巧用Office365中的Exchange Online Protection
企業自建Exchange Server我們都知道反垃圾郵件功能比較弱,通常是額外需要購買反垃圾郵件閘道器來配合Exchange Server工作,達到防垃圾和病毒郵件功能,一般硬體的反垃圾郵件閘道器基本都集中在梭子魚,賽門鐵克等功能比較強大但是價格也比較貴,如果企業有一兩千使用者,一套反垃圾郵件閘道器下來就是幾十萬了,那麼如標題所說:怎麼巧妙的利用Office365來解決這個問題呢?
在Office365中有這樣一個功能叫Exchange Online Protection,只要你購買的Office365中包含Exchange Online服務,就都會有這個功能,大家可能會有疑惑了,這個東西是提供ExchangeOnline線上防病毒反垃圾郵件的,跟我本地Exchange有什麼關係?我來告訴你,關係很大,能節約每年幾十萬的硬體反垃圾郵件閘道器費用(即使你只買一個Office365賬號的訂閱都有這個功能),但是帶來的問題就是每小時每使用者只能接收3000封郵件,整個組織每天對外只能發1萬個收件人(注意哦不是1萬封郵件,而是1萬個收件人地址哦),同時也沒有硬體反垃圾郵件閘道器的各種炫酷報表功能。EOP只能提供實時的最先進的反垃圾郵件和防病毒服務。
下面就跟大家分享下怎麼利用EOP來作為本地Exchange Server反垃圾郵件閘道器的吧!
首先的首先還是需要在已購買的Office365中新增企業的域名,在DNS設定的時候不要選擇Exchange服務,等把所有配置都完成後再去搞DNS記錄。
登入到Exchange Online管理中心,在郵件流中選擇接受的域並點選編輯
然後選擇將這個接受域作為內部中繼,並點選儲存
然後選擇郵件流-聯結器,點選新建
因為要使用EOP來提供郵件的外層防護,所以這裡選擇郵件路由的方向是Office365到本地Exchange Server
接下來就對這個聯結器進行命名和描述
接下來選擇僅使用發到接受域的電子郵件應用這個聯結器
這裡就關鍵了,填寫智慧主機,由於我這裡是測試環境資源有限,所以我直接填寫了對外對映的本地Exchange地址,一般來講建議單獨拿一個公網IP,開放25埠然後對映到Exchange Server上,並把這個公網IP填寫到這裡作為智慧主機
建立智慧主機完成
然後這裡也是關鍵步驟,是否要使用TLS,我這裡是勾選了TLS加密的,按常理講也是需要這麼搞得,但是後面就會看到驗證聯結器報錯,是因為我的Exchange Server用的CA自簽名證書,沒有用公網SSL證書
這裡還是選擇使用TLS繼續建立
然後接下來對使用TLS的聯結器進行驗證,點選+輸入一個本地Exchange Server上的收件人地址
然後依次下一步操作
看到了沒~妥妥的失敗了,是因為TLS身份驗證失敗了,無法驗證Exchange Server的證書,前面我說了我的Exchange Server證書是私有CA頒發的,Office365那邊自然是不能驗證這個證書的,所以這裡也強烈建議Exchange使用公網SSL證書,不然就像我後面的配置一樣,不使用TLS加密傳輸,讓Office365到本地Exchange Server這段路由之間裸奔,郵件洩露可不好背鍋啊
然後取消了TLS加密
再一次進行郵件測試,顯示成功了
最後,我們需要做一個切換:將MX記錄改成指向Office365,同時在SPF記錄中增加Office365上EOP資訊
然後我使用QQ郵箱給[email protected] 這個使用者發一封測試郵件
將這封郵件的郵件頭複製出來進行分析看整個郵件路由是怎麼走的
在以下網站中進行郵件路由分析
https://testconnectivity.microsoft.com/
可以看出來,QQ郵箱首先將郵件發出來,通過MX解析到了Office365的EOP上,EOP對郵件進行過濾,再通過之前建立的聯結器將這封郵件路由到本地Exchange Server,最終Exchange Server將這封傳輸到使用者的Mailbox
這樣就達到了我們預期的效果。
怎麼樣用起來是不是很爽~~~
有環境的趕緊試一下吧