Настройка автономной службы EOP
В этой статье объясняется, как настроить автономную защиту Exchange Online Protection (EOP). Если вы попали сюда из мастера доменов Office 365, вернитесь к мастеру доменов Office 365, если вы не хотите использовать Exchange Online Protection. Дополнительные сведения о настройке соединителей см. в статье Настройка потока обработки почты с помощью соединителей в Office 365.
Примечание.
В этой статье предполагается, что у вас есть локальные почтовые ящики и вы хотите защитить их с помощью EOP, который называется автономным сценарием. Если вы хотите разместить все почтовые ящики в облаке с помощью Exchange Online, вам не нужно выполнять все действия, описанные в этой статье. Перейдите в раздел Сравнение планов Exchange Online для регистрации и приобретения облачных почтовых ящиков.
Если вы хотите разместить некоторые почтовые ящики в локальной среде, а некоторые — в облаке, это называется гибридным сценарием. Для этого требуются более сложные параметры потока обработки почты. В гибридных развертываниях Exchange Server объясняется гибридный поток обработки почты и содержатся ссылки на ресурсы, которые показывают, как его настроить.
Что нужно знать перед началом работы
Предполагаемое время выполнения этой задачи: один час
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
Разрешения Exchange Online Protection. Вам нужна роль удаленных и принятых доменов , которая назначается группам ролей "Управление организацией " и "Администратор потока обработки почты " по умолчанию.
Разрешения Microsoft Entra: членство в роли глобального администратора .
Важно!
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
Если вы еще не зарегистрировались в EOP, перейдите на страницу Exchange Online Protection и выберите купить или попробовать службу.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этой статье, см. в статье Сочетания клавиш для Центра администрирования Exchange в Exchange Online.
Шаг 1. Добавление и проверка домена с помощью Центра администрирования Microsoft 365
В Центре администрирования Microsoft 365 по адресу перейдите к https://admin.microsoft.comразделу Настройка>Настройка Настройка настройка личного домена для добавления домена в службу.
Выполните указанные ниже действия, чтобы добавить применимые записи DNS на сайте поставщика услуг размещения DNS для подтверждения прав владельца домена.
Добавление домена в Office 365 и создание записей DNS у любого поставщика услуг размещения DNS для Office 365 — полезные ссылки при добавлении домена в службу и настройке DNS.
Действие 2. Добавление получателей и включение при необходимости пограничной блокировки на основе каталогов (DBEB)
Перед настройкой передачи почты через службу EOP мы рекомендуем добавить в службу получателей. Существуют различные варианты добавления получателей, как описано в разделе Управление пользователями почты в Exchange Online (и EOP).
Кроме того, если вы хотите включить блокировку пограничных границ на основе каталогов (DBEB) для принудительной проверки получателя, необходимо задать для типа домена значение Авторитарное. Дополнительные сведения о пограничной блокировке на основе каталогов см. в разделе Use Directory Based Edge Blocking to Reject Messages Sent to Invalid Recipients.
Действие 3. Использование Центра администрирования Exchange для настройки потока обработки почты
Создайте соединители в Центре администрирования Exchange ( EAC), которые обеспечивают поток почты между EOP и локальными почтовыми серверами. Подробные инструкции см. в статье Настройка соединителей для маршрутизации почты между Microsoft 365 и собственными почтовыми серверами.
Сведения о проверке потока почты между EOP и локальной средой см. в статье Тестирование потока обработки почты путем проверки соединителей Microsoft 365.
Действие 4. Разрешение доступа к входящему порту 25 для трафика SMTP
После настройки соединителей подождите 72 часа, чтобы разрешить распространение обновлений записей DNS. Затем ограничьте входящий трафик SMTP-порта 25 на брандмауэре или почтовых серверах, чтобы принимать почту только из центров обработки данных EOP, в частности из IP-адресов, перечисленных в url-адресах и диапазонах IP-адресов Microsoft 365. Этот шаг защищает локальную среду путем ограничения области входящих сообщений, которые можно получать. Кроме того, если на почтовом сервере настроены параметры, определяющие IP-адреса, которым разрешено подключаться для ретрансляции почты, обновите и эти параметры.
Совет
Настройте на сервере SMTP время подключения, равное 60 секундам. Этот параметр допустим в большинстве ситуаций, что позволяет с некоторой задержкой в случае сообщения, отправленного с большим вложением, например.
Шаг 5. Убедитесь, что спам направляется в папку нежелательной почты каждого пользователя
Чтобы обеспечить правильную маршрутизацию нежелательной почты (нежелательной почты) в папку нежелательной почты каждого пользователя в локальной среде Exchange, необходимо выполнить несколько действий по настройке для преобразования вердиктов нежелательной почты EOP в значения, которые могут использоваться локальной службой Exchange. Инструкции описаны в статье Настройка автономного EOP для доставки нежелательной почты в папку нежелательной почты в гибридных средах.
Если вы не хотите перемещать сообщения в папку нежелательной почты каждого пользователя, вы можете выбрать другое действие, изменив политики защиты от нежелательной почты. Дополнительные сведения см. в разделе Настройка политик защиты от спама в Office 365.
Шаг 6. Использование Центра администрирования Microsoft 365 для указания записи MX в EOP
Выполните действия по настройке домена, чтобы обновить запись MX для вашего домена, чтобы входящие сообщения электронной почты проходили через EOP. Не забудьте указать запись MX непосредственно на EOP, а не на адрес EOP стороннего ретранслятора фильтрации. Дополнительные сведения см. в статье Создание записей DNS для Office 365.
Примечание.
Если необходимо указать запись MX на другой сервер или службу, которые находятся перед EOP, см. статью Расширенная фильтрация соединителей в Exchange Online.
Как узнать, что запись MX указывает на EOP?
На этот момент выполнена проверка правильности настройки локального исходящего соединителя предоставляемой службы, а также проверка того, что запись MX указывает на EOP. Теперь можно выполнить следующие дополнительные тесты, чтобы убедиться, что служба успешно доставляет электронную почту в локальную среду.
- Проверьте поток обработки почты между службой и вашей средой. Дополнительные сведения см. в статье Тестирование потока обработки почты путем проверки соединителей Microsoft 365.
- Отправьте сообщение с любой учетной записи электронной почты в Интернете получателю в вашей организации, чей домен соответствует добавленному в службу. Подтвердите доставку сообщения в локальный почтовый ящик с помощью Microsoft Outlook или другого почтового клиента.
- Если вы хотите запустить тест исходящей электронной почты, вы можете отправить сообщение электронной почты от пользователя в вашей организации во внешнюю службу электронной почты.
Совет
После выполнения действий по настройке, описанных в этой статье, вам не нужно выполнять дополнительные действия для EOP, чтобы защитить свою организацию от спама и вредоносных программ. Однако вы можете точно настроить параметры в зависимости от бизнес-требований. Дополнительные сведения см. в статье Начало работы с Microsoft Defender для Office 365: шаг 2. Настройка политик защиты.