配置Microsoft 365的安全邮件

简介

本文档介绍将Microsoft 365与思科安全邮件集成以进行入站和出站邮件传送的配置步骤。

先决条件

要求

Cisco 建议您了解以下主题：

• Cisco Secure Email 网关或云网关
• 对思科安全邮件云网关环境的命令行界面(CLI)访问：
  思科安全邮件云网关(Cisco Secure Email Cloud Gateway) >命令行界面(CLI)访问
• Microsoft 365
• 简单邮件传输协议 (SMTP)
• 域名服务器或域名系统(DNS)

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

本文档可用于本地网关或思科云网关。

如果您是思科安全电邮管理员，欢迎信将包含您的云网关IP地址和其他相关信息。除了您在此处看到的信以外，还会向您发送一封加密邮件，提供有关为分配调配的云网关（也称为ESA）以及云邮件和网络管理器（也称为SMA）数量的其他详细信息。如果您尚未收到或没有收到该信件的副本，请联系ces-activations@cisco.com，提供您的联系信息和服务域名。

     

     

每个客户端都有专用IP。您可以在 Microsoft 365 配置中使用已分配给您的 IP 或主机名。

注意：强烈建议您在计划的生产邮件切换之前进行测试，因为在Microsoft 365 Exchange控制台中复制配置需要时间。至少等待一小时以使所有更改生效。

注意：屏幕捕获中的IP地址与分配给您的分配的云网关数量成比例。例如，xxx.yy.140.105  是网关1的数据1接口IP地址， xxx.yy.150.1143  是网关2的数据1接口IP地址。网关1的数据2接口IP地址是xxx.yy.143.186 ，网关2的数据2接口IP地址是 xxx.yy.32.98。如果您的欢迎信不包括Data 2（传出接口IP）的信息，请与Cisco TAC联系以将Data 2接口添加到您的分配中。

配置Microsoft 365的安全邮件

在 Microsoft 365 中配置来自 Cisco Secure Email 的传入邮件

绕过垃圾邮件过滤规则

1. 登录到Microsoft 365管理中心(https://portal.microsoft.com)。
2. 在左侧菜单中，展开 Admin Centers.
3. 点击 Exchange.
4. 从左侧菜单中导航至 Mail flow > Rules.
5. 点击 [+] 以创建新规则。
6. 从下拉列表中选择Bypass spam filtering... 。
7. 输入新规则的名称： Bypass spam filtering - inbound email from Cisco CES.
8. 对于*Apply this rule if...，选择 The sender - IP address is in any of these ranges or exactly matches.
   1. 对于“指定IP地址范围”(specify IP address ranges)弹出窗口，请添加思科安全邮件欢迎信中提供的IP地址。
   2. 点击 OK.
9. 对于*执行以下操作……，新规则已预先选择： Set the spam confidence level (SCL) to... - Bypass spam filtering.
10. 点击 Save.

规则显示方式的一个示例：

接收连接器

1. 保留在 Exchange 管理中心.
2. 从左侧菜单中导航至 Mail flow > Connectors.
3. 点击 [+] 以创建新连接器。
4. 在“选择您的邮件流方案”弹出窗口中，选择：
   1. From（发件人）： Partner organization
   2. 更改为： Office365
5. 点击 Next.
6. 输入新连接器的名称： Inbound from Cisco CES.
7. 您可以添加说明.
8. 点击 Next.
9. 点击 Use the sender's IP address.
10. 点击 Next.
11. 单击 [+] 并输入您的Cisco安全电子邮件欢迎信中指示的IP地址。
12. 点击 Next.
13. 选择 Reject email messages if they aren't sent over Transport Layer Security (TLS).
14. 点击 Next.
15. 点击 Save.



连接器配置的示例如下：

配置从 Cisco Secure Email 发送到 Microsoft 365 的邮件

目的控制

对目标控制中的传输域执行自我限制。当然，您可以稍后删除限制，但这些是Microsoft 365的新IP，并且由于未知信誉，您不希望Microsoft进行任何限制。

1. 登录到您的网关。
2. 导航至 Mail Policies > Destination Controls.
3. 点击 Add Destination.
4. 使用:
   1. 目标：输入您的域名
   2. Concurrent Connections（并发连接数）： 10
   3. Maximum Messages Per Connection（每个连接的最大邮件数）： 20
   4. TLS Support（TLS 支持）: Preferred
5. 点击 Submit.
6. 点击用户界面(UI)右上角的Commit Changes 以保存您的配置更改。

目标控制表的外观示例：

收件人访问表

接下来，设置收件人访问表 (RAT) 以接受发往您的域的邮件：

1. 导航至 Mail Policies > Recipient Access Table (RAT).

   注：根据主要邮件流的监听程序的实际名称，确保监听程序适用于传入监听程序、IncomingMail或MailFlow。

2. 点击 Add Recipient.
3. 在“Recipient Address”（收件人地址）字段中添加您的域.
4. 选择默认操作 Accept.
5. 点击 Submit.
6. 点击UI右上角的Commit Changes 以保存您的配置更改。

RAT条目显示的一个示例：

     

SMTP 路由

设置SMTP路由以将邮件从Cisco Secure邮件传送到您的Microsoft 365域：

1. 导航至 Network > SMTP Routes.
2. 点击 Add Route...
3. 接收域(Receiving Domain)：输入域名。
4. 目标主机：添加您的原始Microsoft 365 MX记录。
5. 点击 Submit.
6. 点击UI右上角的Commit Changes 以保存您的配置更改。

SMTP路由设置的示例如下：

DNS（MX 记录）配置

您已准备好通过邮件交换(MX)记录更改来切换域。请与DNS管理员合作，按照思科安全邮件欢迎信中的规定，将您的MX记录解析为思科安全邮件云实例的IP地址。

从Microsoft 365控制台验证对MX记录的更改：

1. 登录到Microsoft 365管理控制台(https://admin.microsoft.com)。
2. 导航至 Home > Settings > Domains.
3. 选择您的默认域名。
4. 点击Check Health.

这提供了Microsoft 365如何查找与域关联的DNS和MX记录的当前MX记录：

注意：在本示例中，DNS由Amazon Web Services (AWS)托管和管理。作为管理员，如果您的DNS托管在Microsoft 365帐户以外的任何位置，您会看到一条警告。您可以忽略如下警告：“我们没有检测到您向your_domain_here.com添加了新记录。请确保在主机上创建的记录与此处所示的记录匹配...”  分步说明将MX记录重置为最初配置为重定向到您的Microsoft 365帐户的内容。这会从传入流量中删除思科安全邮件网关。

测试入站邮件

测试发送到您的Microsoft 365电子邮件地址的入站邮件。然后，检查它是否到达Microsoft 365电子邮件收件箱中。

验证实例随附的Cisco Secure Email and Web Manager （也称为SMA）的“邮件跟踪”(Message Tracking)中的邮件日志。

在 SMA 执行以下操作以查看邮件日志：

1. 登录您的SMA(https://sma.iphmx.com/ng-login)。
2. 点击 Tracking.
3. 输入所需的搜索条件并单击 Search；然后希望看到以下结果：

若要在 Microsoft 365 中查看邮件日志，请执行以下操作：

1. 登录到Microsoft 365管理中心(https://admin.microsoft.com)。
2. 扩大采购 Admin Centers.
3. 点击 Exchange.
4. 导航至 Mail flow > Message trace.
5. Microsoft提供了用于搜索的默认条件。例如，选择 Messages received by my primary domain in the last day以开始搜索查询。
6. 为收件人输入所需的搜索条件，然后点击 Search 并期望看到类似以下内容的结果：

配置从 Microsoft 365 发送到 Cisco Secure Email 的传出邮件

在 Cisco Secure Email 网关上配置 RELAYLIST

请参阅您的思科安全电邮欢迎函。此外，为通过网关的出站消息指定辅助接口。

1. 登录到您的网关。
2. 导航至 Mail Policies > HAT Overview.
   
   

   注意：根据外部/出站邮件流的侦听程序的实际名称，确保侦听程序用于出站侦听程序、OutgoingMail或MailFlow-Ext。

3. 点击 Add Sender Group...
4. 将发件人组配置为：
   1. 名称：RELAY_O365
   2. 注释： <<如果您希望通知发件人组，请输入注释>>
   3. 策略：已中继
   4. 点击 Submit and Add Senders.
   5. 发件人： .protection.outlook.com
      

      注意：。号需要放在发件人域名开头.

   6. 点击 Submit.
   7. 点击UI右上角的Commit Changes 以保存您的配置更改。

“发件人组设置”(Sender Group Settings)的示例如下：

启用 TLS

1. 点击 <<Back to HAT Overview.
2. 点击邮件流策略： RELAYED.
3. 向下滚动，在 Security Features 部分中查找 Encryption and Authentication.
4. 对于 TLS，请选择： Preferred.
5. 点击 Submit.
6. 点击UI右上角的Commit Changes 以保存您的配置更改。

邮件流策略配置示例如下：

配置从 Microsoft 365 发送到 CES 的邮件

1. 登录到Microsoft 365管理中心(https://admin.microsoft.com)。
2. 扩大采购 Admin Centers.
3. 点击 Exchange.
4. 导航至 Mail flow > Connectors.
5. 单击[+]创建新连接器。
6. 在“选择您的邮件流方案”弹出窗口中，选择：
   1. From（发件人）： Office365
   2. 更改为：Partner organization
7. 点击 Next.
8. 输入新连接器的名称： Outbound to Cisco CES.
9. 您可以添加说明.
10. 点击 Next.
11. 对于何时要使用此连接器？：
    1. 选择： Only when I have a transport rule set up that redirects messages to this connector.
    2. 点击 Next. 
12. 点击 Route email through these smart hosts.
13. 点击 [+] 并输入CES欢迎信中提供的出站IP地址或主机名。
14. 点击 Save.
15. 点击 Next.
16. Office 365应如何连接到合作伙伴组织的电子邮件服务器？
    1. 选择： Always use TLS to secure the connection (recommended).
    2. 选择 。Any digital certificate, including self-signed certificates
    3. 点击 Next.
17. 系统将显示确认屏幕。
18. 点击 Next.
19. 使用 [+] 输入有效的电子邮件地址，然后单击 OK.
20. 点击 Validate 并允许运行验证。
21. 完成后，点击 Close.
22. 点击Save.

Outbound Connector的外观示例：



创建邮件流规则

1. 登录您的Exchange管理中心(https://outlook.office365.com)。
2. 点击mail flow；请确保位于rules选项卡上。
3. 点击 [+] 添加新规则。
4. 选择 Create a new rule.
5. 输入新规则的名称： Outbound to Cisco CES.
6. 对于*如果……则应用此规则，选择： The sender is located...
   1. 对于“选择发件人位置”弹出窗口，选择： Inside the organization.
   2. 点击 OK.
7. 点击 More options...
8. 点击 add condition 按钮并插入第二个条件：
   1. 选择 The recipient...
   2. 选择： Is external/internal.
   3. 对于“选择发件人位置”弹出窗口，选择： Outside the organization .
   4. 点击 OK.
9. 对于*执行以下操作……，选择： Redirect the message to...
   1. 选择：以下连接器。
   2. 并选择Outbound to Cisco CES连接器。
   3. Click OK.
10. 返回“*请执行以下操作……”并插入第二个操作：
    1. 选择： Modify the message properties...
    2. 选择： set the message header
    3. 设置邮件信头： X-OUTBOUND-AUTH.
    4. 点击 OK.
    5. 设置值： mysecretkey.
    6. 点击 OK.
11. 点击 Save.

注意：为防止来自Microsoft的未授权邮件，当邮件离开Microsoft 365域时，可以对x信头加密签名；在将信头传送到互联网之前，系统会评估和删除此信头。

Microsoft 365路由配置的示例如下：



最后，访问 Cisco Secure Email 网关的 CLI。  

注意：思科安全邮件云网关(Cisco Secure Email Cloud Gateway) >命令行界面(CLI)访问。

创建邮件过滤器以检查x报头的存在和值，并删除报头（如果存在）。 如果不存在信头，则丢弃该消息。

1. 通过CLI登录到网关。
2. 运行Filters 命令。
3. 如果您的网关是集群的，请点击return以在集群模式下编辑过滤器。
4. 使用New 命令创建邮件过滤器、复制和粘贴：
   
   

   office365_outbound: if sendergroup == "RELAYLIST" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }

5. 按回车键一次以创建新的空白行.
6. 在新行中输入 [.] 以结束新邮件过滤器。
7. 单击 return 一次退出“过滤器”菜单。
8. 运行Commit 命令以保存对配置所做的更改。

     

测试出站邮件

测试从您的Microsoft 365电子邮件地址发送到外部域收件人的出站邮件。您可以查看Cisco Secure Email and Web Manager中的邮件跟踪，以确保将其正确路由到出站。

注意：检查网关上的TLS配置(系统管理(System Administration) > SSL配置)和用于出站SMTP的密码。思科最佳实践建议：



HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

       

成功传送的跟踪示例：

点击More Details 可查看完整的消息详细信息：

X 信头不匹配的邮件跟踪示例：

相关信息 

思科安全电邮网关文档

• 版本说明
• 用户指南
• CLI参考指南
• 思科安全邮件网关API编程指南
• 思科安全邮件网关中使用的开源
• 思科内容安全虚拟设备安装指南（包括vESA）

安全电邮云网关文档

• 版本说明
• 用户指南

Cisco Secure Email and Web Manager文档

• 版本说明和兼容性列表
• 用户指南
• Cisco Secure Email and Web Manager API编程指南
• 思科内容安全虚拟设备安装指南（包括vSMA）

Cisco Secure产品文档

• 思科安全产品组合命名架构