Microsoft 365 configureren met beveiligde e-mail

Inleiding

In dit document worden de configuratiestappen beschreven voor de integratie van Microsoft 365 met Cisco Secure Email voor inkomende en uitgaande e-mail.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco Secure Email Gateway of Cloud Gateway
• Command Line Interface (CLI)-toegang tot uw Cisco Secure Email Cloud Gateway-omgeving:
  Cisco Secure Email Cloud Gateway > CLI-toegang (Command Line Interface)
• Microsoft 365
• Simple Mail Transfer Protocol (SMTP)
• Domain Name Server of Domain Name System (DNS)

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Dit document kan worden gebruikt voor on-premises Gateways of Cisco Cloud Gateways.

Als u een Cisco Secure Email-beheerder bent, bevat uw welkomstbrief uw IP-adressen van de Cloud Gateway en andere relevante informatie. Naast de brief die u hier ziet, wordt een gecodeerde e-mail naar u verzonden die u aanvullende informatie biedt over het aantal Cloud Gateway (ook bekend als ESA) en Cloud Email and Web Manager (ook bekend als SMA) dat is geleverd voor uw toewijzing. Als u geen kopie van de brief hebt ontvangen of niet hebt, neem dan contact opces-activations@cisco.commet uw contactgegevens en domeinnaam onder service.

Elke client heeft een eigen IP. U kunt de toegewezen IP-adressen of hostnamen gebruiken in de Microsoft 365-configuratie.

Opmerking: het wordt sterk aanbevolen om te testen voordat een geplande productie-mailcutover wordt uitgevoerd, omdat configuraties tijd kosten om te repliceren in de Microsoft 365 Exchange-console. Laat minimaal een uur voor alle wijzigingen van kracht worden.

Opmerking: de IP-adressen in de schermafbeelding zijn evenredig met het aantal Cloud Gateways dat is toegewezen aan uw toewijzing. Dit is bijvoorbeeld  xxx.yy.140.105  het IP-adres van de Data 1-interface voor Gateway 1 en het IP-adres van de Data 1-interface voor Gateway 2. Dit adres  xxx.yy.150.1143  is het IP-adres van de Data 1-interface voor Gateway 2. Het IP-adres van de Data 2-interface voor Gateway 1 is  xxx.yy.143.186 , en het IP-adres van de Data 2-interface voor Gateway 2 is xxx.yy.32.98hetzelfde. Als uw welkomstbrief geen informatie bevat voor Data 2 (uitgaande interface-IP's), neemt u contact op met Cisco TAC om de Data 2-interface aan uw toewijzing toe te voegen.

Microsoft 365 configureren met beveiligde e-mail

Inkomende e-mail vanuit Cisco Secure Email configureren in Microsoft 365

Spamfilterregel omzeilen

1. Meld u aan bij het Microsoft Exchange Admin Center
2. Navigeer in het menu aan de linkerkant naar Mail flow > Rules.
3. Klik op Add a rule om een nieuwe regel aan te maken.
4. Voer een naam in voor de nieuwe regel: Bypass spam filtering - inbound email from Cisco CES.
5. Voor *Pas deze regel toe als..., kies The sender - IP address is in any of these ranges or exactly matches.
   1. Voeg voor het pop-upvenster IP-adresbereiken opgeven de IP-adressen toe die zijn opgegeven in de welkomstbrief voor Cisco Secure Email.
   2. Klik op de knop OK.
6. Voor *Doe het volgende..., selecteer Modify the message properties  en kies set the spam confidence level (SCL)gebruiken Bypass spam filtering.
7. Klik op de knop Next
8. Selecteer Enforce en klik op Next
9. en Finish

Een voorbeeld van hoe je regel eruit ziet:

bypassregel

Ontvangende connector

1. Blijf in het Exchange-beheercentrum.
2. Navigeer in het menu aan de linkerkant naar Mail flow > Connectors.
3. Klik [+ Add a connector] om een nieuwe connector te maken.
4. Kies in het pop-upvenster Select your mail flow scenario (Selecteer uw e-mailstroomscenario):
   1. Van: Partner organization
   2. in: Office365
5. Klik op de knop Next.
6. Voer een naam in voor de nieuwe connector: Inbound from Cisco CES.
7. Voer desgewenst een beschrijving in.
8. Klik op de knop Next.
9. selecteren By verifying that the IP address of the sending...
10. Klik [+] en voeg de IP-adressen toe die zijn opgegeven in de welkomstbrief en die worden gebruikt in de regel voor het omzeilen van spam. 
11. Klik op de knop Next.
12. kiezen Reject email messages if they aren't sent over Transport Layer Security (TLS).
13. Klik op de knop Next.
14. Klik op de knop Save.
    
    

Een voorbeeld van hoe uw connectorconfiguratie eruit ziet:

Connector inbound

E-mail van Cisco Secure Email naar Microsoft 365 configureren

Besturingselementen voor bestemming

Stel een zelfgaspedaal in voor een bezorgdomein in uw bestemmingscontroles. Natuurlijk kunt u de gashendel later verwijderen, maar dit zijn nieuwe IP's voor Microsoft 365 en u wilt geen beperking door Microsoft vanwege de onbekende reputatie.

1. Log in op uw Gateway.
2. Navigeer naar Mail Policies > Destination Controls.
3. Klik op de knop  Add Destination.
4. Gebruik:
   1. Bestemming: voer uw domeinnaam in
   2. Gelijktijdige verbindingen: 10
   3. Maximum aantal berichten per verbinding: 20
   4. TLS-ondersteuning: Preferred
5. Klik op de knop Submit.
6. Klik Commit Changes in de rechterbovenhoek van de gebruikersinterface (UI) om uw configuratiewijzigingen op te slaan.

Een voorbeeld van hoe uw Bestemmingstafel eruitziet:

Toegangstabel voor ontvangers

Stel vervolgens de Recipient Access Table (RAT ofwel Toegangstabel voor ontvangers) in om e-mail voor uw domeinen te accepteren:

1. Navigeer naar Mail Policies > Recipient Access Table (RAT).

   Opmerking: zorg ervoor dat de Listener is voor Incoming Listener, IncomingMail of MailFlow, op basis van de werkelijke naam van uw Listener voor uw primaire e-mailstroom.

2. Klik op de knop Add Recipient.
3. Voeg uw domeinen toe in het veld Adres ontvanger.
4. Kies de standaardactie van Accept.
5. Klik op de knop Submit.
6. Klik Commit Changes in de rechterbovenhoek van de gebruikersinterface om uw configuratiewijzigingen op te slaan.

Een voorbeeld van hoe uw RAT-vermelding eruit ziet:

SMTP-routes

Stel de SMTP-route in om e-mail van Cisco Secure Email naar uw Microsoft 365-domein te verzenden:

1. Navigeer naar Network > SMTP Routes.
2. Klik op de knop Add Route...
3. Ontvangend domein: voer uw domeinnaam in.
4. Bestemmingshosts: voeg uw originele Microsoft 365 MX-record toe.
5. Klik op de knop Submit.
6. Klik Commit Changes in de rechterbovenhoek van de gebruikersinterface om uw configuratiewijzigingen op te slaan.

Een voorbeeld van hoe uw SMTP-routeinstellingen eruit zien:

Configuratie van DNS (MX-record)

U bent klaar om over het domein te snijden door een recordwijziging in Mail Exchange (MX). Werk samen met uw DNS-beheerder om uw MX-records op te lossen naar de IP-adressen voor uw Cisco Secure Email Cloud-exemplaar, zoals aangegeven in uw welkomstbrief voor Cisco Secure Email.

Controleer ook de wijziging in de MX-record vanaf uw Microsoft 365-console:

1. Meld u aan bij de Microsoft O365-beheerconsole.
2. Navigeer naar Home > Settings > Domains.
3. Kies uw standaard domeinnaam.
4. Klik op de knop Check Health.

Dit geeft de huidige MX-records weer van hoe Microsoft 365 uw DNS- en MX-records opzoekt die aan uw domein zijn gekoppeld:

Opmerking: In dit voorbeeld wordt de DNS gehost en beheerd door Amazon Web Services (AWS). Verwacht als beheerder een waarschuwing als uw DNS ergens buiten de Microsoft 365-account wordt gehost. Je kunt waarschuwingen negeren zoals: "We hebben niet gedetecteerd dat je nieuwe records hebt toegevoegd aan your_domain_here.com. Zorg ervoor dat de records die u op uw host hebt gemaakt, overeenkomen met de records die hier worden weergegeven..."  De stapsgewijze instructies herstellen de MX-records naar wat oorspronkelijk was geconfigureerd om naar uw Microsoft 365-account te leiden. Hiermee wordt de Cisco Secure Email Gateway verwijderd uit de inkomende verkeersstroom.

Inkomende e-mail testen

Test inkomende e-mail naar uw Microsoft 365-e-mailadres. Controleer vervolgens of het in uw Microsoft 365-e-mailinbox aankomt.

Valideer de e-maillogboeken in Berichtentracering op uw Cisco Secure Email and Web Manager (ook bekend als SMA) die bij uw exemplaar wordt geleverd.

U kunt e‑maillogboeken als volgt bekijken in uw SMA:

1. Log in op je SMA.
2. Klik op de knop  Tracking.
3. Voer de benodigde zoekcriteria in en klik Search;en verwacht dergelijke resultaten:

U kunt e‑maillogboeken als volgt bekijken in Microsoft 365:

1. Meld u aan bij het Microsoft Exchange Admin Center.
2. Navigeer naar Mail flow > Message trace.
3. Microsoft biedt standaardcriteria om mee te zoeken. Kies er bijvoorbeeld voor Messages received by my primary domain in the last day om uw zoekopdracht te starten.
4. Voer de benodigde zoekcriteria voor ontvangers in en klik op Search en verwacht resultaten die vergelijkbaar zijn met:

Uitgaande e-mail van Microsoft 365 configureren in Cisco Secure Email

RELAYLIST configureren op Cisco Secure Email Gateway

Raadpleeg uw welkomstbrief voor Cisco Secure Email. Daarnaast wordt een secundaire interface opgegeven voor uitgaande berichten via uw Gateway.

1. Log in op uw Gateway.
2. Navigeer naar Mail Policies > HAT Overview.



   Opmerking: zorg ervoor dat de Listener is voor uitgaande luisteraar, uitgaande e-mail of MailFlow-Ext, op basis van de werkelijke naam van uw Listener voor uw externe / uitgaande e-mailstroom.

3. Klik op de knop  Add Sender Group...
4. Configureer de afzendersgroep als volgt:
   1. Naam: RELAY_O365
   2. Commentaar: <<Geef een opmerking op als u uw afzendergroep wilt noteren>>
   3. Beleid: GERELATEERD
   4. Klik op de knop  Submit and Add Senders.
   5. Afzender: .protection.outlook.com
      

      Opmerking: de . (punt) aan het begin van de naam van het afzenderdomein is vereist.

   6. Klik op de knop Submit.
   7. Klik Commit Changes in de rechterbovenhoek van de gebruikersinterface om uw configuratiewijzigingen op te slaan.

Een voorbeeld van hoe de instellingen van de afzendergroep eruit zien:

TLS inschakelen

1. Klik op de knop <.
2. Klik op het E-mailstroombeleid met de naam: RELAYED.
3. Scroll naar beneden en kijk in het Security Features gedeelte voor Encryption and Authentication.
4. Kies het volgende voor TLS: Preferred.
5. Klik op de knop Submit.
6. Klik Commit Changes in de rechterbovenhoek van de gebruikersinterface om uw configuratiewijzigingen op te slaan.

Een voorbeeld van hoe de configuratie van het e-mailstroombeleid eruit ziet:

E-mail configureren van Microsoft 365 naar CES

1. Meld u aan bij het Microsoft Exchange Admin Center.
2. Navigeer naar Mail flow > Connectorsde.
3. Klik[+ Add a connetor]om een nieuwe connector te maken.
4. Kies in het pop-upvenster Select your mail flow scenario (Selecteer uw e-mailstroomscenario):
   1. Van: Office365
   2. in:Partner organization
5. Klik op de knop Next.
6. Voer een naam in voor de nieuwe connector: Outbound to Cisco CES.
7. Voer desgewenst een beschrijving in.
8. Klik op de knop Next.
9. Wanneer wilt u deze connector gebruiken?:
   1. Kies: Only when I have a transport rule set up that redirects messages to this connector.
   2. Klik op de knop Next. 
10. Klik op de knop Route email through these smart hosts.
11. Klik [+] en voer de uitgaande IP-adressen of hostnamen in die in uw CES-welkomstbrief worden vermeld.
12. Klik op de knop  Save.
13. Klik op de knop  Next.
14. Hoe kan Office 365 verbinding maken met de e-mailserver van uw partnerorganisatie?
    1. Kies: Always use TLS to secure the connection (recommended).
    2. kiezenAny digital certificate, including self-signed certificates.
    3. Klik op de knop Next.
15. U krijgt het bevestigingsscherm te zien.
16. Klik op de knop  Next.
17. Gebruik [+] dit om een geldig e-mailadres in te voeren en klik op OK.
18. Klik Validate en laat de validatie uitvoeren.
19. Als u klaar bent, klikt u op
20. Klik op de knop Save.

Een voorbeeld van hoe uw uitgaande connector eruit ziet:

Een e-mailstroomregel maken

1. Meld u aan bij uw Exchange-beheercentrum.
2. Klik erop mail flow;dat u op het tabblad Regels bent.
3. Klik [+] om een nieuwe regel toe te voegen.
4. kiezen Create a new rule.
5. Voer een naam in voor de nieuwe regel: Outbound to Cisco CES.
6. Voor *Pas deze regel toe als..., kies: The sender is located...
   1. Kies voor het pop-upvenster Locatie van geselecteerde afzender: Inside the organization.
   2. Klik op de knop OK.
7. Klik op de knop More options...
8. Klik op de add condition knop en voeg een tweede voorwaarde in:
   1. kiezen The recipient...
   2. Kies: Is external/internal.
   3. Kies voor het pop-upvenster Locatie van geselecteerde afzender: Outside the organization .
   4. Klik op de knop OK.
9. Voor *Doe het volgende..., kies: Redirect the message to...
   1. Selecteer: de volgende connector.
   2. En selecteer uw Outbound to Cisco CES-connector.
   3. Klik op OK.
10. Ga terug naar "*Doe het volgende..." en plaats een tweede actie:
    1. Kies: Modify the message properties...
    2. Kies: set the message header
    3. Stel de berichtkop in: X-OUTBOUND-AUTH.
    4. Klik op de knop  OK.
    5. Stel de waarde in: mysecretkey.
    6. Klik op de knop OK.
11. Klik op de knop Save.

Opmerking: om ongeautoriseerde berichten van Microsoft te voorkomen, kan een geheime x-header worden gestempeld wanneer berichten uw Microsoft 365-domein verlaten; deze header wordt geëvalueerd en verwijderd voordat deze op internet wordt geleverd.

Een voorbeeld van hoe uw Microsoft 365 Routing-configuratie eruit ziet:

Open tot slot de opdrachtregelinterface voor de Cisco Secure Email Gateway.  

Opmerking: Cisco Secure Email Cloud Gateway > CLI-toegang (Command Line Interface).

Maak een berichtenfilter om de aanwezigheid en waarde van de x-header te inspecteren en de header te verwijderen als deze bestaat. Als er geen header is, wijs het bericht dan af.

1. Meld u aan bij uw Gateway via de CLI.
2. Voer het filters commando uit.
3. Als uw Gateway is geclusterd, drukt u op Return om de filters in de clustermodus te bewerken.
4. Gebruik de New opdracht om een berichtenfilter te maken, te kopiëren en te plakken:
   
   

   office365_outbound: if sendergroup == "RELAYLIST" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }

5. Druk één keer op Enter om een nieuwe lege regel te maken.
6. Voer [.] op de nieuwe regel in om uw nieuwe berichtenfilter te beëindigen.
7. Klik return één keer om het menu Filters af te sluiten.
8. Voer het commit commando uit om de wijzigingen in uw configuratie op te slaan.

Opmerking: Vermijd speciale tekens voor de geheime sleutel. De ^ en $ die in het berichtenfilter worden weergegeven, zijn regex-tekens en worden gebruikt zoals in het voorbeeld.

Opmerking: Controleer de naam van de configuratie van uw REALYLIST. Het kan worden geconfigureerd met een alternatieve naam, of u kunt een specifieke naam hebben op basis van uw relaybeleid of e-mailprovider.

Uitgaande e-mail testen

Test uitgaande e-mail van uw Microsoft 365-e-mailadres naar een externe domeinontvanger. U kunt Berichtentracering bekijken vanuit uw Cisco Secure Email and Web Manager om ervoor te zorgen dat deze correct naar buiten wordt gerouteerd.

Opmerking: controleer uw TLS-configuratie (Systeembeheer > SSL-configuratie) op de Gateway en de cijfers die worden gebruikt voor uitgaande SMTP. Cisco Best Practices beveelt aan:

HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

Een voorbeeld van Tracking (Tracering) met succesvolle levering:

Klik hier More Details om de volledige berichtdetails te zien:

Een voorbeeld van berichttracering waarbij de x-header niet overeenkomt:

Gerelateerde informatie 

Cisco Secure Email Gateway-documentatie

• Release-opmerkingen
• Gebruikershandleiding
• CLI-referentiehandleiding
• API-programmeerhandleidingen voor Cisco Secure Email Gateway
• Open Source gebruikt in Cisco Secure Email Gateway
• Installatiehandleiding voor virtuele apparaten van Cisco Content Security (inclusief vESA)

Beveiligde documentatie voor de cloudgateway van e-mail

• Release-opmerkingen
• Gebruikershandleiding

Documentatie van Cisco Secure Email en Web Manager

• Release Notes en compatibiliteitsmatrix
• Gebruikershandleiding
• API-programmeerhandleidingen voor Cisco Secure Email en Web Manager
• Installatiehandleiding voor virtuele apparaten van Cisco Content Security (inclusief vSMA)

Cisco Secure-productdocumentatie

• Cisco Secure Portfolio Naming Architecture