Использование блокировки Directory-Based Edge для отклонения сообщений, отправленных недопустимым получателям в Exchange Online
блокировка Directory-Based Edge (DBEB) позволяет отклонять сообщения для недопустимых получателей в периметре сети служб в организациях Microsoft 365 с Exchange Online почтовыми ящиками и в автономных Exchange Online Protection (EOP) организациях без Exchange Online почтовых ящиков. DBEB позволяет администраторам добавлять получателей с поддержкой почты в Microsoft 365 или Office 365 и блокировать все сообщения, отправляемые на адреса электронной почты, которые отсутствуют в Microsoft 365 или Office 365.
Если сообщение отправляется на допустимый адрес электронной почты в Microsoft 365 или Office 365, оно продолжается через остальные уровни фильтрации службы: антивредоносная программа, защита от нежелательной почты и правила потока обработки почты (также известные как правила транспорта). Если адрес не существует, служба блокирует сообщение до того, как произойдет фильтрация, и отправитель возвращает отчет о недоставке (также известное как сообщение о недоставке или отказе). Недоставка выглядит следующим образом: 550 5.4.1 Recipient address rejected: Access denied.
Если все получатели вашего домена находятся в Exchange Online, DBEB уже действует, и вам не нужно ничего делать. При миграции из другой почтовой системы в Exchange Online можно использовать процедуру, описанную в этом разделе, чтобы включить DBEB для домена перед миграцией.
Примечание.
В гибридных средах, чтобы обеспечить работу DBEB, запись MX для домена должна указывать на Microsoft 365 или Office 365 чтобы электронная почта для домена сначала направлялась в Microsoft 365 или Office 365.
Существуют дополнительные рекомендации при использовании DBEB с общедоступными папками с поддержкой почты. DBEB не поддерживается для общедоступных папок с поддержкой почты, размещенных в Exchange Online. DBEB поддерживается только для общедоступных папок с поддержкой почты, размещенных локально. Дополнительные сведения о dbEB и общедоступных папках с поддержкой почты см. в разделе Office 365 Поддержка блокировки пограничных адресов на основе каталога для локальных общедоступных папок с поддержкой почты.
Что нужно знать перед началом работы
Предполагаемое время выполнения: 5–10 минут
Сведения об открытии Центра администрирования Exchange см. в статье Центр администрирования Exchange в Exchange Online.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в разделе Сочетания клавиш для Центра администрирования Exchange.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по Exchange Online или Exchange Online Protection.
Настройка DBEB
В этом разделе описывается процедура настройки DBEB для центра администрирования Exchange (EAC) и классического центра администрирования Exchange.
Для нового центра администрирования EAC
Убедитесь, что принятый домен в Exchange Online имеет значение Внутренний ретранслятор:
А. Перейдите в раздел Поток> обработкипочты Принятые домены. Появится страница принятого домена.
Б. Выберите обслуживаемый домен и щелкните его. Откроется экран сведений о принятом домене.
c. Убедитесь, что тип домена задан как Внутренняя ретрансляция. Если для параметра задано значение Авторитетность, измените его на Внутренний ретранслятор.
г. Щелкните Сохранить.
Добавление пользователей в Microsoft 365 или Office 365. Например:
- Синхронизация каталогов. Добавьте допустимых пользователей в Office 365 путем синхронизации из среды локальная служба Active Directory с идентификатором Microsoft Entra в облаке. Дополнительные сведения о настройке синхронизации каталогов см. в разделе Использование синхронизации каталогов для управления почтовыми пользователямистатьи Управление пользователями почты в EOP.
- Добавление пользователей с помощью PowerShell или EAC. Дополнительные сведения о выполнении этой задачи см. в разделах Управление почтовыми пользователями в EOP или Управление пользователями почты в Exchange Online.
Задайте для принятого домена в Exchange Online значение Полномочный:
А. Перейдите в раздел Поток> обработкипочты Принятые домены. Появится страница принятого домена.
Б. Выберите обслуживаемый домен и щелкните его. Откроется экран сведений о принятом домене.
c. Убедитесь, что для типа домена задано значение Полномочная. Если для параметра задано значение Внутренний ретранслятор, измените его на Полномочный.
г. Щелкните Сохранить.
Для классического центра администрирования EAC
Убедитесь, что принятый домен в Exchange Online имеет значение Внутренний ретранслятор:
А. Перейдите в раздел Поток> обработкипочты Принятые домены.
Б. Выберите обслуживаемый домен и нажмите кнопку Изменить.
c. Убедитесь, что тип домена задан как Внутренняя ретрансляция. Если для параметра задано значение Авторитетность, измените его на Внутренний ретранслятор.
г. Щелкните Сохранить.
Добавление пользователей в Microsoft 365 или Office 365. Например:
- Синхронизация каталогов. Добавьте допустимых пользователей в Office 365 путем синхронизации из среды локальная служба Active Directory с идентификатором Microsoft Entra в облаке. Дополнительные сведения о настройке синхронизации каталогов см. в разделе Использование синхронизации каталогов для управления получателями статьи Управление почтовыми пользователями в EOP.
- Добавление пользователей с помощью PowerShell или EAC. Дополнительные сведения о выполнении этой задачи см. в разделах Управление почтовыми пользователями в EOP или Управление пользователями почты в Exchange Online.
Задайте для принятого домена в Exchange Online значение Полномочный:
А. Перейдите в раздел Поток> обработкипочты Принятые домены.
Б. Выберите обслуживаемый домен и нажмите кнопку Изменить.
c. Выберите для домена тип Уполномоченный.
г. Щелкните Сохранить.
Нажмите кнопку Сохранить , чтобы сохранить изменения, и подтвердите, что вы хотите включить DBEB.
Примечание.
Динамические группы рассылки не синхронизируются с идентификатором Microsoft Entra и поэтому блокируются DBEB. В качестве обходного решения в гибридных средах можно создать почтовый контакт с тем же внешним адресом электронной почты заблокированной динамической группы рассылки. В облачных средах это обходное решение не будет работать. Чтобы использовать динамические группы рассылки, которые получают электронную почту от внешних отправителей в облачных средах, необходимо отключить DBEB (измените домен с "Полномочный " на "Внутренний ретранслятор").
Пока все допустимые получатели не будут добавлены в Exchange Online и не будут реплицированы через систему, следует оставить принятый домен, настроенный как внутренний ретранслятор. После изменения типа домена на Заслуживающий доверия функция DBEB будет настроена на разрешение SMTP-адресов, добавленных в службу (кроме общедоступных папок, для которых включена поддержка почты). В редких случаях адреса получателей, которые не существуют в вашей организации Microsoft 365 или Office 365, могут передаваться через службу.