Configurazione di Microsoft 365 con Secure Email

Opzioni per il download

  • PDF     (1.0 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (671.1 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (782.0 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:28 novembre 2023
ID documento:214812

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritta la configurazione necessaria per integrare Microsoft 365 con Cisco Secure Email per il recapito dei messaggi e-mail in entrata e in uscita.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    Componenti usati

    Il documento può essere consultato per tutte le versioni software o hardware.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Questo documento può essere usato sia per i gateway locali che per i Cisco Cloud Gateway.

    Se si è un amministratore di Cisco Secure Email, la lettera di benvenuto include gli indirizzi IP del gateway cloud e altre informazioni pertinenti. Oltre alla lettera che vedi qui, ti viene inviata un'e-mail crittografata che ti fornisce ulteriori dettagli sul numero di Cloud Gateway (anche noto come ESA) e Cloud Email e Web Manager (anche noto come SMA) forniti per la tua allocazione. Se non è stata ricevuta o non si dispone di una copia della lettera, contattare ces-activations@cisco.com specificando le informazioni di contatto e il nome di dominio.

         

    Esempio di lettera CES

         

    Ogni client dispone di IP dedicati. È possibile usare gli indirizzi IP o i nomi host assegnati nella configurazione di Microsoft 365.

    Nota: si consiglia di eseguire il test prima di qualsiasi interruzione pianificata della posta di produzione, in quanto le configurazioni richiedono tempo per la replica nella console Microsoft 365 Exchange. Consentire almeno un'ora per rendere effettive tutte le modifiche.

    Nota: gli indirizzi IP nell'acquisizione schermo sono proporzionali al numero di gateway cloud forniti per l'allocazione. Ad esempio, xxx.yy.140.105  è l'indirizzo IP dell'interfaccia Data 1 per il Gateway 1 ed xxx.yy.150.1143  è l'indirizzo IP dell'interfaccia Data 1 per il Gateway 2. L'indirizzo IP dell'interfaccia dati 2 per il gateway 1 è xxx.yy.143.186 e l'indirizzo IP dell'interfaccia dati 2 per il gateway 2 è xxx.yy.32.98. Se la lettera di benvenuto non include informazioni per Data 2 (Outgoing interface IPs), contattare Cisco TAC per richiedere l'aggiunta dell'interfaccia Data 2 all'allocazione.

    Configurazione di Microsoft 365 con Secure Email

    Configurazione delle e-mail in arrivo in Microsoft 365 da Cisco Secure Email

    Regola Ignora il filtro posta indesiderata

    1. Accedere a Microsoft 365 Admin Center (https://portal.microsoft.com).
    2. Nel menu a sinistra, espandere Admin Centers.
    3. Fare clic su Exchange.
    4. Dal menu a sinistra, passare a Mail flow > Rules.
    5. Fare clic [+] per creare una nuova regola.
    6. Selezionare Bypass spam filtering... una voce dall'elenco a discesa.
    7. Immettere un nome per la nuova regola: Bypass spam filtering - inbound email from Cisco CES.
    8. Per *Applicare questa regola se..., scegliere The sender - IP address is in any of these ranges or exactly matches.
      1. Per visualizzare la schermata di popup specifica intervalli di indirizzi IP, aggiungere gli indirizzi IP forniti nella lettera di benvenuto di Cisco Secure Email.
      2. Fare clic su OK.
    9. Per *Fare quanto segue..., la nuova regola è stata preselezionata: Set the spam confidence level (SCL) to... - Bypass spam filtering.
    10. Fare clic su Save.
      11.

    Esempio di regola:

    MSFT 365 Esempio 1

    Connettore di ricezione

    1. Rimanere nell'interfaccia di amministrazione di Exchange.
    2. Dal menu a sinistra, passare a Mail flow > Connectors.
    3. Fare clic [+] per creare un nuovo connettore.
    4. Nella finestra popup Selezionare lo scenario del flusso di posta, scegliere:
      1. Da: Partner organization
      2. A: Office365
        3.
    5. Fare clic su Next.
    6. Immettere un nome per il nuovo connettore: Inbound from Cisco CES.
    7. Se desiderato, immettere una descrizione.
    8. Fare clic su Next.
    9. Fare clic su Use the sender's IP address.
    10. Fare clic su Next.
    11. Fare clic [+] e immettere gli indirizzi IP indicati nella lettera di benvenuto di Cisco Secure Email.
    12. Fare clic su Next.
    13. Scegli Reject email messages if they aren't sent over Transport Layer Security (TLS).
    14. Fare clic su Next.
    15. Fare clic su Save.

      16.

    Di seguito è riportato un esempio della configurazione del connettore:

    MSFT 365 Esempio 2

    Configurazione delle e-mail inviate da Cisco Secure Email a Microsoft 365

    Controlli di destinazione

    Imporre un'autoaccelerazione a un dominio di recapito nei controlli di destinazione. Naturalmente, è possibile rimuovere la limitazione in seguito, ma si tratta di nuovi IP per Microsoft 365 e non si desidera alcuna limitazione da parte di Microsoft a causa della sua reputazione sconosciuta.

    1. Accedere al gateway.
    2. Passa a Mail Policies > Destination Controls.
    3. Fare clic su  Add Destination.
    4. Utilizzo:
      1. Destinazione: immettere il nome di dominio
      2. Connessioni simultanee: 10
      3. Numero di messaggi massimo per connessione: 20
      4. Supporto TLS: Preferred
        5.
    5. Fare clic su Submit.
    6. Fare clic su Commit Changes nell'angolo superiore destro dell'interfaccia utente per salvare le modifiche apportate alla configurazione.
      7.

    Esempio di tabella di controllo di destinazione:

    Cisco Secure Email - Esempio 1

    Tabella di accesso destinatari

    Impostare quindi la tabella di accesso destinatari, o RAT (Recipient Access Table), per accettare l'e-mail nei tuoi domini:

    1. Passa a Mail Policies > Recipient Access Table (RAT).

      Nota: assicurarsi che il listener sia per il listener in arrivo, IncomingMail o MailFlow, in base al nome effettivo del listener per il flusso di posta principale.

    2. Fare clic su Add Recipient.
    3. Aggiungere i domini nel campo Indirizzo destinatario.
    4. Scegliere l'azione predefinita di Accept.
    5. Fare clic su Submit.
    6. Fare clic su Commit Changes nell'angolo superiore destro dell'interfaccia utente per salvare le modifiche alla configurazione.
      7.

    Ecco un esempio di come appare la voce RAT:

    Cisco Secure Email Esempio 2

         

    Route SMTP

    Impostare il percorso SMTP per il recapito della posta da Cisco Secure Email al dominio Microsoft 365:

    1. Passa a Network > SMTP Routes.
    2. Fare clic su Add Route...
    3. Dominio di ricezione: immettere il nome di dominio.
    4. Host di destinazione: aggiungere il record Microsoft 365 MX originale.
    5. Fare clic su Submit.
    6. Fare clic su Commit Changes nell'angolo superiore destro dell'interfaccia utente per salvare le modifiche alla configurazione.
      7.

    Di seguito è riportato un esempio di impostazioni di route SMTP:

    Cisco Secure Email Esempio 3

    Configurazione DNS (record MX)

    È ora possibile tagliare il dominio tramite una modifica del record di Mail Exchange (MX). Rivolgersi all'amministratore DNS per risolvere i record MX negli indirizzi IP dell'istanza di Cisco Secure Email Cloud, come indicato nella lettera di benvenuto di Cisco Secure Email.

    Verificare la modifica apportata al record MX anche dalla console Microsoft 365:

    1. Accedere alla console di amministrazione di Microsoft 365 (https://admin.microsoft.com).
    2. Passa a Home > Settings > Domains.
    3. Scegliere il nome di dominio predefinito.
    4. Fare clic su Check Health.
      5.

    Questo fornisce i record MX correnti di come Microsoft 365 cerca i record DNS e MX associati al tuo dominio:

    MSFT 365 Esempio 3

    Nota: in questo esempio, il DNS è ospitato e gestito da Amazon Web Services (AWS). In qualità di amministratore, è probabile che venga visualizzato un avviso se il DNS è ospitato in un punto qualsiasi al di fuori dell'account Microsoft 365. È possibile ignorare avvisi quali: "Non è stato rilevato che hai aggiunto nuovi record a your_domain_here.com. Verifica che i documenti che hai creato sull'host corrispondano a quelli mostrati qui..."  Le istruzioni dettagliate reimpostano i record MX su quello che era stato inizialmente configurato per il reindirizzamento all'account Microsoft 365. In questo modo Cisco Secure Email Gateway viene rimosso dal flusso del traffico in entrata.

    Test posta in arrivo

    Prova la posta in arrivo sul tuo indirizzo e-mail Microsoft 365. Quindi, verificare che arrivi nella Posta in arrivo di Microsoft 365.

    Convalidare i log di posta in Verifica messaggi su Cisco Secure Email e Web Manager (noto anche come SMA) forniti con l'istanza.

    Per visualizzare i log di posta su SMA:

    1. Accedere all'SMA (https://sma.iphmx.com/ng-login).
    2. Fare clic su  Tracking.
    3. Immettere i criteri di ricerca necessari e fare clic su Search; e si prevede di visualizzare tali risultati:
      4.

    Cisco Secure Email Esempio 4

    Per visualizzare i log di posta in Microsoft 365:

    1. Accedere a Microsoft 365 Admin Center (https://admin.microsoft.com).
    2. Espansione Admin Centers.
    3. Fare clic su Exchange.
    4. Passa a Mail flow > Message trace.
    5. In Microsoft sono disponibili i criteri predefiniti per la ricerca. Ad esempio, scegliere Messages received by my primary domain in the last day di avviare la query di ricerca.
    6. Immettere i criteri di ricerca necessari per i destinatari e fare clic su Search e prevedere risultati simili a:
      7.

    MSFT 365 Esempio 4

    Configurazione delle e-mail in uscita da Microsoft 365 a Cisco Secure Email

    Configurazione di RELAYLIST su Cisco Secure Email Gateway

    Fare riferimento alla lettera di benvenuto di Cisco Secure Email. Inoltre, viene specificata un'interfaccia secondaria per i messaggi in uscita tramite il gateway.

    1. Accedere al gateway.
    2. Passa a Mail Policies > HAT Overview.

      Nota: assicurarsi che il listener sia per il listener in uscita, OutgoingMail o MailFlow-Ext, in base al nome effettivo del listener per il flusso di posta esterno/in uscita.

    3. Fare clic su  Add Sender Group...
    4. Configurare il gruppo di mittenti come:
      1. Nome: RELAY_O365
      2. Commento: <<immettere un commento se si desidera inviare una nota al gruppo di mittenti>>
      3. Criterio: INOLTRATO
      4. Fare clic su  Submit and Add Senders.
      5. Mittente: .protection.outlook.com

        Nota: il file. (punto) all'inizio del nome di dominio del mittente è obbligatorio.

      6. Fare clic su Submit.
      7. Fare clic su Commit Changes nell'angolo superiore destro dell'interfaccia utente per salvare le modifiche alla configurazione.
        8.

    Di seguito è riportato un esempio di impostazioni del gruppo di mittenti:

    Esempio di Cisco Secure Email 5

    Abilitazione TLS

    1. Fare clic su <<Back to HAT Overview.
    2. Fare clic sulla Policy di flusso con nome: RELAYED.
    3. Scorrere verso il basso e cercare nella Security Features sezione Encryption and Authentication.
    4. Per TLS, selezionare: Preferred.
    5. Fare clic su Submit.
    6. Fare clic su Commit Changes nell'angolo superiore destro dell'interfaccia utente per salvare le modifiche alla configurazione.
      7.

    Esempio di configurazione dei criteri di flusso della posta:

    Esempio di Cisco Secure Email 6

    Configurazione dell'e-mail da Microsoft 365 a CES

    1. Accedere a Microsoft 365 Admin Center (https://admin.microsoft.com).
    2. Espansione Admin Centers.
    3. Fare clic su Exchange.
    4. Passa a Mail flow > Connectors.
    5. Fare clic su[+] per creare un nuovo connettore.
    6. Nella finestra popup Selezionare lo scenario del flusso di posta, scegliere:
      1. Da: Office365
      2. A:Partner organization
        3.
    7. Fare clic su Next.
    8. Immettere un nome per il nuovo connettore: Outbound to Cisco CES.
    9. Se desiderato, immettere una descrizione.
    10. Fare clic su Next.
    11. Per Quando si desidera utilizzare questo connettore:
      1. Scegli: Only when I have a transport rule set up that redirects messages to this connector.
      2. Fare clic su Next
        3.
    12. Fare clic su Route email through these smart hosts.
    13. Fare clic su [+] e immettere gli indirizzi IP in uscita o i nomi host forniti nella lettera di benvenuto del CES.
    14. Fare clic su  Save.
    15. Fare clic su  Next.
    16. Per stabilire la connessione di Office 365 al server di posta elettronica dell'organizzazione partner,
      1. Scegli: Always use TLS to secure the connection (recommended).
      2. SceglieteAny digital certificate, including self-signed certificates.
      3. Fare clic su Next.
        4.
    17. Viene visualizzata la schermata di conferma.
    18. Fare clic su  Next.
    19. Utilizzare [+] per immettere un indirizzo e-mail valido e fare clic su OK.
    20. Fare clic su Validate e consentire l'esecuzione della convalida.
    21. Al termine, fare clic su Close.
    22. Fare clic su Save.
      23.

    Di seguito è riportato un esempio dell'aspetto del connettore in uscita:

    MSFT 365 Esempio 5

    Regola Crea un flusso di posta

    1. Accedere all'interfaccia di amministrazione di Exchange (https://outlook.office365.com).
    2. Fare clic su mail flow; assicurarsi di essere nella scheda Regole.
    3. Fare clic [+] per aggiungere una nuova regola.
    4. Scegli Create a new rule.
    5. Immettere un nome per la nuova regola: Outbound to Cisco CES.
    6. Per *Applicare questa regola se..., scegliere: The sender is located...
      1. Per il popup di selezione della località del mittente, scegliere: Inside the organization.
      2. Fare clic su OK.
        3.
    7. Fare clic su More options...
    8. Fare clic su add condition Pulsante e inserire una seconda condizione:
      1. Scegli The recipient...
      2. Scegli: Is external/internal.
      3. Per il popup di selezione della località del mittente, scegliere: Outside the organization .
      4. Fare clic su OK.
        5.
    9. Per *Fare quanto segue..., scegliere: Redirect the message to...
      1. Selezionare: il seguente connettore.
      2. E selezionare il connettore Outbound to Cisco CES.
      3. Fare clic su OK.
    10. Tornare a "*Fare quanto segue..." e inserire una seconda azione:
      1. Scegli: Modify the message properties...
      2. Scegli: set the message header
      3. Impostare l'intestazione del messaggio su: X-OUTBOUND-AUTH.
      4. Fare clic su  OK.
      5. Impostare il valore: mysecretkey.
      6. Fare clic su OK.
        7.
    11. Fare clic su Save.
      12.

    Nota: per impedire la ricezione di messaggi non autorizzati da parte di Microsoft, è possibile contrassegnare un'intestazione x segreta quando i messaggi lasciano il dominio Microsoft 365. Tale intestazione viene valutata e rimossa prima del recapito a Internet.

    Esempio di configurazione del routing di Microsoft 365:

    MSFT 365 Esempio 6

    Infine, accedere alla CLI di Cisco Secure Email Gateway.  

    Nota: Cisco Secure Email Cloud Gateway > Accesso all'interfaccia della riga di comando (CLI).

    Creare un filtro messaggi per controllare la presenza e il valore dell'intestazione x e rimuovere l'intestazione, se esistente. Se non esiste alcuna intestazione, il messaggio viene scartato.

    1. Accedere al gateway tramite la CLI.
    2. Eseguire il Filters comando.
    3. Se il gateway è di tipo cluster, premere INVIO per modificare i filtri in modalità cluster.
    4. Utilizzare il New comando per creare un filtro messaggi, copiarlo e incollarlo:

      office365_outbound: if sendergroup == "RELAYLIST" {
      if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
      strip-header("X-OUTBOUND-AUTH");
      } else {
      drop();
      }
      }
    5. Premere Ritorno una volta per creare una nuova riga vuota.
    6. Immettere [.] nella nuova riga per terminare il nuovo filtro messaggi.
    7. Fare clic return una volta per uscire dal menu Filtri.
    8. Eseguire il Commit comando per salvare le modifiche alla configurazione.
      9.
    note-icon

    Nota: evitare caratteri speciali per la chiave segreta. ^ e $ mostrati nel filtro messaggi sono caratteri regex e vengono utilizzati come indicato nell'esempio.
    note-icon

    Nota: rivedere il nome della configurazione di RELAYLIST. Può essere configurato con un nome alternativo oppure è possibile avere un nome specifico basato sul criterio di inoltro o sul provider di posta.

         

    Test posta elettronica in uscita

    Verifica la posta in uscita dal tuo indirizzo di posta elettronica Microsoft 365 a un destinatario del dominio esterno. È possibile rivedere il Message Tracking da Cisco Secure Email e Web Manager per verificare che sia instradato correttamente in uscita.

    Nota: rivedere la configurazione TLS (Amministrazione sistema > Configurazione SSL) sul gateway e le cifrature utilizzate per SMTP in uscita. Cisco Best Practices consiglia:

    HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

           

    Un esempio di monitoraggio con consegna riuscita:

    Cisco Secure Email Esempio 7

    Fare clic More Details per visualizzare i dettagli completi del messaggio:

    Cisco Secure Email Esempio 8

    Un esempio di monitoraggio dello stato dei messaggi con x-header non corrispondente:

    Cisco Secure Email Esempio 9

    Cisco Secure Email Esempio 10

    Informazioni correlate 

    Documentazione di Cisco Secure Email Gateway

    Documentazione su Secure Email Cloud Gateway

    Documentazione di Cisco Secure Email e Web Manager

    Documentazione del prodotto Cisco Secure

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    6.0
    28-Nov-2023
    Traduzione automatica e formattazione.
    5.0
    01-Dec-2022
    Aggiornamenti dei nomi dei prodotti, aggiornamenti degli screenshot
    1.0
    13-Aug-2021
    Versione iniziale

    Contributo di

    • Alex Chan
      Tecnico di marketing Cisco Secure Email
    • Robert Sherwin
      Tecnico di marketing Cisco Secure Email
    • Anvitha Prabhu
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti