Criar Relés SMTP do Office 365 com e sem TLS

Tutoriais

Odeie ou ame; o e-mail está em todos os lugares. O protocolo para mover esse e-mail por toda parte é o SMTP, e os “roteadores” SMTP são relés SMTP.

Not a reader? Check out this tutorial’s related video.

A configuração dos relés SMTP varia entre os sistemas, mas se você utiliza o Office 365 como seu provedor de serviços de e-mail, suas opções são limitadas. A configuração pode ser complicada e propensa a erros, especialmente para dispositivos que não são compatíveis com TLS.

Observe que o envio de e-mails através do Office 365 não requer um relé SMTP. Você pode fazer com que os clientes enviem e-mails diretamente para o Office 365 sem adicionar um relé SMTP, o que não requer nenhuma alteração de configuração. Para saber mais, leia Como Enviar E-mails Diretos/Envio de Cliente SMTP no Office 365 (PowerShell).

Pré-requisitos

Esses são os requisitos antes de prosseguir.

  1. Uma assinatura do Office 365. Se você ainda não possui, pode Inscrever-se para uma assinatura de teste do Office 365 E5.
  2. A Windows 10 computer with PowerShell v5.1
  3. A public static IP address. You can still create an SMTP relay in Office 365 even without this, but you might not test.
  4. Acesso à porta TCP 25 de um cliente para o ponto final MX do seu Office.
  5. A valid SSL certificate. This certificate could be a wildcard certificate (eg. *.yourdomain.com) issued by third-party certificate authorities like LetsEncrypt, Digicert, etc. Note, that you cannot use self-signed certificates or certificates issued by an internal PKI because they are not supported. (only required for TLS connections)

Para configurar um relay SMTP, você deve primeiro criar um conector no Office 365 para aceitar transações SMTP. Este conector receberá transações de relay SMTP da aplicação ou dispositivo.

Antes de tentar criar um conector, certifique-se de que sua conta tenha as permissões adequadas do Exchange Online. Verifique se sua conta é membro do grupo Organization Management.

Há duas maneiras de criar um conector. Você pode usar o Exchange Admin Center ou o PowerShell. Ambas as opções realizarão a mesma tarefa. Depende de você escolher qual usar. Neste artigo, abordaremos ambos. Também abordaremos a criação de conectores tanto não TLS quanto TLS.

Crie um conector não TLS usando o Exchange Admin Center

Comecemos criando um conector não TLS. Você primeiro aprenderá a fazer isso via Exchange Admin Center. Você pode configurar muitas configurações SMTP do Office 365 no Exchange Admin Center.

Após fazer login, clique em fluxo de emails (1) –> conectores (2) –> Novo (3). A janela Novo Conector será exibida.

New Connector

Na janela Novo Conector, selecione De: Servidor de e-mail de sua organização (1), selecione Para: Office 365 (2), clique em Avançar (3).

Selecting a mail flow scenario

Na próxima janela, insira o nome SMTP Relay (Sem TLS) ou escolha um nome próprio (1), digite a descrição Aceitar relay do servidor SMTP local (2), desmarque Manter cabeçalhos de email Exchange internos (recomendado) (3) e clique em Avançar (4).

Assigning a name to the connector

Na próxima janela, selecione Ao verificar que o endereço IP do servidor de envio corresponde a um destes endereços IP que pertencem à sua organização (1), e clique em Adicionar (2).

Adding allowed IP adresses to the connector

Na nova janela pop-up, digite seu endereço IP público (1), então clique em OK (2). Isso deve levá-lo de volta à janela anterior.

Adding allowed IP adresses to the connector

Verifique se o endereço IP foi adicionado à lista (1), então clique em Avançar (2).

Adding allowed IP adresses to the connector

Então você verá o resumo das mudanças que precisa implementar. Trabalhe primeiro nas mudanças necessárias. Se não houver nenhuma, você pode clicar em Salvar.

De volta ao Centro de Administração do Exchange, agora você pode confirmar que o novo conector foi criado.

Office 365 Connector has been created

Agora você deve ter um conector sem TLS criado.

Crie um Conector TLS usando o Centro de Administração do Exchange

Criar um conector TLS é semelhante à criação de um conector sem TLS. Assim como você criou um conector sem TLS, volte ao assistente Novo Conector e use o mesmo cenário de fluxo de correio. Eu estarei usando um nome de conector de SMTP Relay (Sem TLS), mas o seu pode variar.

Na janela para definir o Office 365, deve-se identificar o email do seu servidor de email, selecionar :

  • Ao verificar que o nome do assunto no certificado que o servidor de envio utiliza para autenticar com o Office 365 corresponde a este nome de domínio (recomendado) (1)
  • em seguida, digitar o assunto do certificado SSL (2)
  • e clicar em Avançar (3).
Create a TLS Connector using Exchange Admin Center

Novamente, será exibido um resumo das alterações necessárias. Trabalhe nelas antes de prosseguir. Se não houver nenhuma, você pode clicar imediatamente no botão Salvar.

Crie um Conector Non-TLS usando o PowerShell

Se criar conectores do Office 365 através de uma interface gráfica não é o seu estilo, você sempre pode criá-los via PowerShell também. Para fazer isso, primeiro certifique-se de estar conectado ao PowerShell do Exchange Online.

Para criar o conector, você precisará executar o comando New-InboundConnector. Este comando requer alguns parâmetros diferentes, então vou configurar esses parâmetros antecipadamente usando o splatting.

I’ve added some comments in the code itself below but here’s a breakdown of each parameter and what it’s used for:

  • Nome – Este é o nome do conector.
  • TipoConector – Este é o tipo de conector. Este valor pode ser OnPremises ou Partner. Neste cenário, o tipo apropriado é OnPremises.
  • DomíniosRemetentes – Esta pode ser uma lista dos domínios remetentes permitidos. Apenas domínios verificados para seu locatário são escolhas válidas. O asterisco (*) significa que você está permitindo que todos os seus domínios verificados retransmitam mensagens usando este conector. Se você só precisa permitir determinados domínios remetentes, altere este valor para uma matriz dos domínios. (ex. 'dominio1.com','dominio2.com')
  • EndereçosIPRemetentes – Este é o seu endereço IP público. Não se esqueça de alterá-lo antes da execução.
  • RestringirDomíniosParaEndereçosIP – Quando este valor é definido como $true, indica que este conector só aceitará emails de endereços remetentes provenientes do seu endereço IP público permitido.
$splat = @{
    ## Defina o nome do conector.
    Name = 'SMTP Relay'
    ## Definir o tipo de conector a ser criado.
    ConnectorType = 'OnPremises'
    ## O conjunto de domínios remetentes permitidos para retransmissão.
    SenderDomains = '*'
    ## Altere isso para o seu endereço IP público real.
    SenderIPAddresses = '110.x.x.x'
    ## Restringir a retransmissão de email apenas para seus domínios remetentes e endereço IP remetente
    RestrictDomainsToIPAddresses = $true
}

## Criar o conector
New-InboundConnector @splat

Ao executar, você deve ver algo semelhante ao abaixo.

New-InboundConnector

Criar um Conector TLS usando PowerShell

Assumindo que você está conectado, execute o código abaixo para criar um conector TLS com o PowerShell também. Você pode ver abaixo que muitos parâmetros são idênticos à criação de um conector sem TLS. Os parâmetros obrigatórios que diferem da criação de um conector sem TLS são:

  • RequireTLS – Isso especifica que todas as mensagens recebidas por este conector requerem transmissão TLS
  • TlsSenderCertificateName – Este é o nome (ou assunto) do certificado usado pelo remetente.
$splat = @{
    ## Defina o nome do conector.
    Name = 'SMTP Relay (TLS)'
    ## O tipo de conector a ser criado.
    ConnectorType = 'OnPremises'
    ## O conjunto de domínios de remetente permitidos para retransmissão.
    SenderDomains = '*'
    ## Requerer TLS
    RequireTLS = $true
    ## Assunto/Nome do certificado SSL
    TlsSenderCertificateName = '*.YourDomain.com'
}

## Crie o conector
New-InboundConnector @splat

Execute o código acima e terá um conector TLS criado e pronto para receber e-mails.

Testando o Conector de Relevo SMTP do Office 365 com o PowerShell

Depois de criar o conector, prepare-se para testá-lo. A maneira mais fácil de fazer isso é usando o PowerShell. Nesta seção, criaremos alguns scripts do PowerShell para permitir que você verifique facilmente se o conector está funcionando corretamente.

Antes de começar o teste, certifique-se primeiro de saber qual é a URL do endpoint MX para o seu domínio do Exchange Online. Se você não sabe como encontrar a URL do endpoint MX, faça login no Portal de Administração do Office 365. Clique em Configuração, selecione Domínios, clique no nome do domínio e copie o endereço ou valor dos Pontos MX.

Testando um Relay SMTP não TLS (Endereço IP)

Nota: Este teste deve ser feito a partir do computador cujo endereço IP público está autorizado na configuração do relay SMTP do Office 365.

Use o código do PowerShell abaixo para o teste. Certifique-se de alterar os valores dos parâmetros De, Para e SmtpServer para usar suas próprias configurações de relay SMTP do Office 365 antes de executá-lo.

  • Para – Deve incluir um destinatário de domínio interno e um destinatário de domínio externo. Não se esqueça de alterar esses valores para os seus próprios.
  • De – Deve ser alterado para o seu endereço de remetente indicado. A parte do domínio do endereço de email deve ser um dos domínios de email do seu locatário.
  • SmtpServer – Deve ser alterado para o endpoint MX do seu locatário do Office 365.
$mailParams = @{
    SmtpServer = '<tenant>.mail.protection.outlook.com'
    Port = '25'
    From = '[email protected]'
    To = '[email protected]','[email protected]'
    Subject = ('SMTP Relay - ' + (Get-Date -Format g))
    Body = 'This is a test email using SMTP Relay'
    DeliveryNotificationOption = 'OnFailure','OnSuccess'
}

Send-MailMessage @mailParams

Testando um Relay SMTP TLS (Certificado)

Nota: Você deve ter o certificado SSL público no formato PFX antes de prosseguir com este teste.

Uma vez que o relé SMTP TLS requer um certificado, você não pode usar o cmdlet PowerShell Send-MailMessage porque ele não permite a seleção de um certificado específico. Em vez disso, utilize dois objetos .NET chamados System.Net.Mail.SmtpClient para definir os parâmetros SMTP, e System.Net.Mail.MailMessage para compor a mensagem.

Abaixo, você encontrará um trecho de código PowerShell que pode ser usado para testar o relé TLS SMTP. Não se esqueça de alterar os valores de pfxFile, pfxPass, From, To e SmtpServer para utilizar as configurações do seu relé SMTP do Office 365 antes de executá-lo.

# especifique o caminho completo do seu certificado PFX
$pfxFile = "C:\Certificate\cert.pfx"
$pfxPass = '<cert password here>'
$pfxBytes = Get-Content -path $pfxFile -encoding Byte -ErrorAction:SilentlyContinue
$X509Cert = New-Object -TypeName System.Security.Cryptography.X509Certificates.X509Certificate2
$X509Cert.Import([byte[]]$pfxBytes, $pfxPass,"Exportable,PersistKeySet")

# Construa as propriedades do SMTP
$smtpServer = '<tenant>.mail.protection.outlook.com'
$smtpPort = '25'
$smtp = New-Object Net.Mail.SmtpClient($smtpServer,$smtpPort)
$smtp.ClientCertificates.Add($X509Cert)
$smtp.EnableSSL = $true

# Componha a mensagem
$emailMessage = New-Object System.Net.Mail.MailMessage
$emailMessage.From = '[email protected]'
$emailMessage.To.Add('[email protected]')
$emailMessage.To.Add('[email protected]')
$emailMessage.Subject = ('SMTP Relay (TLS) - ' + (Get-Date -Format g))
$emailMessage.Body = 'This is a test email using SMTP Relay (TLS)'

# Envie a mensagem
$smtp.Send($emailMessage)

Se a configuração do conector TLS estiver correta, os destinatários definidos via método Add() devem receber o email de teste.

Validando os Saltos do Relé SMTP usando o Cabeçalho da Mensagem

Agora, você possui um relé SMTP funcional configurado usando um servidor local e o relé SMTP do Office 365. Todos os testes foram bem-sucedidos, e seus dispositivos podem enviar mensagens para destinatários internos e externos. Ótimo trabalho!

Se você ainda está em dúvida e precisa confirmar se essas mensagens estão passando pelo Office 365 SMTP relay, você pode revisar os cabeçalhos das mensagens nos e-mails recebidos.

Observação: Abrir os cabeçalhos das mensagens varia entre diferentes clientes de e-mail. O exemplo abaixo é específico para o Gmail.

Abra o e-mail na interface do Gmail, abra a mensagem e clique nos três pontos verticais (1), em seguida clique em Mostrar original (2).

Validating SMTP Relay Hops using the Message Header

A new page will show the email message headers. Click on Copy to clipboard (1).

Validating SMTP Relay Hops using the Message Header

Abra uma nova aba do navegador e acesse https://testconnectivity.microsoft.com/.

Acesse a aba Analisador de mensagens (1), cole os dados copiados na caixa (2) e clique em Analisar cabeçalhos (3).

Analyzing headers

O resultado da análise será exibido na tabela conforme mostrado abaixo.

Analyzing results

Você deve ver o seguinte fluxo de trabalho nos resultados acima:

  1. O endereço IP 192.168.0.3 indica a origem do computador.
  2. O servidor de relay SMTP local recebeu a mensagem.
  3. O Exchange Online Protection (EOP) recebeu a mensagem.
  4. O servidor Exchange Online e reencaminhado para entrega externa recebeu a mensagem.
  5. O Office 365 para google.com entregou a mensagem.

Com base nos resultados da análise, você pode confirmar que a mensagem passou pelo Office 365 SMTP relay conforme pretendido.

Resumo

Neste artigo, você aprendeu como criar um relay SMTP do Office 365 com TLS e sem TLS. Você também aprendeu como testar e confirmar sua funcionalidade usando diferentes técnicas e como validar as rotas SMTP pelas quais a mensagem passou.

Leitura Adicional

Source:
https://adamtheautomator.com/office-365-smtp-relay/