOP,然後才能到達 Exchange Online 組織中的郵箱。而且,從 Exchange Online 組織發送的所有郵件都必須先經過 EOP,然後才能到達 Internet。
在使用混合配置向導配置混合部署時,會在内部部署組織以及為 Exchange Online 組織設定的 EOP 公司中自動配置所有傳輸設定。混合配置向導會在此 EOP 公司中配置所有入站和出站連接配接器及其他設定,以保護在内部部署與 Exchange Online 組織之間發送的郵件并将郵件路由到正确目标。如果要為 Exchange Online 組織配置自定義傳輸設定,則也會在此 EOP 公司中配置這些設定。
<a>受信任通信</a>
為了幫助保護内部部署和 Exchange Online 組織中的收件人,并幫助確定不會截獲和讀取組織之間發送的郵件,内部部署組織與 EOP 之間的傳輸會配置為使用強制 TLS。TLS 傳輸使用受信任第三方證書頒發機構 (CA) 提供的安全套接字層 (SSL) 證書。EOP 與 Exchange Online 組織之間的郵件也使用 TLS。
當使用強制 TLS 傳輸時,發送和接收伺服器會檢查在其他伺服器上配置的證書。對證書配置的使用者名稱或使用者替代名稱 (SAN) 之一,必須與管理者在其他伺服器上顯式指定的 FQDN 比對。例如,如果 EOP 配置為接受并保護從 mail.contoso.com FQDN 發送的郵件,則發送内部部署用戶端通路或邊緣傳輸伺服器必須具有在主題名稱或 SAN 中包含 mail.contoso.com 的 SSL 證書。如果不滿足此要求,則 EOP 會拒絕連接配接。
由于我們的證書不受信任,是以Online上的郵箱使用者是無法給本地的Exchange郵箱使用者投遞郵件,當然,本地的Exchange郵箱使用者是正常可以和外部域互相收發郵件的,同時Online上的郵箱使用者也與外部的域名伺服器收發郵件,是以我們需要在Online上進行檢視配置。
首先我們需要确認是,預設不受信任的證書配置從本地的exchange郵箱使用者可以正常投遞郵件到Online郵箱使用者的
我們首先檢視現在的使用者分布
User01為local使用者
User02位online使用者
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKiom1ZdlAnQK7bwAACYQ9zc3wM316.png" target="_blank"></a>
使用user01本地郵箱給office365發送測試郵件
<a href="http://s3.51cto.com/wyfs02/M01/76/D8/wKioL1ZdlHGDXRbeAAE4ojJU4ac699.png" target="_blank"></a>
在使用office365上的user20給本地的user01發送回複
<a href="http://s3.51cto.com/wyfs02/M01/76/D8/wKioL1ZdlHSh25_8AAE-7Mdf5bI774.png" target="_blank"></a>
但是我們從Online給本地exchange郵箱使用者投遞郵件是無法發送的,是以我們需要更換公網受信任的證書
打開office365郵件流設定-----連結器
單擊office365到組織内的郵件連結器
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKiom1ZdlBHBquQhAAFYql67bQk174.png" target="_blank"></a>
單擊---驗證此連結器
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKiom1ZdlBSzq_EfAAKZd1SgwE0688.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKiom1ZdlBiCZhSnAAMWkvBuAmw585.png" target="_blank"></a>
我們開始驗證此連接配接器
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKiom1ZdlBuS8wsWAAEPGJywvvQ846.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M02/76/D8/wKioL1ZdlIPy4p9dAAGXkyBtsWc233.png" target="_blank"></a>
開始驗證office365到本地組織郵箱賬戶的連接配接器
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKiom1ZdlCCDLOHzAAJnlVPx6vI389.png" target="_blank"></a>
驗證完成
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKiom1ZdlCOzEvf_AAIKnJlCPlA469.png" target="_blank"></a>
我們發現驗證失敗
<a href="http://s3.51cto.com/wyfs02/M00/76/D8/wKioL1ZdlIziQiKlAAHrcYDX13A936.png" target="_blank"></a>
我們輕按兩下打開該驗證結果:
提示SMTP TLS身份驗證失敗;由于證書不是受信任的頒發機構頒發的,是以會提示錯誤。
由于該錯誤,才導緻office365無法到本地的郵件投遞
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlI-SXuhBAAJbqLQd7T4735.png" target="_blank"></a>
我們修改該outbond發送連接配接器,取消tls設定
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKioL1ZdlJHh4iBxAADyrdYk_qI265.png" target="_blank"></a>
我們取消了tls後再次驗證
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKioL1ZdlJPQduXaAACypIHuhkA533.png" target="_blank"></a>
同樣使用本地的user01
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKiom1ZdlC7RnYSIAACur-UsIpM998.png" target="_blank"></a>
其實通過下面的圖示,我們可以确認,取消tls後,Online使用者可以給本地的exchange使用者投遞測試郵件了
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKiom1ZdlDCzh8ktAAC4OmTTkTI409.png" target="_blank"></a>
取消tls後,測試結果為通過
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlJfiRDs0AAC36KcoB0o563.png" target="_blank"></a>
驗證連接配接器可以成功
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKiom1ZdlDPRQs7FAACuG28sqqY981.png" target="_blank"></a>
或者我們***連接配接器的證書安全性;選擇任何數字證書,包括自簽名證書
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKioL1ZdlJvCY18RAAJCjKS3YNg734.png" target="_blank"></a>
同樣本地給office365 online上發送也有問題;通過郵件隊列檢視器檢視也是無法發送到Online上的。通過檢視也是證書的相關錯誤
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKiom1ZdlDayA195AABcwyf_Tko990.png" target="_blank"></a>
失敗的原因是由于office365到本地的exchange必須要有第三方(公認)的證書支援才可以互相發送郵件;
是以我們需要申請第三方證書:
首先我們需要通過exchange申請一個伺服器證書csr檔案
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKiom1ZdlDmj-FJwAAH-dS6eElg273.png" target="_blank"></a>
從證書頒發機構獲驗證書的請求
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlKCRhkLNAADWuwDFsCM000.png" target="_blank"></a>
選擇證書存儲的伺服器
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlKKRU-ODAAC8qeiTyB0339.png" target="_blank"></a>
定義證書名稱及類型;指定外部通路exchange伺服器所對應的域名通路
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKioL1ZdlKXh1AxLAAFOrbZMsHs305.png" target="_blank"></a>
定義好後,我們就可以看見證書服務的狀态
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKiom1ZdlEHz2ABqAAEilOr0HV8092.png" target="_blank"></a>
定義證書資訊
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKioL1ZdlKjQhErVAABmXkI9bx0539.png" target="_blank"></a>
儲存證書的req檔案。我們需要通過req檔案向第三方申請
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKiom1ZdlEXDjcPIAAEDvVTsvmA194.png" target="_blank"></a>
證書申請完成
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlK6Sr6wuAAFU7gVXth8448.png" target="_blank"></a>
接下來就是申請公網證書,該baisc碼問申請的req檔案
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlLLxQAnfAAEv11Ehfjw633.png" target="_blank"></a>
免費公網證書申請
在此我們使用沃通
<a href="https://www.wosign.com/" target="_blank">https://www.wosign.com/</a>
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKioL1ZdlLeTFDCCAAXHSu0_I28036.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKioL1ZdlMGBnh0nAAO5EYjP2fw350.png" target="_blank"></a>
<a href="https://buy.wosign.com/ProductList.html" target="_blank">https://buy.wosign.com/ProductList.html</a>
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlMWwnuOuAAJ0zrxzKU4463.png" target="_blank"></a>
輸入申請證書的域名資訊。
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlMeCWAM8AAFENOtRN7w787.png" target="_blank"></a>
我們定義好外部通路的受信任的域名資訊
<a href="http://s3.51cto.com/wyfs02/M00/76/DA/wKiom1ZdlGPgH1VUAADnf6DV7CQ887.png" target="_blank"></a>
證書申請送出完成
<a href="http://s3.51cto.com/wyfs02/M00/76/DA/wKiom1ZdlGSDxZoRAAD-KkVSm9Q520.png" target="_blank"></a>
因為需要驗證域名的所有者,是以系統會列出一些可以驗證該域名所有者的郵件資訊;
<a href="http://s3.51cto.com/wyfs02/M01/76/DA/wKiom1ZdlGbBpmRzAADgWiMaR8k014.png" target="_blank"></a>
送出驗證後,我們在證書所有者驗證的郵箱中是可以看見系統發送驗證的郵件資訊的。
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKioL1ZdlM-zFYJPAAJsT7Qh4Co345.png" target="_blank"></a>
我們輸入域的所有者驗證碼後,送出申請
<a href="http://s3.51cto.com/wyfs02/M02/76/DA/wKiom1ZdlGrzYgK8AAEEa1iZ8nw450.png" target="_blank"></a>
我們需要使用送出csr檔案來申請證書,是以我們需要将本地申請exchange證書送出産生的req檔案内容粘貼到此處即可
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlNOT8jsNAAEM-t8JBUw020.png" target="_blank"></a>
送出後,提示證書已經頒發了,我們需要下載下傳即可
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKioL1ZdlNWBPPwDAADeHkoFTTg556.png" target="_blank"></a>
證書下載下傳資訊
<a href="http://s3.51cto.com/wyfs02/M00/76/DA/wKiom1ZdlHLiirEVAAJq8yqVZKc753.png" target="_blank"></a>
我們下載下傳證書後,會有幾個證書檔案,可以根據自己的需求環境使用,其實我們使用for iis的證書或者for other server就可以
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKioL1ZdlNnBV3mvAAAnOUG8aTY022.png" target="_blank"></a>
關于證書的操作文檔
證書格式轉化文檔
<a href="https://bbs.wosign.com/forum.php?mod=viewthread&tid=20&highlight=%B8%F1%CA%BD%D7%AA%BB%BB" target="_blank">https://bbs.wosign.com/forum.php?mod=viewthread&tid=20&highlight=%B8%F1%CA%BD%D7%AA%BB%BB</a>
<a href="http://www.wosign.com/Docdownload/index.htm" target="_blank">http://www.wosign.com/Docdownload/index.htm</a>
接下來我們需要對剛才申請的證書進行擱置完成
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKioL1ZdlNqRlzOqAABk3jWNlQQ006.png" target="_blank"></a>
證書擱置完成
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlN3gpX0cAAIc695Xqiw793.png" target="_blank"></a>
接下來就是為證書配置設定服務
<a href="http://s3.51cto.com/wyfs02/M00/76/DA/wKiom1ZdlHnwgjs5AAChAjnUmrk574.png" target="_blank"></a>
然後我們使用本地的ecp進行通路exchange管理中心頁面,檢視證書資訊;
提示該證書是受信任的第三方證書
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKioL1ZdlOHidqFDAAGCq1NGVrU770.png" target="_blank"></a>
更換證書後,我們發現從本地exchange郵箱使用者無法給online發送郵件了,發送的郵件我們可以在exchange郵件隊列中可以看見,是以我們首先需要一步一步進行排查,
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKioL1ZdlOKAHvmoAACZn_nFf18970.png" target="_blank"></a>
<a href="http://c7solutions.com/2013/11/cannot-send-emails-to-office-365-or-exchange-online-protection-using-tls" target="_blank">http://c7solutions.com/2013/11/cannot-send-emails-to-office-365-or-exchange-online-protection-using-tls</a>
<a href="http://blogs.msmvps.com/expta/2014/03/10/troubleshooting-tls-smtp-connections-to-exchange-online-protection/" target="_blank">http://blogs.msmvps.com/expta/2014/03/10/troubleshooting-tls-smtp-connections-to-exchange-online-protection/</a>
我們通過telnet的相關資訊可以測試投遞郵件的問題
Telnet 42.159.33.202 25 // 該IP位址保密。不能外漏
1
2
3
<code>Ehlo mail.ixmsoft.com</code>
<code>Mail from : [email protected]</code>
<code>Rcpt to : [email protected]</code>
<a href="http://s3.51cto.com/wyfs02/M02/76/DA/wKiom1ZdlH7jN7AmAABVKjqQrkM906.png" target="_blank"></a>
原因是由于 blocked了 ,是以無法發送
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKioL1ZdlOaB_ZPqAAInIRy40O4885.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKioL1ZdlOfSGUJ-AABJpGKfOuA637.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlOqgtK9-AAIae-On8Vo541.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlOyjluP6AAHlrrAh_Mc767.png" target="_blank"></a>
通過以上cmd指令測試,我們也可以使用相關的exchange指令來幫助解決(該方法是最有效的。)
我們在本地的EMS下運作檢視exchange相關的證書指令
<code>get-exchangecertficate</code>
我們可以檢視到mail.ixmsoft.com這個域名對于的指紋資訊
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKioL1ZdlO3BlOHZAAAtvaqLv6A347.png" target="_blank"></a>
<code>get-exchangecertficate 59……..(證書指紋資訊) | fl</code>
<code>檢視到Issuer為:CN=CA 沃通免費ssl證書 G2,O=WoSign CA Limited, C=CN</code>
<code>Subject 為: CN=mail.ixmsoft.com</code>
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlO2AhEjCAAA-S_uQcQU866.png" target="_blank"></a>
然後我們檢視發送連接配接器(本地到Online發送連接配接器)
<code>get-sendconnector</code>
<a href="http://s3.51cto.com/wyfs02/M00/76/DA/wKiom1ZdlIjASNKQAAAcHOO6Wd8719.png" target="_blank"></a>
<code>get-sendconnector </code><code>"outbound to office365"</code> <code>| fl</code>
我們需要檢視local到online的郵遞發送連接配接器狀态
<a href="http://s3.51cto.com/wyfs02/M01/76/DA/wKiom1ZdlIrywoyfAAA72YUyuFQ530.png" target="_blank"></a>
我們檢視到本地到Online的發送連接配接器的TLScertficatename還是我内部CA伺服器的證書資訊;由于我們使用第三方的證書已經覆寫了,是以以下資訊是錯誤的。正确的應該是第三方沃通免費ssl證書的相關資訊
<a href="http://s3.51cto.com/wyfs02/M02/76/DA/wKiom1ZdlIvC3PqwAABR9DXo29I409.png" target="_blank"></a>
是以,我們需要手動的強制更改。
<code>修改sendconnector的證書名稱</code>
<code><I>Issuer為:CN=CA 沃通免費ssl證書 G2,O=WoSign CA Limited, C=CN</code>
<code><S>Subject 為: CN=mail.ixmsoft.com</code>
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKioL1ZdlPKS9W3kAAA-S_uQcQU630.png" target="_blank"></a>
我們手動***資訊:
<code>Set-sendconnector out* -tlscertificatename “<I> CN=CA 沃通免費ssl證書 G2,O=WoSign CA Limited, C=CN<S> CN=mail.ixmsoft.com”</code>
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKioL1ZdlPODSyv1AABC8oQ4GRM938.png" target="_blank"></a>
更新後的結果
我們再次測試本地exchange到Online的郵件投遞
我們首先檢視郵件隊列
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKioL1ZdlPTBh4BlAAB94hxGQoM680.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M01/76/D9/wKioL1ZdlPXSwmoZAAB9__XG9_A727.png" target="_blank"></a>
最後我們測試發送郵件
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKioL1ZdlPehPnAQAAC4K7KjvCc033.png" target="_blank"></a>
接着我們在user02上檢視本地使用者user01發送的測試郵件
<a href="http://s3.51cto.com/wyfs02/M02/76/D9/wKioL1ZdlPiRKwtXAACcYNRTAGg236.png" target="_blank"></a>
接下來我們再次使用tls測試online到本地的發送連接配接器資訊;
<a href="http://s3.51cto.com/wyfs02/M00/76/D9/wKioL1ZdlPqjRNO6AACe7T3G_Dw474.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M02/78/2E/wKioL1Z3k3HCFLZhAAIM6Se4F5w403.jpg" target="_blank"></a>
同樣我們使用online郵箱使用者user02給本地的user01發送測試郵件
<a href="http://s3.51cto.com/wyfs02/M02/76/DA/wKiom1ZdlJXgTc3YAADfTwR6EYI357.png" target="_blank"></a>
本地的user01也收到了online上user02上的郵件
<a href="http://s3.51cto.com/wyfs02/M02/76/DA/wKiom1ZdlJeyLmdYAAC5iLjpbLI124.png" target="_blank"></a>
本文轉自 高文龍 51CTO部落格,原文連結:http://blog.51cto.com/gaowenlong/1718650,如需轉載請自行聯系原作者
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)