Maak TLS- en Non-TLS Office 365 SMTP-relays aan – techsyncer

Hou ervan of haat het; e-mail is overal. Het protocol om die e-mail overal naartoe te verplaatsen is SMTP en de “routers” van SMTP zijn SMTP-relays.

Not a reader? Check out this tutorial’s related video.

De installatie van SMTP-relays varieert per systeem, maar als u Office 365 als uw mailserviceprovider heeft, zijn uw opties beperkt. De configuratie kan ingewikkeld en foutgevoelig zijn, vooral voor apparaten die niet in staat zijn tot TLS.

Houd er rekening mee dat het verzenden van e-mail via Office 365 geen SMTP-relay vereist. U kunt ervoor zorgen dat clients e-mails rechtstreeks naar Office 365 sturen zonder het toevoegen van een SMTP-relay die geen configuratiewijzigingen vereist. Om te leren wat dit inhoudt, lees Hoe u Office 365 Direct Send/SMTP Client Submission Email (PowerShell) kunt verzenden.

Vereisten

Dit zijn de vereisten voordat u verder kunt gaan.

Een Office 365-abonnement. Als u dit nog niet heeft, kunt u zich Aanmelden voor een proefabonnement van Office 365 E5.
A Windows 10 computer with PowerShell v5.1
A public static IP address. You can still create an SMTP relay in Office 365 even without this, but you might not test.
TCP-poort 25 toegang van een client naar uw Office MX-eindpunt.
A valid SSL certificate. This certificate could be a wildcard certificate (eg. *.yourdomain.com) issued by third-party certificate authorities like LetsEncrypt, Digicert, etc. Note, that you cannot use self-signed certificates or certificates issued by an internal PKI because they are not supported. (only required for TLS connections)

Om een SMTP-relais in te stellen, moet je eerst een connector maken in Office 365 om SMTP-transacties te accepteren. Deze connector zal SMTP-relaytransacties ontvangen van de applicatie of het apparaat.

Voordat je probeert een connector te maken, zorg ervoor dat je account de juiste Exchange Online-machtigingen heeft. Zorg ervoor dat je account lid is van de Organisatiebeheer-groep.

Er zijn twee manieren om een connector te maken. Je kunt ofwel de Exchange-beheercentrum of PowerShell gebruiken. Beide opties voeren dezelfde taak uit. Het is aan jou welke je gebruikt. In dit artikel zullen we beide behandelen. We zullen ook het maken van zowel niet-TLS- als TLS-connectors behandelen.

Maak een niet-TLS-connector met behulp van het Exchange-beheercentrum

Laten we beginnen met het maken van een niet-TLS-connector. Je leert eerst hoe je dit kunt doen via het Exchange-beheercentrum. Je kunt veel Office 365 SMTP-instellingen configureren in het Exchange-beheercentrum.

Nadat je bent ingelogd, klik je op e-mailstroom (1) -> connectors (2) -> Nieuw (3). Het venster Nieuwe connector wordt geopend.

In het venster Nieuwe connector selecteer je Van: Jouw organisatie’s e-mailserver (1), selecteer je Naar: Office 365 (2), klik je op Volgende (3).

In het volgende venster, voer de naam SMTP Relay (Non-TLS) in of kies je eigen naam (1), typ de beschrijving Relay accepteren van on-premises SMTP-server (2), vink Interne Exchange e-mailheaders behouden (aanbevolen) uit (3) en klik op Volgende (4).

In het volgende venster, selecteer Door te verifiëren dat het IP-adres van de verzendende server overeenkomt met een van deze IP-adressen die toebehoren aan uw organisatie (1), en klik op Toevoegen (2).

Adding allowed IP adresses to the connector

In het nieuwe pop-upvenster, typ uw openbare IP-adres in (1), klik dan op OK (2). Hiermee keert u terug naar het vorige venster.

Controleer of het IP-adres is toegevoegd aan de lijst (1), klik dan op Volgende (2).

Vervolgens ziet u een samenvatting van de wijzigingen die u moet doorvoeren. Werk eerst aan de noodzakelijke wijzigingen. Als er geen zijn, kunt u op Opslaan klikken.

Terug in het Exchange-beheercentrum, kunt u nu bevestigen dat de nieuwe connector is aangemaakt.

U zou nu een niet-TLS-connector moeten hebben gemaakt.

Maak een TLS-connector met behulp van het Exchange-beheercentrum

Het maken van een TLS-connector is vergelijkbaar met het maken van een niet-TLS-connector. Zoals u een niet-TLS-connector heeft gemaakt, ga terug naar de Nieuwe connector-wizard en gebruik hetzelfde e-mailstroomschema. Ik zal een connectornaam gebruiken van SMTP Relay (Non-TLS) maar de uwe kan verschillen.

In het venster om Office 365 te definiëren, moet u e-mail van uw e-mailserver identificeren, selecteer :

Door te verifiëren dat de onderwerpsnaam op het certificaat dat de verzendende server gebruikt om te authenticeren met Office 365 overeenkomt met deze domeinnaam (aanbevolen) (1)
typ vervolgens het onderwerp van het SSL-certificaat (2)
en klik op Volgende (3).

Create a TLS Connector using Exchange Admin Center

Opnieuw ziet u een samenvatting van de noodzakelijke wijzigingen. Werk hier eerst aan voordat u verder gaat. Als er geen zijn, kunt u meteen op de knop Opslaan klikken.

Maak een Non-TLS-connector met behulp van PowerShell

Als het maken van Office 365-connectoren via een GUI niet uw ding is, kunt u ze altijd ook via PowerShell maken. Zorg er eerst voor dat u verbonden bent met Exchange Online PowerShell.

Om de connector te maken, moet u het New-InboundConnector-commando uitvoeren. Dit commando vereist een aantal verschillende parameters, dus ik zal deze parameters van tevoren opzetten met behulp van PowerShell splatting.

I’ve added some comments in the code itself below but here’s a breakdown of each parameter and what it’s used for:

Naam – Dit is de naam van de connector.
ConnectorType – Dit is het type connector. Deze waarde kan OnPremises of Partner zijn. In dit scenario is het juiste type OnPremises.
SenderDomains – Dit kan een lijst zijn van toegestane afzender domeinen. Alleen geverifieerde domeinen voor uw tenant zijn geldige keuzes. Het asterisk (*) betekent dat u alle geverifieerde domeinen toestaat om berichten via deze connector door te sturen. Als u alleen bepaalde afzender domeinen wilt toestaan, wijzig dan deze waarde naar een reeks van de domeinen. (bijv. 'domein1.com','domein2.com')
SenderIPAddresses – Dit is uw openbare IP-adres. Vergeet niet dit te wijzigen voordat u het uitvoert.
RestrictDomainsToIPAddresses – Wanneer deze waarde is ingesteld op $true, geeft dit aan dat deze connector alleen e-mails zal accepteren van afzenderadressen die afkomstig zijn van uw toegestane openbare IP-adres.

$splat = @{
    ## Definieer de naam van de connector.
    Name = 'SMTP Relay'
    ## Definieerde het type connector om te maken.
    ConnectorType = 'OnPremises'
    ## De set van afzender domeinen toegestaan om door te sturen.
    SenderDomains = '*'
    ## Verander dit naar uw werkelijke openbare IP-adres.
    SenderIPAddresses = '110.x.x.x'
    ## Beperk het doorsturen van e-mail alleen naar uw afzender domeinen en afzender IP-adres
    RestrictDomainsToIPAddresses = $true
}

## Maak de connector aan
New-InboundConnector @splat

Wanneer uitgevoerd, zou u iets soortgelijks moeten zien als hieronder.

Maak een TLS-connector met PowerShell

Als je verbonden bent, voer dan de onderstaande code uit om ook een TLS-connector te maken met PowerShell. Zoals je hieronder kunt zien, zijn veel parameters identiek aan het maken van een niet-TLS-connector. De vereiste parameters die verschillen van het maken van een niet-TLS-connector zijn:

RequireTLS – Dit geeft aan dat alle berichten die door deze connector worden ontvangen, TLS-transmissie vereisen
TlsSenderCertificateName – Dit is de naam (of het onderwerp) van het certificaat dat door de afzender wordt gebruikt.

$splat = @{
    ## Definieer de naam van de connector.
    Name = 'SMTP Relay (TLS)'
    ## Het type connector dat moet worden gemaakt.
    ConnectorType = 'OnPremises'
    ## De reeks verzenderdomeinen die zijn toegestaan om door te sturen.
    SenderDomains = '*'
    ## Vereis TLS
    RequireTLS = $true
    ## Onderwerp/Naam van het SSL-certificaat
    TlsSenderCertificateName = '*.YourDomain.com'
}

## Maak de connector
New-InboundConnector @splat

Voer de bovenstaande code uit om een TLS-connector te maken en gereed te hebben om e-mail te ontvangen.

Het testen van de Office 365 SMTP Relay Connector met PowerShell

Nadat je de connector hebt gemaakt, bereid je voor om deze te testen. De gemakkelijkste manier om dat te doen is met PowerShell. In dit gedeelte zullen we enkele PowerShell-scripts maken om ervoor te zorgen dat de connector correct werkt.

Voor je begint met testen, zorg er eerst voor dat je weet wat de MX eindpunt URL is voor je Exchange Online domein. Als je niet weet hoe je je MX eindpunt URL kunt vinden, log dan in op het Office 365 Beheerdersportaal. Klik op Instellingen, selecteer Domeinen, klik op de domeinnaam en kopieer het MX Points-to-adres of de waarde.

Testen van een niet-TLS SMTP-relay (IP-adres)

Opmerking: Deze test moet worden uitgevoerd vanaf de computer waarvan het openbare IP-adres is toegestaan in de Office 365 SMTP-relayconfiguratie.

Gebruik de onderstaande PowerShell-code voor het testen. Zorg ervoor dat je de Van, Aan en SmtpServer-parameterwaarden wijzigt om je eigen Office 365 SMTP-relayinstellingen te gebruiken voordat je deze uitvoert.

Aan – Moet één interne domeinontvanger en één externe domeinontvanger bevatten. Vergeet niet deze waarden te wijzigen naar je eigen waarden.
Van – Moet worden gewijzigd in je aangewezen afzenderadres. Het domeindeel van het e-mailadres moet een van de e-maildomeinen van je tenant zijn.
SmtpServer – Moet worden gewijzigd in het MX-eindpunt van je Office 365-tenant.

$mailParams = @{
    SmtpServer = '<tenant>.mail.protection.outlook.com'
    Port = '25'
    From = '[email protected]'
    To = '[email protected]','[email protected]'
    Subject = ('SMTP Relay - ' + (Get-Date -Format g))
    Body = 'This is a test email using SMTP Relay'
    DeliveryNotificationOption = 'OnFailure','OnSuccess'
}

Send-MailMessage @mailParams

Testen van een TLS SMTP-relay (Certificaat)

Opmerking: Je moet het openbare SSL-certificaat in PFX-indeling hebben voordat je met deze test kunt doorgaan.

Aangezien de TLS SMTP-relay een certificaat vereist, kunt u de Send-MailMessage PowerShell-cmdlet niet gebruiken omdat deze u niet toestaat een specifiek certificaat te selecteren. Gebruik in plaats daarvan twee .NET-objecten genaamd System.Net.Mail.SmtpClient om de SMTP-parameters te definiëren, en System.Net.Mail.MailMessage om het bericht op te stellen.

Hieronder vindt u een PowerShell-codefragment dat u kunt gebruiken om de TLS SMTP-relay te testen. Vergeet niet de waarden van pfxFile, pfxPass, From, To en SmtpServer te wijzigen om uw Office 365 SMTP-relayinstellingen te gebruiken voordat u het uitvoert.

# specificeer het volledige pad van uw PFX-certificaat
$pfxFile = "C:\Certificate\cert.pfx"
$pfxPass = '<cert password here>'
$pfxBytes = Get-Content -path $pfxFile -encoding Byte -ErrorAction:SilentlyContinue
$X509Cert = New-Object -TypeName System.Security.Cryptography.X509Certificates.X509Certificate2
$X509Cert.Import([byte[]]$pfxBytes, $pfxPass,"Exportable,PersistKeySet")

# Bouw SMTP-eigenschappen
$smtpServer = '<tenant>.mail.protection.outlook.com'
$smtpPort = '25'
$smtp = New-Object Net.Mail.SmtpClient($smtpServer,$smtpPort)
$smtp.ClientCertificates.Add($X509Cert)
$smtp.EnableSSL = $true

# Stel het bericht samen
$emailMessage = New-Object System.Net.Mail.MailMessage
$emailMessage.From = '[email protected]'
$emailMessage.To.Add('[email protected]')
$emailMessage.To.Add('[email protected]')
$emailMessage.Subject = ('SMTP Relay (TLS) - ' + (Get-Date -Format g))
$emailMessage.Body = 'This is a test email using SMTP Relay (TLS)'

# Verzend het bericht
$smtp.Send($emailMessage)

Als de TLS-connector correct is ingesteld, moeten de ontvangers die zijn gedefinieerd via de Add()-methode de test-e-mail ontvangen.

Valideren van SMTP-relayhops met behulp van de berichtkop

Nu heeft u een functionele SMTP-relay ingesteld met behulp van een lokale server en Office 365 SMTP-relay. Alle tests waren succesvol en uw apparaten kunnen berichten verzenden naar zowel interne als externe ontvangers. Goed gedaan!

Als u nog twijfelt en wilt bevestigen of deze berichten via de Office 365 SMTP-relay worden verzonden, kunt u de berichtkoppen van de ontvangen e-mails controleren.

Opmerking: Het openen van de berichtkoppen verschilt per e-mailclient. Het onderstaande voorbeeld is specifiek voor Gmail.

Open de e-mail in het Gmail-interface, open het bericht en klik op de drie verticale puntjes (1), klik vervolgens op Origineel weergeven (2).

Validating SMTP Relay Hops using the Message Header

A new page will show the email message headers. Click on Copy to clipboard (1).

Open een nieuw browsertabblad en ga naar https://testconnectivity.microsoft.com/.

Ga naar het tabblad Message Analyzer (1), plak de gekopieerde gegevens in het vak (2) en klik op Koppen analyseren (3).

Het resultaat van de analyse wordt weergegeven in de tabel zoals hieronder getoond.

U zou de volgende workflow in de bovenstaande resultaten moeten zien:

IP-adres 192.168.0.3 duidt op de oorsprong van de computer.
De on-prem SMTP-relayserver heeft het bericht ontvangen.
Exchange Online Protection (EOP) heeft het bericht ontvangen.
Exchange Online-server en opnieuw gerouteerd voor uitgaande levering hebben het bericht ontvangen.
Office 365 heeft het bericht naar google.com gestuurd.

Op basis van de resultaten van de analyse kunt u bevestigen dat het bericht zoals bedoeld via de Office 365 SMTP-relay is gegaan.

Samenvatting

In dit artikel heb je geleerd hoe je een TLS- en niet-TLS-Office 365 SMTP-relay kunt maken. Je hebt ook geleerd hoe je hun functionaliteit kunt testen en bevestigen met verschillende technieken en hoe je de SMTP-routes kunt valideren die het bericht heeft doorlopen.