Einleitung
In diesem Dokument werden die Konfigurationsschritte zur Integration von Microsoft 365 in Cisco Secure Email für die ein- und ausgehende E-Mail-Zustellung beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Dieses Dokument kann für lokale Gateways oder Cisco Cloud Gateways verwendet werden.
Wenn Sie Cisco Secure Email-Administrator sind, enthält Ihr Begrüßungsschreiben Ihre Cloud Gateway-IP-Adressen und andere relevante Informationen. Zusätzlich zu dem hier angezeigten Brief erhalten Sie eine verschlüsselte E-Mail, die Ihnen zusätzliche Informationen zur Anzahl der für Ihre Zuweisung bereitgestellten Cloud Gateways (auch bekannt als ESA) und Cloud E-Mail- und Web-Manager (auch bekannt als SMA) liefert. Wenn Sie den Brief noch nicht erhalten haben oder keine Kopie davon haben, wenden Sie sich mit Ihren Kontaktinformationen und Ihrem Domain-Namen unter Service ances-activations@cisco.com
.
Jeder Client verfügt über dedizierte IPs. Sie können die zugewiesenen IP-Adressen oder Hostnamen aus der Microsoft 365-Konfiguration verwenden.
Hinweis: Es wird dringend empfohlen, vor einer geplanten Umstellung der E-Mail-Produktion zu testen, da die Replikation von Konfigurationen in der Microsoft 365 Exchange-Konsole Zeit in Anspruch nimmt. Warten Sie mindestens eine Stunde, bis alle Änderungen wirksam werden.
Anmerkung: Die IP-Adressen in der Screenshot-Funktion sind proportional zur Anzahl der für Ihre Zuweisung bereitgestellten Cloud Gateways. Beispiel: xxx.yy.140.105
die IP-Adresse der Schnittstelle Data 1 für Gateway 1 und xxx.yy.150.1143
die IP-Adresse der Schnittstelle Data 1 für Gateway 2. Die IP-Adresse der Schnittstelle Data 2 für Gateway 1 lautet xxx.yy.143.186
, und die IP-Adresse der Schnittstelle Data 2 für Gateway 2 ist xxx.yy.32.98
. Wenn Ihr Begrüßungsschreiben keine Informationen zu Data 2 (ausgehende Schnittstellen-IPs) enthält, wenden Sie sich an Cisco TAC, um die Data 2-Schnittstelle zu Ihrer Zuweisung hinzuzufügen.
Konfigurieren von Microsoft 365 mit sicherer E-Mail
Konfigurieren von eingehenden E-Mails in Microsoft 365 über Cisco Secure Email
Umgehen der Spam-Filterregel
- Melden Sie sich beim Microsoft 365 Admin Center an.
- Erweitern Sie im Menü auf der linken Seite
Admin Centers.
- Klicken Sie auf
Exchange.
- Navigieren Sie im Menü links zu
Mail flow > Rules.
- Klicken Sie auf
[+]
, um eine neue Regel zu erstellen.
- Wählen
Bypass spam filtering...
Sie eine Option aus der Dropdown-Liste aus.
- Geben Sie einen Namen für die neue Regel ein:
Bypass spam filtering - inbound email from Cisco CES.
- Wählen Sie für *Diese Regel anwenden, wenn...
The sender - IP address is in any of these ranges or exactly matches.
- Fügen Sie in dem Popup-Fenster zur Angabe des IP-Adressbereichs die IP-Adressen hinzu, die in Ihrem Cisco Secure Email-Begrüßungsschreiben angegeben sind.
- Klicken Sie auf
OK.
- Für *Do the following... wurde die neue Regel vorausgewählt:
Set the spam confidence level (SCL) to... - Bypass spam filtering.
- Klicken Sie auf
Save.
Ein Beispiel für das Aussehen einer Regel:
Empfangs-Connector
- Verbleiben Sie im Exchange-Verwaltungscenter.
- Navigieren Sie im Menü links zu
Mail flow > Connectors.
- Klicken Sie auf
[+]
, um einen neuen Connector zu erstellen.
- Wählen Sie im Popup-Fenster "Mail-Fluss auswählen" Folgendes aus:
- Von:
Partner organization
- Zu:
Office365
- Klicken Sie auf
Next.
- Geben Sie einen Namen für den neuen Connector ein:
Inbound from Cisco CES.
- Geben Sie bei Bedarf eine Beschreibung ein.
- Klicken Sie auf
Next.
- Klicken Sie auf
Use the sender's IP address.
- Klicken Sie auf
Next.
- Klicken Sie auf,
[+]
und geben Sie die IP-Adressen ein, die in Ihrem Begrüßungsschreiben für Cisco Secure Email angegeben sind.
- Klicken Sie auf
Next.
- Auswählen
Reject email messages if they aren't sent over Transport Layer Security (TLS).
- Klicken Sie auf
Next.
- Klicken Sie auf
Save.
Ein Beispiel, wie Ihre Steckverbinderkonfiguration aussieht:
Konfigurieren von E-Mails aus Cisco Secure Email für Microsoft 365
Zielsteuerelemente
Setze eine Selbstdrosselung in eine Zustellungsdomäne in den Zielsteuerelementen ein. Natürlich können Sie die Drosselung später entfernen, aber dies sind neue IPs zu Microsoft 365, und Sie wollen keine Drosselung durch Microsoft aufgrund seiner unbekannten Reputation.
- Melden Sie sich bei Ihrem Gateway an.
- Navigieren Sie zu
Mail Policies > Destination Controls.
- Klicken Sie auf
Add Destination.
- Nutzung:
- Ziel: Geben Sie den Domänennamen ein.
- Concurrent Connections (Gleichzeitige Verbindungen):
10
- Maximum Messages Per Connection (Maximale Anzahl an Nachrichten pro Verbindung):
20
- TLS Support (TLS-Unterstützung):
Preferred
- Klicken Sie auf
Submit.
- Klicken Sie rechts oben
Commit Changes
in der Benutzeroberfläche auf, um Ihre Konfigurationsänderungen zu speichern.
Ein Beispiel für das Aussehen der Zielsteuerelementtabelle:
Recipient Access Table
Legen Sie als Nächstes die Recipient Access Table (RAT) fest, um E-Mails für Ihre Domänen zu akzeptieren:
- Navigieren Sie zu
Mail Policies > Recipient Access Table (RAT).
Anmerkung: Stellen Sie sicher, dass der Listener für den eingehenden Listener, für eingehendeMail oder für MailFlow vorgesehen ist. Dies hängt vom tatsächlichen Namen des Listeners für den primären E-Mail-Fluss ab.
- Klicken Sie auf
Add Recipient.
- Fügen Sie Ihre Domänen im Feld Empfängeradresse hinzu.
- Wählen Sie die Standardaktion
Accept.
- Klicken Sie auf
Submit.
- Klicken Sie rechts oben
Commit Changes
in der Benutzeroberfläche auf, um Ihre Konfigurationsänderungen zu speichern.
Ein Beispiel für den RAT-Eintrag:
SMTP-Routen
Legen Sie die SMTP-Route für die Zustellung von E-Mails von Cisco Secure Email an Ihre Microsoft 365-Domäne fest:
- Navigieren Sie zu
Network > SMTP Routes.
- Klicken Sie auf
Add Route...
- Receiving Domain (Empfangsdomäne): Geben Sie Ihren Domänennamen ein.
- Destination Hosts (Ziel-Hosts): Fügen Sie Ihren ursprünglichen Microsoft 365 MX-Datensatz hinzu.
- Klicken Sie auf
Submit.
- Klicken Sie rechts oben
Commit Changes
in der Benutzeroberfläche auf, um Ihre Konfigurationsänderungen zu speichern.
Ein Beispiel für die SMTP-Routeneinstellungen:
DNS-Konfiguration (MX-Eintrag)
Sie sind bereit, die Domäne durch eine Änderung der Mail Exchange (MX)-Datensätze zu entfernen. Lösen Sie Ihre MX-Datensätze zusammen mit Ihrem DNS-Administrator unter den IP-Adressen Ihrer Cisco Secure Email Cloud-Instanz auf, wie in Ihrem Begrüßungsschreiben zu Cisco Secure Email angegeben.
Überprüfen Sie auch die Änderung des MX-Datensatzes von der Microsoft 365-Konsole aus:
- Melden Sie sich bei der Microsoft 365-Administratorkonsole an.
- Navigieren Sie zu
Home > Settings > Domains.
- Wählen Sie Ihren Standard-Domänennamen aus.
- Klicken Sie auf
Check Health
.
Hier finden Sie die aktuellen MX-Datensätze, die zeigen, wie Microsoft 365 Ihre DNS- und MX-Datensätze sucht, die mit Ihrer Domäne verknüpft sind:
Anmerkung: In diesem Beispiel wird der DNS von Amazon Web Services (AWS) gehostet und verwaltet. Als Administrator sollten Sie eine Warnung erwarten, wenn Ihr DNS außerhalb des Microsoft 365-Kontos gehostet wird. Sie können Warnungen ignorieren wie: "Wir haben nicht erkannt, dass Sie neue Datensätze zu your_domain_here.com hinzugefügt haben. Vergewissern Sie sich, dass die von Ihnen auf Ihrem Host erstellten Datensätze mit den hier gezeigten übereinstimmen..." Durch die schrittweisen Anweisungen werden die MX-Datensätze auf den ursprünglichen Wert zurückgesetzt, der für die Umleitung an Ihr Microsoft 365-Konto konfiguriert war. Das Cisco Secure Email Gateway wird aus dem eingehenden Datenverkehrsfluss entfernt.
Eingehende E-Mails testen
Testen Sie eingehende E-Mails an Ihre Microsoft 365-E-Mail-Adresse. Überprüfen Sie dann, ob es in Ihrem Microsoft 365 E-Mail-Posteingang ankommt.
Validieren Sie die E-Mail-Protokolle in der Nachrichtenverfolgung auf Ihrem Cisco Secure Email und Web Manager (auch SMA genannt), der mit Ihrer Instanz bereitgestellt wird.
So zeigen Sie E-Mail-Protokolle Ihres SMA an:
- Melden Sie sich bei Ihrer SMA an.
- Klicken Sie auf
Tracking.
- Geben Sie die erforderlichen Suchkriterien ein, und klicken Sie auf, um die gewünschten Ergebnisse anzuzeigen. Klicken Sie
Search;
anschließend auf:
So zeigen Sie E-Mail-Protokolle in Microsoft 365 an:
- Melden Sie sich beim Microsoft 365 Admin Center an.
- Erweitern
Admin Centers.
- Klicken Sie auf
Exchange.
- Navigieren Sie zu
Mail flow > Message trace.
- Microsoft stellt Standardkriterien für die Suche bereit. Wählen Sie beispielsweise aus
Messages received by my primary domain in the last day
, um Ihre Suchanfrage zu starten.
- Geben Sie die erforderlichen Suchkriterien für Empfänger ein, klicken Sie auf
Search
und erwarten Sie Ergebnisse wie:
Konfigurieren von ausgehenden E-Mails aus Microsoft 365 für Cisco Secure Email
Konfigurieren von RELAYLIST auf Cisco Secure Email Gateway
Weitere Informationen erhalten Sie in Ihrem Begrüßungsschreiben zu Cisco Secure Email. Darüber hinaus wird eine sekundäre Schnittstelle für ausgehende Nachrichten über Ihr Gateway angegeben.
- Melden Sie sich bei Ihrem Gateway an.
- Navigieren Sie zu
Mail Policies > HAT Overview.
Anmerkung: Vergewissern Sie sich, dass der Listener für den ausgehenden Listener, für ausgehendeMail oder für MailFlow-Ext vorgesehen ist, basierend auf dem tatsächlichen Namen des Listeners für den externen/ausgehenden E-Mail-Fluss.
- Klicken Sie auf
Add Sender Group...
- Konfigurieren Sie die Absendergruppe als:
- Name: RELAY_O365
- Kommentar: <<Geben Sie einen Kommentar ein, wenn Sie Ihre Absendergruppe mit Anmerkungen versehen möchten.>>
- Richtlinie: RELAYED
- Klicken Sie auf
Submit and Add Senders.
- Absender:
.protection.outlook.com
Anmerkung: Die Fehlermeldung. (Punkt) am Anfang des Absender-Domänennamens erforderlich.
- Klicken Sie auf
Submit.
- Klicken Sie rechts oben
Commit Changes
in der Benutzeroberfläche auf, um Ihre Konfigurationsänderungen zu speichern.
Ein Beispiel für das Aussehen Ihrer Absendergruppeneinstellungen:
Aktivieren von TLS
- Klicken Sie auf
<
.
- Klicken Sie auf folgende Mailflow-Richtlinie:
RELAYED.
- Blättern Sie nach unten, und suchen Sie im
Security Features
Abschnitt nach Encryption and Authentication.
- Wählen Sie für TLS Folgendes aus:
Preferred.
- Klicken Sie auf
Submit.
- Klicken Sie rechts oben
Commit Changes
in der Benutzeroberfläche auf, um Ihre Konfigurationsänderungen zu speichern.
Ein Beispiel für die Konfiguration der Mail Flow Policy:
Konfigurieren von E-Mails von Microsoft 365 nach CES
- Melden Sie sich beim Microsoft 365 Admin Center an.
- Erweitern
Admin Centers.
- Klicken Sie auf
Exchange.
- Navigieren Sie zu
Mail flow > Connectors.
- Klicken Sie auf
[+]
um einen neuen Steckverbinder zu erstellen. - Wählen Sie im Popup-Fenster "Mail-Fluss auswählen" Folgendes aus:
- Von:
Office365
- Zu:
Partner organization
- Klicken Sie auf
Next.
- Geben Sie einen Namen für den neuen Connector ein:
Outbound to Cisco CES.
- Geben Sie bei Bedarf eine Beschreibung ein.
- Klicken Sie auf
Next.
- Für Wann möchten Sie diesen Connector verwenden?:
- Auswahl:
Only when I have a transport rule set up that redirects messages to this connector.
- Klicken Sie auf
Next.
- Klicken Sie auf
Route email through these smart hosts.
- Klicken Sie auf
[+]
, und geben Sie die ausgehenden IP-Adressen oder Hostnamen ein, die in Ihrem CES-Begrüßungsschreiben angegeben sind. - Klicken Sie auf
Save.
- Klicken Sie auf
Next.
- Wie sollte Office 365 mit dem E-Mail-Server Ihrer Partnerorganisation verbunden werden?
- Auswahl:
Always use TLS to secure the connection (recommended).
- Auswählen
Any digital certificate, including self-signed certificates.
- Klicken Sie auf
Next.
- Der Bestätigungsbildschirm wird angezeigt.
- Klicken Sie auf
Next.
- Geben Sie
[+]
eine gültige E-Mail-Adresse ein, und klicken Sie auf OK.
- Klicken Sie auf,
Validate
und lassen Sie die Validierung laufen. - Klicken Sie abschließend auf
- Klicken Sie auf
Save
.
Ein Beispiel für den Outbound Connector:
Erstellen einer Mailflow-Regel
- Melden Sie sich bei Ihrem Exchange Admin Center an.
- Klicken Sie
mail flow;
auf auf der Registerkarte "Regeln". - Klicken Sie auf
[+]
, um eine neue Regel hinzuzufügen. - Auswählen
Create a new rule.
- Geben Sie einen Namen für die neue Regel ein:
Outbound to Cisco CES.
- Für *Diese Regel anwenden, wenn... wählen Sie:
The sender is located...
- Wählen Sie im Popup-Fenster "Absenderstandort auswählen" Folgendes aus:
Inside the organization.
- Klicken Sie auf
OK.
- Klicken Sie auf
More options...
- Klicken Sie auf
add condition
, und fügen Sie eine zweite Bedingung ein:
- Auswählen
The recipient...
- Auswahl:
Is external/internal.
- Wählen Sie im Popup-Fenster "Absenderstandort auswählen" Folgendes aus:
Outside the organization .
- Klicken Sie auf
OK.
- Wählen Sie für * Folgendes aus:
Redirect the message to...
- Wählen Sie Folgendes aus: den folgenden Anschluss.
- Wählen Sie den ausgehenden Anruf für den Cisco CES-Anschluss aus.
- Klicken Sie auf OK.
- Kehren Sie zu "*Folgendes tun..." zurück. und fügen Sie eine zweite Aktion ein:
- Auswahl:
Modify the message properties...
- Auswahl:
set the message header
- Legen Sie folgenden Nachrichten-Header fest:
X-OUTBOUND-AUTH.
- Klicken Sie auf
OK.
- Legen Sie den Wert fest:
mysecretkey.
- Klicken Sie auf
OK.
- Klicken Sie auf
Save.
Hinweis: Um nicht autorisierte Nachrichten von Microsoft zu verhindern, kann ein geheimer x-Header gestempelt werden, wenn Nachrichten Ihre Microsoft 365-Domäne verlassen. Dieser Header wird ausgewertet und vor der Übertragung an das Internet entfernt.
Ein Beispiel für die Microsoft 365 Routing-Konfiguration:
Greifen Sie abschließend auf die CLI für Cisco Secure Email Gateway zu.
Hinweis: Cisco Secure Email Cloud Gateway > CLI-Zugriff (Command Line Interface).
Erstellen Sie einen Nachrichtenfilter, um das Vorhandensein und den Wert des X-Headers zu überprüfen, und entfernen Sie den Header, falls vorhanden. Wenn kein Header vorhanden ist, soll die Nachricht verworfen werden.
- Melden Sie sich über die CLI bei Ihrem Gateway an.
- Führen Sie den
Filters
Befehl aus. - Wenn Ihr Gateway in einem Cluster zusammengefasst ist, drücken Sie Return (Zurück), um die Filter im Cluster-Modus zu bearbeiten.
- Verwenden Sie den
New
Befehl, um einen Nachrichtenfilter zu erstellen, zu kopieren und einzufügen:
office365_outbound: if sendergroup == "RELAYLIST" {
if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
strip-header("X-OUTBOUND-AUTH");
} else {
drop();
}
}
- Klicken Sie einmal auf Return (Rückgabe), um eine neue, leere Zeile zu erstellen.
- Geben Sie
[.]
in der neuen Zeile ein, um den neuen Nachrichtenfilter zu beenden. - Klicken Sie
return
einmal, um das Menü Filters (Filter) zu verlassen. - Führen Sie den
Commit
Befehl aus, um die Änderungen an der Konfiguration zu speichern.
Anmerkung: Vermeiden Sie Sonderzeichen für den geheimen Schlüssel. Die im Nachrichtenfilter gezeigten Zeichen ^ und $ sind reguläre Zeichen und werden wie im Beispiel angegeben verwendet.
Anmerkung: Überprüfen Sie den Namen, wie Ihre RELAYLIST konfiguriert ist. Es kann mit einem alternativen Namen konfiguriert werden, oder Sie können einen bestimmten Namen haben, der auf Ihrer Relay-Richtlinie oder Ihrem Mail-Provider basiert.
Ausgehende E-Mails testen
Testen Sie ausgehende E-Mails von Ihrer Microsoft 365-E-Mail-Adresse an einen externen Domänenempfänger. Sie können die Nachrichtenverfolgung über Ihren Cisco Secure Email und Web Manager überprüfen, um sicherzustellen, dass der ausgehende Datenverkehr ordnungsgemäß weitergeleitet wird.
Anmerkung: Überprüfen Sie Ihre TLS-Konfiguration (Systemverwaltung > SSL-Konfiguration) auf dem Gateway und den für ausgehendes SMTP verwendeten Chiffren. Cisco Best Practices empfiehlt:
HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA
Beispiel für die Nachverfolgung bei erfolgreicher Zustellung:
Klicken Sie hier, More Details
um die vollständigen Nachrichtendetails anzuzeigen:
Beispiel für die Nachrichtenverfolgung, bei dem der x-Header nicht übereinstimmt:
Zugehörige Informationen
Cisco Secure Email Gateway-Dokumentation
Secure Email Cloud Gateway - Dokumentation
Cisco Secure Email und Web Manager-Dokumentation
Cisco Secure-Produktdokumentation