Aller au contenu

Messagerie sortante pour Exchange et autres clients

Cette page vous guide tout au long du processus de redirection de toute la messagerie sortante via Sophos Gateway. Pour Exchange, ceci nécessite la configuration d’un connecteur SMTP sur votre serveur Exchange.

Pour configurer le routage du courrier sortant à partir de votre compte Exchange ou des comptes d’autres clients, procédez de la manière suivante :

  1. Connectez-vous à Sophos Central.
  2. Allez dans Mes produits > Paramètres généraux > Paramètres / État des domaines.
  3. Cliquez sur le lien de domaine que vous souhaitez configurer, puis cliquez sur Modifier.
  4. Dans Configuration du domaine, sélectionnez Entrante et sortante comme direction.
  5. Dans Passerelle sortante, sélectionnez Passerelle personnalisée. Au moins une adresse IP/CIDR (plage de sous-réseau) est requise.
  6. Saisissez une adresse IP ou CIDR et cliquez sur Ajouter. Vous pouvez ajouter plusieurs adresses IP ou CIDR.
  7. Cliquez sur Enregistrer.
  8. Cliquez sur Configurer les dépendances externes.
  9. Sélectionnez Paramètres sortants et copiez l’adresse Hôte de relais sortant.

    Remarque

    L’Hôte de relais sortant dépend de la région choisie lorsque vous vous êtes inscrit à Sophos Email Security. Retrouvez une liste des hôtes de relais sortants pour chaque région sur Relais sortant de la messagerie Sophos.

  10. Pour installer un connecteur SMTP, suivez les instructions pour votre version d’Exchange sur la page d’aide de Microsoft. Voir Exchange 2019, Exchange 2016, Exchange 2013.

    Pour terminer la configuration, procédez de la manière suivante :

    1. Lorsque vous y êtes invité, sélectionnez Acheminer les messages électroniques via des hôtes actifs et cliquez sur + Ajouter.
    2. Dans Ajouter un hôte intelligent, collez l’adresse de l’Hôte de relais sortant que vous aviez copié auparavant.
    3. Désactivez ou supprimez tous les autres Connecteurs d’envoi sortant précédemment utilisés pour le filtrage de la messagerie.

      Remarque

      Si vous ne suivez pas ces étapes, votre messagerie sortante continuera à utiliser les anciens connecteurs d’envoi et la messagerie ne sera pas dirigée via Sophos Gateway. En cas de doute, veuillez contacter le support Sophos.

    4. Lorsque vous avez terminé de configurer votre connecteur SMTP, enregistrez vos modifications.

      Remarque

      Les modifications peuvent mettre jusqu’à 24 heures à être appliquées.

Remarque

Pour les clients ou serveurs de messagerie non Exchange, consultez votre fournisseur tiers pour configurer la distribution des emails sortants vers Sophos Email. Pour un guide de configuration, voir la vidéo Techvids.

Mise à jour de l’enregistrement SPF pour votre domaine

Si vous authentifiez la messagerie sortante à l’aide d’un enregistrement SPF ou DKIM, vous allez peut être devoir mettre à jour votre configuration.

Votre organisation devrait déjà avoir un enregistrement SPF pour chaque nom de domaine enregistré à votre service de messagerie. Il est essentiel de mettre à jour cet enregistrement dans la zone DNS du domaine en question.

Vous pouvez changer votre enregistrement SPF existant ou y ajouter des éléments, selon vos besoins.

L’option la plus courante est de changer l’enregistrement. Mais si votre messagerie sortante est routée simultanément via Sophos Gateway et votre service de messagerie pendant une certaine période, vous pouvez ajouter une déclaration d’inclusion pour Sophos Gateway à votre enregistrement SPF existant.

Vous pouvez utiliser le paramètre all de différentes façons. Il est important de comprendre comment l’utiliser, et pourquoi.

  • Échec sévère :

    Vous pouvez utiliser un tiret (-) avant le paramètre all pour configurer un "échec sévère". Si votre courrier ne passe pas par Sophos Gateway, et que les serveurs de messagerie de vos destinataires effectuent des vérifications SPF, ils rejetteront le message.

  • Échec partiel :

    Alternativement, vous pouvez utiliser un tilde (~) avant le paramètre all pour configurer un "échec partiel" Dans ce cas, la commande n’échoue pas si une adresse IP n’existe pas; elle continue à s’exécuter et traite le reste des adresses IP. Si les serveurs de messagerie de vos destinataires effectuent des vérifications SPF, ils ne rejetteront pas le message.

Remarque

Pour améliorer la fiabilité de votre domaine et de vos adresses IP, vous pouvez configurer DKIM pour signer et authentifier les emails sortants. Cela permet d’éviter le rejet d'emails. Retrouvez plus de renseignements sur la configuration de DKIM sur Clés DKIM.

Domaines SPF de Sophos

Lorsque vous remplacez ou ajoutez à votre enregistrement SPF, utilisez le domaine du datacenter Sophos de votre région. Retrouvez plus de renseignements sur le domaine à utiliser sur Domaines SPF de Sophos.

Remplacer votre enregistrement SPF

Si votre courrier sortant est routé uniquement via Sophos Gateway, vous pouvez utiliser l’enregistrement SPF de Sophos Gateway.

  • Supprimer v=spf1 include:spf.protection.outlook.com –all
  • Si vous êtes certain qu’aucun tiers n’envoie des messages en votre nom et que toute votre messagerie sortante transite par Sophos Gateway, vous pouvez configurer votre enregistrement en tant que :

    v=spf1 include:_spf.<your-region>.sophos.com -all

  • Si vous ne routez pas tous vos emails via Sophos, ou si vous n’êtes pas sûr, utilisez un échec partiel :

    v=spf1 include:_spf.<your-region>.sophos.com ~all

Remplacez <your-region> par le domaine SPF de votre région. Voir Domaines SPF de Sophos.

Ajouter des éléments à votre enregistrement SPF

Si votre messagerie sortante est acheminée simultanément par Sophos Gateway et votre service de messagerie pendant une certaine période, vous pouvez laisser l’enregistrement SPF d’origine et ajouter une déclaration d’inclusion pour Sophos Email.

Pour effectuer une déclaration d’inclusion afin d’ajouter l’enregistrement de Sophos Gateway à votre enregistrement existant, procédez de la manière suivante :

  • SPF existant :

    v=spf1 include:spf.protection.outlook.com -all

  • Exemple avec include :

    v=spf1 include:spf.protection.outlook.com include:_spf.<your-region>.sophos.com -all

    Remplacez <your-region> par le domaine SPF de votre région. Voir Domaines SPF de Sophos.

Nous vous conseillons de remplacer votre déclaration d’inclusion par l’enregistrement SPF de Sophos Gateway dès que toute votre messagerie sortante transite via Sophos.

Assurez-vous que la messagerie sortante circule normalement en envoyant un message à une adresse externe.

Pour confirmer que l’email a été envoyé, procédez comme suit :

  1. Connectez-vous à Sophos Central.
  2. Allez dans Rapports > Historique des messages.
  3. Sélectionnez la direction sortante.
  4. Actualisez l’écran jusqu’à ce que vous voyiez les informations sur l’email de test que vous avez envoyé.