Loading

« Relais de messagerie » Salesforce avec Office 365

Date de publication: May 7, 2021
Description
En raison de la nature à locataires multiples de l’acheminement des e-mails d’Office 365 et Salesforce, le relais de messagerie ne fonctionne pas sans configuration comme avec les solutions sur site et n’est pas recommandé. Veuillez consulter le Support de Microsoft pour configurer Exchange et Office 365 afin qu’ils acceptent les e-mails provenant de Salesforce.

Comme l’acheminement interne de Microsoft et la validation des e-mails locataires doivent être transmis sur Internet, certaines organisations peuvent rencontrer des erreurs telles que « Relay Access Denied ATTR36 » lorsque des e-mails sont transférés à l’agent de transfert d’e-mails (MTA) de Microsoft. Ceci semble lié à l’acheminement des e-mails de Microsoft à partir d’IP partagées. En raison de ce facteur, le relais de messagerie via Office 365 risque de ne pas fonctionner correctement sans utiliser une passerelle SMTP autonome pour que le domaine d'une organisation transfère les e-mails au locataire Office 365.
 
 
  • Salesforce envoie et transmet les e-mails en utilisant votre adresse e-mail d’entreprise comme adresse e-mail d’expédition.
  • Office 365 acceptera les e-mails sur Port 587 dans ce scénario, mais exige l’authentification SMTP. Même si O365 effectuera l’authentification SMTP au niveau de l'utilisateur, Salesforce requiert une fonctionnalité de relais serveur-à-serveur lors de l’utilisation du locataire Office365.
  • Actuellement, la configuration d'un « connecteur partenaire » utilisant Port 25 avec TLS et les IP Salesforce devrait autoriser le relais de messagerie de Salesforce vers Office 365 et donc sur Internet, le cas échéant.
  • Pour les IP MTA Salesforce, consultez la section « Les adresses utilisées pour le relais de messagerie comprennent : » de Domaines et adresses IP Salesforce à ajouter à la liste autorisée
Résolution


Lors de la configuration du relais de messagerie, tenez compte des éléments suivants pour garantir que le relais est sécurisé :

  1. Configurez le MTA de réception pour qu'il autorise uniquement les messages envoyés des IP de relais Salesforce (et des autres IP dont vous attendez des messages).
  2. Configurez le relais Salesforce pour qu’il utilise TLS (demandez éventuellement TLS ou la vérification des éléments obligatoires pour vérifier le nom d’hôte sur le certificat du récepteur).
  3. Configurez le MTA de réception pour vérifier le nom de domaine et le certificat de l’expéditeur afin de garantir qu’il correspond au certificat présenté.
  4. Configurez le MTA de réception pour vérifier que le domaine d’expédition est votre domaine de messagerie.
  5. Configurez le MTA de réception pour vérifier qu’il y a un en-tête X-SFDC-LK contenant votre ID d’organisation.
  6. Configurez la signature DKIM dans Salesforce.
  7. Configurez le MTA de réception pour vérifier que la signature DKIM est validée et que le domaine pour lequel il a été signé est votre domaine.


Lorsque vous utilisez Office 365 Exchange, les points 1 à 3 sont possibles et peuvent être effectués lorsque vous configurez votre relais dans Exchange. Vous pouvez aussi créer des règles dans Exchange pour vérifier les points 4 à 7. Néanmoins, les règles que vous configurez sont appliquées en fonction de la destination d’acheminement du message.

Si vous transférez uniquement des messages destinés à votre domaine sur Exchange, les règles que vous créez pour tester les éléments 4 à 7 seront exécutées et appliquées. En revanche, si vous transférez des messages destinés à un autre domaine qui n’est pas associé à votre locataire (sur Exchange ou à un autre emplacement sur Internet), vos règles ne seront pas appliquées. Dans ce cas, même si le relais fonctionne, il se peut qu’il n’achemine pas comme vous le souhaitez (par exemple, il n’exécute pas les règles que vous avez créées).

Pourquoi les règles configurées dans le locataire Office 365 Exchange ne sont-elles pas appliquées ?
Lorsque les messages sont acheminés de cette façon via Exchange, elles doivent les mapper à un locataire approprié dans leur infrastructure. Pour cela, il est possible d'utiliser l’IP d’envoi. Si Salesforce a offert des IP dédiées, elles sont uniques pour un client/domaine de messagerie et peuvent facilement les mapper à un locataire unique spécifique qui configure son connecteur partenaire pour autoriser les messages provenant des IP données. Comme Salesforce n’offre pas actuellement d’IP dédiées dans le service CRM, les IP utilisées pour le relais sont partagées parmi des clients multiples. Par conséquent, si des clients multiples configurent les mêmes IP dans Exchange, l’IP d’envoi n’est pas unique pour un locataire spécifique et Exchange ne peut pas mapper les messages entrants à un locataire spécifique. Ils savent que le message provient d’IP desquelles leurs clients actuels envoient, mais cela ne peut pas être lié à un client unique. Dans cette situation, cela peut indiquer que le message est mappé à un « locataire de confiance » qui utilise un ensemble partagé d’IP. Lorsque ce « locataire de confiance » est utilisé, le message envoyé peut avoir une moins bonne délivrabilité. En outre, Microsoft s’efforce de réduire et à terme d’éliminer les chemins qui font passer les messages par le « locataire de confiance ». Le fait que votre message soit envoyé correctement n’est pas une garantie pour l’avenir. L’autre problème que pose l’acheminement via le « locataire de confiance » est que les règles que vous créez ne seront pas appliquées.
 
Comment puis-je vérifier que mes règles sont exécutées sur un message donné qui est transféré via Exchange ?
Exchange vous permet d’exécuter une trace de message qui fournit des détails sur les e-mails envoyés via votre locataire. Si la trace de message n’affiche pas le message, cela signifie qu’il n’a pas été acheminé via votre locataire..
 

Y a-t-il une solution aux défis décrits ici ?

Si le message que vous transférez de Salesforce a pour destination uniquement un domaine lié à votre locataire sur Exchange, il n’y a pas de problème et vos règles seront appliquées comme prévu. Si vous envoyez à d’autres domaines qui ne sont pas associés à votre locataire, vous devez envisager de configurer votre serveur de relais de messagerie et/ou d’autres options.

Pour plus de flexibilité concernant le relais de messagerie, il peut être utile de configurer un IIS ou un autre serveur relais dans votre espace de domaine pour accepter les messages provenant de Salesforce avant le transfert vers vos implémentations 365 pour la livraison interne et le relais vers Internet.

Remarques :
Numéro d’article de la base de connaissances

000387487

 
Chargement
Salesforce Help | Article