使用安全邮件配置Microsoft 365

简介

本文档介绍将Microsoft 365与思科安全邮件集成以进行入站和出站邮件传送的配置步骤。

先决条件

要求

Cisco 建议您了解以下主题：

• Cisco Secure Email 网关或云网关
• 对思科安全邮件云网关环境的命令行界面(CLI)访问：
  思科安全邮件云网关>命令行界面(CLI)访问
• Microsoft 365
• 简单邮件传输协议 (SMTP)
• 域名服务器或域名系统(DNS)

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

本文档可用于本地网关或思科云网关。

如果您是思科安全电邮管理员，欢迎信将包含您的云网关IP地址和其他相关信息。除了您在此处看到的信以外，还会向您发送一封加密电子邮件，提供有关为您的分配调配的云网关（也称为ESA）以及云电子邮件和Web管理器（也称为SMA）数量的更多详细信息。如果您尚未收到或没有收到该信函的副本，请与联系ces-activations@cisco.com，并提供联系信息和服务域名。

每个客户端都有专用IP。您可以在 Microsoft 365 配置中使用已分配给您的 IP 或主机名。

注意：强烈建议您在计划的生产邮件切换之前进行测试，因为在Microsoft 365 Exchange控制台中复制配置需要花费时间。至少等待一小时，以使所有更改生效。

注意：屏幕截图中的IP地址与调配给您的分配的云网关数量成比例。例xxx.yy.140.105xxx.yy.150.1143如，是网关1的数据1接口IP地址，是网关2的数据1接口IP地址。网关1的数据2接口IP地址是xxx.yy.143.186，而网关2的数据2接口IP地址是xxx.yy.32.98。如果您的欢迎信不包含Data 2（传出接口IP）的信息，请与Cisco TAC联系，将Data 2接口添加到您的分配中。

使用安全邮件配置Microsoft 365

在 Microsoft 365 中配置来自 Cisco Secure Email 的传入邮件

绕过垃圾邮件过滤规则

1. 登录到Microsoft Exchange管理中心
2. 从左侧菜单中，导航至 Mail flow > Rules.
3. 点击Add a rule以创建新规则。
4. 输入新规则的名称： Bypass spam filtering - inbound email from Cisco CES.
5. 对于*Apply this rule if...，选择 The sender - IP address is in any of these ranges or exactly matches.
   1. 对于指定IP地址范围弹出窗口，请添加思科安全邮件欢迎信中提供的IP地址。
   2. 点击 OK.
6. 对于*执行以下操作……，选择并Modify the message properties 选择使set the spam confidence level (SCL)用 Bypass spam filtering.
7. 点击 Next
8. 选择Enforce并点击 Next
9. 和 Finish

规则外观示例：

旁路规则

接收连接器

1. 保留在 Exchange 管理中心.
2. 从左侧菜单中，导航至 Mail flow > Connectors.
3. 单击[+ Add a connector]以创建新的连接器。
4. 在“选择邮件流方案”弹出窗口中，选择：
   1. From（发件人）： Partner organization
   2. 更改为： Office365
5. 点击 Next.
6. 输入新连接器的名称： Inbound from Cisco CES.
7. 您可以添加说明.
8. 点击 Next.
9. 选择 By verifying that the IP address of the sending...
10. 点击[+]并添加在欢迎函中提供的用于绕过垃圾邮件过滤规则的IP地址。 
11. 点击 Next.
12. 选择 Reject email messages if they aren't sent over Transport Layer Security (TLS).
13. 点击 Next.
14. 点击 Save.
    
    

连接器配置的示例如下：

连接器入站

配置从 Cisco Secure Email 发送到 Microsoft 365 的邮件

目的控制

对目标控制中的传送域执行自动限制。当然，您可以稍后删除限制，但这些是Microsoft 365的新IP，并且由于信誉未知，您不希望Microsoft进行任何限制。

1. 登录您的网关。
2. 导航至 Mail Policies > Destination Controls.
3. 点击 Add Destination.
4. 使用:
   1. 目的地：输入域名
   2. Concurrent Connections（并发连接数）： 10
   3. Maximum Messages Per Connection（每个连接的最大邮件数）： 20
   4. TLS Support（TLS 支持）: Preferred
5. 点击 Submit.
6. 单Commit Changes击用户界面(UI)右上角以保存配置更改。

目标控制表的外观示例：

收件人访问表

接下来，设置收件人访问表 (RAT) 以接受发往您的域的邮件：

1. 导航至 Mail Policies > Recipient Access Table (RAT).

   注意：确保根据主要邮件流的监听程序的实际名称，监听程序适用于传入监听程序、IncomingMail或MailFlow。

2. 点击 Add Recipient.
3. 在“Recipient Address”（收件人地址）字段中添加您的域.
4. 选择默认操作 Accept.
5. 点击 Submit.
6. 单Commit Changes击UI右上角以保存配置更改。

您的RAT条目外观示例：

SMTP 路由

设置SMTP路由以将邮件从思科安全电子邮件传送到您的Microsoft 365域：

1. 导航至 Network > SMTP Routes.
2. 点击 Add Route...
3. Receiving Domain（接收域）：输入域名.
4. 目的主机：添加原始的 Microsoft 365 MX 记录.
5. 点击 Submit.
6. 单Commit Changes击UI右上角以保存配置更改。

SMTP路由设置的示例：

DNS（MX 记录）配置

您已经准备好通过邮件交换(MX)记录更改来剪切该域。请与DNS管理员合作，根据思科安全电邮欢迎信中的说明，将您的MX记录解析为思科安全电邮云实例的IP地址。

此外，请从Microsoft 365控制台验证对MX记录的更改：

1. 登录到Microsoft O365管理控制台。
2. 导航至 Home > Settings > Domains.
3. 选择您的默认域名。
4. 点击Check Health.

这提供了Microsoft 365如何查找与您的域关联的DNS和MX记录的当前MX记录：

注意：在本示例中，DNS由Amazon Web Services(AWS)托管和管理。 作为管理员，如果您的DNS托管在Microsoft 365帐户以外的任何位置，您会看到一条警告。您可以忽略以下警告：“我们未检测到您向your_domain_here.com添加新记录。确保您在主机创建的记录与此处显示的记录匹配……”  分步说明将MX记录重置为最初配置为重定向到您的Microsoft 365帐户的内容。这会从传入流量中删除思科安全邮件网关。

测试入站邮件

测试发往您的Microsoft 365电子邮件地址的入站邮件。然后，检查它是否到达您的Microsoft 365电子邮件收件箱。

验证实例随附的Cisco Secure Email and Web Manager（也称为SMA）上的邮件跟踪中的邮件日志。

在 SMA 执行以下操作以查看邮件日志：

1. 登录您的SMA。
2. 点击 Tracking.
3. 输入所需的搜索条件，然后点Search;击并期望看到这样的结果：

若要在 Microsoft 365 中查看邮件日志，请执行以下操作：

1. 登录到Microsoft Exchange管理中心。
2. 导航至 Mail flow > Message trace.
3. Microsoft提供了用于搜索的默认条件。例如，选择Messages received by my primary domain in the last day，开始搜索查询。
4. 输入所需的收件人搜索条件，然后点击Search 并期望看到类似如下所示的结果：

配置从 Microsoft 365 发送到 Cisco Secure Email 的传出邮件

在 Cisco Secure Email 网关上配置 RELAYLIST

请参阅您的思科安全电邮欢迎函。此外，通过网关为出站消息指定辅助接口。

1. 登录您的网关。
2. 导航至 Mail Policies > HAT Overview.



   注意：根据外部/出站邮件流的监听程序的实际名称，确保监听程序适用于传出监听程序、OutgoingMail或MailFlow-Ext。

3. 点击 Add Sender Group...
4. 将发件人组配置为：
   1. 名称：RELAY_O365
   2. Comment（备注）：  <<enter a comment if you wish to notate your sender group>>
   3. Policy（策略）：RELAYED（已中继）
   4. 点击 Submit and Add Senders.
   5. 发件人： .protection.outlook.com
      

      注意：此.号需要放在发件人域名开头.

   6. 点击 Submit.
   7. 单Commit Changes击UI右上角以保存配置更改。

“发件人组设置”(Sender Group Settings)的示例如下：

启用 TLS

1. 点击 <.
2. 点击邮件流策略： RELAYED.
3. 向下滚动并在部分中查Security Features看 Encryption and Authentication.
4. 对于 TLS，请选择： Preferred.
5. 点击 Submit.
6. 单Commit Changes击UI右上角以保存配置更改。

邮件流策略配置示例如下：

配置从 Microsoft 365 发送到 CES 的邮件

1. 登录到Microsoft Exchange管理中心。
2. 导航至Mail flow > Connectors中。
3. 单击[+ Add a connetor]，创建新的连接器。
4. 在“选择邮件流方案”弹出窗口中，选择：
   1. From（发件人）： Office365
   2. 更改为：Partner organization
5. 点击 Next.
6. 输入新连接器的名称： Outbound to Cisco CES.
7. 您可以添加说明.
8. 点击 Next.
9. 对于何时要使用此连接器？:
   1. 选择： Only when I have a transport rule set up that redirects messages to this connector.
   2. 点击 Next. 
10. 点击 Route email through these smart hosts.
11. 点击[+]并输入您的CES欢迎信中提供的出站IP地址或主机名。
12. 点击 Save.
13. 点击 Next.
14. Office 365如何连接到合作伙伴组织的电子邮件服务器？
    1. 选择： Always use TLS to secure the connection (recommended).
    2. 选择Any digital certificate, including self-signed certificates.
    3. 点击 Next.
15. 系统将显示确认屏幕。
16. 点击 Next.
17. 使用[+]输入有效的邮件地址，然后单击 OK.
18. 点击Validate并允许运行验证。
19. 完成后，单击
20. 点击Save.

出站连接器外观示例：

创建邮件流规则

1. 登录您的Exchange管理中心。
2. 点击mail flow;确保位于规则选项卡上。
3. 点击[+]以添加新规则。
4. 选择 Create a new rule.
5. 输入新规则的名称： Outbound to Cisco CES.
6. 对于*如果出现以下情况，则应用此规则……，请选择： The sender is located...
   1. 对于select sender location弹出窗口，选择： Inside the organization.
   2. 点击 OK.
7. 点击 More options...
8. 单击add condition按钮并插入第二个条件：
   1. 选择 The recipient...
   2. 选择： Is external/internal.
   3. 对于select sender location弹出窗口，选择： Outside the organization .
   4. 点击 OK.
9. 对于*执行以下操作……，选择： Redirect the message to...
   1. 选择:以下连接器。
   2. 并选择您的Outbound to Cisco CES连接器。
   3. Click OK.
10. 返回“*执行以下操作……” 并插入第二个操作：
    1. 选择： Modify the message properties...
    2. 选择： set the message header
    3. 设置邮件信头： X-OUTBOUND-AUTH.
    4. 点击 OK.
    5. 设置值： mysecretkey.
    6. 点击 OK.
11. 点击 Save.

注意：为了防止来自Microsoft的未授权邮件，可以在邮件离开您的Microsoft 365域时标记密码x信头；此报头在传送到Internet之前会进行评估和删除。

Microsoft 365路由配置的示例如下：

防止开放中继

警告：这是关键的一步。保护传出侦听程序对于防止未经授权的用户通过设备转发邮件至关重要

下面列出了两个选项。虽然我们理想地推荐邮件过滤器(CLI)，但内容过滤器(GUI)是那些不熟悉CLI的用户的另一个好选择。 

（选项1）通过GUI防止开放中继

我们将在GUI中创建两个内容过滤器（下面共享屏幕截图）：

• 第一个过滤器将对任何没有X-OUTBOUND-AUTH标头或不包含我们之前在O365中配置的值的邮件执行操作。
• 第二个过滤器将应用于从O365租户发送的合法邮件。此过滤器将删除X-OUTBOUND-AUTH标头，以便将来不会被滥用。

1. 在GUI中，导航到邮件策略 >> 传出内容过滤器 >>，选择Stop_O365_OpenRelay(如果不提供，请选择添加过滤器……)
2. 确保第一个内容过滤器配置如下：
   • 名称：<这可以是任何内容>
   • 描述:<这可以是任何内容>
   • 应用规则：仅当所有条件都匹配时
   • 条件
     • 其他标题：
       • 报头名称：<在O365上创建邮件流规则期间，从上面输入信头名称。 X-OUTBOUND-AUTH
         • 某些客户可能使用报头值X-IronPort-Tenant预定义此配置。虽然也可以使用此功能，但关键部分只是确保在Content Filter条件中输入的报头值与O365上的邮件流规则中配置的报头值匹配。 
       • 报头值（不等于）：<在O365上创建邮件流规则期间，输入上面标题的值)，例如mysecretkey
     • 接收监听程序(Is):传出
   • 操作
     • 添加日志条目：$Header["X-OUTBOUND-AUTH"]
       • 某些客户可能使用报头值X-IronPort-Tenant预定义此配置。虽然也可以使用此功能，但关键部分只是确保在Content Filter条件中输入的报头值与O365上的邮件流规则中配置的报头值匹配。 
     • 隔离区：<选择相应的隔离区> 
   • 请避免使用上面列出的字符以外的任何特殊字符(例如*、(、 |等)，因为它们可能导致误报匹配，并可能导致合法邮件被隔离。
   • 单击 Submit
3. 对于下一步，选择Strip_Secret_Header Content Filter并配置如下(如果不可用，请选择Add Filter...):
   • 名称：<这可以是任何内容>
   • 描述:<这可以是任何内容>
   • 条件
     • 其他标题：
       • 报头名称：<在O365上创建邮件流规则期间，从上面输入信头名称。 X-OUTBOUND-AUTH
         • 某些客户可能使用报头值X-IronPort-Tenant预定义此配置。虽然也可以使用此功能，但关键部分只是确保在Content Filter条件中输入的报头值与O365上的邮件流规则中配置的报头值匹配。 
       • 报头值（等于）：<在O365上创建邮件流规则期间，输入上面标题的值)，例如mysecretkey
   • 操作
     • 剥离信头 
       • 报头名称：<在O365上创建邮件流规则期间，从上面输入信头名称。 X-OUTBOUND-AUTH
         • 某些客户可能使用报头值X-IronPort-Tenant预定义此配置。虽然也可以使用此功能，但关键部分只是确保在Content Filter条件中输入的报头值与O365上的邮件流规则中配置的报头值匹配。 
4. 单击Submit，然后导航到Mail Policies >> Outgoing Mail Policies
5. 确保新创建的内容过滤器现在在Default Policy和任何其他所需的策略下启用
   • 确保Strip_Secret_Header内容过滤器在邮件策略中的顺序正确。 它必须放在Stop_O365_OpenRelay内容过滤器之后，否则可能会影响邮件流和/或内容过滤器可能不会按预期工作。 
6. 提交>>提交更改
7. 继续测试您的外发电子邮件流量

提示：测试成功完成且邮件传送按预期工作正常后，建议将内容过滤器中的操作从“quarantine”更改为“drop”。

Stop_O365_OpenRelay内容过滤器

Strip_Secret_Header内容过滤器

（选项2）通过CLI阻止开放中继

访问思科安全邮件网关的CLI。

注意:Cisco Secure Email Cloud Gateway > Command Line Interface(CLI)Access。

创建邮件过滤器以检查x报头的存在和值，并删除报头（如果存在）。 如果不存在信头，则丢弃该消息。

1. 通过CLI登录网关。
2. 运行 命令。filters
3. 如果您的网关已集群，请点击return以在“集群”模式下编辑过滤器。
4. 使用命New令创建邮件过滤器、复制并粘贴：
   
   

   office365_outbound: if sendergroup == "RELAYLIST" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }

5. 按回车键一次以创建新的空白行.
6. 在新[.]行上输入，结束新的邮件过滤器。
7. 单击return一次以退出“过滤器”菜单。
8. 运行命commit令以保存对配置的更改。

注意：避免使用密钥的特殊字符。消息过滤器中显示的^和$是正则表达式字符，如示例中所示。

注意：请复习如何配置RELAYLIST的名称。可以使用备用名称进行配置，也可以根据中继策略或邮件提供商设置特定名称。

测试出站邮件

测试从您的Microsoft 365电子邮件地址发送到外部域收件人的出站邮件。您可以从思科安全邮件和网络管理器查看邮件跟踪，以确保邮件被正确路由到出站。

注意：检查网关上的TLS配置(System Administration > SSL configuration)以及用于出站SMTP的密码。  思科最佳实践建议：

HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

成功传送的跟踪示例：

点击More Details查看完整的消息详细信息：

X 信头不匹配的邮件跟踪示例：

相关信息 

思科安全电子邮件网关文档

• 发行说明
• 用户指南
• CLI参考指南
• 思科安全邮件网关的API编程指南
• 思科安全邮件网关中使用的开源
• 思科内容安全虚拟设备安装指南（包括vESA）

安全邮件云网关文档

• 发行说明
• 用户指南

Cisco Secure Email and Web Manager文档

• 版本说明和兼容性列表
• 用户指南
• Cisco Secure Email and Web Manager的API编程指南
• 思科内容安全虚拟设备安装指南（包括vSMA）

Cisco Secure产品文档

• 思科安全产品组合命名架构