使用思科云邮件安全(CES)配置Office 365(Microsoft)

简介

本文档介绍将思科云邮件安全(CES)与Microsoft Office 365(O365)集成以实现入站和出站邮件交付所需的步骤。

先决条件

要求

Cisco 建议您了解以下主题：

• CES
• 对CES环境的CLI访问：
  • CES客户CLI访问
• Microsoft Office 365
• SMTP
• DNS

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

您的思科云电邮安全欢迎信包括您的CES IP地址和其他相关信息。除了您在下面看到的信件外，您还将收到一封加密电子邮件，该邮件提供有关为CES分配调配的邮件安全设备(ESA)和安全管理设备(SMA)数量的更多详细信息。如果您尚未收到或没有信件副本，请联系ces-activations@cisco.com，了解您的联系信息、客户姓名和服务下的域名。

     

IP专用于每个客户端，在没有通知的情况下不可能更改。您可以在Office 365配置中使用已分配的IP或主机名。

     

注意：强烈建议在计划的生产邮件切换之前很早测试这些设置，因为设置可能需要时间在Office 365 Exchange Online控制台中复制。至少要1小时，所有更改才能生效。

     

注意：您在上面屏幕截图中看到的IP地址将与调配到CES分配的ESA数量成比例。例如，xxx.yy.157.139是ESA1的Data 1接口IP地址，xxx.yy.158.153是ESA2的Data 1接口IP地址。如果欢迎信中不包含Data 2（传出接口IP）的信息，请联系Cisco TAC，获取为CES分配添加的Data 2接口

     

使用思科云邮件安全(CES)配置Office 365(Microsoft)

在Office365中从CES配置传入邮件

绕过垃圾邮件过滤规则

1. 登录到Office 365管理中心(https://portal.microsoft.com)
2. 在左侧菜单中，展开“管理中心”
3. 单击Exchange
4. 从左侧菜单中，导航至邮件流>规则
5. 单击[+]创建新规则
6. 在下拉列表中选择绕过垃圾邮件过滤……
7. 输入新规则的名称：绕过垃圾邮件过滤 — 来自思科CES的入站邮件
8. 对于“*如果……"，选择发送方 — IP地址位于这些范围中的任何一个，或完全匹配
   • 对于“指定IP地址范围”弹出窗口，添加CES欢迎信中指示的IP地址
   • 单击 OK
9. 对于“*执行以下操作……"，新规则已预先选择：将垃圾邮件可信度(SCL)设置为…… — 绕过垃圾邮件过滤
10. 点击保存

绕过垃圾邮件过滤规则应类似于以下内容：

接收连接器

1. 留在Exchange管理中心
2. 从左侧菜单中，导航至邮件流>连接器
3. 单击[+]创建新连接器
4. 在“选择邮件流方案”弹出窗口中，选择以下选项：
   • 发件人：合作伙伴组织
   • 更改为：Office365
5. 单击“下一步”
6. 输入新连接器的名称：来自思科CES的入站
7. 输入说明（如果需要）
8. 单击“下一步”
9. 单击使用发件人的IP地址
10. 单击“下一步”
11. 单击[+]并输入CES欢迎信中指示的IP地址
12. 单击“下一步”
13. 选择“拒绝电子邮件（如果邮件未通过TLS发送）”
14. 单击“下一步”
15. 点击保存

接收连接器设置应类似于以下内容：

配置从CES到Office 365的邮件

  

目标控制

通过向目标控制添加传送域来实施自我限制。稍后可以删除，但这些是Office 365的“新”IP，我们不希望Microsoft因其未知信誉而进行任何限制。

1. 在CES中登录ESA
2. 导航至“邮件策略”>“目标控制”
3. 单击“添加目标”
4. 使用以下设置：
   1. 目的地：输入您的域名
   2. 并发连接：10
   3. 每个连接的最大消息数：20
   4. TLS支持：首选
5. 单击 Submit
6. 单击UI右上角的Commit Changes以保存配置更改 

     

最终目标控制表应类似于：

  

     

收件人访问表

接下来，将收件人访问表(RAT)设置为接受域的邮件：

1. 导航至邮件策略>收件人访问表(RAT)
   • 注意：确保侦听程序用于“传入侦听程序”或“传入邮件”
2. 单击“添加收件人”
3. 在“收件人地址”字段中添加域
4. 选择“接受”(Accept)的默认操作
5. 单击 Submit
6. 单击UI右上角的Commit Changes以保存配置更改  

          

所示示例针对域“domain.com”：

  

     

SMTP路由

您需要设置SMTP路由以将邮件从CES传送到Office 365域：

1. 导航至Network > SMTP Routes
2. 单击添加路由……
3. 接收域：输入您的域名
4. 目标主机：添加原始Office 365 MX记录
5. 单击 Submit
6. 单击UI右上角的Commit Changes以保存配置更改   

     

您的最终SMTP路由设置应类似于：

     

DNS（MX记录）配置

此时，您已准备好通过邮件交换(MX)记录更改切换域。与您的DNS管理员合作，将您的MX记录解析为您的CES的IP地址，如您的Cisco CES欢迎信中所述。

您还需要从Office 365控制台验证对MX记录的更改：

1. 登录到Office 365管理控制台(https://admin.microsoft.com)
2. 导航至主页>设置>域
3. 选择默认域名
4. 单击Check DNS

     

根据Office 365查找与域关联的DNS和MX记录的方式，您将看到当前的“MX记录”：

     

     

注意：忽略上述警告：“一个或多个记录尚未正确添加。逐步说明。”按照“逐步说明”，MX记录将重置为最初配置为重定向到Office 365帐户的MX记录。这样将从传入流量中删除CES集群。

     

测试入站电子邮件

通过向Office 365电子邮件地址发送邮件来测试入站邮件。检查它是否到达您的Office 365电子邮件收件箱。

在随CES服务提供的思科内容安全管理设备(SMA)上使用邮件跟踪验证邮件日志。

要查看SMA上的邮件日志，请执行以下操作：

1. 登录到SMA(https://sma.iphmx.com/ng-login)
2. 单击“跟踪”
3. 输入所需的搜索条件并单击“搜索”；您应看到类似于以下内容的结果：

     

要查看Office 365中的邮件日志，请执行以下操作：

1. 登录到Office 365管理中心(https://admin.microsoft.com)
2. 展开管理中心
3. 单击Exchange
4. 导航至邮件流>邮件跟踪
5. 输入所需的搜索条件并单击搜索；您应看到类似的结果：

  

     

配置从Office 365到CES的传出电子邮件

  

在CES中配置RELAYLIST

请参考您的CES欢迎函。将通过ESA为出站消息指定辅助接口。

  

1. 在CES中登录ESA
2. 导航至“邮件策略”>“HAT概述”
   • 注意：确保侦听程序用于“传出侦听程序”或“传出邮件”
3. 单击添加发件人组……
4. 将发件人组配置为：
   1. 名称：RELAY_O365
   2. 注释： 如果要注销发件人组，请输入
   3. 策略：中继
   4. 单击“提交并添加发件人”
   5. 发件人:.protection.outlook.com
      • 注意：“。” (dot)在发件人域名开头
   6. 单击 Submit
   7. 单击UI右上角的Commit Changes以保存配置更改      

  

您的最终SMTP路由设置应类似于：

  

  

启用TLS

1. 单击<<返回HAT概述
2. 点击名为：中继
3. 查找安全功能>加密和身份验证
4. 在TLS部分中，选择：首选
5. 单击 Submit
6. 单击UI右上角的Commit Changes以保存配置更改      

  

  

     

配置从Office 365到CES的邮件

1. 登录到Office 365管理中心(https://admin.microsoft.com)
2. 展开管理中心
3. 单击Exchange
4. 导航至邮件流>连接器
5. 单击[+]创建新连接器
6. 在“选择邮件流方案”弹出窗口中，选择以下选项：
   • 发件人：Office365
   • 收件人：合作伙伴组织
7. 单击“下一步”
8. 输入新连接器的名称：出站到Cisco CES
9. 输入说明（如果需要）
10. 单击“下一步”
11. 对于“您希望何时使用此连接器？”
    • 选择：仅当我设置了将消息重定向到此连接器的传输规则时
    • 单击“下一步”
12. 单击“通过这些智能主机路由电子邮件”
13. 单击[+]并输入CES欢迎信中指示的出站IP地址或主机名
14. 点击保存
15. 单击“下一步”
16. 有关“Office 365应如何连接到您的合作伙伴组织的电子邮件服务器？”的信息
    • 选择：始终使用传输层安全(TLS)保护连接（推荐）
    • 选择Any digital certificate，包括自签名证书
    • 单击“下一步”
17. 您将看到确认屏幕
18. 单击“下一步”
19. 使用[+]输入有效的电子邮件地址以验证连接器，然后单击“确定”
20. 单击Validate并允许验证运行
21. 完成后，单击关闭
22. 点击保存

     

出站连接器设置应类似于：

  

     

创建邮件流规则

1. 登录到Exchange管理中心(https://outlook.office365.com)
2. 单击邮件流； 您应该位于“rules”选项卡
3. 单击[+]添加新规则
4. 选择创建新规则
5. 输入新规则的名称：出站到Cisco CES
6. 对于“*如果……"，选择发件人位于……
   • 对于“选择发件人位置”弹出窗口，选择：组织内部
   • 单击 OK
7. 单击“更多选项……”
8. 单击“添加条件”按钮并插入第二个条件
   • 选择：收件人……
   • 选择：是外部/内部
   • 对于“选择发件人位置”弹出窗口，选择：组织外部
   • 单击 OK
9. 对于“*执行以下操作……"，选择将邮件重定向到……
   • 选择：以下连接器
   • 并选择“Outbound to Cisco CES”连接器
   • 单击 OK
10. 返回“*执行以下操作……"，并插入第二个操作：
    • 选择：修改邮件属性……
    • 选择：设置消息报头
    • 设置消息报头：X-OUTBOUND-AUTH
    • 单击 OK
    • 设置值：mysecretkey
    • 单击 OK
11. 点击保存

  

注意：为防止来自Microsoft的未授权邮件，当邮件离开您的Office 365域时，可以加上加密的x-header;然后，在将此报头传送到Internet之前，将对其进行评估并删除。

     

您的Office 365路由配置应类似于：

          

最后，访问ESA的CLI。  

     

注意:CES客户CLI访问

     

您需要创建邮件过滤器来检查x报头的存在性和值，并删除报头（如果存在）。如果不存在报头，请丢弃消息。

1. 通过CLI在CES中登录ESA
2. 运行过滤器命令
3. 当ESA在CES中集群时，按回车键在“集群”模式下编辑过滤器
4. 使用“新建”操作创建以下邮件过滤器、复制和粘贴：

   office365_outbound: if sendergroup == "RELAY_O365" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }

5. 点击一次返回以创建新的空白行
6. 输入“。” 在新行上结束创建新邮件过滤器
7. 点击一次返回以退出过滤器菜单
8. 运行Commit命令以保存对配置的更改

     

测试出站电子邮件  

     

通过从Office 365电子邮件地址向外部域收件人发送邮件来测试出站邮件。 您可以从SMA查看邮件跟踪，以确保其已正确路由出站。

  

x报头不匹配的消息跟踪示例：

     

成功传送的邮件跟踪示例：

  

     

相关信息

技术支持和文档 - Cisco Systems