Inleiding
In dit document worden de configuratiestappen beschreven om Microsoft 365 te integreren met Cisco Secure Email voor levering van inkomende en uitgaande e-mail.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Dit document kan worden gebruikt voor gateways op locatie of voor Cisco Cloud-gateways.
Als u een Cisco Secure Email Administrator bent, bevat uw welkomstbrief uw Cloud Gateway IP-adressen en andere relevante informatie. Naast de brief die u hier ziet, wordt er een versleutelde e-mail naar u gestuurd die u aanvullende informatie geeft over het aantal Cloud Gateway (ook bekend als ESA) en Cloud Email and Web Manager (ook bekend als SMA) dat is meegeleverd voor uw toewijzing. Als u geen exemplaar van de brief hebt ontvangen of niet in het bezit hebt, neem dan contact op ces-activations@cisco.com met uw contactgegevens en domeinnaam onder de service.
Elke client heeft speciale IP's. U kunt de toegewezen IP-adressen of hostnamen gebruiken in de Microsoft 365-configuratie.
Opmerking: het is ten zeerste aan te raden om te testen vóór een geplande conversie van de productie-mail, omdat configuraties tijd nodig hebben om te repliceren in de Microsoft 365 Exchange-console. Laat minimaal een uur staan om alle wijzigingen van kracht te laten worden.
Opmerking: de IP-adressen in de schermopname zijn evenredig met het aantal cloudgateways dat is geleverd aan uw toewijzing. Bijvoorbeeld, xxx.yy.140.105 is het Gegevens 1 interfaceIP adres voor Gateway 1, en xxx.yy.150.1143 is het Gegevens 1 interfaceIP adres voor Gateway 2. Gegevens 2 interface IP-adres voor gateway 1 is xxx.yy.143.186 , en gegevens 2 interface IP-adres voor gateway 2 is xxx.yy.32.98. Als uw welkome brief geen informatie voor Gegevens 2 (Uitgaande interface IPs) omvat, neem contact op met Cisco TAC om de Data 2-interface aan uw toewijzing toe te voegen.
Microsoft 365 configureren met beveiligde e-mail
Inkomende e-mail vanuit Cisco Secure Email configureren in Microsoft 365
Spamfilterregel omzeilen
- Log in op het Microsoft 365 Admin Center (https://portal.microsoft.com).
- In het linker menu vouwt u het programma uit
Admin Centers.
- Klik op de knop
Exchange.
- Navigeer vanuit het linkermenu naar
Mail flow > Rules.
- Klik om een nieuwe regel
[+] aan te maken.
- Kies
Bypass spam filtering... uit de vervolgkeuzelijst.
- Voer een naam in voor uw nieuwe regel:
Bypass spam filtering - inbound email from Cisco CES.
- Voor *Deze regel toepassen als..., kies
The sender - IP address is in any of these ranges or exactly matches.
- Voeg voor de pop-up gespecificeerde IP-adresbereiken de IP-adressen toe die in uw welkomstbrief voor Cisco Secure Email worden verstrekt.
- Klik op de knop
OK.
- Voor *Doe het volgende..., de nieuwe regel is vooraf geselecteerd:
Set the spam confidence level (SCL) to... - Bypass spam filtering.
- Klik op de knop
Save.
Een voorbeeld van hoe uw regel eruit ziet:
Ontvangende connector
- Blijf in het Exchange-beheercentrum.
- Navigeer vanuit het linkermenu naar
Mail flow > Connectors.
- Klik om een nieuwe connector
[+] te maken.
- Kies in het pop-upvenster Selecteer het scenario voor de e-mailstroom:
- Van:
Partner organization
- in:
Office365
- Klik op de knop
Next.
- Voer een naam in voor uw nieuwe connector:
Inbound from Cisco CES.
- Voer desgewenst een beschrijving in.
- Klik op de knop
Next.
- Klik op de knop
Use the sender's IP address.
- Klik op de knop
Next.
- Klik op
[+] en voer de IP-adressen in die worden aangegeven in uw welkomstbrief voor beveiligde e-mail van Cisco.
- Klik op de knop
Next.
- Kiezen
Reject email messages if they aren't sent over Transport Layer Security (TLS).
- Klik op de knop
Next.
- Klik op de knop
Save.
Een voorbeeld van hoe uw verbindingsconfiguratie eruit ziet:
E-mail van Cisco Secure Email naar Microsoft 365 configureren
Besturingselementen voor bestemming
Stel een self-throttle op aan een bezorgingsdomein in uw Bestemmingscontroles. Natuurlijk kunt u de gaspedaal later verwijderen, maar dit zijn nieuwe IPs naar Microsoft 365, en u wilt geen gaspedaal door Microsoft vanwege zijn onbekende reputatie.
- Meld u aan bij uw gateway.
- Naar navigeren
Mail Policies > Destination Controls.
- Klik op de knop
Add Destination.
- Gebruik:
- Bestemming: Voer uw domeinnaam in
- Gelijktijdige verbindingen:
10
- Maximum aantal berichten per verbinding:
20
- TLS-ondersteuning:
Preferred
- Klik op de knop
Submit.
- Klik rechtsboven
Commit Changes in de gebruikersinterface om de wijzigingen in de configuratie op te slaan.
Een voorbeeld van hoe uw Bestemmingscontroletabel eruit ziet:
Toegangstabel voor ontvangers
Stel vervolgens de Recipient Access Table (RAT ofwel Toegangstabel voor ontvangers) in om e-mail voor uw domeinen te accepteren:
- Naar navigeren
Mail Policies > Recipient Access Table (RAT). Opmerking: Zorg ervoor dat de Luisteraar voor Inkomende Luisteraar, IncomingMail of MailFlow is, gebaseerd op de feitelijke naam van uw Luisteraar voor uw primaire mailstroom.
- Klik op de knop
Add Recipient.
- Voeg uw domeinen toe in het veld Ontvankelijk adres.
- Kies de standaardactie van
Accept.
- Klik op de knop
Submit.
- Klik
Commit Changes in de rechterbovenhoek van de UI om uw configuratieveranderingen op te slaan.
Een voorbeeld van hoe uw RAT-vermelding eruit ziet:
SMTP-routes
Stel de SMTP-route in om e-mail te leveren vanuit Cisco Secure Email naar uw Microsoft 365-domein:
- Naar navigeren
Network > SMTP Routes.
- Klik op de knop
Add Route...
- Domein ontvangen: voer uw domeinnaam in.
- Bestemmingshosts: voeg uw originele Microsoft 365 MX-record toe.
- Klik op de knop
Submit.
- Klik
Commit Changes in de rechterbovenhoek van de UI om uw configuratieveranderingen op te slaan.
Een voorbeeld van hoe uw SMTP-routeinstellingen eruit zien:
Configuratie van DNS (MX-record)
U bent klaar om het domein te doorsnijden via een Mail Exchange (MX) record wijziging. Werk samen met uw DNS-beheerder om uw MX-records op te lossen naar de IP-adressen voor uw Cisco Secure Email Cloud-exemplaar, zoals voorzien in uw welkomstbrief voor Cisco Secure Email.
Controleer ook de wijziging van het MX-record van uw Microsoft 365-console:
- Meld u aan bij de Microsoft 365 Admin-console (https://admin.microsoft.com).
- Naar navigeren
Home > Settings > Domains.
- Kies uw standaard domeinnaam.
- Klik op de knop
Check Health.
Dit biedt de huidige MX Records van hoe Microsoft 365 uw DNS- en MX-records opzoekt die aan uw domein zijn gekoppeld:
Opmerking: in dit voorbeeld wordt het DNS gehost en beheerd door Amazon Web Services (AWS). Als beheerder, verwacht een waarschuwing te zien als uw DNS ergens buiten de Microsoft 365-account wordt gehost. Je kunt waarschuwingen als: "We hebben niet gedetecteerd dat je nieuwe records hebt toegevoegd aan your_domain_here.com. Zorg ervoor dat de records die u bij uw host hebt gemaakt overeenkomen met de hier weergegeven records..." Met de stapsgewijze instructies worden de MX-records opnieuw ingesteld op wat aanvankelijk was geconfigureerd om naar uw Microsoft 365-account te worden doorgestuurd. Dit verwijdert de Cisco Secure Email Gateway uit de inkomende verkeersstroom.
Inkomende e-mail testen
Test inkomende mail naar uw Microsoft 365 e-mailadres. Controleer vervolgens of het in je Microsoft 365 email inbox aankomt.
Valideren van de e-maillogbestanden in het berichtentraceren op uw Cisco Secure Email and Web Manager (ook bekend als SMA) die bij uw exemplaar wordt geleverd.
U kunt e‑maillogboeken als volgt bekijken in uw SMA:
- Meld u aan bij uw SMA (https://sma.iphmx.com/ng-login).
- Klik op de knop
Tracking.
- Voer de gewenste zoekcriteria in en klik op
Search; en verwacht dergelijke resultaten te zien:
U kunt e‑maillogboeken als volgt bekijken in Microsoft 365:
- Log in op het Microsoft 365 Admin Center (https://admin.microsoft.com).
- Uitbreiden
Admin Centers.
- Klik op de knop
Exchange.
- Naar navigeren
Mail flow > Message trace.
- Microsoft geeft standaardcriteria om mee te zoeken. Kies bijvoorbeeld
Messages received by my primary domain in the last day om uw zoekopdracht te starten.
- Voer de gewenste zoekcriteria voor ontvangers in en klik op
Search en verwacht resultaten te zien die vergelijkbaar zijn met:
Uitgaande e-mail van Microsoft 365 configureren in Cisco Secure Email
RELAYLIST configureren op Cisco Secure Email Gateway
Raadpleeg uw welkomstbrief voor Cisco Secure Email. Bovendien wordt een secundaire interface gespecificeerd voor uitgaande berichten via uw gateway.
- Meld u aan bij uw gateway.
- Naar navigeren
Mail Policies > HAT Overview.
Opmerking: Zorg ervoor dat de Luisteraar is voor Uitgaande Luisteraar, UitgaandeMail, of MailFlow-Ext, gebaseerd op de feitelijke naam van uw Luisteraar voor uw externe/uitgaande e-mailstroom.
- Klik op de knop
Add Sender Group...
- Configureer de afzendersgroep als volgt:
- Naam: RELAY_O365
- Opmerking: <<voer een opmerking in als u de groep van afzenders wilt noteren>
- Beleid: RELAYED
- Klik op de knop
Submit and Add Senders.
- Afzender:
.protection.outlook.com
Opmerking: De . (punt) aan het begin van de naam van het afzenderdomein is vereist.
- Klik op de knop
Submit.
- Klik
Commit Changes in de rechterbovenhoek van de UI om uw configuratieveranderingen op te slaan.
Een voorbeeld van hoe uw Sender Group Settings eruit ziet:
TLS inschakelen
- Klik op de knop
<<Back to HAT Overview.
- Klik op het E-mailstroombeleid met de naam:
RELAYED.
- Blader naar beneden en kijk in het
Security Features gedeelte naar
Encryption and Authentication.
- Kies het volgende voor TLS:
Preferred.
- Klik op de knop
Submit.
- Klik
Commit Changes in de rechterbovenhoek van de UI om uw configuratieveranderingen op te slaan.
Een voorbeeld van hoe uw Mail Flow Policy-configuratie eruit ziet:
E-mail configureren van Microsoft 365 naar CES
- Log in op het Microsoft 365 Admin Center (https://admin.microsoft.com).
- Uitbreiden
Admin Centers.
- Klik op de knop
Exchange.
- Naar navigeren
Mail flow > Connectors.
- Klik op
[+] om een nieuwe connector te maken.
- Kies in het pop-upvenster Selecteer het scenario voor de e-mailstroom:
- Van:
Office365
- in:
Partner organization
- Klik op de knop
Next.
- Voer een naam in voor uw nieuwe connector:
Outbound to Cisco CES.
- Voer desgewenst een beschrijving in.
- Klik op de knop
Next.
- Wanneer wilt u deze connector gebruiken?:
- Kies:
Only when I have a transport rule set up that redirects messages to this connector.
- Klik op de knop
Next.
- Klik op de knop
Route email through these smart hosts.
- Klik
[+] en voer de uitgaande IP-adressen of hostnamen in die u in uw CES welkomstbrief hebt opgegeven.
- Klik op de knop
Save.
- Klik op de knop
Next.
- Voor Hoe kan Office 365 verbinding maken met de e-mailserver van uw partnerorganisatie?
- Kies:
Always use TLS to secure the connection (recommended).
- Kies
Any digital certificate, including self-signed certificates.
- Klik op de knop
Next.
- Het bevestigingsscherm verschijnt.
- Klik op de knop
Next.
- Gebruik dit
[+] om een geldig e-mailadres in te voeren en klik op
OK.
- Klik op
Validate de validatie en laat deze uitvoeren.
- Klik nadat u het programma hebt voltooid op
Close.
- Klik op de knop
Save.
Een voorbeeld van hoe uw uitgaande connector eruit ziet:
Een e-mailstroomregel maken
- Meld u aan bij uw Exchange-beheercentrum (https://outlook.office365.com).
- Klik op
mail flowhet tabblad Regels.
- Klik op
[+] om een nieuwe regel toe te voegen.
- Kiezen
Create a new rule.
- Voer een naam in voor uw nieuwe regel:
Outbound to Cisco CES.
- Voor *Deze regel toepassen als..., kies:
The sender is located...
- Kies voor het pop-upvenster Scanderlocatie:
Inside the organization.
- Klik op de knop
OK.
- Klik op de knop
More options...
- Klik op
add condition de knop en voer een tweede voorwaarde in:
- Kiezen
The recipient...
- Kies:
Is external/internal.
- Kies voor het pop-upvenster Scanderlocatie:
Outside the organization .
- Klik op de knop
OK.
- Voor *Doe het volgende..., kies:
Redirect the message to...
- Selecteer: de volgende connector.
- Selecteer uw optie Uitgaand naar Cisco CES-connector.
- Klik op OK.
- Ga terug naar "*Doe het volgende..." en voer een tweede handeling in:
- Kies:
Modify the message properties...
- Kies:
set the message header
- Stel de berichtkop in:
X-OUTBOUND-AUTH.
- Klik op de knop
OK.
- Stel de waarde in:
mysecretkey.
- Klik op de knop
OK.
- Klik op de knop
Save.
Opmerking: Om te voorkomen dat onbevoegde berichten van Microsoft worden verzonden, kan een geheime x-header worden afgestempeld wanneer berichten uw Microsoft 365-domein verlaten; deze header wordt geëvalueerd en verwijderd voor levering op het internet.
Een voorbeeld van hoe uw Microsoft 365 Routing-configuratie eruit ziet:
Open tot slot de opdrachtregelinterface voor de Cisco Secure Email Gateway.
Opmerking: Cisco Secure Email Cloud Gateway > Command Line Interface (CLI) access.
Maak een berichtfilter om de aanwezigheid en de waarde van de x-header te controleren en verwijder de header als deze bestaat. Als er geen header is, wijs het bericht dan af.
- Meld u aan bij uw Gateway via de CLI.
- Start de
Filters opdracht.
- Als uw Gateway geclusterd is, tik op Return om de filters in Cluster-modus te bewerken.
- Gebruik de
New opdracht om een Berichtenfilter, -kopie en -plak te maken:
office365_outbound: if sendergroup == "RELAYLIST" {
if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
strip-header("X-OUTBOUND-AUTH");
} else {
drop();
}
}
- Druk één keer op Enter om een nieuwe lege regel te maken.
- Voer
[.] op de nieuwe regel uw nieuwe berichtfilter in.
- Klik op
return een keer om het menu Filters te verlaten.
- Voer de
Commit opdracht uit om de wijzigingen in de configuratie op te slaan.
Opmerking: Vermijd speciale tekens voor de geheime sleutel. De ^ en $ in het berichtfilter zijn regex-tekens en gebruik zoals in het voorbeeld.
Opmerking: Controleer de naam van de configuratie van uw RELAYLIST. Het kan worden geconfigureerd met een alternatieve naam, of u kunt een specifieke naam hebben op basis van uw relay beleid of mail provider.
Uitgaande e-mail testen
Test uitgaande post van uw Microsoft 365 e-mailadres naar een externe domeinontvanger. U kunt de Berichttracering vanuit uw Cisco Secure Email and Web Manager bekijken om er zeker van te zijn dat deze correct wordt verzonden.
Opmerking: controleer uw TLS-configuratie (systeembeheer > SSL-configuratie) op de gateway en de algoritmen die voor uitgaande SMTP worden gebruikt. Aanbevolen door Cisco Best Practices:
HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA
Een voorbeeld van Tracking (Tracering) met succesvolle levering:
Klik More Details om de volledige berichtdetails te zien:
Een voorbeeld van berichttracering waarbij de x-header niet overeenkomt:
Gerelateerde informatie
Cisco Secure E-mail gateway-documentatie
Documentatie voor beveiligde e-mail met Cloud Gateway
Cisco Secure Email en Web Manager-documentatie
Cisco beveiligde productdocumentatie