Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=sophos-email-monitoring-system-m365-configuration

Journaling für M365 konfigurieren

Erfahren Sie, wie Sie Journaling in Microsoft 365 so konfigurieren, dass Kopien von E-Mails an Sophos EMS (Email Monitoring System) gesendet werden.

Über das Journaling wird eine Kopie aller ein- und ausgehenden E-Mails zum Scannen an Sophos EMS gesendet. In Microsoft 365 können Sie die Journaling-Funktion aktivieren, indem Sie eine Journalregel in Microsoft Purview erstellen.

Weitere Informationen zum Journaling finden Sie unter Journaling in Exchange Online.

Wenn Sie eine andere E-Mail-Security-Lösung verwenden, konfigurieren Sie Connectors oder Transportregeln, um diese in Sophos EMS zu integrieren.

Wichtig

Wenn Ihr Microsoft 365-Mandant ein E-Mail-Sicherheits-Gateway von einem Drittanbieter (zum Beispiel Barracuda) verwendet, müssen Journalnachrichten direkt von Microsoft 365 an Sophos EMS gesendet werden.

Leiten Sie Journalnachrichten nicht über das Gateway weiter. Wenn sie weitergeleitet werden, empfängt Sophos EMS sie von den IP-Adressen des Gateways anstelle von Microsoft 365. Dies kann zu Journalzustellungsfehlern, fehlenden Nachrichtenverlaufsdaten oder Problemen mit der headerbasierten Erkennung führen.

Vorbereitende Schritte

Sie sollten über folgende Konten verfügen:

  • Administratorkonto für Microsoft Purview
  • Microsoft 365-Administratorkonto

Sophos EMS mit Microsoft 365 einrichten

Die wichtigsten Schritte zur Einrichtung von Sophos EMS mit Microsoft 365 sind:

Journalregeln in Microsoft Purview erstellen

Sie müssen eine Journalregel in Microsoft Purview erstellen, um eingehende E-Mails an Sophos EMS weiterzuleiten.

Um eine Journalregel zu erstellen, gehen Sie wie folgt vor:

  1. Melden Sie sich bei Sophos Central an.
  2. Gehen Sie zu Meine Produkte > Email Security > Einstellungen > EMS-Domänen.
  3. Wählen Sie Ihre Domäne aus und klicken Sie auf Externe Abhängigkeiten konfigurieren.

  4. Kopieren Sie auf dem M365-Tab in Schritt 1 die angegebenen E-Mail-Adressen und speichern Sie sie für die spätere Verwendung.

    Über diese E-Mail-Adressen werden Journalberichte an Sophos EMS gesendet. Eine Adresse ist für nicht zustellbare Journalberichte, die andere für reguläre Journalberichte. Jede Adresse dient einem anderen Zweck und muss separat konfiguriert werden, um eine vollständige Zustellung der Journale zu gewährleisten.

  5. Melden Sie sich bei Microsoft Purview an.

  6. Gehen Sie zu Settings > Data Lifecycle Management > Exchange (Legacy).

  7. Klicken Sie unter Send undeliverable journal reports to auf Replace, geben Sie die E-Mail-Adresse für die nicht zustellbaren Journalberichte ein, die Sie aus Sophos Central kopiert haben, und klicken Sie dann auf Save.

    Hinweis

    Legen Sie Send undeliverable journal reports to nur dann fest, wenn diese Option leer ist. Ändern Sie bereits vorhandene Adressen nicht. Fahren Sie mit dem nächsten Schritt fort.

    Wenn journalisierte E-Mails nicht an das gewünschte Ziel zugestellt werden können, erhält das Postfach einen Bericht über die Nichtzustellung (NDR).

  8. Gehen Sie zu Solutions > Data Lifecycle Management > Exchange (legacy) > Journal rules und klicken Sie dann auf New rule, um eine neue Journalregel zu erstellen.

  9. Geben Sie unter Send journal reports to die E-Mail-Adresse für die regulären Journalberichte ein, die Sie aus Sophos Central kopiert haben.

  10. Geben Sie unter Journal rule name einen Namen für die Journalregel ein.

    Ein Beispiel: EMS scan for external emails

  11. Wählen Sie unter Journal messages sent or received from eine der folgenden Optionen aus:

    • Alle: Wenn alle M365-Domänen in Sophos EMS integriert sind.
    • A specific user or group: Wenn Sophos EMS nur nach ausgewählten Benutzern und Domänen scannen soll.

    Hinweis

    Wenn Sie A specific user or group auswählen, müssen Sie sicherstellen, dass der Benutzer oder die Gruppe in Microsoft 365 vorhanden ist.

  12. Wählen Sie unter Type of message to journal die Option External messages only aus.

  13. Klicken Sie auf Next, überprüfen Sie die Einstellungen und klicken Sie auf Submit.

Sie haben die Journalregel für Microsoft 365 erstellt.

Nachdem Sie die Journaling-Konfiguration in Microsoft Purview abgeschlossen haben, gehen Sie zurück zu Sophos Central, um den Integrationsprozess abzuschließen. Siehe Eine Domäne hinzuzufügen.

Prüfen Sie nach der Konfiguration, ob folgende Bedingungen zutreffen:

  • Journalnachrichten werden direkt von Microsoft 365 an Sophos EMS zugestellt.
  • Die im Nachrichtenverlauf angezeigte Quell-IP-Adresse gehört zu Microsoft 365, nicht zu einem Drittanbieter-Gateway.
  • Die Header-Werte für SMTP-Absender (Envelope-Absender) und Absender werden nicht geändert.

Sophos EMS mit E-Mail-Sicherheit von Drittanbietern integrieren

Dieser Abschnitt gilt nur für den regulären eingehenden und ausgehenden Nachrichtenfluss.

Je nachdem, wie Ihre E-Mails verarbeitet werden, können Sie Sophos EMS in eine E-Mail-Security-Lösung eines Drittanbieters integrieren.

Wählen Sie die Methode, die zu Ihrer Konfiguration passt.

Hinweis

Microsoft 365-Journalnachrichten folgen einem separaten Zustellpfad und müssen immer direkt von Microsoft 365 an Sophos EMS gesendet werden. Sie dürfen nicht über ein Drittanbieter-Gateway geleitet werden.

Wenn das Journaling aktiviert ist und Sie ein Gateway verwenden, müssen Sie einen separaten Connector für die Journalübermittlung konfigurieren.

Hinweis

Beim Integrieren von Sophos EMS mit einer Drittanbieter-E-Mail-Sicherheitslösung sollten Sie immer einen neuen Connector oder eine neue Regel erstellen. Bearbeiten Sie vorhandene Connectors oder Regeln nicht oder verwenden Sie sie nicht erneut, da dies den Nachrichtenfluss beeinträchtigen kann.

Gateway-basierte Lösung

Verwenden Sie diese Option, wenn Ihre E-Mail über ein E-Mail-Security-Gateway eines Drittanbieters geleitet wird.

Connector für eingehenden Nachrichtenfluss konfigurieren

Dieses Verfahren gilt nur, wenn die E-Mail-Sicherheitslösung des Drittanbieters Gateway-basiert ist.

Sie müssen wie folgt einen sicheren Connector zwischen Sophos EMS und Microsoft 365 erstellen:

  1. Melden Sie sich bei Sophos Central an und konfigurieren Sie Ihre Drittanbieter-E-Mail-Sicherheitslösung wie folgt:

    1. Gehen Sie zu Meine Produkte > Email Security > Einstellungen > EMS-Domänen.
    2. Wählen Sie Ihre Domäne aus und klicken Sie auf Externe Abhängigkeiten konfigurieren.
    3. Vergewissern Sie sich, dass Sie sich im Tab M365 befinden.
    4. Bereiten Sie unter Meine Email Security ist Gateway die IP-Adressen oder IP-Bereiche Ihrer E-Mail-Sicherheitslösung vor.

  2. Melden Sie sich bei Ihrem Microsoft Exchange Admin Center an und erstellen Sie den sicheren Connector wie folgt:

    Hinweis

    Verwenden Sie dieses Verfahren, um Connectors für den regulären eingehenden Nachrichtenfluss über ein E-Mail-Security-Gateway eines Drittanbieters zu konfigurieren.

    Informationen zur Zustellung von Journalnachrichten finden Sie unter Zustellung von Journalnachrichten.

    1. Gehen Sie zu Nachrichtenfluss > Connectors und klicken Sie dann auf Connector hinzufügen.
    2. Wählen Sie unter Verbindung von die Option Partnerorganisation aus und klicken Sie auf Weiter.

    3. Geben Sie einen Namen für den Connector ein.

      Ein Beispiel: Accept email from third-party mail filtering solution

    4. Wählen Sie Einschalten und klicken Sie auf Weiter.

    5. Wählen Sie Bestätigen, dass die IP-Adresse des sendenden Servers mit einer der folgenden IP-Adressen übereinstimmt, die zu Ihrer Partnerorganisation gehören, fügen Sie die eingehenden Zustell-IP-Adressen hinzu und klicken Sie dann auf Weiter.
    6. (Optional) Wählen Sie E-Mails zurückweisen, wenn sie nicht über TLS gesendet werden nur aus, wenn Ihre E-Mail-Sicherheitslösung alle E-Mails über TLS an M365 sendet.
    7. Klicken Sie auf Weiter, überprüfen Sie die Connector-Einstellungen und klicken Sie auf Connector erstellen.
    8. Klicken Sie auf Fertig.

  3. Melden Sie sich bei Microsoft Defender an und implementieren Sie die Option „Eintrag überspringen“ wie folgt:

    1. Wählen Sie den Connector aus, den Sie erstellt haben.
    2. Wählen Sie Skip these IP addresses that are associated with the connector aus.
    3. Fügen Sie die eingehenden Zustell-IP-Adressen hinzu.

    4. Drücken Sie die Eingabetaste nach jeder IP-Adresse, um sicherzustellen, dass sie zur Liste hinzugefügt wird.

      Hinweis

      Wenn Sie die Eingabetaste nicht drücken, wird die IP-Adresse nicht gespeichert, auch wenn Sie auf Speichern klicken.

    5. Wählen Sie unter Apply to these users die Option Apply to entire organization aus.

    6. Klicken Sie auf Speichern.

Für den Connector ist jetzt die erweiterte Filterung aktiviert.

Zustellung von Journalnachrichten

Wenn das Journaling aktiviert ist, müssen Sie einen separaten Connector konfigurieren, um sicherzustellen, dass Journalnachrichten das Drittanbieter-Gateway umgehen.

Bei dieser Konfiguration werden Journalnachrichten direkt von Microsoft 365 an Sophos EMS weitergeleitet.

Um dies zu konfigurieren, gehen Sie wie folgt vor:

  • Erstellen Sie einen Connector in Microsoft 365, der Journalnachrichten direkt an die Sophos EMS-Journaldomäne weiterleitet.
  • Konfigurieren Sie den Connector so, dass er nur für die EMS-Journaldomäne gilt (zum Beispiel use2.external.sophosems.com).
  • Stellen Sie sicher, dass das Routing das Drittanbieter-Gateway umgeht.

Warnung

Leiten Sie Journalnachrichten nicht über das Drittanbieter-Gateway weiter. Dies kann zu Zustellungsfehlern oder Problemen bei der headerbasierten Erkennung führen.

Warnung

Wir raten davon ab, IP-Adressen von Drittanbieter-Gateways unter Benutzerdefiniertes Gateway in EMS-Domänen hinzuzufügen.

Obwohl diese Konfiguration die Journalzustellung ermöglicht, kann sie zu Problemen bei der headerbasierten Erkennung führen, z. B. zu Fehlern aufgrund von Header-Anomalien.

Nachrichtenfluss-basierte Lösung

Verwenden Sie diese Option, wenn Ihre E-Mail mithilfe von Microsoft 365-Nachrichtenflussregeln verarbeitet wird.

Transportregeln für eine Nachrichtenfluss-basierte Lösung erstellen

Dieses Verfahren gilt nur, wenn die E-Mail-Security-Lösung des Drittanbieters Nachrichtenfluss-basiert ist.

Klicken Sie auf den Tab, um Schritt-für-Schritt-Anweisungen zum Erstellen von ein- und ausgehenden Transportregeln zu erhalten.

Um eine eingehende Transportregel zu erstellen, gehen Sie wie folgt vor:

  1. Melden Sie sich bei Sophos Central an und konfigurieren Sie Ihre Drittanbieter-E-Mail-Sicherheitslösung wie folgt:

    1. Gehen Sie zu Meine Produkte > Email Security > Einstellungen > EMS-Domänen.
    2. Wählen Sie Ihre Domäne aus und klicken Sie auf Externe Abhängigkeiten konfigurieren.
    3. Vergewissern Sie sich, dass Sie sich im Tab M365 befinden.
    4. Bereiten Sie unter Meine Email Security basiert auf dem M365-Nachrichtenfluss die IP-Adressen oder IP-Bereiche Ihrer E-Mail-Sicherheitslösung vor.
    5. Aktivieren Sie die Option M365-Nachrichtenfluss-Konfiguration aktivieren und kopieren Sie die Werte von Header-Name und Header-Wert für die spätere Verwendung.
    6. Klicken Sie auf Speichern

  2. Melden Sie sich bei Ihrem [Microsoft Exchange Admin Center] an (https://admin.exchange.microsoft.com) und erstellen Sie die eingehende Transportregel wie folgt:

    1. Gehen Sie zu Nachrichtenfluss > Regeln, klicken Sie auf Regel hinzufügen und wählen Sie dann Neue Regel erstellen aus.

    2. Geben Sie einen Namen für die eingehende Transportregel ein.

      Ein Beispiel: Add header for EMS scan for inbound emails

    3. Wählen Sie unter Apply this rule if die Optionen The recipient und is external/internal, stellen Sie sicher, dass Inside the organization ausgewählt ist, und klicken Sie dann auf Save.

    4. Klicken Sie auf das Plussymbol, um eine zweite Bedingung hinzuzufügen.
    5. Wählen Sie The recipient und domain is aus, fügen Sie die Domäne hinzu, die von Ihrer E-Mail-Sicherheitslösung verwendet wird, und klicken Sie dann auf Save.
    6. Klicken Sie auf das Plussymbol, um eine dritte Bedingung hinzuzufügen.
    7. Wählen Sie The sender und IP address is in any of these ranges or exactly matches, fügen Sie die eingehenden Zustell-IP-Adressen hinzu, die von Ihrer E-Mail-Sicherheitslösung verwendet werden, und klicken Sie dann auf Save.
    8. Wählen Sie unter Do the following die Optionen Modify the message properties und Set a message header aus.
    9. Klicken Sie auf den ersten Link für Enter text, geben Sie den Wert des Header-Namens auf der Seite Configure External Dependencies ein und klicken Sie dann auf Save.
    10. Klicken Sie auf den zweiten Link für Enter text, geben Sie den Wert des Header-Werts auf der Seite Configure External Dependencies ein und klicken Sie dann auf Save.
    11. Klicken Sie auf Weiter.
    12. Stellen Sie in Set rule settings sicher, dass Rule mode auf Enforce und Match sender address in message auf Header gesetzt ist.
    13. Klicken Sie auf Next, prüfen Sie die Einstellungen für eingehende Transportregeln und klicken Sie auf Finish.

  3. Aktivieren Sie die eingehende Transportregel wie folgt:

    1. Wählen Sie die eingehende Transportregel aus und aktivieren Sie sie.
    2. Klicken Sie auf Edit rule settings, legen Sie Priority auf fest0 und klicken Sie auf Save**.
    3. Klicken Sie auf Fertig.

Ihre eingehende Transportregel wird jetzt durchgesetzt.

Um eine ausgehende Transportregel zu erstellen, gehen Sie wie folgt vor:

  1. Melden Sie sich bei Sophos Central an und konfigurieren Sie Ihre Drittanbieter-E-Mail-Sicherheitslösung wie folgt:

    1. Gehen Sie zu Meine Produkte > Email Security > Einstellungen > EMS-Domänen.
    2. Wählen Sie Ihre Domäne aus und klicken Sie auf Externe Abhängigkeiten konfigurieren.
    3. Vergewissern Sie sich, dass Sie sich im Tab M365 befinden.
    4. Bereiten Sie unter Meine Email Security basiert auf dem M365-Nachrichtenfluss die IP-Adressen oder IP-Bereiche Ihrer E-Mail-Sicherheitslösung vor.
    5. Aktivieren Sie die Option M365-Nachrichtenfluss-Konfiguration aktivieren und kopieren Sie die Werte von Header-Name und Header-Wert für die spätere Verwendung.
    6. Klicken Sie auf Speichern

  2. Melden Sie sich bei Ihrem Microsoft Exchange Admin Center an und erstellen Sie die ausgehende Transportregel wie folgt:

    1. Gehen Sie zu Nachrichtenfluss > Regeln, klicken Sie auf Regel hinzufügen und wählen Sie dann Neue Regel erstellen aus.

    2. Geben Sie einen Namen für die ausgehende Transportregel ein.

      Ein Beispiel: Add header for EMS scan for outbound emails

    3. Wählen Sie unter Apply this rule if die Optionen The recipient und is external/internal, wählen Sie Outside the organization aus und klicken Sie dann auf Save.

    4. Klicken Sie auf das Plussymbol, um eine zweite Bedingung hinzuzufügen.
    5. Wählen Sie The sender und domain is aus, fügen Sie die Domäne hinzu, die von Ihrer E-Mail-Sicherheitslösung verwendet wird, und klicken Sie dann auf Save.
    6. Klicken Sie auf das Plussymbol, um eine dritte Bedingung hinzuzufügen.
    7. Wählen Sie The sender und IP address is in any of these ranges or exactly matches, fügen Sie die eingehenden Zustell-IP-Adressen hinzu, die von Ihrer E-Mail-Sicherheitslösung verwendet werden, und klicken Sie dann auf Save.
    8. Wählen Sie unter Do the following die Optionen Modify the message properties und Set a message header aus.
    9. Klicken Sie auf den ersten Link für Enter text, geben Sie den Wert des Header-Namens auf der Seite Configure External Dependencies ein und klicken Sie dann auf Save.
    10. Klicken Sie auf den zweiten Link für Enter text, geben Sie den Wert des Header-Werts auf der Seite Configure External Dependencies ein und klicken Sie dann auf Save.
    11. Klicken Sie auf Weiter.
    12. Stellen Sie in Set rule settings sicher, dass Rule mode auf Enforce und Match sender address in message auf Header gesetzt ist.
    13. Klicken Sie auf Next, prüfen Sie die Einstellungen für ausgehende Transportregeln und klicken Sie auf Finish.

  3. Aktivieren Sie die ausgehende Transportregel wie folgt:

    1. Wählen Sie die ausgehende Transportregel aus und aktivieren Sie sie.
    2. Klicken Sie auf Edit rule settings, legen Sie Priority auf fest1 und klicken Sie auf Save**.
    3. Klicken Sie auf Fertig.

Ihre ausgehende Transportregel wird jetzt durchgesetzt.