企業自建Exchange Server我們都知道反垃圾郵件功能比較弱，通常是額外需要購買反垃圾郵件閘道器來配合Exchange Server工作，達到防垃圾和病毒郵件功能，一般硬體的反垃圾郵件閘道器基本都集中在梭子魚，賽門鐵克等功能比較強大但是價格也比較貴，如果企業有一兩千使用者，一套反垃圾郵件閘道器下來就是幾十萬了，那麼如標題所說：怎麼巧妙的利用Office365來解決這個問題呢？

在Office365中有這樣一個功能叫Exchange Online Protection，只要你購買的Office365中包含Exchange Online服務，就都會有這個功能，大家可能會有疑惑了，這個東西是提供ExchangeOnline線上防病毒反垃圾郵件的，跟我本地Exchange有什麼關係？我來告訴你，關係很大，能節約每年幾十萬的硬體反垃圾郵件閘道器費用（即使你只買一個Office365賬號的訂閱都有這個功能），EOP的出站和入站郵件數量限制問題可以參考微軟網站  https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-limits#receiving-and-sending-limits  同時也沒有硬體反垃圾郵件閘道器的各種炫酷報表功能。EOP只能提供實時的最先進的反垃圾郵件和防病毒服務。

下面就跟大家分享下怎麼利用EOP來作為本地Exchange Server反垃圾郵件閘道器的吧！

首先的首先還是需要在已購買的Office365中新增企業的域名，在DNS設定的時候不要選擇Exchange服務，等把所有配置都完成後再去搞DNS記錄。

登入到Exchange Online管理中心，在郵件流中選擇接受的域並點選編輯
-----------------------------------
©著作權歸作者所有：來自51CTO部落格作者scnbwy的原創作品，請聯絡作者獲取轉載授權，否則將追究法律責任
巧用Office365中的Exchange Online Protection（一）
https://blog.51cto.com/scnbwy/2339846

然後選擇郵件流-聯結器，點選新建，建立新的聯結器

接下來就對這個聯結器進行命名和描述

接下來選擇僅使用發到接受域的電子郵件應用這個聯結器

這裡就關鍵了，填寫智慧主機，由於我這裡是測試環境資源有限，所以我直接填寫了對外對映的本地Exchange地址，一般來講建議單獨拿一個公網IP，開放25埠然後對映到Exchange Server上，並把這個公網IP填寫到這裡作為智慧主機

然後這裡也是關鍵步驟，是否要使用TLS，我這裡是勾選了TLS加密的，按常理講也是需要這麼搞得，但是後面就會看到驗證聯結器報錯，是因為我的Exchange Server用的CA自簽名證書，沒有用公網SSL證書

下面進行聯結器的驗證，驗證過程略

看到了沒~妥妥的失敗了，是因為TLS身份驗證失敗了，無法驗證Exchange Server的證書，前面我說了我的Exchange Server證書是私有CA頒發的，Office365那邊自然是不能驗證這個證書的，所以這裡也強烈建議Exchange使用公網SSL證書，不然就像我後面的配置一樣，不使用TLS加密傳輸，讓Office365到本地Exchange Server這段路由之間裸奔，郵件洩露可不好背鍋啊
-----------------------------------
最後，我們需要做一個切換：將MX記錄改成指向Office365，同時在SPF記錄中增加Office365上EOP資訊

然後我使用QQ郵箱給 [email protected] 這個使用者發一封測試郵件

將這封郵件的郵件頭複製出來進行分析看整個郵件路由是怎麼走的

在以下網站中進行郵件路由分析

 https://testconnectivity.microsoft.com/

可以看出來，QQ郵箱首先將郵件發出來，通過MX解析到了Office365的EOP上，EOP對郵件進行過濾，再通過之前建立的聯結器將這封郵件路由到本地Exchange Server，最終Exchange Server將這封傳輸到使用者的Mailbox

這樣就達到了我們預期的效果。

怎麼樣用起來是不是很爽~~~

有環境的趕緊試一下吧

最後，原創不易，各位可以隨意打賞~