Управление потоком обработки почты с помощью сторонней облачной службы с Exchange Online

  • Статья

В этом разделе рассматриваются следующие сложные сценарии потока обработки почты с использованием Exchange Online:

Сценарий 1. В записи MX указана сторонняя служба фильтрации спама.

Сценарий 2. Запись MX указывает на стороннее решение без фильтрации спама

Примечание.

В примерах в этом разделе используется вымышленная организация Contoso, которая владеет доменом contoso.com и является клиентом в Exchange Online. Это просто пример. Этот пример можно адаптировать в соответствии с доменным именем вашей организации и IP-адресами сторонних служб, где это необходимо.

Использование сторонней облачной службы с Microsoft 365 или Office 365

Сценарий 1. В записи MX указана сторонняя служба фильтрации спама.

Важно!

Корпорация Майкрософт настоятельно рекомендует включить расширенную фильтрацию для соединителей или полностью обойти фильтрацию с помощью правила потока обработки почты (проверка пункт 5). Несоблюдение этого шага неизбежно приводит к неправильной классификации входящих main в вашей организации, а также к некорректной работе с функциями электронной почты и защиты Microsoft 365.

Корпорация Майкрософт также рекомендует добавить сторонние службы, которые изменяют сообщения при передаче в качестве доверенных запечатывщиков ARC, если служба поддерживает запечатывание ARC. Добавление службы в качестве доверенного запечатывающего средства ARC помогает затронутым сообщениям пройти проверку подлинности электронной почты и предотвратить доставку допустимых сообщений в папку "Нежелательная Email", помещенных в карантин или отклоненных. Сторонние службы, которые изменяют сообщения и не поддерживают запечатывание ARC, делают недействительными подписи DKIM этих сообщений. В таких случаях следует просмотреть отчет об обнаружении поддела и создать записи разрешения для подделанных отправителей для переопределения ошибок проверки подлинности электронной почты для допустимых сообщений.

Я планирую использовать Exchange Online для размещения всех почтовых ящиков моей организации. Моя организация использует стороннюю облачную службу для фильтрации спама, вредоносных программ и фишинга. Перед перенаправлением в Microsoft 365 или Office 365 все сообщения из Интернета должны быть отфильтрованы этой сторонней облачной службой.

В этом сценарии поток обработки почты организации выглядит следующим образом:

Схема потока обработки почты, показывающая входящие сообщения электронной почты из Интернета в стороннюю службу фильтрации в Microsoft 365 или Office 365, а также из исходящей почты из Microsoft 365 или Office 365 в Интернет.

Рекомендации по использованию сторонней облачной службы фильтрации с Microsoft 365 или Office 365

  1. Добавьте личные домены в Microsoft 365 или Office 365. Чтобы доказать, что вы являетесь владельцем доменов, следуйте инструкциям в разделе Добавление домена в Microsoft 365.

  2. Создание почтовых ящиков пользователей в Exchange Online или перемещение почтовых ящиков всех пользователей в Microsoft 365 или Office 365.

  3. Обновите записи DNS для доменов, добавленных на шаге 1. (Не знаете, как это сделать? Следуйте инструкциям на этой странице.) Потоком обработки почты управляют следующие записи DNS:

    • Запись MX. Запись MX вашего домена должна указывать на стороннего поставщика услуг. Следуйте их рекомендациям по настройке записи MX.

    • Запись SPF. Вся почта, отправленная из вашего домена в Интернет, поступает в Microsoft 365 или Office 365, поэтому для записи SPF требуется стандартное значение для Microsoft 365 или Office 365:

      v=spf1 include:spf.protection.outlook.com -all

      Вам потребуется включить стороннюю службу в запись SPF только в том случае, если ваша организация отправляет исходящие сообщения электронной почты через службу (где сторонняя служба будет источником электронной почты из вашего домена).

    При настройке этого сценария "узел", который необходимо настроить для получения электронной почты от сторонней службы, указывается в записи MX. Например:

    Пример значения имени узла.

    В этом примере имя узла microsoft 365 или Office 365 узла должно быть hubstream-mx.mail.protection.outlook.com. Это значение может отличаться от домена к домену, поэтому проверка значение в разделе Конфигурация>Домен><выберите домен>, чтобы подтвердить фактическое значение.

  4. Заблокируйте организацию Exchange Online, чтобы она принимала только почту от сторонней службы.

    Создайте и настройте входящий соединитель партнера , используя параметры TlsSenderCertificateName (предпочтительно) или SenderIpAddresses , а затем задайте для параметров RestrictDomainsToCertificate или RestrictDomainsToIPAddresses значение $True. Все сообщения, которые направляются непосредственно в Exchange Online, будут отклонены (так как они не поступили через подключение с помощью указанного сертификата или с указанных IP-адресов).

    Например:

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToCertificate $true -TlsSenderCertificateName *.contoso.com -RequireTls $true

    или

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToIPAddresses $true -SenderIpAddresses <#static list of on-premises IPs or IP ranges of the third-party service>

    Примечание.

    Если у вас уже есть входящий соединитель OnPremises для того же СЕРТИФИКАТА или IP-адреса отправителя, вам все равно необходимо создать входящий соединитель партнера (параметры RestrictDomainsToCertificate и RestrictDomainsToIPAddresses применяются только к соединителям партнеров ). Эти два соединителя могут без проблем сосуществовать.

  5. Этот шаг можно использовать двумя способами:

    • Использовать расширенную фильтрацию для соединителей (настоятельно рекомендуется): используйте расширенную фильтрацию для соединителей (также известное как пропустить список) в соединителе для входящего трафика партнера, который получает сообщения от стороннего приложения. Это позволяет EOP и Microsoft Defender XDR для Office 365 проверки сообщений.

      Примечание.

      В гибридных сценариях, в которых сторонние приложения используют локальный сервер Exchange Server для отправки в Exchange Online, необходимо также включить расширенную фильтрацию для соединителей на входящего соединителя OnPremises в Exchange Online.

    • Обход фильтрации нежелательной почты. Используйте правило потока обработки почты (также известное как правило транспорта) для обхода фильтрации нежелательной почты. Этот параметр предотвратит большинство элементов управления EOP и Defender для Office 365 и, следовательно, предотвратит двойное проверка защиты от нежелательной почты.

      Правило потока обработки почты для предотвращения двойного сканирования.

      Важно!

      Вместо обхода фильтрации нежелательной почты с помощью правила потока обработки почты настоятельно рекомендуется включить расширенную фильтрацию для соединителя (также известного как пропустить листинг). Большинство сторонних облачных поставщиков защиты от нежелательной почты совместно используют IP-адреса среди многих клиентов. Обход сканирования на этих IP-адресах может разрешить поддельные и фишинговые сообщения с этих IP-адресов.

Сценарий 2. Запись MX указывает на стороннее решение без фильтрации спама

Я планирую использовать Exchange Online для размещения всех почтовых ящиков моей организации. Все сообщения электронной почты, отправляемые на мой домен из Интернета, должны сначала пройти через стороннюю службу архивации или аудита, прежде чем прибыть в Exchange Online. Все исходящие сообщения электронной почты, отправляемые из моей Exchange Online организации в Интернет, также должны передаваться через службу. Однако служба не предоставляет решение для фильтрации спама.

В этом сценарии требуется использовать расширенную фильтрацию для соединителей. В противном случае почта от всех отправителей в Интернете поступает из сторонней службы, а не из истинных источников в Интернете.

Схема потока обработки почты, показывающая входящую почту из Интернета в стороннее решение для Office 365 или Microsoft 365, а также показывающую исходящую почту из Microsoft 365 или Office 365 в стороннее решение, а затем в Интернет.

Рекомендации по использованию сторонней облачной службы с Microsoft 365 или Office 365

Настоятельно рекомендуется использовать решения для архивации и аудита, предоставляемые Microsoft 365 и Office 365.

См. также

Рекомендации по потоку обработки почты для Exchange Online, Microsoft 365 Office 365 (обзор)

Некоторые сообщения не направляются через локальную организацию при использовании централизованного транспорта почты.

Настройка соединителей для защиты потока обработки почты с партнерской организацией

Управление всеми почтовыми ящиками и потоком обработки почты с помощью Microsoft 365 или Office 365

Управление потоком обработки почты с помощью почтовых ящиков в нескольких расположениях (Microsoft 365 или Office 365 и локальный Exchange)

Управление потоком обработки почты с помощью сторонней облачной службы с Exchange Online и локальными почтовыми ящиками

Устранение неполадок с потоком обработки почты Microsoft 365 или Office 365

Тестирование потока обработки почты путем проверки соединителей