Configuração Hibrida – Parte 2
- Migration Endpoint e MRS Proxy
Para não deixar a pendencia em aberto, vamos configurar imediatamente o Migration Endpoint no Office 365. Ao acessar a console do Exchange Online, basta ir em “Recipients>Migration>Migration Endpoints”
Para criar o Endpoint, insira o endereço de sua organização, e um usuário que seja no mínimo “Recipient Management”
Após configurar o Endpoint, devemos habilitar o MRS em todos os servidores Hybrid da organização com o comando abaixo.
OBS: O 250 refere-se ao máximo de conexões simultâneas que podem ser efetuadas.
- Free/Busy
No Exchange On-premises, configure também da forma que deseja a política de compartilhamento. A Defalult Sharing Policy é a responsável, por exemplo; em definir que tipo de informações podem ser compartilhadas no Free/Busy entre os usuários On-premises e usuários no Office 365.
Da mesma forma que no Exchange Server On-Premises, devemos também configurar a Default Shared Policy no Exchange Online
Sugiro também que seja verificado em todos os servidores Hybrid que a autenticação básica do diretório EWS no IIS está habilitada – apesar de não haver uma documentação clara sobre isso, já vi alguns problemas por isso não estar habilitado.
Obs: Após a alteração, faça um iisreset.
- Transport Rules
Um outro detalhe importante, as Transport Rules não são copiadas automaticamente ao Exchange Online, portanto será necessário fazer um Export/Import, ou cria-las manualmente caso sejam poucas.
Export:
$onpremrule = Export-TransportRuleCollection
Set-Content -Path “C:\Rules.xml” -Value $onpremrule.FileData -Encoding Byte
Import:
$O365 = Get-Content -Path “C:\Rules.xml” -Encoding Byte -ReadCount 0
Import-TransportRuleCollection -FileData $O365
- Alteração do SPF
O primeiro ponto, é saber qual é seu atual SPF. Sou um usuário assíduo do MXToolbox, basta ser inserido o domínio, e ele fara uma consulta no SPF do domínio indicado. No nosso caso, como o Exchange Server não tinha um fluxo direto de entrada e saída a internet, o SPF continha apenas o endereço do MessageLabs, que era o responsável pelo fluxo de entrada e saída:
v=spf1 mx a:mx1.contoso.com a:mx2.contoso.com include:spf.messagelabs.com ~all
Nesse caso, eu sou obrigado a realizar duas modificações nesse SPF. Conforme a Microsoft orienta nesse artigo, a primeira é incluir o nome ou IP de saída do meu Exchange Server, simulando que meu IP de saída seja 10.10.10.10 e o nome seja mail.consoto.com, nesse caso teríamos:
v=spf1 mx a:mx1.contoso.com a:mx2.contoso.com a:mail.contoso.com ip4:10.10.10.10 include:spf.messagelabs.com ~all
A segunda mudança é a inclusão do EOP como sistema autorizado a enviar por nosso domínio. Para isso, basta adicionar a seguinte informação:
v=spf1 mx a:mx1.contoso.com a:mx2.contoso.com a:mail.contoso.com ip4:10.10.10.10 include:spf.messagelabs.com include:spf.protection.outlook.com ~all
Dessa forma, nós temos o IP e nome do nosso Exchange On-Premises como autorizado a envio, SPF do message labs incluído como autorizado a envio, e SPF do EOP autorizado a envio.
Ok Denis, mas porque preciso autorizar o EOP a enviar pelo meu domínio, sendo que na verdade quem envia é sempre o MessageLabs – ou qualquer outro AntiSpam do mercado –? Apesar de ser uma resposta simples, gera confusão na cabeça das pessoas. De fato, o MessageLabs é o responsável pelo envio e recebimento, mas o MessageLabs jamais poderá estar no meio do fluxo entre o Exchange On-Premises e o Exchange Online, isso não é suportado pela Microsoft. Então se não incluímos o SPF do EOP como autorizado em nosso SPF, nosso Exchange On-Premises classificara os e-mails como SPAM, já que estão sendo enviados através de servidores – do EOP – que não possuem autorização para tal. Idem para o inverso, uma vez que o Exchange On-Premises não seja autorizado a enviar e-mail em nome do domínio, o EOP classificara as mensagens como SPAM. Esse artigo descreve perfeitamente cada SPF check, sugiro a leitura para um entendimento aprofundado.
Deixo uma outra dica também, uma ferramenta que auxilia a criação de um SPF record.
- Alteração do fluxo SMTP
O desenho do fluxo SMTP contemplava tanto a entrada de e-mails diretamente no EOP, quanto a saída pelo EOP. Como hoje a entrada está sendo feita através do Exchange, foi necessário mudar o endereço do Exchange On-Premises dentro do MessageLabs. O primeiro ponto é obter o endereço MX do nosso Tenant, o mesmo pode ser localizado na console de administraçao do Office 365 na aba “DNS”:
Com o endereço em mãos, mudá-lo-emos no MessageLabs, especificamente em Inbound Routes:
Realizado a rota de entrada, devemos configurar também a rota de saída do EOP ao MessageLabs, para tal a Symantec disponibiliza o seguinte artigo.
Assim, teremos o seguinte fluxo:
Entrada: Internet>MessageLabs>Exchange Online
Saída: Exchange Online>MessageLabs>Internet
Com o intuito de forçar a saída de todos os e-mails do Exchange On-Premises através do EOP, farei também a seguinte mudança no Send Connector “Outbound to Office 365”:
Alterar o Address Space para *
Inserir o valor do MX de seu Tenant como Smarthost:
OBS: É possível também realizar o lock down – fechar as portas do EOP – para todos os IPs, deixando apenas aberto para o MessageLabs – além é claro do Exchange On-Premises. Existe um artigo interessante de um engenheiro da Microsoft, classificando a desnecessidade de uma configuração como essa, vale a pena a leitura.