最近,我们遇到一个Hybrid环境中,来自本地的邮件被云端传输规则当作外部邮件处理的问题,下面将分析过程分享给大家。

环境:
本地Exchange Server 2013;
Exchange Online E3
问题:
管理员在Exchange Online中创建了一条传输规则,在来自组织外的邮件上都添加一条免责声明,如下图:

之后,有云端用户报告,收到本地用户发来的邮件,也被应用了这条规则。
接到这个问题后,我们先从Exchange Online的EAC界面查看了云端的接受域,确认本地域被列为权威域:

通过查看这封邮件的邮件头:
X-MS-Exchange-Organization-MessageDirectionality: Incoming

X-Matching-Connectors: 131805302641153032;(05e94084-a2b6-4099-acf4-08d53af20ab8,c8718832-8213-4759-eeca-08d449cac4cc,6fb0ce17-b21b-4747-06d9-08d2eb2f6ec1,9d95b77b-071f-48d9-afcb-08d4dd6c6cc1,42fac3f6-c4ad-4629-c965-08d4a15bfd9d);()
X-CrossPremisesHeadersFiltered: PU1APC01FT061.eop-APC01.prod.protection.outlook.com
<略>
X-MS-Exchange-Organization-AuthSource:
PU1APC01FT061.eop-APC01.prod.protection.outlook.com
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-PublicTrafficType: Email
<略>
X-MS-Exchange-CrossTenant-Id: ca435bfc-b770-4010-9cf9-aebba18ae9a2
X-MS-Exchange-CrossTenant-FromEntityHeader: Internet
X-MS-Exchange-Transport-CrossTenantHeadersStamped: HK0PR03MB3665

我们看到这封邮件确实被当作普通的公网邮件处理了。因为正常的Hybrid 环境下,此类邮件头中的信息应该如下:

X-MS-Exchange-Organization-AuthAs: Internal

<略>
X-MS-Exchange-CrossTenant-FromEntityHeader: HybridOnPrem

接下来,检查云端的接收连接器和本地发送连接器,特别是TLS相关的设置:

云端接收连接器

本地发送连接器

检查到证书时,发现云端用于Hybrid的接收连接器的证书已过期。

于是通过以下命令进行更新:
Get-InboundConnector | Set-InboundConnector -TlsSenderCertificateName "<新证书的名称>"

等待一段时间再进行测试,发现来自本地的邮件不再被当作外部邮件处理了。