內送安全清單案例

  • 發行項

 

適用於: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

主題上次修改日期: 2011-10-20

組織可以使用 Forefront Online Protection for Exchange (FOPE) 連接器來設定其內送郵件路由,藉以設定合作夥伴的郵件流程通道。 您可以將合作夥伴組織的 IP 位址新增至「安全清單」,然後來自這些指定之 IP 位址的郵件就會略過 FOPE 的 IP 篩選服務。 當您使用內送連接器來設定其 IP 位址和網域名稱時,就會確保傳送自該組織的郵件通過 FOPE IP 篩選,即使合作夥伴的 IP 位址出現在 FOPE 封鎖清單上也一樣。 除非您同時將連接器設定成略過垃圾郵件篩選,否則源自合作夥伴且垃圾郵件評等很高的郵件仍然會被封鎖。 除非您將連接器設定成略過原則篩選,否則符合原則規則的郵件也會被封鎖。

在此範例案例中,contoso.com 使用了內送連接器,將 fabrikam.com 新增至其安全清單。 Contoso 會使用 Microsoft Exchange Online 來裝載其郵件。 郵件會在未經篩選的情況下,通過 FOPE 並傳送至 Contoso 信箱。

您可以使用受到 FOPE Standalone 保護的內部部署郵件主機系統、包含 FOPE Standalone 的外部部署系統或只包含 Exchange Online 與 FOPE 的完全雲端裝載系統來實作這個強制執行案例。

秘訣: 若要檢視描述此案例並且示範 FOPE 連接器之設定步驟的影片,請參閱內送安全清單案例

安全清單郵件流程

從列在安全清單中的合作夥伴接收內送郵件時,此架構的運作方式如下:

內送安全清單案例

在此案例中,從 fabrikam.com 的安全清單閘道流動至 contoso.com 的郵件會通過 FOPE,而不會由 FOPE 的邊緣篩選進行篩選。

在安全清單案例中設定 FOPE 連接器

若要設定安全清單,您必須建立內送連接器,以便指定您想要新增至安全清單的組織。 以下是上述範例案例所需的設定,其中 Contoso.com 使用了內送連接器,將 fabrikam.com 新增至其安全清單。

若要在安全清單流程案例中設定 FOPE 內送連接器

  1. 在 FOPE Administration Center 內,按一下 [管理] 索引標籤,然後按一下 [公司] 索引標籤。

  2. [連接器] 區段中,針對 [內送連接器] 按一下 [新增][新增內送連接器] 對話方塊隨即開啟。

    下圖將顯示安全清單郵件流程範例案例的內送連接器設定。

    安全清單案例內送連接器

  3. [名稱] 欄位中,輸入內送連接器的描述性名稱。

  4. [描述] 欄位中,輸入有關內送連接器的其他描述性資訊。

  5. [寄件者網域] 欄位中,輸入您想要新增至安全清單之組織的網域名稱 (例如 fabrikam.com)。

  6. [寄件者 IP 位址] 欄位中,輸入您想要新增至安全清單之組織的 IP 位址。 您必須使用下列格式來指定 IP 位址: nnn.nnn.nnn.nnn,其中 nnn 是 1 到 255 之間的數字。您也可以使用下列格式來指定無類別域內郵件路由 (CIDR) 範圍: nnn.nnn.nnn.nnn/rr,其中 rr 是 24 到 31 之間的數字。您必須用逗號分隔多個 IP 位址。 雖然建議您在這裡指定 IP 位址,但如果您不知道具體的 IP 位址或與網域關聯的位址,或者您想要建立較大範圍的連接器,您可以將這個欄位保留空白。

  7. 選取 [針對上述指定的網域,將這些 IP 位址新增至安全清單並僅接受來自這些 IP 位址的郵件] 選項按鈕。 這樣可確保源自指定之寄件者網域和 IP 位址的郵件會通過 FOPE 而不進行 IP 篩選,而且傳送自該網域但來自不同 IP 位址的郵件將會遭到拒絕。 如果您選取了第一個選項按鈕:[將這些 IP 位址新增至上述指定之網域的安全清單],就會發生下列兩種狀況。

    • 來自指定之 IP 位址的郵件將套用連接器設定 (例如套用垃圾郵件篩選、套用原則規則和內送 TLS 設定)。

    • 並非來自連接器中指定之 IP 位址的郵件將不會套用這個連接器的任何設定。

  8. [連接器設定] 區段中,您可以選取下列其中一個 [傳輸層安全性 (TLS) 設定] 選項: [Opportunistic TLS][強制 TLS]

    選取 [強制 TLS] 可讓您強制內部部署安全清單上的合作夥伴將電子郵件傳送至在雲端中裝載的使用者時,使用 TLS 連接。 在此案例中,如果連接並非以 TLS 為基礎,FOPE 就會拒絕電子郵件訊息。 使用此選項時,您可以核取 [寄件者憑證相符],然後輸入您想要建立安全通道之組織的網域名稱。 您可以在這個欄位中使用 * 萬用字元來指定子網域的單一層級。 例如,如果您指定了 *.domain.com, ,FOPE 就會比對 subdomain1.domain.com 但是不會比對 subdomain2.subdomain1.domain.com.

    選取 [Opportunistic TLS] 時,FOPE 會嘗試進行 TLS 連接,不過如果傳送電子郵件的伺服器沒有設定成使用 TLS,就會自動變換成 SMTP 連接。

    如需有關在 FOPE 中使用 TLS 的詳細資訊,請參閱了解 FOPE 中的傳輸層安全性 (TLS)

  9. [連接器設定] 區段中,您可以使用核取方塊來指定要套用或略過許多 [篩選] 作業。 如果您指定要略過這些篩選,即使安全清單上的組織傳送了垃圾郵件計分很高的郵件,系統也會允許這些郵件。 這些篩選選項預設為啟用 (套用)。

    • 套用 IP 信譽篩選:指出是否要針對內送電子郵件套用 IP 信譽篩選。 這個選項並不適用於此案例。

    • 套用垃圾郵件篩選:指出是否要針對內送電子郵件套用垃圾郵件篩選。 當您選取要略過垃圾郵件篩選時,如果合作夥伴傳送垃圾郵件,可能會導致您的組織收到垃圾郵件。

    • 套用原則規則:指出是否要針對內送電子郵件套用原則規則。

  10. 按一下 [儲存]

此連接器現在會列在 [內送連接器] 底下。 您可以展開連接器來檢視其設定。 您可以按一下 [編輯] 變更此連接器的組態設定。

若要將此連接器組態套用至整間公司或公司內的特定網域,或要移除此連接器,請參閱強制執行和移除 FOPE 連接器關聯