Configuração Hibrida – Parte 2

Publicado em por
  • Migration Endpoint e MRS Proxy

Para não deixar a pendencia em aberto, vamos configurar imediatamente o Migration Endpoint no Office 365. Ao acessar a console do Exchange Online, basta ir em “Recipients>Migration>Migration Endpoints”

13

Para criar o Endpoint, insira o endereço de sua organização, e um usuário que seja no mínimo “Recipient Management”

14

Após configurar o Endpoint, devemos habilitar o MRS em todos os servidores Hybrid da organização com o comando abaixo.

OBS: O 250 refere-se ao máximo de conexões simultâneas que podem ser efetuadas.

15

  • Free/Busy

No Exchange On-premises, configure também da forma que deseja a política de compartilhamento. A Defalult Sharing Policy é a responsável, por exemplo; em definir que tipo de informações podem ser compartilhadas no Free/Busy entre os usuários On-premises e usuários no Office 365.

16

Da mesma forma que no Exchange Server On-Premises, devemos também configurar a Default Shared Policy no Exchange Online

17

Sugiro também que seja verificado em todos os servidores Hybrid que a autenticação básica do diretório EWS no IIS está habilitada – apesar de não haver uma documentação clara sobre isso, já vi alguns problemas por isso não estar habilitado.

Obs: Após a alteração, faça um iisreset.

18

  • Transport Rules

Um outro detalhe importante, as Transport Rules não são copiadas automaticamente ao Exchange Online, portanto será necessário fazer um Export/Import, ou cria-las manualmente caso sejam poucas.

Export:

$onpremrule = Export-TransportRuleCollection

Set-Content -Path “C:\Rules.xml” -Value $onpremrule.FileData -Encoding Byte

Import:

$O365 = Get-Content -Path “C:\Rules.xml” -Encoding Byte -ReadCount 0

Import-TransportRuleCollection -FileData $O365

  • Alteração do SPF

O primeiro ponto, é saber qual é seu atual SPF. Sou um usuário assíduo do MXToolbox, basta ser inserido o domínio, e ele fara uma consulta no SPF do domínio indicado. No nosso caso, como o Exchange Server não tinha um fluxo direto de entrada e saída a internet, o SPF continha apenas o endereço do MessageLabs, que era o responsável pelo fluxo de entrada e saída:

v=spf1 mx a:mx1.contoso.com a:mx2.contoso.com include:spf.messagelabs.com ~all

Nesse caso, eu sou obrigado a realizar duas modificações nesse SPF. Conforme a Microsoft orienta nesse artigo, a primeira é incluir o nome ou IP de saída do meu Exchange Server, simulando que meu IP de saída seja 10.10.10.10 e o nome seja mail.consoto.com, nesse caso teríamos:

v=spf1 mx a:mx1.contoso.com a:mx2.contoso.com a:mail.contoso.com ip4:10.10.10.10 include:spf.messagelabs.com ~all

A segunda mudança é a inclusão do EOP como sistema autorizado a enviar por nosso domínio. Para isso, basta adicionar a seguinte informação:

v=spf1 mx a:mx1.contoso.com a:mx2.contoso.com a:mail.contoso.com ip4:10.10.10.10 include:spf.messagelabs.com include:spf.protection.outlook.com ~all

Dessa forma, nós temos o IP e nome do nosso Exchange On-Premises como autorizado a envio, SPF do message labs incluído como autorizado a envio, e SPF do EOP autorizado a envio.

Ok Denis, mas porque preciso autorizar o EOP a enviar pelo meu domínio, sendo que na verdade quem envia é sempre o MessageLabs – ou qualquer outro AntiSpam do mercado –? Apesar de ser uma resposta simples, gera confusão na cabeça das pessoas. De fato, o MessageLabs é o responsável pelo envio e recebimento, mas o MessageLabs jamais poderá estar no meio do fluxo entre o Exchange On-Premises e o Exchange Online, isso não é suportado pela Microsoft. Então se não incluímos o SPF do EOP como autorizado em nosso SPF, nosso Exchange On-Premises classificara os e-mails como SPAM, já que estão sendo enviados através de servidores – do EOP – que não possuem autorização para tal. Idem para o inverso, uma vez que o Exchange On-Premises não seja autorizado a enviar e-mail em nome do domínio, o EOP classificara as mensagens como SPAM. Esse artigo descreve perfeitamente cada SPF check, sugiro a leitura para um entendimento aprofundado.

Deixo uma outra dica também, uma ferramenta que auxilia a criação de um SPF record.

  • Alteração do fluxo SMTP

O desenho do fluxo SMTP contemplava tanto a entrada de e-mails diretamente no EOP, quanto a saída pelo EOP. Como hoje a entrada está sendo feita através do Exchange, foi necessário mudar o endereço do Exchange On-Premises dentro do MessageLabs. O primeiro ponto é obter o endereço MX do nosso Tenant, o mesmo pode ser localizado na console de administraçao do Office 365 na aba “DNS”:

20

Com o endereço em mãos, mudá-lo-emos no MessageLabs, especificamente em Inbound Routes:

19

Realizado a rota de entrada, devemos configurar também a rota de saída do EOP ao MessageLabs, para tal a Symantec disponibiliza o seguinte artigo.

Assim, teremos o seguinte fluxo:

Entrada: Internet>MessageLabs>Exchange Online

Saída:  Exchange Online>MessageLabs>Internet

Com o intuito de forçar a saída de todos os e-mails do Exchange On-Premises através do EOP, farei também a seguinte mudança no Send Connector “Outbound to Office 365”:

Alterar o Address Space para *

21

Inserir o valor do MX de seu Tenant como Smarthost:

22

OBS: É possível também realizar o lock down – fechar as portas do EOP – para todos os IPs, deixando apenas aberto para o MessageLabs – além é claro do Exchange On-Premises. Existe um artigo interessante de um engenheiro da Microsoft, classificando a desnecessidade de uma configuração como essa, vale a pena a leitura.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *