Przenosząc usługi pocztowe do chmury Microsoft (poczta w chmurze) skupiamy się głównie na skrzynkach użytkowników. Mimo, że jest to najważniejsza część migracji, to nie jedyna. Trzeba także pomyśleć o przekonfigurowaniu aplikacji i urządzeń wysyłających wiadomości e-mail.
W tym artykule przybliżę metody jakich można użyć do tego celu.
Aplikacje, jak i urządzenia używają protokołu SMTP do wysyłania poczty. W zależności od otoczenia, w którym działają, możemy mieć do czynienia ze środowiskiem jednolitym – z jednym lub kilkoma serwerami poczty, które zostały przeniesione do Office 365 – lub hybrydowym, w którym mimo wdrożenia usługi Exchange Online i przeniesieniu do niej części lub wszystkich skrzynek użytkowników, serwer w sieci lokalnej działa równolegle.
Gdy mamy do czynienia ze środowiskiem hybrydowym firma Microsoft zaleca używanie serwerów lokalnych do celów przesyłania poczty przez aplikacje i urządzenia.
Wynika to po części z ograniczeń, które nakłada poczta w chmurze Office365, o czym również trzeba pamiętać przy wdrożeniu[1]:
- wiadomość wraz z załącznikiem może mieć maksymalnie 25 MB wielkości,
- limit 10 000 odbiorców dziennie dla wiadomości w obrębie organizacji – zapobiega spamowi,
- limit 500 odbiorców dla każdej pojedynczej wiadomości w polu Od, Do, Dw,
- maksymalnie 5000 odbiorców w grupie dystrybucyjnej oraz 2 MB wielkości załącznika, jeżeli mail wysyłany jest do takiej dużej grupy.
Biorąc pod uwagę powyższe ograniczenia, dla organizacji wysyłających mailing do tysięcy odbiorców, oferta Office 365 może być niewystarczająca, o czym firma Microsoft informuje i zaleca do tego celu korzystanie z usług firm trzecich.
Istnieją trzy wspierane i udokumentowane przez firmę Microsoft metody współpracy z Office 365 do wysyłania poczty:
- SMTP Relay – Office 365 jest w tym modelu bramką służącą do przesyłania maili bez konieczności autentykacji, korzystając z nazwy domeny serwera wykupionej subskrypcji,
- Konfiguracja wysyłania z użyciem danych użytkownika, czyli loginu i hasła w aplikacji czy na urządzeniu,
- Wysyłanie bezpośrednie.
Metoda 1. SMTP Relay
Tradycyjną formą przesyłania wiadomości z użyciem serwera pocztowego Exchange czy Exchange Online jest przekaźnik SMTP, czyli inaczej z jęz. angielskiego relay. Jest to także metoda, którą zaleca używać firma Microsoft, jako podstawowej do obsługi maili wysyłanych z urządzeń i aplikacji.
Dzięki wykorzystaniu łącznika SMTP stworzonego po stronie Exchange Online w usłudze Office365, jesteśmy w stanie wysyłać wiadomości e-mail bez konieczności autentykacji, czyli użycia specjalnie do tego celu stworzonej skrzynki pocztowej. Biorąc pod uwagę, że możemy mieć w organizacji dużo urządzeń i aplikacji posiadających funkcjonalność przesyłania maili – jest to korzystne głównie z uwagi na brak kosztów związanych z licencjami.
Autentykacja po stronie Exchange Online, odbywa się na podstawie wskazanych przez nas adresów IP lub certyfikatu. Możemy używać dowolnego adresu e-mail w obrębie domen, które posiadamy zarejestrowane w usłudze Office 365.
Z opisu tej funkcjonalności na stronie Microsoft wynika, że jeżeli używamy jej dla urządzenia, które nie posiada skrzynki pocztowej, powinniśmy wykupić dla każdego takiego konta licencję Exchange Online Protection, gdyż wykorzystujemy bramkę antyspamową niejako poza licencją.
By korzystać z tej metody należy sprawdzić publiczne numery IP naszej organizacji, które będą brały udział w komunikacji z Office365 oraz stworzyć w Exchange Online łącznik przychodzący(inbound connector) w sekcji Przepływ poczty – łączniki (Mail flow – connectors).
Przed konfiguracją łącznika warto sprawdzić w panelu zarządzania, czy nasze domeny dodane do usługi Office 365 są w pełni funkcjonalne, tzn. muszą mieć status „Ukończono konfigurację”.
Obrazek 1. Panel zarządzania domenami Office 365
Aby utworzyć łącznik przychodzący do przekazywania poczty z urządzenia czy aplikacji:
- Wybieramy ikonę „+” by stworzyć nowy łącznik
- Podajemy jego nazwę
- Wybieramy typ: Lokalny
- W polu „Domeny nadawcy” wstawiamy nazwy domen, do których łącznik będzie wysyłał wiadomości.
Jeżeli nie możemy sprecyzować listy domeny, wstawiamy gwiazdkę, znak *. - W polu „Adresy IP nadawcy”, wstawiamy adresy publiczne IP naszej organizacji
- W oknie „Skojarzone, zaakceptowane domeny” – podajemy domeny, które są dodane do naszej subskrypcji Office365, a które ma obsługiwać łącznik
- Pozostałe opcje zostawiamy w stanie domyślnym i zapisujemy konfigurację łącznika klawiszem Zapisz.
Obrazek 2. Utworzony, działający łącznik przychodzący
Obrazek 3. Łącznik przychodzący – sekcja ogólna
Obrazek 4. Łącznik przychodzący – sekcja zabezpieczenia
Obrazek 5. Łącznik przychodzący – sekcja zakres – domeny i adresy IP
Po stworzeniu łącznika przychodzącego można przystąpić do konfiguracji urządzenia.
Należy jednak wcześniej poprawić, lub stworzyć o ile jeszcze nie istnieje (koniecznie!) rekord SPF w publicznym DNS dla domen, które będą brały udział w wysyłaniu maili poprzez przekaźnik SMTP w usłudze Office365, czyli np. w panelu zarządzania domeną xyz.com.pl.
Rekord ten, typu TXT, należy uzupełnić o publiczne adresy IP, którymi urządzenia czy aplikacje będą łączyły się z serwerami Exchange Online.
Gotowy, powinien wyglądać podobnie do tego:
v=spf1 ip4:90.12.23.34 include:spf.protection.outlook.com -all
Gdzie ip4:90.12.23.34 to publiczny adres IP.
Jeżeli w komunikacji będzie brało kilka adresów IP, dodajemy je również jeden za drugim, np.:
v=spf1 ip4:90.12.23.34 ip4:90.12.23.33 include:spf.protection.outlook.com -all
Konfiguracja urządzenia do wysyłania maili poprzez łącznik SMTP Exchange Online
Pierwszą rzeczą jaką musimy zrobić jest ustalenie adresu właściwego serwera SMTP, który należy podać w danych konfiguracji konta wysyłającego.
Mimo, że istnieje ogólny adres SMTP: smtp.office365.com, Microsoft zaleca używanie go tylko do celów wysyłania ze skrzynek skonfigurowanych w protokołach POP3/IMAP.
Aby wysłać wiadomość z urządzenia czy aplikacji, należy sprawdzić rekord MX publicznego DNS.
Ten, który powinna mieć nasza organizacja dla konkretnej domeny jest widoczny w ustawieniach domeny, w panelu zarządzania Office 365:
Obrazek 6. Panel zarządzania domenami Office365
Dla domeny XYZ.com.pl ma on postać xyz-com-pl.mail.protection.outlook.com .
Ten adres podajemy w ustawieniach, jako adres serwera SMTP.
Dane konfiguracyjne:
- Nazwa serwera SMTP: xyz-com-pl.mail.protection.outlook.com
- Szyfrowanie TLS: może być włączone lub nie
- Port:25
- Autentykacja SMTP jest wyłączona: nie potrzebujemy nazwy użytkownika i hasła.
Przykład działającej konfiguracji dla urządzenia Konica-Minolta Bizhub C220:
Obrazek 7. Konfiguracja serwera SMTP w urządzeniu Konica-Minolta Bizhub C-220
Tytułem wyjaśnienia – adres podany jako administrator urządzenia i używany do wysyłania maili powinien być ten sam. Chodzi o to, by żadna komunikacja nie używała innego adresu, co mogłoby powodować problemy z dostarczaniem poczty.
Poczta w chmurze Microsoft – (nie)spodziewane problemy
Mimo poprawnej konfiguracji urządzenia wedle specyfikacji Microsoft, próba wysłania spowodowała pojawienie się błędu w logach urządzenia oraz oczywiście mail nie został dostarczony.
Konieczne stało się sprawdzenie co powoduje te problemy.
Do tego celu użyć można komendy telnet, lecz wygodniejsze jest użycie powershella.
Test wykonamy komendą:
Send-MailMessage -From administrator@xyz.com.pl -to twojmail@abc.com -Subject „test” –body “testujemy” –smtpserver xyz.mail.protection.outlook.com
Moja próba zakończyła się spodziewanym niepowodzeniem:
Obrazek 8. Błąd wysyłania wiadomości za pomocą Powershell
Dzięki wykonaniu testu, okazało się, ze publiczny adres IP firmy jest na liście spamowej Microsoft.
Polecam sprawdzić konfigurację DNS, w szczególności rekord SPF.
Rekord SPF należy też porównać z ustawieniami łącznika Relay: ustawienia adresów IP i domen dozwolonych do ruchu powinny się pokrywać z wpisami DNS.
Jeżeli wszystko wygląda poprawnie, wysyłamy prośbę o odblokowanie adresu lub adresów IP na adres delist@messaging.microsoft.com. W ciągu kilku godzin, nasza prośba powinna być zrealizowana.
Obrazek 9. Odpowiedź z Microsoft o odblokowaniu adresu IP
Test wykonany ponownie, tym razem zakończył się sukcesem.
Obrazek 10. Udane wysłanie maila poprzez łącznik Office365
I w Outlooku w końcu pojawiła się oczekiwana wiadomość.
Przed konfiguracją urządzeń polecam sprawdzić wszystkie przedstawione elementy dwukrotnie, by adresy IP przedsiębiorstwa nie znalazły się na liście spamowej.
Metoda 2. Użycie skrzynki użytkownika do wysyłania maili z aplikacji lub urządzenia
Najprostszą w konfiguracji i najpewniejszą metodą jest użycie specjalnie do tego celu stworzonej skrzynki pocztowej. Dzięki posiadaniu praw do wysyłania poczty bezpośrednio na serwerze poczty Exchange Online, nie będzie problemu przedstawionego wcześniej- z możliwym blokowaniem firmowego adresu IP. Urządzenia i aplikacje wysyłające maile, używając autentykacji, mogą mieć dynamiczne adresy IP – nie trzeba ich podawać jako uprawnionych do wysyłania, tym samym nie jest potrzebna konfiguracja łącznika przychodzącego.
Jeżeli urządzenie, czy aplikacja nie posiada możliwości konfiguracji SMTP – ma tylko miejsce na podanie adresu serwera poczty – można skonfigurować lokalny serwer SMTP w systemie Windows Server i w nim ustawić autentykację z Office365 – instrukcja zostanie przedstawiona w końcowej części artykułu jako metoda 3 – wysyłanie bezpośrednie.
Dane konfiguracyjne:
- Nazwa serwera SMTP: smtp.office365.com
- Szyfrowanie TLS: Włączone
- Port: 25 lub 587 (zalecany)
- Autentykacja SMTP: tak
Jeżeli urządzenie nie wspiera połączenia przy pomocy TLS, nie będzie działało z Office365. Port 465 w połączeniu z SSL nie jest obsługiwany.
Przykładowa konfiguracja Konica Minolta Bizhub C-220 do wysyłania maili, przy użyciu skrzynki pocztowej i ustawionej autentykacji nazwą użytkownika i hasłem:
Obrazek 11. Konfiguracja sekcji SMTP Konica-Minolta C220
Jeżeli przy próbie wysłania maila będzie problem z autentykacją należy sprawdzić, czy urządzenie nie posiada skonfigurowanego adresu e-mail administratora innego niż ten używany do autentykacji wysyłania. Jeżeli tak, trzeba go zmienić na taki sam jak w karcie ustawień SMTP.
Obrazek 12. Sprawdzenie adresu e-mail administratora urządzenia Konica-Minolta C220
Metoda 3. Wysyłanie bezpośrednie
Jeżeli urządzenie czy aplikacja ma wbudowany serwer pocztowy, może bezpośrednio wysyłać maile.
Nie ma wówczas potrzeby, by współpracowała z Office365. Podajemy tylko adres na jaki chcemy wysłać mail i zostaje on dostarczony do użytkownika na podstawie rekordu DNS domeny, do której wiadomość ma trafić.
Jeżeli jednak nie posiada mechanizmów SMTP i musi połączyć się z zewnętrznym serwerem, pozostaje użycie innej, wymienionej wcześniej metody, lub konfiguracja lokalnego serwera.
Konfiguracja serwera SMTP w oparciu o komponent serwera usług informacyjnych (IIS 6) Windows Server 2012R2
- Dodaj funkcję SMTP poprzez manager serwera. Jest to składowa serwera IIS 6, więc również zostanie zainstalowana.
- W menedżerze serwera wybierz narzędzia (Tools) i zarządzenie IIS6
Obrazek 13. Panel narzędziowy serwera
- Kliknij na [SMTP Virtual Server #1] i wybierz właściwości
Obrazek 14. Okno Usług Informacyjnych – wybór opcji właściwości serwera SMTP
4. W zakładce Ogólne (General) w sekcji adresów IP (IP address) wybierz opcje zaawansowane ( Advanced… ):
Obrazek 15. Ustawienie portów nasłuchujących serwera SMTP
Dodajemy port, na których serwer będzie nasłuchiwał. Proponuję 587 oraz opcjonalnie 25. Zatwierdzamy OK.
5. W polu „Ogranicz liczbę połączeń” w zakładce Ogólne (General), można ustawić limit połączeń do serwera SMTP, by zabezpieczyć się przed spamem lub zbyt dużym obciążeniem.
Ja zostawiłem to pole puste. Można również ustawić limit czasu połączenia, po którym serwer będzie się rozłączał – standardowo 10 minut.
- W tym samym oknie, logowanie połączeń możemy włączyć, wyłączyć i wskazać ścieżkę docelową w sekcji „Logowanie” (Enable logging)
Obrazek 16. Właściwości serwera SMTP
7. W zakładce “Dostęp” (Access), klikamy “Autentykacja” (Authentication) i zaznaczamy tylko dostęp anonimowy “Anonymous access”. Klikamy OK
Obrazek 17. Wybór opcji autentykacji serwera SMTP – anonimowa
7. Nie wychodząc z karty “Dostęp” (Access) klikamy “Połączenie” (Connection…), wybieramy opcję „Tylko lista wskazana poniżej” (Only the list below) i wprowadzamy adresy IP dozwolone do łączenia się z naszym serwerem SMTP. Można również zezwolić dostęp wszystkim, z wyjątkiem wskazanych na liście (druga opcja). Dodajmy również serwer lokalny – IP 127.0.0.1.
Obrazek 18. Ustawienie adresów IP dopuszczonych do połączeń
8. Będąc ciągle w zakładce “Dostęp” (Access), kliknij Relay…
9. Wybierz stacje, które mają mieć możliwość wysyłania maili przez nas serwer
10. Zaznaczenie opcji pod listą adresów IP, spowoduje możliwość wysyłania przez nasz serwer maili z każdego serwera, który się z nim połączy (zgodnie z listą w pkt.7)
Obrazek 19. Lista hostów, które mogą wysyłać maile przez nasz serwer SMTP
9. W zakładce “Wiadomości” (Messages) można ustawić limity: wielkości pojedynczej wiadomości, całej sesji SMTP, ilości wiadomości na jedno połączenie oraz ilości odbiorców pojedynczego maila. Jest też pole do wpisania adresu e-mail do przekierowania komunikatu błędu wiadomości niedostarczonej (na zrzucie ekranowym „Send copy of Non-Delivery Report To:”). Jest także możliwość zmiany folderu, do którego będą wpadały uszkodzone lub nieprawidłowo sformatowane wiadomości (Bad Mail).
Obrazek 20. Konfiguracja opcji wiadomości
10. W zakładce „Dostarczanie” (Delivery), dostępne są opcje, odpowiednio:
- Interwału czasowego pierwszej, drugiej, trzeciej i kolejnych prób ponowienia wysłania maila w przypadku niepowodzenia dostarczenia (first, second, third, subsequent retry inverval),
- Czasu, po którym zostanie wysłana informacja o opóźnieniu w dostarczaniu (Delay notification)
- Czasu, po którym wysłana zostanie informacja o niemożliwości dostarczenia wiadomości (expiration timeout)
Obrazek 21. Ustawienie opcji dostarczania
11. W oknie „Zabezpieczenia zewnętrzne” (Outbound Security) wybieramy autentykację podstawową (Basic authentication)
12. Podajemy dane logowania konta użytkownika, posiadającego skrzynkę pocztową. Ważne: konto MUSI mieć uprawnienia administratora globalnego (stan na dzień 19.02.2015).
13. Zaznaczamy opcję „Kodowanie TLS” (TLS encryption) i zatwierdzamy zmiany wciskając OK.
Obrazek 22. Opcje autentykacji
14. W zakładce “Dostarczanie” (Delivery) wybieramy opcję „Połączenia wychodzące” (Outbound connections…)
15. Wprowadzamy port 587 TCP. Klikamy OK.
Możemy również ograniczyć liczbę połączeń wychodzących dla całego serwera (limit number of connections to:) i przypadających na jedną domenę (limit number of connections per domain to: ).
Obrazek 23. Ustawione limity połączeń
16. W zakładce „Dostarczanie” (Delivery), wybieramy „Zaawansowane…” (Advanced…)
17. W oknie “Zaawansowane dostarczanie” (Advanced Delivery) wprowadzamy adres: smtp.office365.com w polu Smart host.
18. W polu adresu domeny (FQDN – Fully-qualified domain name), wprowadzamy nazwę domeny
19. Zamykamy okno, zatwierdzając zmiany, poprzez wybranie OK.
Obrazek 24. Opcje dostarczania – Smart host Office365
20. Zamykamy również okno konfiguracji serwera SMTP – tutaj [SMTP Virtual Server#1].
21. W sekcji Domeny (Domains) okna IIS, klikamy nazwę serwera – tutaj SMTP Virtual Server – po prawej stronie, w panelu widać na razie tylko domenę lokalną.
22. Klikamy prawym klawiszem w pustym miejscu okna po prawej stronie lub na “Domena” (Domain) w lewej części i wybieramy Nowa – Domena (New – Domain…)
Obrazek 25. Dodanie domeny zewnętrznej
23. Wybieramy typ domeny – Zewnętrzna (Remote), klikamy Dalej (Next)
Obrazek 26. Dodanie domeny zewnętrznej – wizard
24. Podajemy nazwę domeny
Obrazek 27. Wstawienie nazwy domeny zewnętrznej
25. W prawym panelu pojawi się nowo dodana domena
Obrazek 28. Dodana domena zewnętrzna
26. Klikamy na jej nazwie prawym klawiszem myszy i wybieramy opcję Właściwości (“Properties”).
27. W zakładce “Ogólne” (General) zaznaczamy “Zezwól przychodzącym wiadomościom by były wysyłane przez tę domenę” (Allow incoming mail to be relayed to this domain).
Obrazek 29. Właściwości domeny zewnętrznej
28. Klikamy “Zabezpieczenia Zewnętrzne” (Outbound Security…)
29. W oknie wybieramy autentykację podstawową (Basic authentication), kodowanie TLS (TLS encryption), wprowadzamy login i hasło użytkownika Office365 z uprawnieniami Globalnego Administratora.
30. Zamykamy okno wciskając OK.
31. Restartujemy usługę IIS poprzez wejście do managera IIS 6, klikamy prawym klawiszem myszy na nazwie serwera, wybieramy Wszystkie Akcje – Restart IIS…
Obrazek 30. Restart serwera IIS.
32. Po zrestartowaniu IIS, odświeżamy okno wciskając klawisz F5, klikamy nazwę serwera – tutaj [SMTP Virtual Server #1] i wybieramy Start
Obrazek 31. Uruchomienie serwera SMTP po restarcie IIS
33. Możemy już używać lokalnego serwera SMTP, jako przekaźnika wysyłania wiadomości do Office365.
Podsumowanie
Konfiguracja wysyłania maili na urządzeniach i w aplikacjach do współpracy z usługą Office365 może przysporzyć wiele kłopotów, jeżeli nie będziemy stosowali się do zaleceń firmy Microsoft przedstawionych w tym artykule, jak i na jej stronach Internetowych. Przed rozpoczęciem korzystania z „chmury” należy zebrać dokładne dane na temat aktualnego środowiska firmy i wszystkich końcówek korzystających z serwera SMTP by odpowiednio zaplanować i skonfigurować metody wysyłania poczty i nie narazić firmy na problemy takie jak wpisanie na listę spamową, czy brak możliwości wysyłania maili.
Jako firma outsourcingowa specjalizujemy się w kompleksowym wdrażaniu usług chmurowych. Office 365 dla firm (office 365 for business) to rozwiązanie biznesowe oferowane przez Microsoft. Potrzebujesz wsparcia przy wdrożeniu poczty w Office 365? Skontaktuj się z nami – kliknij TUTAJ.
Źródła:
[1] https://technet.microsoft.com/en-us/library/exchange-online-limits.aspx
https://technet.microsoft.com/en-us/library/dn554323(v=exchg.150).aspx
Maciej Ochal
Administrator i Trener Microsoft w Support Online
