设置独立 EOP 服务

本文介绍如何设置独立的 Exchange Online Protection (EOP) 。 如果您已从 Office 365 域向导登录到这里,则假如您不想使用 Exchange Online Protection,请返回到 Office 365 域向导。 若要详细了解如何配置连接器,请参阅Configure mail flow using connectors in Office 365

注意

本文假定你拥有本地邮箱,并且想要使用 EOP 保护它们,这称为独立方案。 如果要使用 Exchange Online 在云中托管所有邮箱,则无需完成本文中的所有步骤。 转到 比较 Exchange Online 计划 以注册和购买云邮箱。

如果你想在内部部署和云中分别托管一部分邮箱,这称为混合方案。 这需要更高级的邮件流设置。 Exchange Server 混合部署 介绍了混合邮件流,并提供了指向显示如何设置它的资源的链接。

开始前,有必要了解什么?

  • 估计完成此任务的时间:一小时

  • 需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:

    • Exchange Online Protection 权限:需要 “远程域”和“接受域” 角色,该角色默认分配给 “组织管理 ”和“ 邮件流管理员” 角色组。

    • Microsoft Entra 权限全局管理员 角色的成员身份。

      重要

      Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

  • 如果尚未注册 EOP,请访问 Exchange Online Protection 并选择购买或试用该服务。

  • 有关可能适用于本文中的过程的键盘快捷方式的信息,请参阅 Exchange Online 中 Exchange 管理中心的键盘快捷方式

步骤 1:使用 Microsoft 365 管理中心添加和验证域

  1. 在 Microsoft 365 管理中心中 https://admin.microsoft.com,转到 设置>设置自定义域 以将域添加到服务。

  2. 按照该步骤将适用的 DNS 记录添加到您的 DNS 托管提供程序以验证域所有权。

将域添加到 Office 365 并在 Office 365 的任何 DNS 托管提供商处创建 DNS 记录 都是在将域添加到服务和配置 DNS 时有用的参考。

步骤 2:添加收件人,并选择性启用 DBEB

在配置您的邮件,使其流动到 EOP 服务和从 EOP 服务流出之前,我们建议将您的收件人添加到服务。 在 Exchange Online (和 EOP) 中管理邮件用户 中所述,添加收件人的方式有所不同。

此外,如果要启用基于目录的边缘阻止 (DBEB) 以强制收件人验证,则需要将域类型设置为“权威”。 有关 DBEB 的详细信息,请参阅Use Directory Based Edge Blocking to Reject Messages Sent to Invalid Recipients

步骤 3:使用 EAC 设置邮件流

在能使邮件在 EOP 和你的内部部署邮件服务器间流动的 Set up connectors to route mail between Office 365 and your own email servers (EAC) 中创建连接器。 有关详细说明,请参阅 设置连接器以在 Microsoft 365 和你自己的电子邮件服务器之间路由邮件

若要验证 EOP 与本地环境之间的邮件流,请参阅 通过验证 Microsoft 365 连接器来测试邮件流

步骤 4:允许入站端口 25 SMTP 访问

配置连接器后,请等待 72 小时以允许传播 DNS 记录更新。 然后,将防火墙或邮件服务器上的入站端口 25 SMTP 流量限制为仅接受来自 EOP 数据中心的邮件,特别是来自 Microsoft 365 URL 和 IP 地址范围中列出的 IP 地址的邮件。 此步骤通过限制可接收的入站消息范围来保护本地环境。 此外,如果邮件服务器上的设置控制了允许为邮件中继连接的 IP 地址,也要更新这些设置。

提示

将 SMTP 服务器上的设置配置 60 秒的连接时间。 在大多数情况下,此设置是可以接受的,例如,允许在发送带有大型附件的邮件时出现一些延迟。

步骤 5:确保垃圾邮件已路由到每个用户的“垃圾邮件”文件夹

若要确保垃圾邮件 (垃圾邮件) 电子邮件正确路由到本地 Exchange 中每个用户的垃圾邮件文件夹,需要执行几个配置步骤,将 EOP 垃圾邮件判决转换为本地 Exchange 可以使用的值。 配置独立 EOP 以将垃圾邮件传递到混合环境中的垃圾邮件文件夹中提供了这些步骤。

如果不想将邮件移动到每个用户的“垃圾邮件”文件夹,可以通过编辑反垃圾邮件策略来选择其他操作。 有关详细信息,请参阅在 Office 365 中配置反垃圾邮件策略

步骤 6:使用 Microsoft 365 管理中心将 MX 记录指向 EOP

按照域配置步骤更新域的 MX 记录,以便入站电子邮件流经 EOP。 请务必将你的 MX 记录直接指向 EOP 而不是让第三方筛选服务将电子邮件中继到 EOP。 有关详细信息,请再次参阅为 Office 365 创建 DNS 记录

注意

如果必须将 MX 记录指向位于 EOP 前面的另一个服务器或服务,请参阅 Exchange Online 中连接器的增强筛选

如何知道 MX 记录指向 EOP?

此时,您已验证经过适当配置的出站内部部署连接器的服务传递,而且已验证 MX 记录是否指向 EOP。 现在,您可以选择运行以下其他测试来验证该服务是否会将电子邮件成功传递到内部部署环境:

  • 检查服务和环境之间的邮件流。 有关详细信息,请参阅 通过验证 Microsoft 365 连接器来测试邮件流
  • 将来自基于 Web 的任何电子邮件帐户的电子邮件发送到组织中的邮件收件人,组织的域与您添加到服务上的域相匹配。 使用 Microsoft Outlook 或另一个电子邮件客户端确认邮件是否已传递到内部部署邮箱。
  • 如果要运行出站电子邮件测试,可以将电子邮件从组织中的用户发送到外部电子邮件服务。

提示

完成本文中的设置步骤后,无需执行 EOP 的额外步骤即可保护组织免受垃圾邮件和恶意软件的侵害。 但是,可以根据业务需求微调设置。 有关详细信息,请参阅 Microsoft Defender for Office 365 入门:步骤 2:配置保护策略