Konfigurieren von Microsoft 365 mit sicherer E-Mail

Aktualisiert:1. Dezember 2022
Dokument-ID:214812

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Konfigurationsschritte zur Integration von Microsoft 365 in Cisco Secure Email für die ein- und ausgehende E-Mail-Zustellung beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    Verwendete Komponenten

    Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.

    Hintergrundinformationen

    Dieses Dokument kann für lokale Gateways oder Cisco Cloud Gateways verwendet werden.

    Wenn Sie Cisco Secure Email-Administrator sind, enthält Ihr Begrüßungsschreiben Ihre Cloud Gateway-IP-Adressen und andere relevante Informationen. Zusätzlich zu dem hier angezeigten Brief erhalten Sie eine verschlüsselte E-Mail, die Ihnen zusätzliche Informationen zur Anzahl der für Ihre Zuweisung bereitgestellten Cloud Gateways (auch bekannt als ESA) und Cloud E-Mail- und Web-Manager (auch bekannt als SMA) liefert. Wenn Sie den Brief noch nicht erhalten haben oder keine Kopie davon haben, wenden Sie sich bitte an  ces-activations@cisco.com mit Ihren Kontaktinformationen und Ihrem Domainnamen unter Service.

         

    CES Letter Example

         

    Jeder Client verfügt über dedizierte IPs. Sie können die zugewiesenen IPs oder Hostnamen in der Microsoft 365-Konfiguration verwenden.

    Hinweis: Es wird dringend empfohlen, vor einer geplanten Umstellung der E-Mail-Produktion zu testen, da die Replikation von Konfigurationen in der Microsoft 365 Exchange-Konsole Zeit in Anspruch nimmt. Warten Sie mindestens eine Stunde, bis alle Änderungen wirksam werden.

    Hinweis: Die IP-Adressen in der Screenshot-Erfassung stehen im Verhältnis zur Anzahl der für Ihre Zuweisung bereitgestellten Cloud Gateways. Beispiele,  xxx.yy.140.105 die IP-Adresse der Data 1-Schnittstelle für Gateway 1 ist und  xxx.yy.150.1143 ist die IP-Adresse der Data 1-Schnittstelle für Gateway 2. IP-Adresse der Data 2-Schnittstelle für Gateway 1 ist  xxx.yy.143.186und die IP-Adresse der Data 2-Schnittstelle für Gateway 2 ist xxx.yy.32.98. Wenn Ihr Begrüßungsschreiben keine Informationen zu Data 2 (ausgehende Schnittstellen-IPs) enthält, wenden Sie sich an Cisco TAC, um die Data 2-Schnittstelle zu Ihrer Zuweisung hinzuzufügen.

    Konfigurieren von Microsoft 365 mit sicherer E-Mail

    Eingehende E-Mails in Microsoft 365 über Cisco Secure Email konfigurieren

    Spam-Filterungsregel umgehen

    1. Melden Sie sich beim Microsoft 365 Admin Center an (https://portal.microsoft.com).
    2. Erweitern Sie im Menü auf der linken Seite Admin Centers.
    3. Klicken Sie auf Exchange.
    4. Navigieren Sie im Menü links zu Mail flow > Rules.
    5. Klicken Sie auf [+] um eine neue Regel zu erstellen.
    6. Auswählen Bypass spam filtering... aus der Dropdown-Liste aus.
    7. Geben Sie einen Namen für die neue Regel ein: Bypass spam filtering - inbound email from Cisco CES.
    8. Wählen Sie für '*Diese Regel anwenden, wenn...' Folgendes aus: The sender - IP address is in any of these ranges or exactly matches.
      1. Fügen Sie im Popup-Fenster "Specify IP address ranges" die im Begrüßungsschreiben von Cisco Secure Email angegebenen IP-Adressen hinzu.
      2. Klicken Sie auf OK.
    9. Für '*Folgendes tun...' wurde die neue Regel vorausgewählt: Set the spam confidence level (SCL) to... - Bypass spam filtering.
    10. Klicken Sie auf Save.

    Ein Beispiel für das Aussehen einer Regel:

    MSFT 365 Example 1

    Empfangsanschluss

    1. Verbleiben Sie im Exchange-Verwaltungscenter.
    2. Navigieren Sie im Menü links zu Mail flow > Connectors.
    3. Klicken Sie auf [+] um einen neuen Steckverbinder zu erstellen.
    4. Wählen Sie im Popup-Fenster "Mail-Fluss-Szenario auswählen" Folgendes aus:
      1. Von: Partner organization
      2. Zu: Office365
    5. Klicken Sie auf Next.
    6. Geben Sie einen Namen für den neuen Connector ein: Inbound from Cisco CES.
    7. Geben Sie bei Bedarf eine Beschreibung ein.
    8. Klicken Sie auf Next.
    9. Klicken Sie auf Use the sender's IP address.
    10. Klicken Sie auf Next.
    11. Klicken Sie auf [+] und geben Sie die IP-Adressen ein, die in Ihrem Cisco Secure Email-Begrüßungsschreiben angegeben sind.
    12. Klicken Sie auf Next.
    13. Auswählen Reject email messages if they aren't sent over Transport Layer Security (TLS).
    14. Klicken Sie auf Next.
    15. Klicken Sie auf Save.

    Ein Beispiel, wie Ihre Steckverbinderkonfiguration aussieht:

    MSFT 365 Example 2

    Konfigurieren von E-Mails von Cisco Secure Email an Microsoft 365

    Zielsteuerelemente

    Setze eine Selbstdrosselung in eine Zustellungsdomäne in den Zielsteuerelementen ein. Natürlich können Sie die Drosselung später entfernen, aber dies sind "neue" IPs zu Microsoft 365, und Sie wollen keine Drosselung durch Microsoft aufgrund seiner unbekannten Reputation.

    1. Melden Sie sich bei Ihrem Gateway an.
    2. Navigieren Sie zu Mail Policies > Destination Controls.
    3. Klicken Sie auf  Add Destination.
    4. Nutzung:
      1. Ziel: Geben Sie Ihren Domänennamen ein.
      2. Gleichzeitige Verbindungen: 10
      3. Maximale Anzahl Nachrichten pro Verbindung: 20
      4. TLS-Unterstützung: Preferred
    5. Klicken Sie auf Submit.
    6. Klicken Sie auf  Commit Changes in der rechten oberen Ecke der Benutzeroberfläche, um Ihre Konfigurationsänderungen zu speichern.

    Ein Beispiel für das Aussehen der Zielsteuerelementtabelle:

    Cisco Secure Email Example 1

    RAT

    Legen Sie als Nächstes die Recipient Access Table (RAT) fest, um E-Mails für Ihre Domänen zu akzeptieren:

    1. Navigieren Sie zu Mail Policies > Recipient Access Table (RAT).

      Hinweis: Stellen Sie sicher, dass der Listener für 'Incoming Listener', 'IncomingMail' oder 'MailFlow' steht, basierend auf dem tatsächlichen Namen Ihres Listener für Ihren primären E-Mail-Fluss.

    2. Klicken Sie auf Add Recipient.
    3. Fügen Sie Ihre Domänen im Feld Empfängeradresse hinzu.
    4. Wählen Sie die Standardaktion Accept.
    5. Klicken Sie auf Submit.
    6. Klicken Sie auf  Commit Changes in der oberen rechten Ecke der Benutzeroberfläche ein, um Ihre Konfigurationsänderungen zu speichern.

    Ein Beispiel für den RAT-Eintrag:

    Cisco Secure Email Example 2

         

    SMTP-Routen

    Legen Sie die SMTP-Route für die Zustellung von E-Mails von Cisco Secure Email an Ihre Microsoft 365-Domäne fest:

    1. Navigieren Sie zu Network > SMTP Routes.
    2. Klicken Sie auf Add Route...
    3. Domäne: Geben Sie Ihren Domänennamen ein.
    4. Ziel-Hosts: fügen Sie Ihre ursprüngliche Microsoft 365 MX-Datensatz.
    5. Klicken Sie auf Submit.
    6. Klicken Sie auf  Commit Changes in der oberen rechten Ecke der Benutzeroberfläche ein, um Ihre Konfigurationsänderungen zu speichern.

    Ein Beispiel für die SMTP-Routeneinstellungen:

    Cisco Secure Email Example 3

    DNS-Konfiguration (MX-Datensatz)

    Sie sind bereit, die Domäne durch eine Änderung der Mail Exchange (MX)-Datensätze zu entfernen. Lösen Sie Ihre MX-Datensätze zusammen mit Ihrem DNS-Administrator unter den IP-Adressen Ihrer Cisco Secure Email Cloud-Instanz auf, wie in Ihrem Begrüßungsschreiben zu Cisco Secure Email angegeben.

    Überprüfen Sie auch die Änderung des MX-Datensatzes von der Microsoft 365-Konsole aus:

    1. Melden Sie sich bei der Microsoft 365-Administratorkonsole an (https://admin.microsoft.com).
    2. Navigieren Sie zu Home > Settings > Domains.
    3. Wählen Sie Ihren Standard-Domänennamen aus.
    4. Klicken Sie auf Check Health.

    Hier finden Sie die aktuellen MX-Datensätze, die zeigen, wie Microsoft 365 Ihre DNS- und MX-Datensätze sucht, die Ihrer Domäne zugeordnet sind:

    MSFT 365 Example 3

    Hinweis: In diesem Beispiel wird der DNS von Amazon Web Services (AWS) gehostet und verwaltet. Als Administrator sollten Sie eine Warnung erwarten, wenn Ihr DNS außerhalb des Microsoft 365-Kontos gehostet wird. Sie können Warnungen ignorieren wie: "Wir haben nicht erkannt, dass Sie neue Datensätze zu your_domain_here.com hinzugefügt haben. Vergewissern Sie sich, dass die auf Ihrem Host erstellten Datensätze mit den hier gezeigten übereinstimmen..." Die "Schritt-für-Schritt-Anleitungen" setzen die MX-Datensätze auf die ursprünglichen Einstellungen zurück, die für die Umleitung an Ihr Microsoft 365-Konto konfiguriert waren. Das Cisco Secure Email Gateway wird aus dem eingehenden Datenverkehr entfernt.

    Eingehende E-Mails testen

    Testen Sie eingehende E-Mails an Ihre Microsoft 365-E-Mail-Adresse. Überprüfen Sie dann, ob es in Ihrem Microsoft 365 E-Mail-Posteingang ankommt.

    Validieren Sie die E-Mail-Protokolle in der Nachrichtenverfolgung auf Ihrem Cisco Secure Email und Web Manager (auch SMA genannt), der mit Ihrer Instanz bereitgestellt wird.

    So zeigen Sie E-Mail-Protokolle auf Ihrem SMA an:

    1. Melden Sie sich bei Ihrer SMA an (https://sma.iphmx.com/ng-login).
    2. Klicken Sie auf  Tracking.
    3. Geben Sie die erforderlichen Suchkriterien ein, und klicken Sie auf Search; und erwarten solche Ergebnisse:

    Cisco Secure Email Example 4

    E-Mail-Protokolle in Microsoft 365 anzeigen:

    1. Melden Sie sich beim Microsoft 365 Admin Center an (https://admin.microsoft.com).
    2. Erweitern Admin Centers.
    3. Klicken Sie auf Exchange.
    4. Navigieren Sie zu Mail flow > Message trace.
    5. Microsoft bietet Standardkriterien für die Suche an, z. B.: Messages received by my primary domain in the last day um Ihre Suchanfrage zu starten.
    6. Geben Sie die erforderlichen Suchkriterien für Empfänger ein, und klicken Sie auf Search und ähnliche Ergebnisse erwarten wie:

    MSFT 365 Example 4

    Konfigurieren ausgehender E-Mails von Microsoft 365 auf Cisco Secure Email

    Konfigurieren der RELAYLIST auf dem Cisco Secure Email Gateway

    Weitere Informationen erhalten Sie in Ihrem Begrüßungsschreiben zu Cisco Secure Email. Darüber hinaus wird eine sekundäre Schnittstelle für ausgehende Nachrichten über Ihr Gateway angegeben.

    1. Melden Sie sich bei Ihrem Gateway an.
    2. Navigieren Sie zu Mail Policies > HAT Overview.

      Hinweis: Stellen Sie sicher, dass der Listener für 'Outgoing Listener', 'OutgoingMail' oder 'MailFlow-Ext' steht, basierend auf dem tatsächlichen Namen Ihres Listener für Ihren externen/ausgehenden E-Mail-Fluss.

    3. Klicken Sie auf  Add Sender Group...
    4. Konfigurieren Sie die Absendergruppe wie folgt:
      1. Name: RELAY_O365
      2. Kommentar: <<Geben Sie einen Kommentar ein, wenn Sie Ihre Absendergruppe mit Anmerkungen versehen möchten.>>
      3. Richtlinie: RELAYED
      4. Klicken Sie auf  Submit and Add Senders
      5. Absender: .protection.outlook.com

        Hinweis: Das "." (Punkt) am Anfang des Absender-Domänennamens ist erforderlich.

      6. Klicken Sie auf Submit
      7. Klicken Sie auf  Commit Changes oben rechts in der Benutzeroberfläche, um Ihre Konfigurationsänderungen zu speichern

    Ein Beispiel für das Aussehen Ihrer Absendergruppeneinstellungen:

    Cisco Secure Email Example 5

    TLS aktivieren

    1. Klicken Sie auf <
    2. Klicken Sie auf die Mail Flow Policy mit dem Namen: RELAYED.
    3. Blättern Sie nach unten, und sehen Sie in die Security Features Abschnitt für Encryption and Authentication.
    4. Wählen Sie für TLS: Preferred.
    5. Klicken Sie auf Submit.
    6. Klicken Sie auf  Commit Changes in der oberen rechten Ecke der Benutzeroberfläche ein, um Ihre Konfigurationsänderungen zu speichern.
      7.

    Ein Beispiel für die Konfiguration der Mail Flow Policy:

    Cisco Secure Email Example 6

    Konfigurieren von E-Mail von Microsoft 365 auf CES

    1. Melden Sie sich beim Microsoft 365 Admin Center an (https://admin.microsoft.com).
    2. Erweitern Admin Centers.
    3. Klicken Sie auf Exchange.
    4. Navigieren Sie zu Mail flow > Connectors.
    5. Klicken Sie auf [+] um einen neuen Steckverbinder zu erstellen.
    6. Wählen Sie im Popup-Fenster "Mail-Fluss-Szenario auswählen" Folgendes aus:
      1. Von: Office365
      2. Zu:Partner organization
    7. Klicken Sie auf Next.
    8. Geben Sie einen Namen für den neuen Connector ein: Outbound to Cisco CES.
    9. Geben Sie bei Bedarf eine Beschreibung ein.
    10. Klicken Sie auf Next.
    11. Für "Wann möchten Sie diesen Connector verwenden?":
      1. Auswahl: Only when I have a transport rule set up that redirects messages to this connector
      2. Klicken Sie auf Next
    12. Klicken Sie auf Route email through these smart hosts.
    13. Klicken Sie auf [+] und geben Sie die ausgehenden IP-Adressen oder Hostnamen ein, die in Ihrem CES-Begrüßungsschreiben angegeben sind.
    14. Klicken Sie auf  Save.
    15. Klicken Sie auf  Next.
    16. Für "Wie sollte Office 365 mit dem E-Mail-Server Ihrer Partnerorganisation verbunden werden?"
      1. Auswahl: Always use TLS to secure the connection (recommended)
      2. AuswählenAny digital certificate, including self-signed certificates
      3. Klicken Sie auf Next
    17. Der Bestätigungsbildschirm wird angezeigt.
    18. Klicken Sie auf  Next.
    19. Nutzung [+] um eine gültige E-Mail-Adresse einzugeben, und klicken Sie auf OK.
    20. Klicken Sie auf Validate und das Ausführen der Validierung zulassen.
    21. Nach Abschlusslecken Close.
    22. Klicken Sie auf Save.

    Ein Beispiel für den Outbound Connector:

    MSFT 365 Example 5

    Mail Flow-Regel erstellen

    1. Melden Sie sich bei Ihrem Exchange Admin Center an (https://outlook.office365.com).
    2. Klicken Sie mail flow; achten Sie darauf, auf der Registerkarte "Regeln" angezeigt.
    3. Klicken Sie auf [+] um eine neue Regel hinzuzufügen.
    4. Auswählen Create a new rule.
    5. Geben Sie einen Namen für die neue Regel ein: Outbound to Cisco CES.
    6. Wählen Sie für '*Diese Regel anwenden, wenn...' Folgendes aus: The sender is located...
      1. Wählen Sie im Popup-Fenster "Absenderstandort auswählen" Folgendes aus: Inside the organization
      2. Klicken Sie auf OK
    7. Klicken Sie auf More options...
    8. Klicken Sie auf add condition und fügen Sie eine zweite Bedingung ein:
      1. Auswählen The recipient...
      2. Auswahl: Is external/internal
      3. Wählen Sie im Popup-Fenster "Absenderstandort auswählen" Folgendes aus: Outside the organization
      4. Klicken Sie auf OK
    9. Wählen Sie für '*Folgendes tun...' Folgendes aus: Redirect the message to...
      1. Wählen Sie den folgenden Steckverbinder
      2. Wählen Sie den Connector "Outbound to Cisco CES" aus.
      3. Klicken Sie auf OK
    10. Kehren Sie zu "*Do the following..." zurück, und fügen Sie eine zweite Aktion ein:
      1. Auswahl: Modify the message properties...
      2. Auswahl: set the message header
      3. Nachrichtenheader festlegen: X-OUTBOUND-AUTH
      4. Klicken Sie auf  OK
      5. Legen Sie den Wert fest: mysecretkey
      6. Klicken Sie auf OK
    11. Klicken Sie auf Save.

    Hinweis: Um nicht autorisierte Nachrichten von Microsoft zu verhindern, kann ein geheimer x-Header gestempelt werden, wenn Nachrichten Ihre Microsoft 365-Domäne verlassen. Dieser Header wird ausgewertet und vor der Zustellung an das Internet entfernt.

    Ein Beispiel für die Microsoft 365 Routing-Konfiguration:

    MSFT 365 Example 6

    Schließlich greifen Sie auf die Kommandozeile für Ihr Cisco Secure Email Gateway zu.

    Hinweis: Cisco Secure Email Cloud Gateway > CLI-Zugriff (Command Line Interface).

    Erstellen Sie einen Nachrichtenfilter, um das Vorhandensein und den Wert des X-Headers zu überprüfen, und entfernen Sie den Header, falls vorhanden. Wenn kein Header vorhanden ist, löschen Sie die Nachricht.

    1. Melden Sie sich über die CLI bei Ihrem Gateway an.
    2. Führen Sie Filters aus.
    3. Wenn Ihr Gateway geclustert ist, klicken Sie auf Return (Zurück), um die Filter im Cluster-Modus zu bearbeiten.
    4. Verwenden Sie New um einen Nachrichtenfilter zu erstellen, zu kopieren und einzufügen:

      office365_outbound: if sendergroup == "RELAYLIST" {
      if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
      strip-header("X-OUTBOUND-AUTH");
      } else {
      drop();
      }
      }
    5. Klicken Sie auf Return (Rücklauf), um eine neue, leere Zeile zu erstellen.
    6. Eingabe [.] um den neuen Nachrichtenfilter zu beenden.
    7. Klicken Sie auf return einmal aus dem Menü Filters (Filter).
    8. Führen Sie Commit um die Änderungen an Ihrer Konfiguration zu speichern.
    note-icon

    Hinweis: Vermeiden Sie Sonderzeichen für den geheimen Schlüssel. Die im Nachrichtenfilter gezeigten "^" und "$" sind reguläre Zeichen und werden wie im Beispiel angegeben verwendet.

    note-icon

    Hinweis: Überprüfen Sie den Namen der RELAYLIST-Konfiguration. Es kann mit einem alternativen Namen konfiguriert werden, oder Sie haben einen bestimmten Namen, der auf Ihrer Relay-Richtlinie oder Ihrem Mail-Anbieter basiert.

         

    Ausgehende E-Mails testen

    Testen Sie ausgehende E-Mails von Ihrer Microsoft 365-E-Mail-Adresse an einen externen Domänenempfänger. Sie können die Nachrichtenverfolgung über Ihren Cisco Secure Email und Web Manager überprüfen, um sicherzustellen, dass der ausgehende Datenverkehr ordnungsgemäß weitergeleitet wird.

    Hinweis: Überprüfen Sie Ihre TLS-Konfiguration (System Administration > SSL Configuration) auf dem Gateway und den für ausgehendes SMTP verwendeten Chiffren. Cisco Best Practices empfiehlt:

    HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

           

    Ein Beispiel für die Nachverfolgung bei erfolgreicher Zustellung:

    Cisco Secure Email Example 7

    Klicken Sie More Details um die vollständigen Nachrichtendetails anzuzeigen:

    Cisco Secure Email Example 8

    Ein Beispiel für die Nachrichtenverfolgung, bei der die X-Kopfzeile nicht übereinstimmt:

    Cisco Secure Email Example 9

    Cisco Secure Email Example 10

    Zusätzliche Informationen

    Cisco Secure Email Gateway-Dokumentation

    Secure Email Cloud Gateway - Dokumentation

    Cisco Secure Email und Web Manager-Dokumentation

    Cisco Secure-Produktdokumentation

    Cisco Secure Portfolio Naming Architecture

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    5.0
    01-Dec-2022
    Aktualisierungen der Produktbenennung, Screenshot-Aktualisierungen
    1.0
    13-Aug-2021
    Erstveröffentlichung

    Beigetragen von

    • Alex Chan
      Technical Marketing Engineer Cisco Secure Email
    • Robert Sherwin
      Technical Marketing Engineer Cisco Secure Email
    • Anvitha Prabhu
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.