跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=sophos-email-monitoring-system-onboarding

設定 Sophos EMS

使用Sophos EMS(電子郵件監控系統)將Sophos Central與第三方電子郵件服務(例如 Microsoft Defender 或 Google Workspace Security)連接起來。EMS 僅監控電子郵件流量和報告資料。它不會對訊息應用任何保護措施或強制執行任何策略。

相反,EMS 只提供觀察結果,顯示如果Sophos Email處理這些郵件會怎麼做。EMS 會掃描收發電子郵件,記錄所見內容,並更新報告,但不採取任何行動。這些評測結果可以幫助您了解Sophos Email策略的工作原理,而無需改變您目前電子郵件服務的處理方式。

與 Microsoft 365 搭配使用時,EMS 也支援透過 API 整合進行手動電子郵件追回。

Sophos EMS 也透過向Sophos Data Lake發送電子郵件相關資料來補充Sophos MDR和Sophos XDR。對於MDR和 XDR 客戶而言,這為威脅偵測提供了有價值的背景信息,並增強了事件 回應能力。

準備事項

在設定 Sophos EMS 之前,請務必瞭解下列要點。

  • Sophos EMS 許可證

    Sophos EMS 是Sophos Email Advanced 的獨立產品,可作為其替代方案。兩者不能同時使用。

    EMS僅用於監測。它會掃描並記錄電子郵件,但不會採取任何行動。

  • Sophos EMS 模式

    啟用 EMS 模式後,您會在Sophos Central的某些頁面上看到一個警告橫幅,說明電子郵件僅受到監控,不會執行任何操作。

  • 不可配置的設定和策略

    開啟 EMS 模式後,一些設定和功能將被停用,包括 SMTP 路由、點擊時間、自助入口網站等。EMS 處理的是電子郵件的日誌副本,因此不支援加密。

    安全訊息策略也不可用。您可以設定電子郵件安全性和資料控制策略,但配置的操作僅用於報告目的,不會套用至電子郵件。

如欲設定 Sophos EMS,請依照以下動作執行:

檢查EMS模式是否已開啟

當您將Sophos EMS 授權新增至您的帳戶時,EMS 模式預設為開啟。若要使用Sophos EMS,您需要確保 EMS 模式已開啟。

若要執行此動作,請依照以下步驟操作。

  1. 登入至 Sophos Central。
  2. 點擊您的個人資料圖標。,然後點擊帳戶偏好設定

  3. Sophos Email監控系統 (EMS)中,確保已啟用僅監控模式 (EMS)

    如果EMS模式已關閉,請將其開啟。

    有關 EMS 模式的信息,請參閱Sophos 電子郵件監控系統 (EMS)

  4. 按一下 儲存

Sophos Central的 EMS 模式現已啟用。

新增郵件信箱

在 EMS 模式下,您可以將郵箱新增至Sophos Central 。

您可以採用以下方式新增郵件信箱:

  • 自動使用目錄服務。您可以使用 AD SyncMicrosoft Entra ID Sync。有關如何設定目錄 服務的說明,請參閱Directory 服務
  • 在使用者介面中手動操作。
  • 手動從 CSV 檔案匯入資料。

新增網域

您可以如下新增您的網域並將其與Sophos EMS 整合:

  1. 在Sophos Central中,前往「我的產品」 > “電子郵件保護” > “設定” > “EMS 網域設定/狀態”
  2. 按一下 新增網域

  3. 「電子郵件網域」中,輸入您的電子郵件網域。例如:example.com.

    您必須先驗證網域所有權,電子郵件才能送達。為此,請在您的網域中新增一條 TXT 記錄。新增此記錄不會影響您的電子郵件或其他服務。

  4. 按一下 驗證網域擁有權

  5. 使用「驗證網域名稱所有權」中列出的詳細信息,將 TXT 記錄新增至您的 DNS 配置中。

    注意

    網域所有權驗證可能需要最多十分鐘才能生效。

  6. 按一下 驗證

    警告

    您無法儲存未驗證的網域。您必須糾正任何關於網域擁有權驗證的問題。

  7. 請從以下選項中選擇方向:

    • 僅限入埠
    • 入埠和出埠

  8. 請從以下選項中選擇您的期刊來源 IP 位址範圍:

    • Microsoft Office 365
    • Google Apps Gmail
    • 自訂閘道

    您可以設定一個或多個郵件伺服器,為相同網域傳送帶有日誌記錄的出站電子郵件。

    如果選擇自訂網關,則必須輸入至少一個 IP 位址和 CIDR(子網路範圍)。在每個項目之後按一下新增。您可以新增多個 IP 位址或範圍。

  9. 點選 儲存 來驗證您的設定。

    此時會顯示「配置外部相依性」對話方塊。

  10. 「設定外部相依性」中,設定第三方郵件服務的日誌記錄功能:

    作為網域配置的一部分,您必須在郵件服務中設定日誌記錄。這樣就建立了您的郵件服務與 EMS 之間的通信,使 EMS 能夠收到每封電子郵件的副本進行掃描。您必須完成此步驟,EMS才能正常運作。

    完成日誌配置後,返回此處完成設定程序。

  11. 按一下 關閉

您的網域現已接入Sophos EMS。您可以隨時新增其他網域。

設定原則和設定

若要管理您的策略,請前往「我的產品」 > “電子郵件保護” > “策略”

在 EMS 模式下,只有電子郵件安全和資料控制策略可供設定。這些政策不強制執行任何行動,而是用於產生報告結論。為確保結果準確,請將其配置為與您目前電子郵件環境中的策略保持一致。

若要管理您的電子郵件安全設置,請點擊「全域設定」圖示。然後前往「產品與服務」 > “電子郵件”

測試並確認郵件流程

完成網域名稱註冊、建立日誌規則、設定策略和設定後,從您的電子郵件網域以外的地址向您的任何郵件信箱傳送測試電子郵件。

電子郵件應寄至期刊信箱。同樣,您配置的郵箱地址也應該收到郵件副本。

完成上述步驟後,您可以透過向已套用該規則的使用者傳送入站和出站電子郵件來測試日誌規則。

若要確認電子郵件是否已通過Sophos EMS,請查看訊息 歷程記錄記錄報告。

若要存取訊息 歷程記錄報告,請依下列步驟操作:

  1. 登入至 Sophos Central。
  2. 前往「我的產品」 > “電子郵件保護” > “報告” > “訊息 歷程記錄”

如果郵件正在系統中流通,您將在此報告中看到條目。

如果郵件沒有遞送,您的測試收件匣將不會收到電子郵件。請執行以下步驟:

  1. 請確認您已正確設定Sophos Delivery IP 位址。
  2. 驗證您傳送的目標信箱存在於 Sophos Email Security當中。

若您採取前述所有步驟後,您的網域仍未遞送郵件,請聯絡 Sophos Support。

管理 M365 域

您必須是超級管理員才能使用此功能。

如果您已新增 M365 網域,則可以執行下列操作:

  • 網域連線或中斷連線至傳送後防護。

  • 為您的 M365 使用者配置交付後保護功能。

    注意

    Sophos EMS 僅支援交付後保護中的按需追回功能。EMS中的自動搜尋和修復功能無法運作。在使用按需追回功能之前,請先配置交付後保護措施。請參見 傳遞後保護

  • 編輯您的網域。

  • 斷開您的網域連線。

編輯網域

若要編輯網域,請在清單中點選該網域名稱,進行修改後,再點選「儲存」。

刪除網域

若要刪除網域,請點擊您要刪除的網域右側的「刪除」圖示「刪除」圖示。