Configurar o Microsoft 365 com Secure Email

Introdução

Este documento descreve as etapas de configuração para integrar o Microsoft 365 com o Cisco Secure Email para entrega de e-mail de entrada e saída.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Cisco Secure Email Gateway ou Cloud Gateway
• Acesso à interface de linha de comando (CLI) para seu ambiente Cisco Secure Email Cloud Gateway:
  Cisco Secure Email Cloud Gateway > Acesso à Interface de Linha de Comando (CLI)
• Microsoft 365
• SMTP (Simple Mail Transfer Protocol)
• Servidor de Nomes de Domínio ou Sistema de Nomes de Domínio (DNS)

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Este documento pode ser usado para gateways locais ou gateways de nuvem da Cisco.

Se você for um administrador do Cisco Secure Email, sua carta de boas-vindas incluirá seus endereços IP do gateway de nuvem e outras informações pertinentes. Além da carta que você vê aqui, um e-mail criptografado é enviado para você, fornecendo detalhes adicionais sobre o número de Gateway de nuvem (também conhecido como ESA) e Gerenciador de e-mail e Web de nuvem (também conhecido como SMA) provisionados para sua alocação. Se você não recebeu ou não tem uma cópia da carta, entre em contato ces-activations@cisco.com com suas informações de contato e o nome de domínio em serviço.

     

     

Cada cliente tem IPs dedicados. Você pode usar os IPs ou nomes de host atribuídos na configuração do Microsoft 365.

Observação: é altamente recomendável testar antes de qualquer transição de e-mail de produção planejada, pois as configurações levam tempo para serem replicadas no console do Microsoft 365 Exchange. No mínimo, aguarde uma hora para que todas as alterações entrem em vigor.

Observação: os endereços IP na captura de tela são proporcionais ao número de gateways de nuvem provisionados para sua alocação. Por exemplo, xxx.yy.140.105  é o endereço IP da interface Data 1 para o Gateway 1 e xxx.yy.150.1143  é o endereço IP da interface Data 1 para o Gateway 2. O endereço IP da interface dos Dados 2 para o Gateway 1 é xxx.yy.143.186 1 e o endereço IP da interface dos Dados 2 para o Gateway 2 é xxx.yy.32.98. Se sua carta de boas-vindas não incluir informações para Dados 2 (IPs de interface de saída), entre em contato com o TAC da Cisco para adicionar a interface de Dados 2 à sua alocação.

Configurar o Microsoft 365 com Secure Email

Configurar e-mail de entrada do Microsoft 365 no Cisco Secure Email

Ignorar regra de filtragem de spam

1. Faça login no Microsoft 365 Admin Center (https://portal.microsoft.com).
2. No menu à esquerda, expanda Admin Centers.
3. Clique em Exchange.
4. No menu à esquerda, navegue até Mail flow > Rules.
5. Clique [+] para criar uma nova regra.
6. Escolha Bypass spam filtering... na lista suspensa.
7. Digite um nome para a nova regra: Bypass spam filtering - inbound email from Cisco CES.
8. Para *Aplicar esta regra se..., escolha The sender - IP address is in any of these ranges or exactly matches.
   1. Para a janela pop-up especificar intervalos de endereços IP, adicione os endereços IP fornecidos na carta de boas-vindas do Cisco Secure Email.
   2. Clique em OK.
9. Para *Fazer o seguinte..., a nova regra foi pré-selecionada: Set the spam confidence level (SCL) to... - Bypass spam filtering.
10. Clique em Save.

Um exemplo de como sua regra se parece:

Conector de recebimento

1. Permanecer no Exchange Admin Center.
2. No menu à esquerda, navegue até Mail flow > Connectors.
3. Clique [+] para criar um novo conector.
4. Na janela pop-up Selecionar cenário do fluxo de e-mail, escolha:
   1. De: Partner organization
   2. Para: Office365
5. Clique em Next.
6. Digite um nome para o novo conector: Inbound from Cisco CES.
7. Insira uma descrição, se desejar.
8. Clique em Next.
9. Clique em Use the sender's IP address.
10. Clique em Next.
11. Clique [+] e insira os endereços IP indicados na carta de boas-vindas do Cisco Secure Email.
12. Clique em Next.
13. Escolher Reject email messages if they aren't sent over Transport Layer Security (TLS).
14. Clique em Next.
15. Clique em Save.



Um exemplo de como é a configuração do conector:

Configurar e-mail no Cisco Secure Email para o Microsoft 365

Controles de destino

Imponha um acelerador automático para um domínio de entrega nos Controles de destino. É claro que você pode remover o acelerador mais tarde, mas esses são novos IPs para o Microsoft 365, e você não quer nenhum acelerador pela Microsoft devido à sua reputação desconhecida.

1. Faça login no Gateway.
2. Navegue até Mail Policies > Destination Controls.
3. Clique em Add Destination.
4. Uso:
   1. Destino: insira seu nome de domínio
   2. Conexões simultâneas: 10
   3. Máximo de mensagens por conexão: 20
   4. Suporte TLS: Preferred
5. Clique em Submit.
6. Clique Commit Changes no canto superior direito da Interface do usuário (UI) para salvar suas alterações de configuração.

Um exemplo de como é a sua Tabela de Controle de Destino:

Tabela de acesso do destinatário

Em seguida, defina a tabela de acesso do destinatário (RAT) para aceitar e-mails dos domínios:

1. Navegue até Mail Policies > Recipient Access Table (RAT).

   Observação: Certifique-se de que o Listener seja para Listener de Entrada, Correio de Entrada ou Fluxo de Correio, com base no nome real do Listener do seu fluxo de correio principal.

2. Clique em Add Recipient.
3. Adicione os domínios no campo Endereço do destinatário.
4. Escolha a ação padrão de Accept.
5. Clique em Submit.
6. Clique Commit Changes no canto superior direito da interface do usuário para salvar suas alterações de configuração.

Um exemplo de como é a sua entrada RAT:

     

Rotas SMTP

Defina a rota SMTP para entregar e-mails do Cisco Secure Email ao seu domínio do Microsoft 365:

1. Navegue até Network > SMTP Routes.
2. Clique em Add Route...
3. Domínio de recebimento: insira seu nome de domínio.
4. Hosts de destino: adicione seu registro original do Microsoft 365 MX.
5. Clique em Submit.
6. Clique Commit Changes no canto superior direito da interface do usuário para salvar suas alterações de configuração.

Um exemplo de como as configurações de rota SMTP são:

Configuração do DNS (registro do MX)

Você está pronto para interromper o domínio por meio de uma alteração de registro MX (Mail Exchange). Trabalhe com seu administrador DNS para resolver seus registros MX para os endereços IP de sua instância do Cisco Secure Email Cloud, conforme fornecido na carta de boas-vindas do Cisco Secure Email.

Verifique também a alteração no registro MX do console do Microsoft 365:

1. Faça login no console Microsoft 365 Admin (https://admin.microsoft.com).
2. Navegue até Home > Settings > Domains.
3. Escolha o nome de domínio padrão.
4. Clique emCheck Health.

Isso fornece os Registros MX atuais de como o Microsoft 365 pesquisa seus registros DNS e MX associados ao seu domínio:

Observação: neste exemplo, o DNS é hospedado e gerenciado pelo Amazon Web Services (AWS). Como administrador, espere ver um aviso se o seu DNS estiver hospedado em qualquer lugar fora da conta do Microsoft 365. Você pode ignorar avisos como: "Não detectamos que você adicionou novos registros a your_domain_here.com. Certifique-se de que os registros criados no host correspondam aos mostrados aqui..."  As instruções passo a passo redefinem os registros MX para o que foi inicialmente configurado para redirecionar para sua conta do Microsoft 365. Isso remove o Cisco Secure Email Gateway do fluxo de tráfego de entrada.

Testar email de entrada

Teste os emails de entrada para o seu endereço de email do Microsoft 365. Em seguida, verifique se ele chega à sua caixa de entrada de e-mail do Microsoft 365.

Valide os logs de e-mail em Rastreamento de mensagens no Cisco Secure Email e Web Manager (também conhecido como SMA) fornecido com sua instância.

Para ver os registros de e-mail no SMA:

1. Faça login no SMA (https://sma.iphmx.com/ng-login).
2. Clique em Tracking.
3. Insira os critérios de pesquisa necessários e clique em Search; e espere ver esses resultados:

Para ver os registros de e-mail no Microsoft 365:

1. Faça login no Microsoft 365 Admin Center (https://admin.microsoft.com).
2. Expandir Admin Centers.
3. Clique em Exchange.
4. Navegue até Mail flow > Message trace.
5. A Microsoft fornece critérios padrão para a pesquisa. Por exemplo, escolha Messages received by my primary domain in the last day para iniciar sua consulta de pesquisa.
6. Insira os critérios de pesquisa necessários para os destinatários e clique Search e espere ver resultados semelhantes a:

Configurar e-mail de saída no Microsoft 365 para o Cisco Secure Email

Configurar LISTA DE RETRANSMISSÃO no Cisco Secure Email Gateway

Consulte sua carta de boas-vindas do Cisco Secure Email. Além disso, uma interface secundária é especificada para mensagens de saída pelo Gateway.

1. Faça login no Gateway.
2. Navegue até Mail Policies > HAT Overview.
   
   

   Observação: Certifique-se de que o Listener se refere a Ouvinte de Saída, E-mail de Saída ou Fluxo de E-mail Externo, com base no nome real do Listener para seu fluxo de e-mail externo/de saída.

3. Clique em Add Sender Group...
4. Configure o grupo de remetentes como:
   1. Nome: RELAY_O365
   2. Comentário:  <<enter a comment if you wish to notate your sender group>>
   3. Política: RETRANSMITIDA
   4. Clique em Submit and Add Senders.
   5. Remetente: .protection.outlook.com
      

      Observação: o . (ponto) no início do nome de domínio do remetente é obrigatório.

   6. Clique em Submit.
   7. Clique Commit Changes no canto superior direito da interface do usuário para salvar suas alterações de configuração.

Um exemplo de como são as configurações do grupo de remetente:

Ativar TLS

1. Clique em <<Back to HAT Overview.
2. Clique na política de fluxo de e-mails denominada: RELAYED.
3. Desça e procure na Security Features seção Encryption and Authentication.
4. Em TLS, escolha: Preferred.
5. Clique em Submit.
6. Clique Commit Changes no canto superior direito da interface do usuário para salvar suas alterações de configuração.

Um exemplo de como é a configuração da Política de fluxo de e-mail:

Configurar e-mail do Microsoft 365 para o CES

1. Faça login no Microsoft 365 Admin Center (https://admin.microsoft.com).
2. Expandir Admin Centers.
3. Clique em Exchange.
4. Navegue até Mail flow > Connectors.
5. Clique [+] para criar um novo conector.
6. Na janela pop-up Selecionar cenário do fluxo de e-mail, escolha:
   1. De: Office365
   2. Para:Partner organization
7. Clique em Next.
8. Digite um nome para o novo conector: Outbound to Cisco CES.
9. Insira uma descrição, se desejar.
10. Clique em Next.
11. Para Quando você deseja usar este conector?:
    1. Escolha: Only when I have a transport rule set up that redirects messages to this connector.
    2. Clique em Next. 
12. Clique em Route email through these smart hosts.
13. Clique [+] e insira os endereços IP de saída ou os nomes de host fornecidos em sua carta de boas-vindas do CES.
14. Clique em Save.
15. Clique em Next.
16. Para saber Como o Office 365 deve se conectar ao servidor de email da sua organização parceira?
    1. Escolha: Always use TLS to secure the connection (recommended).
    2. EscolhaAny digital certificate, including self-signed certificates.
    3. Clique em Next.
17. Você verá a tela de confirmação.
18. Clique em Next.
19. Use [+] para inserir um endereço de e-mail válido e clique em OK.
20. Clique em Validate e permita que a validação seja executada.
21. Depois de concluir, clique em Close.
22. Clique emSave.

Um exemplo de como é a aparência do Conector de Saída:



Criar uma regra de fluxo de e-mails

1. Faça login no centro de administração do Exchange (https://outlook.office365.com).
2. Clique em mail flow; certifique-se de estar na guia regras.
3. Clique [+] para adicionar uma nova regra.
4. Escolher Create a new rule.
5. Digite um nome para a nova regra: Outbound to Cisco CES.
6. Para *Aplicar esta regra se..., escolha: The sender is located...
   1. Para o pop-up selecionar local do remetente, escolha: Inside the organization.
   2. Clique em OK.
7. Clique em More options...
8. Clique no add condition botão e insira uma segunda condição:
   1. Escolher The recipient...
   2. Escolha: Is external/internal.
   3. Para o pop-up selecionar local do remetente, escolha: Outside the organization .
   4. Clique em OK.
9. Para *Fazer o seguinte..., escolha: Redirect the message to...
   1. Selecione: o seguinte conector.
   2. E selecione seu conector Outbound to Cisco CES.
   3. Click OK.
10. Volte para "*Faça o seguinte..." e insira uma segunda ação:
    1. Escolha: Modify the message properties...
    2. Escolha: set the message header
    3. Defina o cabeçalho da mensagem: X-OUTBOUND-AUTH.
    4. Clique em OK.
    5. Defina o valor: mysecretkey.
    6. Clique em OK.
11. Clique em Save.

Observação: para evitar mensagens não autorizadas da Microsoft, um cabeçalho x secreto pode ser carimbado quando as mensagens saem do domínio Microsoft 365; esse cabeçalho é avaliado e removido antes da entrega para a Internet.

Um exemplo de como é a sua configuração do Microsoft 365 Routing:



Por fim, acesse a CLI do Cisco Secure Email Gateway.

Observação: Cisco Secure Email Cloud Gateway > Acesso à Interface de Linha de Comando (CLI).

Crie um filtro de mensagem para inspecionar a presença e o valor do cabeçalho x e remova o cabeçalho, se ele existir. Se não houver cabeçalho, descarte a mensagem.

1. Faça login no Gateway via CLI.
2. Execute o Filters comando.
3. Se o Gateway estiver clusterizado, pressione Voltar para editar os filtros no modo Cluster.
4. Use o New comando para criar, copiar e colar um filtro de mensagens:
   
   

   office365_outbound: if sendergroup == "RELAYLIST" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }

5. Pressione Retornar uma vez para criar uma nova linha em branco.
6. Digite [.] na nova linha para finalizar o novo filtro de mensagens.
7. Clique em return uma vez para sair do menu Filtros.
8. Execute o Commit comando para salvar as alterações na sua configuração.

     

Testar email de saída

Teste os emails de saída do seu endereço de email do Microsoft 365 para um destinatário de domínio externo. Você pode rever o Rastreamento de mensagens do Cisco Secure Email e do Web Manager para garantir que ele seja encaminhado corretamente para a saída.

Observação: revise sua configuração TLS (Administração do sistema > configuração SSL) no Gateway e as cifras usadas para SMTP de saída. As Melhores práticas da Cisco recomendam:



HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

       

Um exemplo de rastreamento com entrega bem-sucedida:

Clique More Details para ver os detalhes completos da mensagem:

Um exemplo de rastreamento de mensagem em que o cabeçalho x não corresponde:

Informações Relacionadas 

Documentação do Cisco Secure Email Gateway

• Notas de versão
• Guia do usuário
• Guia de referência CLI
• Guias de programação de API para Cisco Secure Email Gateway
• Fonte aberta usada no Cisco Secure Email Gateway
• Guia de instalação do Cisco Content Security Virtual Appliance (inclui vESA)

Documentação do Secure Email Cloud Gateway

• Notas de versão
• Guia do usuário

Documentação do Cisco Secure Email and Web Manager

• Notas de versão e matriz de compatibilidade
• Guia do usuário
• Guias de programação de API para Cisco Secure Email e Web Manager
• Guia de instalação do Cisco Content Security Virtual Appliance (inclui vSMA)

Documentação do produto Cisco Secure

• Arquitetura de nomenclatura do portfólio Cisco Secure