Вопрос или проблема
У нас есть конфигурация только для онлайн в Azure GCC High. У нас есть виртуальные вычисления.
Мы хотели бы настроить SMTP реле для использования уведомлений как доверенное соединение с Exchange Online.
Я понимаю документацию здесь: https://learn.microsoft.com/en-us/exchange/mail-flow-best-practices/use-connectors-to-configure-mail-flow/set-up-connectors-to-route-mail
Мой вопрос:
Могу ли я использовать частное подключение в качестве соединителя в Exchange Online? Цель состоит в том, чтобы не маршрутизировать трафик публично.
Если есть лучший подход, который не включает маршрутизацию трафика через публичные IP-адреса, можете ли вы предложить альтернативу?
Примечание: Не похоже, что поддержка Email SMTP через Azure Communication Services доступна в тенанте GCC High (https://learn.microsoft.com/en-us/azure/communication-services/concepts/email/email-smtp-overview)
Вы можете обратиться к https://www.petenetlive.com/KB/Article/0001480, чтобы проверить, может ли это помочь.
Не похоже, что можно маршрутизировать электронный почтовый трафик в Exchange Online без использования публичного IP.
Я в итоге настроил виртуальный сервер IIS в Azure и сконфигурировал его для SMTP реле. Затем я маршрутизировал весь трафик к <имя тенанта>.mail.protection.office365.us
С стороны Exchange 365 я зарегистрировал соединитель от “Email сервер вашей организации“. Я выбрал осуществить это по IP-адресу. И настроил соответствующую аутентификацию в соответствии с тем, что было сконфигурировано для раздела “Безопасность исходящих” SMTP (Azure) сервера.
Эта конфигурация позволяет мне отправлять электронные письма “анонимно” из виртуальных машин Azure через Exchange Online только.
Ответ или решение
Использование частной конечной точки для реле Exchange Online – GCC High
Введение
Настройка безопасного и надежного SMTP-канала для отправки уведомлений является важной задачей для организаций, работающих с конфиденциальными данными. В контексте работы с Exchange Online на платформе Azure GCC High необходимо учитывать требования безопасности, доступности и защиты данных. Рассмотрим, возможно ли использование частного подключения в качестве соединителя для Exchange Online и альтернативные подходы к организации SMTP-реле без использования публичных IP-адресов.
Проблема: Использование частного соединения
Согласно вашим наблюдениям, у вас есть следующие требования:
- Настройка SMTP-реле для отправки уведомлений.
- Необходимость использования доверенного соединения с Exchange Online без маршрутизации трафика через публичные IP-адреса.
На данный момент документация указывает, что Exchange Online не поддерживает частные коннекторы для маршрутизации электронной почты без использования публичных IP-адресов. Это значит, что использование Azure Private Link в качестве частного соединения напрямую с Exchange Online не представляется возможным.
Реализация через IIS Virtual Server
Как вы уже указали, вы реализовали SMTP-реле через виртуальный сервер IIS в Azure, что является приемлемым решением. Таким образом, ваше SMTP-реле на IIS работает в качестве межсетевого экрана, проксируя запросы к Exchange Online:
-
Настройка виртуального сервера IIS: Установите и настройте IIS на вашей виртуальной машине Azure, включая необходимые компоненты для поддержки SMTP. Убедитесь, что IIS настроен на прием SMTP-запросов, проверку подлинности и шифрование.
-
Маршрутизация трафика: Все исходящие запросы на отправку почты следует сосредоточить на
tenant-name.mail.protection.office365.us. Это гарантирует, что все SMTP-пакеты будут безопасно отправлены в вашем экземпляре Exchange Online. -
Настройка соединителя в Exchange Online: Зарегистрируйте новый соединитель в Exchange Online. Укажите ваш SMTP-сервер как «Сервер электронной почты вашей организации». Настройте его через IP, что позволит вашему виртуальному серверу IIS хранить привилегированный доступ и избегать рутирования через публичные IP-адреса.
-
Конфигурация безопасности: Убедитесь, что в настройках безопасности вашего SMTP-сервера используются те же параметры аутентификации, которые настроены в
Outbound Securityвашего соединителя Azure. Это позволит избежать проблем с авторизацией.
Альтернативные подходы
Если ваша организация заинтересована в изучении альтернативных методов маршрутизации SMTP-трафика, то стоит рассмотреть следующие варианты:
-
Использование VPN: Чтобы создать надежное соединение между вашей Azure-инфраструктурой и Exchange Online, можно рассмотреть возможность использования VPN. Это обеспечит дополнительный уровень защиты, но, к сожалению, не решит проблему использования частных IP-адресов для Exchange Online.
-
Azure Functions или Logic Apps: Использование серверлесс-решений, таких как Azure Functions или Logic Apps, для обработки уведомлений и отправки писем через Exchange Online. Эти решения могут выполнять нужную вам логику и передавать данные через Azure API, но также будут необходимо выставлять публичные IP для обращения к Exchange Online.
-
Альтернативные почтовые сервисы: В зависимости от обрабатываемых данных можно исследовать возможность интеграции с другими почтовыми API, возможно, предоставляющими более гибкие возможности для частного подключения.
Заключение
В текущих условиях настроить частный соединитель для Exchange Online через частные конечные точки невозможно. Однако использование виртуального сервера IIS с передачей SMTP-трафика через Exchange Online является эффективным и безопасным решением. Обеспечивая правильную аутентификацию и защиту при отправке уведомлений, вы сможете удовлетворить требования безопасности вашей организации на платформе Azure GCC High.