Partager via


Gérer le flux de courrier avec des boîtes aux lettres dans plusieurs emplacements (Exchange Online et Exchange local)

Vue d’ensemble

Cette documentation fournit des conseils détaillés sur la gestion des scénarios de flux de courrier complexes dans les environnements qui tirent parti de Microsoft 365 ou Office 365.

Les exemples décrits dans cette documentation utilisent l’organisation fictive, Contoso, qui possède le domaine contoso.com. L’adresse IP du serveur de messagerie Contoso est 131.107.21.231, et son fournisseur tiers utilise 10.10.10.1 pour son adresse IP. Ces éléments sont utilisés à titre d'exemple. Vous pouvez adapter ces exemples pour qu'ils correspondent au nom de domaine et à l'adresse IP publique de votre organisation, le cas échéant.

Cette documentation couvre les scénarios de flux de courrier complexes suivants :

Informations importantes

Dans certains scénarios de flux de messagerie hybride, les clients peuvent rencontrer des situations dans lesquelles les e-mails sortants, provenant de ou relayés via leur serveur Exchange local ou leur passerelle de messagerie, sont d’abord routés via leur locataire Office 365. Cela se produit lorsque la passerelle de messagerie ou le serveur Exchange local utilise un certificat spécifique (par exemple, gateway.contoso.com ou exchange.contoso.com), et que le connecteur entrant créé par l’Assistant Configuration hybride (HCW) utilise une configuration de certificat générique par défaut (*.contoso.com). Par conséquent, les e-mails envoyés par le serveur ou la passerelle locaux sont attribués au locataire Office 365 avant d’atteindre les destinataires avec des enregistrements MX pointant vers Exchange Online. Bien que involontaire, il s’agit du processus d’attribution de courrier standard pour le locataire Office 365 correspondant. Pour comprendre le fonctionnement de l’attribution de messages dans Microsoft 365, lisez Attribution de messages Office 365.

Par conséquent, incluez spf.protection.outlook.com dans l’enregistrement SPF de votre domaine, même si les e-mails sont envoyés directement à partir de votre serveur local ou de votre passerelle vers Internet. Si votre locataire n’est pas hébergé dans Microsoft 365 Global l’environnement, le domaine à inclure est différent. Vous trouverez l’entrée correcte pour l’environnement respectif dans la documentation Configurer SPF pour identifier les sources de courrier valides pour votre domaine Microsoft 365 .

Si vous souhaitez modifier le comportement de routage dans ce scénario, vous pouvez suivre les étapes décrites dans la section FAQ #6(b) du billet de blog « Attribution de messages Office 365 ».

Scénario 1 : l’enregistrement MX pointe vers Microsoft 365 ou Office 365 et Microsoft 365 ou Office 365 filtre tous les messages

  • Je migre mes boîtes aux lettres vers Exchange Online et je souhaite conserver certaines boîtes aux lettres sur le serveur de messagerie de mon organisation (serveur local). Je souhaite utiliser Microsoft 365 ou Office 365 comme solution de filtrage du courrier indésirable et envoyer mes messages de mon serveur local à Internet à l’aide de Microsoft 365 ou Office 365. Microsoft 365 ou Office 365 envoie et reçoit tous les messages.

La plupart des clients qui ont besoin d’une configuration de flux de messagerie hybride doivent autoriser Microsoft 365 ou Office 365 à effectuer tous leurs filtrages et routages. Nous vous recommandons de pointer votre enregistrement MX vers Microsoft 365 ou Office 365, car ce paramètre fournit le filtrage du courrier indésirable le plus précis. Dans ce scénario, la configuration du flux de messagerie de votre organisation ressemble au diagramme suivant.

Diagramme de flux de messagerie montrant le scénario où votre enregistrement MX pointe vers Microsoft 365 ou Office 365 et où le courrier provenant d’Internet est acheminé vers Microsoft 365 ou Office 365, puis vers vos serveurs locaux. Les messages provenant de vos serveurs locaux sont envoyés à Microsoft 365 ou Office 365, puis à Internet.

Meilleures pratiques

  1. Ajoutez vos domaines personnalisés dans Microsoft 365 ou Office 365. Pour prouver que vous êtes propriétaire des domaines, suivez les instructions fournies dans Ajouter un domaine à Microsoft 365.

  2. Créez des boîtes aux lettres utilisateur dans Exchange Online ou déplacez les boîtes aux lettres de tous les utilisateurs vers Microsoft 365 ou Office 365.

  3. Mettez à jour les enregistrements DNS pour les domaines que vous avez ajouté à l'étape 1. (Vous ne savez pas comment effectuer cette tâche ? Suivez les instructions de cette page.) Les enregistrements DNS suivants contrôlent le flux de messagerie :

    • Enregistrement MX : pointez votre enregistrement MX vers Microsoft 365 ou Office 365 au format suivant : <domainKey-com.mail.protection.outlook.com>

      Par exemple, si votre domaine est contoso.com, l'enregistrement MX doit être : contoso-com.mail.protection.outlook.com.

    • Enregistrement SPF : cet enregistrement doit indiquer Microsoft 365 ou Office 365 comme expéditeur valide. toutes les adresses IP de vos serveurs locaux qui se connectent à EOP ; et tous les tiers qui envoient des e-mails au nom de votre organisation. Par exemple, si l’adresse IP du serveur de messagerie de votre organisation est 131.107.21.231, l’enregistrement SPF pour contoso.com doit être :

      v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
      

      Vous pouvez également, en fonction des exigences tierces, inclure le domaine du tiers, comme indiqué dans l’exemple suivant :

      v=spf1 include:spf.protection.outlook.com include:third_party_cloud_service.com -all
      
  4. Dans le Centre d’administration Exchange (EAC), utilisez l’Assistant Connecteur pour configurer le flux de messagerie à l’aide de connecteurs dans Microsoft 365 ou Office 365 pour les scénarios suivants :

    • Envoi de messages de Microsoft 365 ou Office 365 aux serveurs de messagerie de votre organisation

    • Envoi de messages de vos serveurs locaux à Microsoft 365 ou Office 365

      Si l’un des scénarios suivants s’applique à votre organisation, vous devez créer un connecteur pour prendre en charge l’envoi de messages à partir de vos serveurs locaux vers Microsoft 365 ou Office 365.

    • Votre organisation est autorisée à envoyer des messages au nom de votre client, mais votre organisation n'est pas propriétaire du domaine. Par exemple, contoso.com est autorisé à envoyer des messages par l'intermédiaire de fabrikam.com, qui n'appartient pas à contoso.com.

    • Votre organisation transmet des rapports de non-remise (également appelés NDR ou messages de rebond) sur Internet via Microsoft 365 ou Office 365.

      Pour créer le connecteur, choisissez la première option de l’Assistant Création de connecteur sur l’écran Comment Office 365 doit-il identifier les e-mails pour votre serveur de messagerie , comme illustré dans les deux captures d’écran ci-dessous, pour Le nouveau CENTRE d’administration Exchange et le Centre d’administration Exchange classique, respectivement.

Écran sur lequel un connecteur est créé pour gérer le flux de courrier à plusieurs emplacements.

Capture d’écran montrant l’écran Nouveau connecteur de l’Assistant Connexion hybride pour Exchange.

Cette configuration permet à Microsoft 365 ou Office 365 d’identifier votre serveur de messagerie à l’aide du certificat. Dans ce scénario, le nom commun ou l'autre nom de l'objet du certificat contient le domaine appartenant à votre organisation. Pour plus d'informations, consultez la rubrique Identifying email from your email server. Pour plus d’informations sur la configuration du connecteur, consultez La partie 2 : Configurer le flux du courrier de votre serveur de messagerie vers Microsoft 365 ou Office 365.

  1. Vous n'avez pas besoin de connecteur dans les scénarios suivants, sauf si l'un de vos partenaires a une exigence particulière, telle que l'application de TLS avec une banque.

    • Envoi de messages à partir de Microsoft 365 ou Office 365 à une organisation partenaire

    • Envoi de messages d’une organisation partenaire à Microsoft 365 ou Office 365

Remarque

Si votre organisation utilise Exchange 2010 ou version ultérieure, nous vous recommandons d’utiliser l’Assistant Configuration hybride pour configurer des connecteurs dans Microsoft 365 ou Office 365 ainsi que sur vos serveurs Exchange locaux. Pour ce scénario, l’enregistrement MX de votre domaine ne peut pas pointer vers le serveur de messagerie de votre organisation.

Scénario 2 : l’enregistrement MX pointe vers Microsoft 365 ou Office 365 et le courrier est filtré localement

  • Je migre mes boîtes aux lettres vers Exchange Online et je souhaite conserver certaines boîtes aux lettres sur le serveur de messagerie de mon organisation (serveur local). Je veux utiliser les solutions de filtrage et de mise en conformité qui se trouvent déjà dans mon environnement local. Tous les messages provenant d’Internet vers mes boîtes aux lettres cloud, ou envoyés à Internet à partir de mes boîtes aux lettres cloud, doivent être acheminés via mes serveurs locaux.

Si vous avez des raisons professionnelles ou réglementaires de filtrer le courrier dans votre environnement local, nous vous recommandons de pointer l’enregistrement MX de votre domaine vers Microsoft 365 ou Office 365 et d’activer le transport de courrier centralisé. Cette configuration permet d'obtenir un filtrage optimal du courrier indésirable optimal et protège les adresses IP de votre organisation. Dans ce scénario, la configuration du flux de messagerie de votre organisation ressemble au diagramme suivant.

Diagramme de flux de messagerie montrant le scénario où votre enregistrement MX pointe vers Microsoft 365 ou Office 365 et où le filtrage se produit sur vos serveurs locaux. Les messages provenant d’Internet sont envoyés à Microsoft 365 ou Office 365, puis à vos serveurs pour le filtrage de conformité, puis à Microsoft 365 ou Office 365.

Meilleures pratiques

  1. Ajoutez vos domaines personnalisés dans Microsoft 365 ou Office 365. Pour prouver que vous êtes propriétaire des domaines, suivez les instructions fournies dans Ajouter un domaine à Microsoft 365.

  2. Créez des boîtes aux lettres utilisateur dans Exchange Online ou déplacez les boîtes aux lettres de tous les utilisateurs vers Microsoft 365 ou Office 365.

  3. Mettez à jour les enregistrements DNS pour les domaines que vous avez ajouté à l'étape 1. (Vous ne savez pas comment effectuer cette tâche ? Suivez les instructions de cette page.) Les enregistrements DNS suivants contrôlent le flux de messagerie :

    • Enregistrement MX : pointez votre enregistrement MX vers Microsoft 365 ou Office 365 au format suivant : <domainKey-com.mail.protection.outlook.com>

    Par exemple, si votre domaine est contoso.com, l'enregistrement MX doit être : contoso-com.mail.protection.outlook.com.

    • Enregistrement SPF : cet enregistrement doit répertorier Microsoft 365 ou Office 365 en tant qu’expéditeur valide, ainsi que les adresses IP de vos serveurs locaux qui se connectent à EOP et les tiers qui envoient des e-mails au nom de votre organisation. Par exemple, si l’adresse IP du serveur de messagerie de votre organisation est 131.107.21.231, l’enregistrement SPF pour contoso.com doit être :

      v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
      
  4. Utilisez le transport de messagerie centralisé (CMT) pour les solutions de conformité locales.

    • Le courrier provenant d’Internet vers une boîte aux lettres dans Exchange Online est d’abord envoyé à votre serveur local, puis revient à Exchange Online pour être remis à la boîte aux lettres. La ligne 1 représente ce chemin d'accès dans le diagramme du scénario 2.

    • Le courrier provenant d’Exchange Online et destiné à Internet est d’abord envoyé à vos serveurs locaux, puis revient à Exchange Online, puis est remis à Internet. La ligne 4 représente ce chemin d'accès dans le diagramme du scénario 2.

    • Pour effectuer cette configuration, créez des connecteurs via l'Hybrid Configuration Wizard ou par le biais d'applets de commande, puis activez CMT. Pour plus d’informations sur CMT, consultez Options de transport dans les déploiements hybrides Exchange.

Vous n'avez pas besoin de connecteur dans les scénarios suivants, sauf si l'un de vos partenaires a des exigences particulières, telles que l'application de TLS avec une banque.

  • Envoi de messages à partir de Microsoft 365 ou Office 365 à une organisation partenaire

  • Envoi de messages d’une organisation partenaire à Microsoft 365 ou Office 365

Scénario 3 : l'enregistrement MX pointe vers mes serveurs locaux

  • Je migre mes boîtes aux lettres vers Exchange Online et je souhaite conserver certaines boîtes aux lettres sur le serveur de messagerie de mon organisation (serveur local). Je veux utiliser les solutions de filtrage et de mise en conformité qui se trouvent déjà dans mon environnement de messagerie local. Tous les messages provenant d’Internet vers mes boîtes aux lettres cloud, ou envoyés à Internet à partir de boîtes aux lettres cloud, doivent être acheminés via mes serveurs locaux. L'enregistrement MX de mon domaine doit pointer vers mon serveur local.

Comme alternative au scénario 2, vous pouvez pointer l’enregistrement MX de votre domaine vers le serveur de messagerie de votre organisation au lieu de Microsoft 365 ou Office 365. Dans certaines entreprises, cette configuration constitue une obligation réglementaire, mais le filtrage fonctionne généralement mieux si vous utilisez le scénario 2.

Dans ce scénario, la configuration du flux de messagerie de votre organisation ressemble au diagramme suivant.

Diagramme montrant le flux de messagerie lorsque votre enregistrement MX pointe vers vos serveurs locaux au lieu de Microsoft 365 ou Office 365. Le courrier passe d’Internet aux serveurs de votre organisation, puis à Microsoft 365 ou Office 365. Le courrier va de Microsoft 365 ou Office 365 à vos serveurs locaux vers Internet.

Meilleures pratiques

Si l'enregistrement MX de votre domaine doit pointer vers votre adresse IP locale, utilisez les meilleures pratiques suivantes :

  1. Ajoutez vos domaines personnalisés dans Microsoft 365 ou Office 365. Pour prouver que vous êtes propriétaire des domaines, suivez les instructions fournies dans Ajouter un domaine à Microsoft 365.

  2. Créez des boîtes aux lettres utilisateur dans Exchange Online ou déplacez les boîtes aux lettres de tous les utilisateurs vers Microsoft 365 ou Office 365.

  3. Mettez à jour les enregistrements DNS pour les domaines que vous avez ajouté à l'étape 1. (Vous ne savez pas comment effectuer cette tâche ? Suivez les instructions de cette page.) Les enregistrements DNS suivants contrôlent le flux de messagerie :

    • Enregistrement SPF : cet enregistrement doit indiquer Microsoft 365 ou Office 365 comme expéditeur valide. Cet enregistrement doit également inclure toutes les adresses IP de vos serveurs locaux qui se connectent à EOP et les tiers qui envoient du courrier électronique au nom de votre organisation. Par exemple, si l’adresse IP du serveur de messagerie de votre organisation est 131.107.21.231, l’enregistrement SPF pour contoso.com doit être :

      v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
      
  4. Étant donné que vous ne relayez pas les messages de vos serveurs locaux vers Internet via Microsoft 365 ou Office 365, vous n’avez pas techniquement besoin de créer des connecteurs pour les scénarios suivants. Mais si, à un moment donné, vous modifiez votre enregistrement MX pour qu’il pointe vers Microsoft 365 ou Office 365, vous devez créer des connecteurs ; par conséquent, il est préférable de le faire à l’avance. Dans le Centre d’administration Exchange, utilisez l’Assistant Connecteur de la partie 2 : Configurer le flux du courrier de votre serveur de messagerie vers Microsoft 365 ou Office 365 pour les scénarios suivants, ou utilisez l’Assistant Configuration hybride pour créer des connecteurs :

    • Envoi de courriers de Microsoft 365 ou Office 365 aux serveurs de messagerie de votre organisation

    • Envoi de messages à partir de vos serveurs locaux vers Microsoft 365 ou Office 365

  5. Pour vous assurer que les messages sont envoyés aux serveurs locaux de votre organisation par l'intermédiaire de MX, accédez à Exemples de restrictions de sécurité que vous pouvez appliquer à des messages envoyés depuis une organisation partenaire et suivez « Exemple 3 : demander que tous les messages électroniques provenant du domaine de votre organisation partenaire ContosoBank.com soient envoyés à partir d'une plage d'adresses IP spécifique ».

Scénario 4 : l'enregistrement MX pointe vers mon serveur local, qui filtre et fournit des solutions de conformité pour vos messages. Votre serveur local doit relayer les messages vers Internet via Microsoft 365 ou Office 365.

  • Je migre mes boîtes aux lettres vers Exchange Online et je souhaite conserver certaines boîtes aux lettres sur le serveur de messagerie de mon organisation (serveur local). Je veux utiliser les solutions de filtrage et de mise en conformité qui se trouvent déjà dans mon environnement de messagerie local. Tous les messages envoyés à partir de mes serveurs locaux doivent être relayés via Microsoft 365 ou Office 365 vers Internet. L'enregistrement MX de mon domaine doit pointer vers mon serveur local.

Dans ce scénario, la configuration du flux de messagerie de votre organisation ressemble au diagramme suivant.

Diagramme de flux de messagerie avec des flèches montrant le courrier provenant d’Internet vers des serveurs locaux, puis vers Microsoft 365 ou Office 365. Affiche également les messages électroniques qui circulent de serveurs locaux vers Microsoft 365 ou Office 365 vers Internet.

Meilleures pratiques

Si l'enregistrement MX de votre domaine doit pointer vers votre adresse IP locale, utilisez les meilleures pratiques suivantes :

  1. Ajoutez vos domaines personnalisés dans Microsoft 365 ou Office 365. Pour prouver que vous êtes propriétaire des domaines, suivez les instructions fournies dans Ajouter un domaine à Microsoft 365.

  2. Créez des boîtes aux lettres utilisateur dans Exchange Online ou déplacez les boîtes aux lettres de tous les utilisateurs vers Microsoft 365 ou Office 365.

  3. Mettez à jour les enregistrements DNS pour les domaines que vous avez ajouté à l'étape 1. (Vous ne savez pas comment effectuer cette tâche ? Suivez les instructions de cette page.) Les enregistrements DNS suivants contrôlent le flux de messagerie :

    • Enregistrement MX: pointez votre enregistrement MX vers votre serveur local au format suivant : mail.<domainKey>.com

      Par exemple, si votre domaine est contoso.com, l'enregistrement MX doit être : .mail.contoso.com.

    • Enregistrement SPF : cet enregistrement doit indiquer Microsoft 365 ou Office 365 comme expéditeur valide. Cet enregistrement doit également inclure toutes les adresses IP de vos serveurs locaux qui se connectent à EOP et les tiers qui envoient du courrier électronique au nom de votre organisation. Par exemple, si l’adresse IP du serveur de messagerie de votre organisation est 131.107.21.231, l’enregistrement SPF pour contoso.com doit être :

      v=spf1 ip4:131.107.21.231 include:spf.protection.outlook.com -all
      
  4. Dans le CAE, utilisez l’Assistant Connecteur pour configurer le flux de messagerie à l’aide de connecteurs dans Microsoft 365 ou Office 365 pour les scénarios suivants :

    • Envoi de courriers de Microsoft 365 ou Office 365 aux serveurs de messagerie de votre organisation

    • Envoi de messages à partir de vos serveurs locaux vers Microsoft 365 ou Office 365

      Créez un connecteur pour prendre en charge le scénario « Envoi de messages à partir de vos serveurs locaux vers Microsoft 365 ou Office 365 » si l’un des scénarios suivants s’applique à votre organisation :

    • Votre organisation est autorisée à envoyer des courriers électroniques au nom de votre client, mais votre organisation n'est pas propriétaire du domaine. Par exemple, contoso.com est autorisé à envoyer des messages par l'intermédiaire de fabrikam.com, qui n'appartient pas à contoso.com.

    • Votre organisation transmet des rapports de non-remise (NDR) à Internet via Microsoft 365 ou Office 365.

    • L'enregistrement MX pour votre domaine, contoso.com, pointe vers votre serveur local et les utilisateurs de votre organisation transfèrent automatiquement les messages à des adresses de messagerie en dehors de votre organisation. Par exemple, kate@contoso.com le transfert est activé et tous les messages sont envoyés à kate@tailspintoys.com. Si john@fabrikam.com envoie un message à kate@contoso.com, au moment où le message arrive à Microsoft 365 ou Office 365, le domaine de l’expéditeur est fabrikam.com et le domaine du destinataire est tailspin.com. Le domaine de l’expéditeur et le domaine du destinataire n’appartiennent pas à votre organisation.

      Pour créer le connecteur, choisissez la première option de l’Assistant Création de connecteur sur l’écran Comment Microsoft 365 ou Office 365 identifie-t-il les e-mails pour votre serveur de messagerie , comme illustré dans les deux captures d’écran ci-dessous, respectivement pour New EAC et Classic EAC.

Écran sur lequel un connecteur est créé pour gérer le flux de courrier à plusieurs emplacements.

Capture d’écran montrant l’écran Nouveau connecteur de l’Assistant Connexion hybride pour Exchange.

Cette option permet à Microsoft 365 ou Office 365 d’identifier votre serveur de messagerie à l’aide du certificat. Dans ce scénario, le nom commun ou l'autre nom de l'objet du certificat contient le domaine appartenant à votre organisation. Pour plus d'informations, consultez la rubrique Identifying email from your email server. Pour plus d’informations sur la configuration du connecteur, consultez La partie 2 : Configurer le flux du courrier de votre serveur de messagerie vers Microsoft 365 ou Office 365.

  1. Configurer des connecteurs pour un flux de messagerie sécurisé avec une organisation partenaire pour vous assurer que les messages sont envoyés vers les serveurs locaux de votre organisation via MX.

Voir aussi

Bonnes pratiques relatives au flux de courrier pour Exchange Online, Microsoft 365 et Office 365 (vue d’ensemble)

Gérer toutes les boîtes aux lettres et le flux de messagerie à l’aide de Microsoft 365 ou Office 365

Gérer le flux de courrier à l’aide d’un service cloud tiers avec Microsoft 365 ou Office 365

Gérer le flux de courrier à l’aide d’un service cloud tiers avec des boîtes aux lettres sur Microsoft 365 ou Office 365 et localement

Résoudre les problèmes liés au flux de messagerie Office 365 ou 365

Tester le flux de messagerie en validant vos connecteurs Microsoft 365 ou Office 365