使用安全邮件配置Microsoft 365

下载选项

  • PDF     (1.2 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (702.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (877.8 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 12 月 13 日
文档 ID:214812

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍将Microsoft 365与思科安全邮件集成以进行入站和出站邮件传送的配置步骤。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    使用的组件

    本文档不限于特定的软件和硬件版本。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    本文档可用于本地网关或思科云网关。

    如果您是思科安全电邮管理员,欢迎信将包含您的云网关IP地址和其他相关信息。除了您在此处看到的信以外,还会向您发送一封加密电子邮件,提供有关为您的分配调配的云网关(也称为ESA)以及云电子邮件和Web管理器(也称为SMA)数量的更多详细信息。如果您尚未收到或没有收到该信函的副本,请与联系ces-activations@cisco.com,并提供联系信息和服务域名。

         

    CES Letter Example

         

    每个客户端都有专用IP。您可以在 Microsoft 365 配置中使用已分配给您的 IP 或主机名。

    注意:强烈建议您在计划的生产邮件切换之前进行测试,因为在Microsoft 365 Exchange控制台中复制配置需要花费时间。至少等待一小时,以使所有更改生效。

    注意:屏幕截图中的IP地址与调配给您的分配的云网关数量成比例。例xxx.yy.140.105xxx.yy.150.1143如,是网关1的数据1接口IP地址,是网关2的数据1接口IP地址。网关1的数据2接口IP地址是xxx.yy.143.186,而网关2的数据2接口IP地址是xxx.yy.32.98。如果您的欢迎信不包含Data 2(传出接口IP)的信息,请与Cisco TAC联系,将Data 2接口添加到您的分配中。

    使用安全邮件配置Microsoft 365

    在 Microsoft 365 中配置来自 Cisco Secure Email 的传入邮件

    绕过垃圾邮件过滤规则

    1. 登录到Microsoft 365管理中心
    2. 在左侧菜单中,展开 Admin Centers.
    3. 点击 Exchange.
    4. 从左侧菜单中,导航至 Mail flow > Rules.
    5. 点击[+]以创建新规则。
    6. Bypass spam filtering...下拉列表中选择。
    7. 输入新规则的名称: Bypass spam filtering - inbound email from Cisco CES.
    8. 对于*Apply this rule if...,选择 The sender - IP address is in any of these ranges or exactly matches.
      1. 对于指定IP地址范围弹出窗口,请添加思科安全邮件欢迎信中提供的IP地址。
      2. 点击 OK.
    9. 对于*执行以下操作……,已预先选择新规则: Set the spam confidence level (SCL) to... - Bypass spam filtering.
    10. 点击 Save.

    规则外观示例:

    MSFT 365 Example 1

    接收连接器

    1. 保留在 Exchange 管理中心.
    2. 从左侧菜单中,导航至 Mail flow > Connectors.
    3. 单击[+]以创建新的连接器。
    4. 在“选择邮件流方案”弹出窗口中,选择:
      1. From(发件人): Partner organization
      2. 更改为: Office365
    5. 点击 Next.
    6. 输入新连接器的名称: Inbound from Cisco CES.
    7. 您可以添加说明.
    8. 点击 Next.
    9. 点击 Use the sender's IP address.
    10. 点击 Next.
    11. 点击[+]并输入思科安全电邮欢迎信中所示的IP地址。
    12. 点击 Next.
    13. 选择 Reject email messages if they aren't sent over Transport Layer Security (TLS).
    14. 点击 Next.
    15. 点击 Save.

    连接器配置的示例如下:

    MSFT 365 Example 2

    配置从 Cisco Secure Email 发送到 Microsoft 365 的邮件

    目的控制

    对目标控制中的传送域执行自动限制。当然,您可以稍后删除限制,但这些是Microsoft 365的新IP,并且由于信誉未知,您不希望Microsoft进行任何限制。

    1. 登录您的网关。
    2. 导航至 Mail Policies > Destination Controls.
    3. 点击 Add Destination.
    4. 使用:
      1. 目的地:输入域名
      2. Concurrent Connections(并发连接数): 10
      3. Maximum Messages Per Connection(每个连接的最大邮件数): 20
      4. TLS Support(TLS 支持): Preferred
    5. 点击 Submit.
    6. Commit Changes击用户界面(UI)右上角以保存配置更改。

    目标控制表的外观示例:

    Cisco Secure Email Example 1

    收件人访问表

    接下来,设置收件人访问表 (RAT) 以接受发往您的域的邮件:

    1. 导航至 Mail Policies > Recipient Access Table (RAT).

      注意:确保根据主要邮件流的监听程序的实际名称,监听程序适用于传入监听程序、IncomingMail或MailFlow。

    2. 点击 Add Recipient.
    3. 在“Recipient Address”(收件人地址)字段中添加您的域.
    4. 选择默认操作 Accept.
    5. 点击 Submit.
    6. Commit Changes击UI右上角以保存配置更改。

    您的RAT条目外观示例:

    Cisco Secure Email Example 2

         

    SMTP 路由

    设置SMTP路由以将邮件从思科安全电子邮件传送到您的Microsoft 365域:

    1. 导航至 Network > SMTP Routes.
    2. 点击 Add Route...
    3. Receiving Domain(接收域):输入域名.
    4. 目的主机:添加原始的 Microsoft 365 MX 记录.
    5. 点击 Submit.
    6. Commit Changes击UI右上角以保存配置更改。

    SMTP路由设置的示例:

    Cisco Secure Email Example 3

    DNS(MX 记录)配置

    您已经准备好通过邮件交换(MX)记录更改来剪切该域。请与DNS管理员合作,根据思科安全电邮欢迎信中的说明,将您的MX记录解析为思科安全电邮云实例的IP地址。

    此外,请从Microsoft 365控制台验证对MX记录的更改:

    1. 登录到Microsoft 365 Admin控制台
    2. 导航至 Home > Settings > Domains.
    3. 选择您的默认域名。
    4. 点击Check Health.

    这提供了Microsoft 365如何查找与您的域关联的DNS和MX记录的当前MX记录:

    MSFT 365 Example 3

    注意:在本示例中,DNS由Amazon Web Services(AWS)托管和管理。 作为管理员,如果您的DNS托管在Microsoft 365帐户以外的任何位置,您会看到一条警告。您可以忽略以下警告:“我们未检测到您向your_domain_here.com添加新记录。确保您在主机创建的记录与此处显示的记录匹配……”  分步说明将MX记录重置为最初配置为重定向到您的Microsoft 365帐户的内容。这会从传入流量中删除思科安全邮件网关。

    测试入站邮件

    测试发往您的Microsoft 365电子邮件地址的入站邮件。然后,检查它是否到达您的Microsoft 365电子邮件收件箱。

    验证实例随附的Cisco Secure Email and Web Manager(也称为SMA)上的邮件跟踪中的邮件日志。

    在 SMA 执行以下操作以查看邮件日志:

    1. 登录您的SMA
    2. 点击 Tracking.
    3. 输入所需的搜索条件,然后点Search;击并期望看到这样的结果:

    Cisco Secure Email Example 4

    若要在 Microsoft 365 中查看邮件日志,请执行以下操作:

    1. 登录到Microsoft 365管理中心
    2. 扩大采购 Admin Centers.
    3. 点击 Exchange.
    4. 导航至 Mail flow > Message trace.
    5. Microsoft提供了用于搜索的默认条件。例如,选择Messages received by my primary domain in the last day,开始搜索查询。
    6. 输入所需的收件人搜索条件,然后点击Search 并期望看到类似如下所示的结果:

    MSFT 365 Example 4

    配置从 Microsoft 365 发送到 Cisco Secure Email 的传出邮件

    在 Cisco Secure Email 网关上配置 RELAYLIST

    请参阅您的思科安全电邮欢迎函。此外,通过网关为出站消息指定辅助接口。

    1. 登录您的网关。
    2. 导航至 Mail Policies > HAT Overview.

      注意:根据外部/出站邮件流的监听程序的实际名称,确保监听程序适用于传出监听程序、OutgoingMail或MailFlow-Ext。

    3. 点击 Add Sender Group...
    4. 将发件人组配置为:
      1. 名称:RELAY_O365
      2. Comment(备注):  <<enter a comment if you wish to notate your sender group>>
      3. Policy(策略):RELAYED(已中继)
      4. 点击 Submit and Add Senders.
      5. 发件人: .protection.outlook.com

        注意:此.号需要放在发件人域名开头.

      6. 点击 Submit.
      7. Commit Changes击UI右上角以保存配置更改。

    “发件人组设置”(Sender Group Settings)的示例如下:

    Cisco Secure Email Example 5

    启用 TLS

    1. 点击 < .
    2. 点击邮件流策略: RELAYED.
    3. 向下滚动并在部分中查Security FeaturesEncryption and Authentication.
    4. 对于 TLS,请选择: Preferred.
    5. 点击 Submit.
    6. Commit Changes击UI右上角以保存配置更改。
      7.

    邮件流策略配置示例如下:

    Cisco Secure Email Example 6

    配置从 Microsoft 365 发送到 CES 的邮件

    1. 登录到Microsoft 365管理中心
    2. 扩大采购 Admin Centers.
    3. 点击 Exchange.
    4. 导航至 Mail flow > Connectors.
    5. 点击 [+] 创建新连接器。
    6. 在“选择邮件流方案”弹出窗口中,选择:
      1. From(发件人): Office365
      2. 更改为:Partner organization
    7. 点击 Next.
    8. 输入新连接器的名称: Outbound to Cisco CES.
    9. 您可以添加说明.
    10. 点击 Next.
    11. 对于何时要使用此连接器?:
      1. 选择: Only when I have a transport rule set up that redirects messages to this connector.
      2. 点击 Next
    12. 点击 Route email through these smart hosts.
    13. 点击[+]并输入您的CES欢迎信中提供的出站IP地址或主机名。
    14. 点击 Save.
    15. 点击 Next.
    16. Office 365应如何连接到合作伙伴组织的电子邮件服务器?
      1. 选择: Always use TLS to secure the connection (recommended).
      2. 选择Any digital certificate, including self-signed certificates.
      3. 点击 Next.
    17. 系统将显示确认屏幕。
    18. 点击 Next.
    19. 使用[+]输入有效的邮件地址,然后单击 OK.
    20. 点击Validate并允许运行验证。
    21. 完成后,单
    22. 点击Save.
      23.

    出站连接器外观示例:

    MSFT 365 Example 5

    创建邮件流规则

    1. 登录您的Exchange管理中心
    2. mail flow;击确保 位于rules选项卡上。
    3. 点击[+]以添加新规则。
    4. 选择 Create a new rule.
    5. 输入新规则的名称: Outbound to Cisco CES.
    6. 对于*如果出现以下情况,则应用此规则……,请选择: The sender is located...
      1. 对于select sender location弹出窗口,选择: Inside the organization.
      2. 点击 OK.
    7. 点击 More options...
    8. 单击add condition按钮并插入第二个条件:
      1. 选择 The recipient...
      2. 选择: Is external/internal.
      3. 对于select sender location弹出窗口,选择: Outside the organization .
      4. 点击 OK.
    9. 对于*执行以下操作……,选择: Redirect the message to...
      1. 选择:以下连接器
      2. 并选择您的Outbound to Cisco CES连接器。
      3. Click OK.
    10. 返回“*执行以下操作……” 并插入第二个操作:
      1. 选择: Modify the message properties...
      2. 选择: set the message header
      3. 设置邮件信头: X-OUTBOUND-AUTH.
      4. 点击 OK.
      5. 设置值: mysecretkey.
      6. 点击 OK.
    11. 点击 Save.
      12.

    注意:为了防止来自Microsoft的未授权邮件,可以在邮件离开您的Microsoft 365域时标记密码x信头;此报头在传送到Internet之前会进行评估和删除。

    Microsoft 365路由配置的示例如下:

    MSFT 365 Example 6

    最后,访问 Cisco Secure Email 网关的 CLI。  

    注意:Cisco Secure Email Cloud Gateway > Command Line Interface(CLI)Access

    创建邮件过滤器以检查x报头的存在和值,并删除报头(如果存在)。 如果不存在信头,则丢弃该消息。

    1. 通过CLI登录网关。
    2. 运行 命令。Filters
    3. 如果您的网关已集群,请点击return以在“集群”模式下编辑过滤器。
    4. 使用命New令创建邮件过滤器、复制并粘贴:

      office365_outbound: if sendergroup == "RELAYLIST" {
      if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
      strip-header("X-OUTBOUND-AUTH");
      } else {
      drop();
      }
      }
    5. 按回车键一次以创建新的空白行.
    6. 在新[.]行上输入,结束新的邮件过滤器。
    7. 单击return一次以退出“过滤器”菜单。
    8. 运行命Commit令以保存对配置的更改。
      9.
    note-icon

    注意:避免使用密钥的特殊字符。消息过滤器中显示的^和$是正则表达式字符,如示例中所示。
    note-icon

    注意:请复习如何配置RELAYLIST的名称。可以使用备用名称进行配置,也可以根据中继策略或邮件提供商设置特定名称。

         

    测试出站邮件

    测试从您的Microsoft 365电子邮件地址发送到外部域收件人的出站邮件。您可以从思科安全邮件和网络管理器查看邮件跟踪,以确保邮件被正确路由到出站。

    注意:检查网关上的TLS配置(System Administration > SSL configuration)以及用于出站SMTP的密码。  思科最佳实践建议:

    HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

           

    成功传送的跟踪示例:

    Cisco Secure Email Example 7

    点击More Details查看完整的消息详细信息:

    Cisco Secure Email Example 8

    X 信头不匹配的邮件跟踪示例:

    Cisco Secure Email Example 9

    Cisco Secure Email Example 10

    相关信息 

    思科安全电子邮件网关文档

    安全邮件云网关文档

    Cisco Secure Email and Web Manager文档

    Cisco Secure产品文档

    修订历史记录

    版本 发布日期 备注
    7.0
    13-Dec-2024
    已更新机器翻译和格式。
    6.0
    28-Nov-2023
    机器翻译和格式设置。
    5.0
    01-Dec-2022
    产品命名更新,屏幕截图更新
    1.0
    13-Aug-2021
    初始版本

    提供者

    • 陈德培
      技术营销工程师Cisco Secure Email
    • 罗伯特·舍温
      技术营销工程师Cisco Secure Email
    • 安维塔·普拉布
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品