设置独立 EOP 服务
本文介绍如何设置独立Exchange Online Protection (EOP) 。 如果您已从 Office 365 域向导登录到这里,则假如您不想使用 Exchange Online Protection,请返回到 Office 365 域向导。 若要详细了解如何配置连接器,请参阅Configure mail flow using connectors in Office 365。
注意
本文假定你拥有本地邮箱,并且想要使用 EOP 保护它们,这称为独立方案。 如果要使用 Exchange Online 在云中托管所有邮箱,则无需完成本文中的所有步骤。 转到比较注册和购买云邮箱Exchange Online计划。
如果你想在内部部署和云中分别托管一部分邮箱,这称为混合方案。 这需要更高级的邮件流设置。 Exchange Server混合部署介绍了混合邮件流,并提供了指向显示如何设置它的资源的链接。
开始前,有必要了解什么?
估计完成该任务的时间:1 小时
需要先在 Exchange Online Protection 中分配权限,然后才能执行本文中的过程。 具体而言,需要 “远程域”和“接受域” 角色,该角色默认分配给 组织管理 (全局管理员) 和 邮件流管理员 角色组。 有关详细信息,请参阅 独立 EOP 中的权限 和使用 EAC 修改角色组中的成员列表。
如果你还未注册 EOP,请访问 Exchange Online Protection 并选择购买或者试用服务。
有关可能适用于本文中的过程的键盘快捷方式的信息,请参阅 Exchange Online 中的 Exchange 管理中心的键盘快捷方式。
提示
是否有任何疑问? 请在 Exchange Online Protection 论坛中寻求帮助。
步骤 1:使用Microsoft 365 管理中心添加和验证域
在Microsoft 365 管理中心中,转到“设置”,将域添加到服务。
按照该步骤将适用的 DNS 记录添加到您的 DNS 托管提供程序以验证域所有权。
提示
在将域添加到服务并配置 DNS 时,可以将域添加到Office 365和在任何 DNS 托管提供程序上创建 DNS 记录,以便Office 365。
步骤 2:添加收件人,并选择性启用 DBEB
在配置您的邮件,使其流动到 EOP 服务和从 EOP 服务流出之前,我们建议将您的收件人添加到服务。 执行此操作有几种方法,如在 EOP 中管理邮件用户中所述。 此外,如果您希望启用基于目录的边缘阻止 (DBEB),以便在添加收件人之后强制实施服务内的收件人验证,您需要将域类型设置为"权威"。 有关 DBEB 的详细信息,请参阅Use Directory Based Edge Blocking to Reject Messages Sent to Invalid Recipients。
步骤 3:使用 EAC 设置邮件流
在能使邮件在 EOP 和你的内部部署邮件服务器间流动的 Set up connectors to route mail between Office 365 and your own email servers (EAC) 中创建连接器。 有关详细说明,请参阅 设置连接器以在 Microsoft 365 与你自己的电子邮件服务器之间路由邮件。
如何判断此任务生效?
检查服务和环境之间的邮件流。 有关详细信息,请参阅 通过验证 Microsoft 365 连接器来测试邮件流。
步骤 4:允许入站端口 25 SMTP 访问
配置连接器后,请等待 72 小时以允许传播 DNS 记录更新。 在此之后,限制防火墙或邮件服务器上的入站端口-25 SMTP 通信,以仅接受来自 EOP 数据中心的邮件,特别是来自 Exchange Online Protection IP 地址中列出的 IP 地址的邮件。 此操作将通过限制可以接收的入站邮件范围,保护内部部署环境。 此外,如果邮件服务器上的设置控制了允许为邮件中继连接的 IP 地址,也要更新这些设置。
提示
将 SMTP 服务器上的设置配置 60 秒的连接时间。 在大多数情况下,此设置是可以接受的,例如,对于使用大型附件发送的邮件,可以延迟一些时间。
步骤 5:确保垃圾邮件路由到每个用户的垃圾邮件Email文件夹
若要确保垃圾邮件 (垃圾邮件) 电子邮件正确路由到每个用户的垃圾邮件Email文件夹,必须执行几个配置步骤。 配置独立 EOP 以将垃圾邮件传递到混合环境中的“垃圾邮件Email”文件夹中提供了这些步骤。
如果不想将邮件移动到每个用户的“垃圾邮件Email”文件夹,可以通过编辑反垃圾邮件策略来选择其他操作。 有关详细信息,请参阅在 Office 365 中配置反垃圾邮件策略。
步骤 6:使用Microsoft 365 管理中心将 MX 记录指向 EOP
按照域配置步骤更新域的 MX 记录,以便入站电子邮件流经 EOP。 请务必将你的 MX 记录直接指向 EOP 而不是让第三方筛选服务将电子邮件中继到 EOP。 有关详细信息,请再次参阅为 Office 365 创建 DNS 记录。
注意
如果必须将 MX 记录指向位于 EOP 前面的另一个服务器或服务,请参阅Exchange Online中连接器的增强筛选。
如何判断此任务生效?
此时,您已验证经过适当配置的出站内部部署连接器的服务传递,而且已验证 MX 记录是否指向 EOP。 现在,您可以选择运行以下其他测试来验证该服务是否会将电子邮件成功传递到内部部署环境:
检查服务和环境之间的邮件流。 有关详细信息,请参阅 通过验证 Microsoft 365 连接器来测试邮件流。
将来自基于 Web 的任何电子邮件帐户的电子邮件发送到组织中的邮件收件人,组织的域与您添加到服务上的域相匹配。 使用 Microsoft Outlook 或另一个电子邮件客户端确认邮件是否已传递到内部部署邮箱。
如果您想进行出站电子邮件测试,可以发送组织中一个用户的电子邮件到基于 Web 的电子邮件帐户并确认是否收到邮件。
提示
完成安装后,您无需进行其他操作,EOP 即可删除垃圾邮件和恶意软件。 EOP 会自动删除垃圾邮件和恶意软件。 但是,可以根据业务需求微调设置。 有关详细信息,请参阅 Office 365 中的反垃圾邮件和反恶意软件防护和配置欺骗智能。
现在服务正在运行,建议阅读 配置 EOP 的最佳做法,其中介绍了设置 EOP 后的建议设置和注意事项。