為具有內部部署轉送的共用位址空間設定 FOPE 連接器案例 (MX 指向內部部署) - 新增 FOPE 篩選

 

適用於: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

主題上次修改日期: 2012-10-02

提示秘訣:
  • 如果您有內部部署保護解決方案而不想要讓 Forefront Online Protection for Exchange (FOPE) 針對已通過周邊檢查的內送郵件執行其他垃圾郵件或原則篩選,請略過本主題,並進行 Exchange 部署助理中所述的建議 FOPE 連接器設定步驟。

  • 如需如何開始使用 Exchange 部署助理來設定此案例的詳細資訊,請參閱具有內部部署轉送的共用位址空間案例 (MX 指向內部部署) 中的「使用 Exchange 部署助理設定具有內部部署轉送的共用位址空間案例 (MX 指向內部部署)」。

  • 如果要讓 FOPE 篩選從外部地址內寄到 Exchange Online 信箱的電子郵件,請改用以下的程序進行,而不是依照 Exchange 部署助理中針對大部分使用者提供的 FOPE 連接器設定步驟進行。 建議您仍舊使用 Exchange 部署助理執行與此案例相關的非 FOPE 連接器設定。


具有內部部署轉送的共用位址空間案例 (MX 指向內部部署)中使用 FOPE 時 (詳情請參閱具有內部部署轉送的共用位址空間案例 (MX 指向內部部署)),內部部署解決方案與 FOPE 之間的關聯性是使用連接器來管理,因而您必須在 FOPE 系統管理中心中設定連接器。

下列程序將為您示範如何以涵蓋所有案例 (內送、外寄和組織內部) 的方式,設定全公司的內送和外寄連接器。 前兩個程序向您示範如何設定兩個不同的內送連接器:一個連接器涵蓋傳送自外部組織的內送郵件,另一個則涵蓋傳送自組織內 (組織內部) 的郵件。第三個程序為您示範如何設定外寄連接器。

針對具有內部部署轉送的共用位址空間案例設定 FOPE 內送連接器 (外部郵件)
  1. 在 FOPE Administration Center 內,按一下 [管理] 索引標籤,然後按一下 [公司] 索引標籤。

  2. 在 [連接器] 區段中,針對 [內送連接器] 按一下 [新增]。 [新增內送連接器] 對話方塊隨即開啟。 下圖將顯示當郵件從外部組織內送至您的組織時,這個案例的內送連接器設定。

    具有內部部署轉送的共用位址空間 - 內送

  3. 在 [名稱] 欄位中,輸入內送連接器的名稱。

  4. 在 [描述] 欄位中,輸入有關內送連接器的其他資訊。

  5. 在 [寄件者網域] 欄位中,輸入 *.* 萬用字元來表示這個內送連接器將套用至 FOPE 從中接收電子郵件的所有網域。

  6. 在 [寄件者 IP 位址] 欄位中,輸入內部部署伺服器的 IP 位址。 您必須使用下列格式來指定 IP 位址: nnn.nnn.nnn.nnn,其中nnn 是 1 到 255 之間的數字。您也可以使用下列格式來指定無類別域內郵件路由 (CIDR) 範圍:nnn.nnn.nnn.nnn/rr,其中rr 代表 24 到 31 之間的數字。使用逗號分隔多個 IP 位址。 如果您不知道特定 IP 位址或與網域關聯的位址,或者想要建立大範圍的連接器,您也可以讓此欄位保持空白,但是不建議這麼做。

  7. 選取 [針對上述指定的網域,將這些 IP 位址新增至安全清單並僅接受來自這些 IP 位址的郵件]。 這樣可確保源自指定之寄件者網域的郵件只來自指定的寄件者 IP 位址。 (如果未在上一個步驟中指定寄件者 IP 位址,請改為選取 [將這些 IP 位址新增至上述指定之網域的安全清單])。

  8. 在 [連接器設定] 區段中,針對 [傳輸層安全性 (TLS) 設定] 選取 [強制 TLS]。 在內部部署的客戶傳送電子郵件給裝載在雲端中的使用者時,這可讓您強制執行 TLS 連線。

    安全性注意事項安全性 注意:
    當您強制使用 TLS 而寄件者並非透過 TLS 傳送郵件時 (因為中斷、TLS 支援已停用或任何其他原因),寄件者的郵件將會被拒。 不過,請務必注意,即使您讓收件者強制使用 TLS,寄件者的郵件仍有可能會先以純文字方式傳送到 FOPE 再遭到退回。 若要確保郵件安全到達 FOPE,寄件者必須也強制使用 TLS。 如需有關在 FOPE 中使用 TLS 的詳細資訊,請參閱了解 FOPE 中的傳輸層安全性 (TLS)

    請核取 [寄件者憑證相符],然後指定您在內部部署混合伺服器上設定的憑證主體名稱 (例如 certificate.contoso.com)。 您可以在這個欄位中使用 * 萬用字元來指定子網域的單一層級。 例如,如果您指定了 *.domain.com, FOPE 就會比對 subdomain1.domain.com 但是不會比對 subdomain2.subdomain1.domain.com

    注意: 您在這裡指定的網域必須符合前面在雲端式組織中建立「輸入遠端網域」時所指定的網域。

  9. 在 [連接器設定] 區段中,針對 [篩選] 選項選取 [套用垃圾郵件篩選] 和 [套用原則規則] 核取方塊。

  10. 按一下 [儲存]。

此連接器現在會列在 [內送連接器] 底下。 您可以展開連接器來檢視其設定。 您可以按一下 [編輯] 變更此連接器的組態設定。

若要將此連接器組態套用至整間公司或公司內的特定網域,或要移除此連接器,請參閱強制執行和移除 FOPE 連接器關聯

針對具有內部部署轉送的共用位址空間案例設定 FOPE 內送連接器 (組織內部郵件)
  1. 在 FOPE Administration Center 內,按一下 [管理] 索引標籤,然後按一下 [公司] 索引標籤。

  2. 在 [連接器] 區段中,針對 [內送連接器] 按一下 [新增]。 [新增內送連接器] 對話方塊隨即開啟。 下圖將顯示當郵件從組織內部傳送 (組織內部) 時,這個案例的內送連接器設定。

    具有內部部署轉送的共用位址空間 - 組織內部

  3. 在 [名稱] 欄位中,輸入內送連接器的名稱。

  4. 在 [描述] 欄位中,輸入有關內送連接器的其他資訊。

  5. 在 [寄件者網域] 欄位中,輸入內部部署伺服器的網域名稱 (例如 contoso.com)。

  6. 在 [寄件者 IP 位址] 欄位中,輸入內部部署伺服器的 IP 位址。您必須使用下列格式來指定 IP 位址:nnn.nnn.nnn.nnn,其中nnn 是 1 到 255 之間的數字。您也可以使用下列格式來指定無類別域內郵件路由 (CIDR) 範圍:nnn.nnn.nnn.nnn/rr,其中rr 代表 24 到 31 之間的數字。使用逗號分隔多個 IP 位址。 如果您不知道特定 IP 位址或與網域關聯的位址,或者想要建立大範圍的連接器,您也可以讓此欄位保持空白,但是不建議這麼做。

  7. 選取 [針對上述指定的網域,將這些 IP 位址新增至安全清單並僅接受來自這些 IP 位址的郵件]。 這樣可確保源自指定之寄件者網域的郵件只來自指定的寄件者 IP 位址。 (如果未在上一個步驟中指定寄件者 IP 位址,請改為選取 [將這些 IP 位址新增至上述指定之網域的安全清單])。

  8. 在 [連接器設定] 區段中,針對 [傳輸層安全性 (TLS) 設定] 選取 [強制 TLS]。

    安全性注意事項安全性 注意:
    當您強制使用 TLS 而寄件者並非透過 TLS 傳送郵件時 (因為失聯、TLS 支援已停用或任何其他原因),寄件者的郵件將會被退回。 不過,請務必注意,即使您讓收件者強制使用 TLS,寄件者的郵件仍有可能會先以純文字方式傳送到 FOPE 再遭到退回。 若要確保郵件安全到達 FOPE,寄件者必須也強制使用 TLS。如需有關在 FOPE 中使用 TLS 的詳細資訊,請參閱了解 FOPE 中的傳輸層安全性 (TLS)

    請核取 [寄件者憑證相符],然後指定您在內部部署混合伺服器上設定的憑證主體名稱 (例如 certificate.contoso.com)。 您可以在這個欄位中使用 * 萬用字元來指定子網域的單一層級。例如,如果您指定了*.domain.com, FOPE 就會比對subdomain1.domain.com 但是不會比對subdomain2.subdomain1.domain.com

    注意:您在這裡指定的網域必須符合前面在雲端式組織中建立「輸入遠端網域」時所指定的網域。

  9. 在 [連接器設定] 區段中,針對 [篩選] 選項停用 (清除) 下列核取方塊。

    套用 IP 信譽篩選:表示您想要針對內送電子郵件略過 IP 信譽篩選。 這個選項並不適用於此案例。

    套用垃圾郵件篩選:表示您想要針對內送電子郵件略過垃圾郵件篩選。 如果內部部署伺服器傳送垃圾郵件,這樣做可能會導致您的組織收到垃圾郵件。

    套用原則規則:表示您想要針對內送電子郵件略過原則規則。

  10. 按一下 [儲存]。

此連接器現在會列在 [內送連接器] 底下。您可以展開連接器來檢視其設定。您可以按一下 [編輯] 變更此連接器的組態設定。

若要將此連接器組態套用至整間公司或公司內的特定網域,或要移除此連接器,請參閱強制執行和移除 FOPE 連接器關聯

針對具有內部部署轉送的共用位址空間案例設定 FOPE 外寄連接器
  1. 在 FOPE Administration Center 內,按一下 [管理] 索引標籤,然後按一下 [公司] 索引標籤。

  2. 在 [連接器] 區段中,針對 [外寄連接器] 按一下 [新增]。 [新增外寄連接器] 對話方塊隨即開啟。 下圖將顯示這個範例案例的外寄連接器設定。

    集中式郵件控制外寄連接器

  3. 在 [名稱] 欄位中,輸入外寄連接器的名稱。

  4. 在 [描述] 欄位中,輸入有關外寄連接器的其他資訊。

  5. 在 [收件者網域] 欄位中,輸入 *.* 萬用字元來表示這個外寄連接器將套用至 FOPE 要傳送電子郵件的所有目標網域。

  6. 選取 [將所有訊息傳遞至下列目的地] 核取方塊,然後指定下列其中一個選項:

    • IP 位址:指定 FOPE 將電子郵件路由傳送至單一 IP 位址 (例如,Contoso 內部部署電子郵件伺服器的 IP 位址)。

    • 完整網域名稱:指定 FOPE 應該傳送電子郵件的目標完整網域名稱 (例如 contoso.com)。

    • 郵件伺服器多重 SMTP 設定檔:使用下拉式清單來選取外寄設定檔 (如果您先前已經建立設定檔的話)。 多重 SMTP 外寄設定檔可讓您使用循環配置資源負載平衡,將郵件傳遞給網路中的多部郵件伺服器。

      多重 SMTP 外寄設定檔與多重 SMTP 內送設定檔具有相同的運作方式,而且可用相似的方式來建立。 如需詳細資訊,請參閱設定多重 SMTP 內送設定檔

  7. 在 [傳輸層安全性 (TLS) 設定] 區段中,選取 [收件者憑證相符],然後在相關的文字欄位中輸入您在內部部署混合伺服器上設定的憑證主體名稱 (例如 certificate.contoso.com)。

    您還可以選擇 [Opportunistic TLS]。 選取 [Opportunistic TLS] 時,FOPE 會嘗試進行 TLS 連線,不過,如果接收電子郵件的伺服器沒有設定成使用 TLS,就會自動變換成 SMTP 連線。您也可以選擇其他幾個 TLS 憑證選項之一:

    • 對自我簽署憑證驗證:這個憑證 (建立在組織內部) 是用來加密通道。

    • 憑證授權單位 (CA) 受 Microsoft 信任:驗證收件者憑證是由授權的憑證授權單位所發出。 例如,它會驗證憑證是否未過期,以及憑證是否可靠。

    • 收件者憑證符合目的地網域:這個選項會一併驗證憑證的「主體別名」是否符合收件者網域名稱,藉以進一步強化 [憑證授權單位 (CA) 受 Microsoft 信任] 選項。 這個選項並不適用於此案例。

    • 收件者憑證相符:這個選項會一併驗證「主體別名」是否符合您在文字方塊中輸入的網域名稱,藉以進一步強化 [憑證授權單位 (CA) 受 Microsoft 信任] 選項。 這是建議的選項。

  8. 按一下 [儲存]。

此連接器現在會列在 [外寄連接器] 底下。 您可以展開連接器來檢視其設定。 您可以按一下 [編輯] 變更此連接器的組態設定。

若要將此連接器組態套用至整間公司或公司內的特定網域,或要移除此連接器,請參閱強制執行和移除 FOPE 連接器關聯

 
顯示: