Konfigurieren von Microsoft 365 mit sicherer E-Mail

Aktualisiert:28. November 2023
Dokument-ID:214812

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Konfigurationsschritte zur Integration von Microsoft 365 in Cisco Secure Email für die ein- und ausgehende E-Mail-Zustellung beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    Verwendete Komponenten

    Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Dieses Dokument kann für lokale Gateways oder Cisco Cloud Gateways verwendet werden.

    Wenn Sie Cisco Secure Email-Administrator sind, enthält Ihr Begrüßungsschreiben Ihre Cloud Gateway-IP-Adressen und andere relevante Informationen. Zusätzlich zu dem hier angezeigten Brief erhalten Sie eine verschlüsselte E-Mail, die Ihnen zusätzliche Informationen zur Anzahl der für Ihre Zuweisung bereitgestellten Cloud Gateways (auch bekannt als ESA) und Cloud E-Mail- und Web-Manager (auch bekannt als SMA) liefert. Wenn Sie den Brief noch nicht erhalten haben oder über keine Kopie verfügen, wenden Sie sich an  ces-activations@cisco.com mit Ihren Kontaktinformationen und Ihrem Domainnamen unter Service.

         

    CES Letter Example

         

    Jeder Client verfügt über dedizierte IPs. Sie können die zugewiesenen IP-Adressen oder Hostnamen aus der Microsoft 365-Konfiguration verwenden.

    Hinweis: Es wird dringend empfohlen, vor einer geplanten Umstellung der E-Mail-Produktion zu testen, da die Replikation von Konfigurationen in der Microsoft 365 Exchange-Konsole Zeit in Anspruch nimmt. Warten Sie mindestens eine Stunde, bis alle Änderungen wirksam werden.

    Hinweis: Die IP-Adressen in der Screenshot-Erfassung stehen im Verhältnis zur Anzahl der Cloud Gateways, die für Ihre Zuweisung bereitgestellt werden. Beispiele,  xxx.yy.140.105  die IP-Adresse der Data 1-Schnittstelle für Gateway 1 ist und  xxx.yy.150.1143  ist die IP-Adresse der Data 1-Schnittstelle für Gateway 2. IP-Adresse der Data 2-Schnittstelle für Gateway 1 ist  xxx.yy.143.186 und die IP-Adresse der Data 2-Schnittstelle für Gateway 2 ist xxx.yy.32.98. Wenn Ihr Begrüßungsschreiben keine Informationen zu Data 2 (ausgehende Schnittstellen-IPs) enthält, wenden Sie sich an Cisco TAC, um die Data 2-Schnittstelle zu Ihrer Zuweisung hinzuzufügen.

    Konfigurieren von Microsoft 365 mit sicherer E-Mail

    Konfigurieren von eingehenden E-Mails in Microsoft 365 über Cisco Secure Email

    Umgehen der Spam-Filterregel

    1. Melden Sie sich beim Microsoft 365 Admin Center an (https://portal.microsoft.com).
    2. Erweitern Sie im Menü auf der linken Seite Admin Centers.
    3. Klicken Sie auf Exchange.
    4. Navigieren Sie im Menü links zu Mail flow > Rules.
    5. Klicken Sie auf [+] um eine neue Regel zu erstellen.
    6. Auswählen Bypass spam filtering... aus der Dropdown-Liste aus.
    7. Geben Sie einen Namen für die neue Regel ein: Bypass spam filtering - inbound email from Cisco CES.
    8. Wählen Sie für *Diese Regel anwenden, wenn... The sender - IP address is in any of these ranges or exactly matches.
      1. Fügen Sie in dem Popup-Fenster zur Angabe des IP-Adressbereichs die IP-Adressen hinzu, die in Ihrem Cisco Secure Email-Begrüßungsschreiben angegeben sind.
      2. Klicken Sie auf OK.
    9. Für *Do the following... wurde die neue Regel vorausgewählt: Set the spam confidence level (SCL) to... - Bypass spam filtering.
    10. Klicken Sie auf Save.

    Ein Beispiel für das Aussehen einer Regel:

    MSFT 365 Example 1

    Empfangs-Connector

    1. Verbleiben Sie im Exchange-Verwaltungscenter.
    2. Navigieren Sie im Menü links zu Mail flow > Connectors.
    3. Klicken Sie auf [+] um einen neuen Steckverbinder zu erstellen.
    4. Wählen Sie im Popup-Fenster "Mail-Fluss auswählen" Folgendes aus:
      1. Von: Partner organization
      2. Zu: Office365
    5. Klicken Sie auf Next.
    6. Geben Sie einen Namen für den neuen Connector ein: Inbound from Cisco CES.
    7. Geben Sie bei Bedarf eine Beschreibung ein.
    8. Klicken Sie auf Next.
    9. Klicken Sie auf Use the sender's IP address.
    10. Klicken Sie auf Next.
    11. Klicken Sie auf [+] und geben Sie die IP-Adressen ein, die in Ihrem Cisco Secure Email-Begrüßungsschreiben angegeben sind.
    12. Klicken Sie auf Next.
    13. Auswählen Reject email messages if they aren't sent over Transport Layer Security (TLS).
    14. Klicken Sie auf Next.
    15. Klicken Sie auf Save.

    Ein Beispiel, wie Ihre Steckverbinderkonfiguration aussieht:

    MSFT 365 Example 2

    Konfigurieren von E-Mails aus Cisco Secure Email für Microsoft 365

    Zielsteuerelemente

    Setze eine Selbstdrosselung in eine Zustellungsdomäne in den Zielsteuerelementen ein. Natürlich können Sie die Drosselung später entfernen, aber dies sind neue IPs zu Microsoft 365, und Sie wollen keine Drosselung durch Microsoft aufgrund seiner unbekannten Reputation.

    1. Melden Sie sich bei Ihrem Gateway an.
    2. Navigieren Sie zu Mail Policies > Destination Controls.
    3. Klicken Sie auf  Add Destination.
    4. Nutzung:
      1. Ziel: Geben Sie Ihren Domänennamen ein.
      2. Concurrent Connections (Gleichzeitige Verbindungen): 10
      3. Maximum Messages Per Connection (Maximale Anzahl an Nachrichten pro Verbindung): 20
      4. TLS Support (TLS-Unterstützung): Preferred
    5. Klicken Sie auf Submit.
    6. Klicken Sie auf  Commit Changes in der rechten oberen Ecke der Benutzeroberfläche, um Ihre Konfigurationsänderungen zu speichern.

    Ein Beispiel für das Aussehen der Zielsteuerelementtabelle:

    Cisco Secure Email Example 1

    Recipient Access Table

    Legen Sie als Nächstes die Recipient Access Table (RAT) fest, um E-Mails für Ihre Domänen zu akzeptieren:

    1. Navigieren Sie zu Mail Policies > Recipient Access Table (RAT).

      Hinweis: Stellen Sie sicher, dass der Listener für den eingehenden Listener, die eingehendeMail oder den MailFlow verwendet wird, basierend auf dem tatsächlichen Namen des Listeners für den primären E-Mail-Fluss.

    2. Klicken Sie auf Add Recipient.
    3. Fügen Sie Ihre Domänen im Feld Empfängeradresse hinzu.
    4. Wählen Sie die Standardaktion Accept.
    5. Klicken Sie auf Submit.
    6. Klicken Sie auf  Commit Changes in der oberen rechten Ecke der Benutzeroberfläche ein, um Ihre Konfigurationsänderungen zu speichern.

    Ein Beispiel für den RAT-Eintrag:

    Cisco Secure Email Example 2

         

    SMTP-Routen

    Legen Sie die SMTP-Route für die Zustellung von E-Mails von Cisco Secure Email an Ihre Microsoft 365-Domäne fest:

    1. Navigieren Sie zu Network > SMTP Routes.
    2. Klicken Sie auf Add Route...
    3. Domäne: Geben Sie Ihren Domänennamen ein.
    4. Ziel-Hosts: fügen Sie Ihre ursprüngliche Microsoft 365 MX-Datensatz.
    5. Klicken Sie auf Submit.
    6. Klicken Sie auf  Commit Changes in der oberen rechten Ecke der Benutzeroberfläche ein, um Ihre Konfigurationsänderungen zu speichern.

    Ein Beispiel für die SMTP-Routeneinstellungen:

    Cisco Secure Email Example 3

    DNS-Konfiguration (MX-Eintrag)

    Sie sind bereit, die Domäne durch eine Änderung der Mail Exchange (MX)-Datensätze zu entfernen. Lösen Sie Ihre MX-Datensätze zusammen mit Ihrem DNS-Administrator unter den IP-Adressen Ihrer Cisco Secure Email Cloud-Instanz auf, wie in Ihrem Begrüßungsschreiben zu Cisco Secure Email angegeben.

    Überprüfen Sie auch die Änderung des MX-Datensatzes von der Microsoft 365-Konsole aus:

    1. Melden Sie sich bei der Microsoft 365-Administratorkonsole an (https://admin.microsoft.com).
    2. Navigieren Sie zu Home > Settings > Domains.
    3. Wählen Sie Ihren Standard-Domänennamen aus.
    4. Klicken Sie auf Check Health.

    Hier finden Sie die aktuellen MX-Datensätze, die zeigen, wie Microsoft 365 Ihre DNS- und MX-Datensätze sucht, die mit Ihrer Domäne verknüpft sind:

    MSFT 365 Example 3

    Hinweis: In diesem Beispiel wird der DNS von Amazon Web Services (AWS) gehostet und verwaltet. Als Administrator sollten Sie eine Warnung erwarten, wenn Ihr DNS außerhalb des Microsoft 365-Kontos gehostet wird. Sie können Warnungen ignorieren wie: "Wir haben nicht erkannt, dass Sie neue Datensätze zu your_domain_here.com hinzugefügt haben. Vergewissern Sie sich, dass die von Ihnen auf Ihrem Host erstellten Datensätze mit den hier gezeigten übereinstimmen..."  Durch die schrittweisen Anweisungen werden die MX-Datensätze auf den ursprünglichen Wert zurückgesetzt, der für die Umleitung an Ihr Microsoft 365-Konto konfiguriert war. Das Cisco Secure Email Gateway wird aus dem eingehenden Datenverkehrsfluss entfernt.

    Eingehende E-Mails testen

    Testen Sie eingehende E-Mails an Ihre Microsoft 365-E-Mail-Adresse. Überprüfen Sie dann, ob es in Ihrem Microsoft 365 E-Mail-Posteingang ankommt.

    Validieren Sie die E-Mail-Protokolle in der Nachrichtenverfolgung auf Ihrem Cisco Secure Email und Web Manager (auch SMA genannt), der mit Ihrer Instanz bereitgestellt wird.

    So zeigen Sie E-Mail-Protokolle Ihres SMA an:

    1. Melden Sie sich bei Ihrer SMA an (https://sma.iphmx.com/ng-login).
    2. Klicken Sie auf  Tracking.
    3. Geben Sie die erforderlichen Suchkriterien ein, und klicken Sie auf Search; und erwarten solche Ergebnisse:

    Cisco Secure Email Example 4

    So zeigen Sie E-Mail-Protokolle in Microsoft 365 an:

    1. Melden Sie sich beim Microsoft 365 Admin Center an (https://admin.microsoft.com).
    2. Erweitern Admin Centers.
    3. Klicken Sie auf Exchange.
    4. Navigieren Sie zu Mail flow > Message trace.
    5. Microsoft stellt Standardkriterien für die Suche bereit. Wählen Sie z. B. Messages received by my primary domain in the last day um Ihre Suchanfrage zu starten.
    6. Geben Sie die erforderlichen Suchkriterien für Empfänger ein, und klicken Sie auf Search und ähnliche Ergebnisse erwarten wie:

    MSFT 365 Example 4

    Konfigurieren von ausgehenden E-Mails aus Microsoft 365 für Cisco Secure Email

    Konfigurieren von RELAYLIST auf Cisco Secure Email Gateway

    Weitere Informationen erhalten Sie in Ihrem Begrüßungsschreiben zu Cisco Secure Email. Darüber hinaus wird eine sekundäre Schnittstelle für ausgehende Nachrichten über Ihr Gateway angegeben.

    1. Melden Sie sich bei Ihrem Gateway an.
    2. Navigieren Sie zu Mail Policies > HAT Overview.

      Hinweis: Stellen Sie sicher, dass der Listener für den ausgehenden Listener, für ausgehendeMail oder für MailFlow-Ext vorhanden ist, basierend auf dem tatsächlichen Namen des Listeners für den externen/ausgehenden E-Mail-Fluss.

    3. Klicken Sie auf  Add Sender Group...
    4. Konfigurieren Sie die Absendergruppe als:
      1. Name: RELAY_O365
      2. Comment (Kommentar):  <<enter a comment if you wish to notate your sender group>>
      3. Richtlinie: RELAYED
      4. Klicken Sie auf  Submit and Add Senders.
      5. Absender: .protection.outlook.com

        Hinweis: Die . (Punkt) am Anfang des Absender-Domänennamens erforderlich.

      6. Klicken Sie auf Submit.
      7. Klicken Sie auf  Commit Changes in der oberen rechten Ecke der Benutzeroberfläche ein, um Ihre Konfigurationsänderungen zu speichern.

    Ein Beispiel für das Aussehen Ihrer Absendergruppeneinstellungen:

    Cisco Secure Email Example 5

    Aktivieren von TLS

    1. Klicken Sie auf < .
    2. Klicken Sie auf folgende Mailflow-Richtlinie: RELAYED.
    3. Blättern Sie nach unten, und sehen Sie in die Security Features Abschnitt für Encryption and Authentication.
    4. Wählen Sie für TLS Folgendes aus: Preferred.
    5. Klicken Sie auf Submit.
    6. Klicken Sie auf  Commit Changes in der oberen rechten Ecke der Benutzeroberfläche ein, um Ihre Konfigurationsänderungen zu speichern.
      7.

    Ein Beispiel für die Konfiguration der Mail Flow Policy:

    Cisco Secure Email Example 6

    Konfigurieren von E-Mails von Microsoft 365 nach CES

    1. Melden Sie sich beim Microsoft 365 Admin Center an (https://admin.microsoft.com).
    2. Erweitern Admin Centers.
    3. Klicken Sie auf Exchange.
    4. Navigieren Sie zu Mail flow > Connectors.
    5. Klicken Sie auf [+] um einen neuen Steckverbinder zu erstellen.
    6. Wählen Sie im Popup-Fenster "Mail-Fluss auswählen" Folgendes aus:
      1. Von: Office365
      2. Zu:Partner organization
    7. Klicken Sie auf Next.
    8. Geben Sie einen Namen für den neuen Connector ein: Outbound to Cisco CES.
    9. Geben Sie bei Bedarf eine Beschreibung ein.
    10. Klicken Sie auf Next.
    11. Für Wann möchten Sie diesen Connector verwenden?:
      1. Auswahl: Only when I have a transport rule set up that redirects messages to this connector.
      2. Klicken Sie auf Next
    12. Klicken Sie auf Route email through these smart hosts.
    13. Klicken Sie auf [+] und geben Sie die ausgehenden IP-Adressen oder Hostnamen ein, die in Ihrem CES-Begrüßungsschreiben angegeben sind.
    14. Klicken Sie auf  Save.
    15. Klicken Sie auf  Next.
    16. Wie sollte Office 365 mit dem E-Mail-Server Ihrer Partnerorganisation verbunden werden?
      1. Auswahl: Always use TLS to secure the connection (recommended).
      2. AuswählenAny digital certificate, including self-signed certificates.
      3. Klicken Sie auf Next.
    17. Der Bestätigungsbildschirm wird angezeigt.
    18. Klicken Sie auf  Next.
    19. Nutzung [+] um eine gültige E-Mail-Adresse einzugeben, und klicken Sie auf OK.
    20. Klicken Sie auf Validate und das Ausführen der Validierung zulassen.
    21. Nach Abschlusslecken Close.
    22. Klicken Sie auf Save.
      23.

    Ein Beispiel für den Outbound Connector:

    MSFT 365 Example 5

    Erstellen einer Mailflow-Regel

    1. Melden Sie sich bei Ihrem Exchange Admin Center an (https://outlook.office365.com).
    2. Klicken Sie auf  mail flow; achten Sie darauf, auf der Registerkarte "Regeln".
    3. Klicken Sie auf [+] um eine neue Regel hinzuzufügen.
    4. Auswählen Create a new rule.
    5. Geben Sie einen Namen für die neue Regel ein: Outbound to Cisco CES.
    6. Für *Diese Regel anwenden, wenn... wählen Sie: The sender is located...
      1. Wählen Sie im Popup-Fenster "Absenderstandort auswählen" Folgendes aus: Inside the organization.
      2. Klicken Sie auf OK.
    7. Klicken Sie auf More options...
    8. Klicken Sie auf add condition und fügen Sie eine zweite Bedingung ein:
      1. Auswählen The recipient...
      2. Auswahl: Is external/internal.
      3. Wählen Sie im Popup-Fenster "Absenderstandort auswählen" Folgendes aus: Outside the organization .
      4. Klicken Sie auf OK.
    9. Wählen Sie für * Folgendes aus: Redirect the message to...
      1. Wählen Sie den folgenden Steckverbinder aus.
      2. Wählen Sie den ausgehenden Anruf für den Cisco CES-Anschluss aus.
      3. Klicken Sie auf OK.
    10. Kehren Sie zu "*Do the following..." zurück, und fügen Sie eine zweite Aktion ein:
      1. Auswahl: Modify the message properties...
      2. Auswahl: set the message header
      3. Legen Sie folgenden Nachrichten-Header fest: X-OUTBOUND-AUTH.
      4. Klicken Sie auf  OK.
      5. Legen Sie den Wert fest: mysecretkey.
      6. Klicken Sie auf OK.
    11. Klicken Sie auf Save.
      12.

    Hinweis: Um nicht autorisierte Nachrichten von Microsoft zu verhindern, kann ein geheimer x-Header gestempelt werden, wenn Nachrichten Ihre Microsoft 365-Domäne verlassen. Dieser Header wird ausgewertet und vor der Zustellung an das Internet entfernt.

    Ein Beispiel für die Microsoft 365 Routing-Konfiguration:

    MSFT 365 Example 6

    Greifen Sie abschließend auf die CLI für Cisco Secure Email Gateway zu.

    Hinweis: Cisco Secure Email Cloud Gateway > CLI-Zugriff (Command Line Interface).

    Erstellen Sie einen Nachrichtenfilter, um das Vorhandensein und den Wert des X-Headers zu überprüfen, und entfernen Sie den Header, falls vorhanden. Wenn kein Header vorhanden ist, soll die Nachricht verworfen werden.

    1. Melden Sie sich über die CLI bei Ihrem Gateway an.
    2. Führen Sie Filters aus.
    3. Wenn Ihr Gateway geclustert ist, tippen Sie auf Return (Zurück), um die Filter im Clustermodus zu bearbeiten.
    4. Verwenden Sie New um einen Nachrichtenfilter zu erstellen, zu kopieren und einzufügen:

      office365_outbound: if sendergroup == "RELAYLIST" {
      if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
      strip-header("X-OUTBOUND-AUTH");
      } else {
      drop();
      }
      }
    5. Klicken Sie auf Return (Rücklauf), um eine neue, leere Zeile zu erstellen.
    6. Eingabe [.] um den neuen Nachrichtenfilter zu beenden.
    7. Klicken Sie auf return einmal aus dem Menü Filters (Filter).
    8. Führen Sie Commit um die Änderungen an Ihrer Konfiguration zu speichern.
      9.
    note-icon

    Hinweis: Vermeiden Sie Sonderzeichen für den geheimen Schlüssel. Die im Nachrichtenfilter gezeigten Zeichen ^ und $ sind reguläre Zeichen und werden wie im Beispiel angegeben verwendet.
    note-icon

    Hinweis: Überprüfen Sie den Namen der RELAYLIST-Konfiguration. Es kann mit einem alternativen Namen konfiguriert werden, oder Sie können einen bestimmten Namen haben, der auf Ihrer Relay-Richtlinie oder Ihrem Mail-Provider basiert.

         

    Ausgehende E-Mails testen

    Testen Sie ausgehende E-Mails von Ihrer Microsoft 365-E-Mail-Adresse an einen externen Domänenempfänger. Sie können die Nachrichtenverfolgung über Ihren Cisco Secure Email und Web Manager überprüfen, um sicherzustellen, dass der ausgehende Datenverkehr ordnungsgemäß weitergeleitet wird.

    Hinweis: Überprüfen Sie Ihre TLS-Konfiguration (Systemverwaltung > SSL-Konfiguration) für das Gateway und die für ausgehendes SMTP verwendeten Chiffren. Cisco Best Practices empfiehlt Folgendes:

    HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

           

    Beispiel für die Nachverfolgung bei erfolgreicher Zustellung:

    Cisco Secure Email Example 7

    Klicken Sie auf  More Details um die vollständigen Nachrichtendetails anzuzeigen:

    Cisco Secure Email Example 8

    Beispiel für die Nachrichtenverfolgung, bei dem der x-Header nicht übereinstimmt:

    Cisco Secure Email Example 9

    Cisco Secure Email Example 10

    Zugehörige Informationen 

    Cisco Secure Email Gateway-Dokumentation

    Secure Email Cloud Gateway - Dokumentation

    Cisco Secure Email und Web Manager-Dokumentation

    Cisco Secure-Produktdokumentation

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    6.0
    28-Nov-2023
    Maschinelle Übersetzung und Formatierung.
    5.0
    01-Dec-2022
    Aktualisierungen der Produktbenennung, Screenshot-Aktualisierungen
    1.0
    13-Aug-2021
    Erstveröffentlichung

    Beigetragen von

    • Alex Chan
      Technical Marketing Engineer Cisco Secure Email
    • Robert Sherwin
      Technical Marketing Engineer Cisco Secure Email
    • Anvitha Prabhu
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.