一、入站邮件流：路径A vs 路径B #

首先得明确，这两条路径其实是对应不同邮箱部署位置的，不是非此即彼的二选一关系：

• 路径B（互联网→第三方MTA→本地Hybrid→Outlook）：这是给仍部署在本地Exchange服务器上的邮箱用户准备的标准路径，能确保本地的合规过滤、DLP、归档等规则正常生效，完全符合混合部署中本地邮箱的入站路由最佳实践。
• 路径A（互联网→第三方MTA→本地Hybrid→Exchange Online→云端邮箱）：这是混合部署初期常见的过渡配置，但并非最优方案。如果你的云端邮箱用户占比更高，最佳实践是让第三方MTA直接路由到Exchange Online（绕过本地Hybrid），这样能减少本地服务器的负载和邮件延迟。但如果你的组织有强制要求——所有入站邮件必须经过本地的合规检查，那路径A就是必要的选择。

总结：按邮箱位置拆分路由逻辑即可——本地邮箱走路径B，云端邮箱优先配置直连Exchange Online，有强制合规需求再走路径A。

二、出站邮件流：方案A vs 方案B #

这两个方案里，方案B绝对是最佳实践：

• 方案A（Outlook→本地Hybrid→第三方MTA→Exchange Online→外部邮箱）：属于完全冗余的路由，平白增加了邮件延迟和故障点。除非你的组织有极端特殊的要求（比如所有出站邮件必须先经过云端的合规检查），否则完全不建议采用。
• 方案B（Outlook→本地Hybrid→第三方MTA→外部邮箱）：这是混合部署中本地用户出站邮件的标准配置，高效且能满足大多数企业的合规需求。补充一句：如果是云端邮箱用户，最佳实践是直接从Exchange Online发送到外部，无需经过本地Hybrid和第三方MTA（除非有强制路由要求）。

三、关于Hybrid与Exchange Online之间部署第三方MTA的疑问 #

这个说法是完全属实的。Exchange Hybrid部署中，本地Hybrid服务器与Exchange Online之间的连接是通过微软专属的Hybrid连接器建立的，采用了严格的TLS信任和身份验证机制。在两者之间插入第三方MTA会直接破坏这个信任链，导致邮件流中断，而且微软官方明确不支持这种配置，也不会提供对应的技术支持。简单来说，Hybrid和Online之间的邮件必须直接路由，不能经过中间的第三方MTA。

内容的提问来源于stack exchange，提问作者insane_IT