Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=sophos-email-monitoring-system-m365-configuration

Configurazione dell’inserimento nel journal per M365

Informazioni su come configurare l’inserimento nel journal in Microsoft 365 in modo da inviare copie delle e-mail a Sophos EMS (Email Monitoring System).

L’inserimento nel journal invia a Sophos EMS una copia di tutte le e-mail in entrata e in uscita, a scopo di scansione. In Microsoft 365, è possibile attivare l’inserimento nel journal creando una regola del journal in Microsoft Purview.

Per maggiori informazioni sull’inserimento nel journal, vedere Inserimento nel journal in Exchange Online.

Se si utilizza già un’altra soluzione di protezione delle e-mail e si desidera collegarla a EMS, occorre creare un connettore sicuro o regole di trasporto tra queste due soluzioni.

Importante

Se il tenant di Microsoft 365 utilizza un gateway di protezione delle e-mail di terze parti (ad esempio Barracuda), i messaggi del journal devono essere inviati direttamente da Microsoft 365 a Sophos EMS.

Non bisogna inoltrare i messaggi del journal attraverso il gateway. Se vengono inoltrati, Sophos EMS li riceverà dagli indirizzi IP del gateway, invece che da Microsoft 365. Questo può causare errori di recapito nel journal, dati mancanti nella Cronologia dei messaggi o problemi nel rilevamento basato sull’intestazione.

Prima di cominciare

Assicurarsi di avere i seguenti account:

  • Account amministratore di Microsoft Purview
  • Account amministratore di Microsoft 365

I passaggi principali per configurare Sophos EMS con Microsoft 365 sono i seguenti:

Creazione di regole del journal in Microsoft Purview

Per instradare le e-mail in entrata a Sophos EMS, occorre creare una regola del journal in Microsoft Purview.

Per creare una regola del journal, procedere come segue:

  1. Accedere a Sophos Central.
  2. Selezionare Prodotti > Email Protection > Impostazioni > Impostazioni dominio/stato di EMS.
  3. Selezionare il dominio e cliccare su Configura dipendenze esterne.

  4. Nella scheda M365, al Passaggio 1, copiare gli indirizzi e-mail forniti e salvarli per un uso successivo.

    Questi indirizzi e-mail vengono utilizzati per inviare report dei journal a Sophos EMS. Un indirizzo è per i report dei journal non recapitabili, mentre l’altro è per i regolari report dei journal. Ogni indirizzo ha una funzione diversa e deve essere configurato separatamente per garantire il recapito di tutti i journal.

  5. Accedere a Microsoft Purview.

  6. Accedere a Impostazioni > Gestione del ciclo di vita dei dati > Exchange (legacy).

  7. In Invia report journal non recapitabili a, cliccare su Sostituisci, inserire l’indirizzo e-mail per i report dei journal non recapitabili copiato da Sophos Central, e successivamente cliccare su Salva.

    Note

    Configurare Invia report journal non recapitabili a solo se è vuoto. Non modificare un indirizzo già esistente. Procedere al passaggio successivo.

    Quando non è possibile recapitare e-mail inserite nel journal alla destinazione prevista, la casella di posta riceverà un report di mancato recapito (non-delivery report, NDR).

  8. Selezionare Soluzioni > Gestione del ciclo di vita dei dati > Exchange (legacy) > Regole journal e successivamente cliccare su Nuova regola, per creare una nuova regola del journal.

  9. In Send journal reports to (Invia report dei journal a), inserire l’indirizzo e-mail per i regolari report dei journal copiato da Sophos Central.

  10. In Journal rule name (Nome della regola del journal), inserire un nome per la regola.

    Per esempio: Scansione di EMS per individuare e-mail esterne.

  11. In Journal messages sent or received from (Messaggi del journal inviati o ricevuti da), selezionare una delle seguenti opzioni:

    • Everyone (Tutti): se tutti i domini di M365 sono registrati a Sophos EMS.
    • A specific user or group (Un utente o un gruppo specifico): se si desidera che Sophos EMS esegua scansioni solo alla ricerca degli utenti e dei domini selezionati.

    Note

    Se si seleziona A specific user or group, assicurarsi che l’utente o il gruppo esista in Microsoft 365.

  12. In Type of message to journal (Tipo di messaggio da inserire nel journal, selezionare External messages only (Solo messaggi esterni).

  13. Cliccare su Next (Avanti), controllare le impostazioni e cliccare su Submit (Invia).

È stata creata la regola del journal per Microsoft 365.

Una volta terminata la configurazione dell’inserimento nel journal in Microsoft Purview, tornare a Sophos Central per completare il processo di onboarding. Vedere Aggiunta di un dominio.

Dopo la configurazione, confermare le seguenti condizioni:

  • I messaggi del journal devono essere recapitati direttamente da Microsoft 365 a Sophos EMS.
  • L’indirizzo IP di origine visualizzato nella Cronologia dei messaggi deve appartenere a Microsoft 365, non a un gateway di terze parti.
  • I valori di SMTP Da (mittente della busta) e dell’intestazione Da non devono essere stati modificati.

Integrazione di Sophos EMS con un prodotto di protezione delle e-mail di terze parti

Questa sezione si applica solo al regolare flusso di posta in entrata e in uscita.

È possibile integrare Sophos EMS con una soluzione di protezione delle e-mail di terze parti, basata sul gateway o sul flusso di posta. Configurare questa sezione solo se si utilizza uno di questi metodi. In caso contrario, Sophos EMS potrebbe non comportarsi nella maniera attesa.

Scegliere il metodo più adatto alla propria configurazione:

I messaggi del journal di Microsoft 365 seguono un percorso di recapito diverso e devono essere instradati direttamente da Microsoft 365 a Sophos EMS. Il recapito del journal non deve dipendere da connettori basati su gateway o da regole di trasporto.

Se si utilizza un gateway di terze parti e l’inserimento nel journal di Microsoft 365 è attivato, occorre creare un connettore dedicato per il recapito del journal. Vedere Creazione di un connettore sicuro per un gateway personalizzato.

Note

Quando si integra Sophos EMS con una soluzione di protezione delle e-mail di terze parti, creare sempre un nuovo connettore o una nuova regola. Evitare di modificare o riutilizzare un connettore o una regola già esistente, poiché questo potrebbe interrompere il flusso di posta.

Creazione di un connettore sicuro per un gateway personalizzato

Questa procedura configura l’impostazione personalizzata del gateway in Sophos EMS utilizzando gli indirizzi IP configurati nel record MX del dominio e-mail del cliente.

Questa configurazione serve a supportare il recapito dei messaggi del journal quando nel flusso di posta è presente un gateway di terze parti. Non configura e non modifica la soluzione di protezione delle e-mail di terze parti.

Se nell’ambiente è presente un gateway di terze parti, occorre creare un connettore Microsoft 365 a parte per l’inserimento nel journal, per garantire che i messaggi del journal bypassino il gateway.

Creare il connettore nell’interfaccia di amministrazione di Microsoft Exchange sotto Flusso di posta > Connettori.

Per il recapito del journal, occorre configurare le seguenti impostazioni del connettore:

  • Connessione da: Office 365
  • Connessione a: organizzazione del Partner

  • Uso del connettore: configurare il connettore in modo che venga applicato solo quando i messaggi e-mail vengono inviati al dominio del journal di Sophos EMS

    Esempio di un dominio del journal di Sophos EMS

    use2.external.sophosems.com

  • Routing: cercare i record MX per il dominio e-mail del Cliente e prendere nota dei valori. Questi record MX verranno utilizzati in un secondo momento durante la configurazione del gateway personalizzato in Sophos Central.

Warning

Non consigliamo di aggiungere indirizzi IP gateway di terze parti sotto Gateway personalizzato in Impostazioni dominio/stato di EMS.

Sebbene questa configurazione consenta il recapito di journal, può causare problemi con il rilevamento basato sull’intestazione, ad esempio errori nelle anomalie nell’intestazione, perché i messaggi dei journal non arrivano più come previsto da Microsoft 365.

Creazione di un connettore sicuro per una soluzione basata sul gateway

Questa procedura si applica solo se la soluzione di protezione delle e-mail di terze parti è basata sul gateway.

Bisogna creare un connettore sicuro tra Sophos EMS e Microsoft 365, procedendo come segue:

  1. Accedere a Sophos Central e configurare la propria soluzione di protezione delle e-mail di terze parti come segue:

    1. Selezionare Prodotti > Email Protection > Impostazioni > Impostazioni dominio/stato di EMS.
    2. Selezionare il dominio e cliccare su Configura dipendenze esterne.
    3. Assicurarsi di essere nella scheda M365.
    4. Sotto La mia protezione delle e-mail è Gateway, preparare gli indirizzi IP o gli intervalli di IP ottenuti dalla propria soluzione di protezione della posta elettronica.

  2. Accedere all’interfaccia di amministrazione di Microsoft Exchange e creare il connettore sicuro, procedendo come segue:

    Note

    Utilizzare questa procedura se si desidera configurare connettori per il normale flusso di posta in entrata attraverso un gateway di protezione delle e-mail di terze parti.

    Se si desidera che i messaggi del journal di Microsoft 365 bypassino il gateway di terze parti e vengano recapitati direttamente a Sophos EMS, configurare un connettore dedicato che utilizzi l’impostazione Gateway personalizzato. Vedere Creazione di un connettore sicuro per un gateway personalizzato.

    1. Selezionare Mailflow > Connettori e successivamente cliccare su Aggiungi un connettore.
    2. In Connection from (Connessione da), selezionare Partner organization (Organizzazione partner) e successivamente cliccare su Next (Avanti).

    3. Immettere un nome per il connettore.

      Per esempio: Accetta e-mail da soluzioni di filtro della posta di terze parti.

    4. Selezionare Turn it on (Attiva) e cliccare su Next.

    5. Selezionare By verifying that IP address of the sending server matches one of the following IP addresses, which belong to your partner organization (Verificando che l’indirizzo IP del server di invio corrisponde a uno dei seguenti indirizzi IP, che appartengono alla tua organizzazione partner), aggiungere gli indirizzi IP di recapito in entrata e successivamente cliccare su Next.
    6. (Facoltativo) Selezionare Reject email messages if they aren’t over TLS (Rifiuta messaggi e-mail se non sono su TLS) solo se la propria soluzione di protezione delle e-mail invia tutte le e-mail a M365 su TLS.
    7. Cliccare su Next, controllare le impostazioni del connettore e successivamente cliccare su Create connector (Crea connettore).
    8. Cliccare su Fine.

  3. Accedere a Microsoft Defender e implementare lo “skip list” come segue:

    1. Selezionare il connettore creato.
    2. Selezionare Skip these IP addresses that are associated with the connector (Ignora questi indirizzi IP associati al connettore).
    3. Aggiungere gli indirizzi IP di recapito in entrata.

    4. Premere ++Invio++ dopo ogni indirizzo IP, per assicurarsi che venga aggiunto all’elenco.

      Note

      Se non si preme ++Invio++, l’indirizzo IP non verrà salvato, anche se si clicca su Salva.

    5. In Apply to these users (Applica a questi utenti), selezionare Apply to entire organization (Applica a tutta l’organizzazione).

    6. Cliccare su Save (Salva).

Per il connettore è ora attivato il filtro avanzato.

Creazione regole di trasporto per una soluzione basata sul flusso di posta

Questa procedura si applica solo se la soluzione di protezione delle e-mail di terze parti è basata sul flusso di posta.

Cliccare sulla scheda per istruzioni dettagliate su come creare regole di trasporto in entrata e in uscita.

Per creare una regola di trasporto in entrata, procedere come segue:

  1. Accedere a Sophos Central e configurare la propria soluzione di protezione delle e-mail di terze parti come segue:

    1. Selezionare Prodotti > Email Protection > Impostazioni > Impostazioni dominio/stato di EMS.
    2. Selezionare il dominio e cliccare su Configura dipendenze esterne.
    3. Assicurarsi di essere nella scheda M365.
    4. Sotto La mia protezione delle e-mail si basa sul flusso di posta di M365, preparare gli indirizzi IP o gli intervalli di IP ottenuti dalla propria soluzione di protezione della posta elettronica.
    5. Attivare Abilita la configurazione del flusso di posta di M365 e copiare i valori di Nome intestazione e Valore intestazione per un utilizzo successivo.
    6. Cliccare su Salva.

  2. Accedere all’interfaccia di amministrazione di Microsoft Exchange e creare la regola di trasporto in entrata procedendo come segue:

    1. Selezionare Flusso di posta > Regole, cliccare su Aggiungi una regola e successivamente selezionare Crea una nuova regola.

    2. Inserire un nome per la regola di trasporto in entrata.

      Per esempio: Add header for EMS scan for inbound emails

    3. Sotto Apply this rule if (Applica questa regola se), selezionare The recipient (Il destinatario) e is external/internal (è esterno/interno), accertarsi che sia selezionata l’opzione Inside the organization (All’interno dell’organizzazione), e successivamente cliccare su Save.

    4. Cliccare sull’icona a forma di più per aggiungere una seconda condizione.
    5. Selezionare The recipient e domain is (il dominio è), aggiungere il dominio utilizzato dalla propria soluzione di protezione delle e-mail e cliccare Save.
    6. Cliccare sull’icona a forma di più per aggiungere una terza condizione.
    7. Selezionare The sender (Il mittente) e IP address is in any of these ranges or exactly matches (L’indirizzo IP rientra in uno di questi intervalli o ha una corrispondenza esatta), aggiungere gli indirizzi IP di recapito in entrata utilizzati dalla propria soluzione di protezione delle e-mail, e successivamente cliccare su Save.
    8. In Do the following (Fai quello che segue), selezionare Modify the message properties (Modifica le proprietà del messaggio) e set a message header (imposta un’intestazione del messaggio).
    9. Cliccare sul primo link Enter text (Inserisci testo), inserire il valore di Header name (Nome dell’intestazione) ottenuto dalla pagina Configure External Dependencies (Configura dipendenze esterne), quindi cliccare su Save.
    10. Cliccare sul secondo link Enter text (Inserisci testo), inserire il valore di Header value (Valore dell’intestazione) ottenuto dalla pagina Configure External Dependencies, quindi cliccare su Save.
    11. Cliccare su Avanti.
    12. In Set rule settings (Configura impostazioni della regola), assicurarsi che la Rule mode (Modalità della regola) sia impostata su Enforce (Implementa) e che l’opzione Match sender address in message (Trova corrispondenza con l’indirizzo del mittente nel messaggio) sia impostata su Header.
    13. Cliccare su Next, controllare le impostazioni della regola di trasporto in entrata e cliccare su Finish (Fine).

  3. Attivare la regola di trasporto in entrata procedendo come segue:

    1. Selezionare e attivare la regola di trasporto in entrata.
    2. Cliccare su Edit rule settings (Modifica le impostazioni della regola), impostare la Priority (Priorità) su 0, e successivamente cliccare su Save.
    3. Cliccare su Fine.

La regola di trasporto in entrata è ora implementata.

Per creare una regola di trasporto in uscita, procedere come segue:

  1. Accedere a Sophos Central e configurare la propria soluzione di protezione delle e-mail di terze parti come segue:

    1. Selezionare Prodotti > Email Protection > Impostazioni > Impostazioni dominio/stato di EMS.
    2. Selezionare il dominio e cliccare su Configura dipendenze esterne.
    3. Assicurarsi di essere nella scheda M365.
    4. Sotto La mia protezione delle e-mail si basa sul flusso di posta di M365, preparare gli indirizzi IP o gli intervalli di IP ottenuti dalla propria soluzione di protezione della posta elettronica.
    5. Attivare Abilita la configurazione del flusso di posta di M365 e copiare i valori di Nome intestazione e Valore intestazione per un utilizzo successivo.
    6. Cliccare su Salva.

  2. Accedere all’interfaccia di amministrazione di Microsoft Exchange e creare la regola di trasporto in uscita procedendo come segue:

    1. Selezionare Flusso di posta > Regole, cliccare su Aggiungi una regola e successivamente selezionare Crea una nuova regola.

    2. Inserire un nome per la regola del trasporto in uscita.

      Per esempio: Add header for EMS scan for outbound emails

    3. Sotto Apply this rule if (Applica questa regola se), selezionare The recipient (Il destinatario) e is external/internal (è esterno/interno), selezionare Outside the organization (All’esterno dell’organizzazione), e successivamente cliccare su Save.

    4. Cliccare sull’icona a forma di più per aggiungere una seconda condizione.
    5. Selezionare The sender (Il mittente) e domain is (il dominio è), aggiungere il dominio utilizzato dalla propria soluzione di protezione delle e-mail e cliccare Save.
    6. Cliccare sull’icona a forma di più per aggiungere una terza condizione.
    7. Selezionare The sender e IP address is in any of these ranges or exactly matches (L’indirizzo IP rientra in uno di questi intervalli o ha una corrispondenza esatta), aggiungere gli indirizzi IP di recapito in uscita utilizzati dalla propria soluzione di protezione delle e-mail, e successivamente cliccare su Save.
    8. In Do the following (Fai quello che segue), selezionare Modify the message properties (Modifica le proprietà del messaggio) e set a message header (imposta un’intestazione del messaggio).
    9. Cliccare sul primo link Enter text (Inserisci testo), inserire il valore di Header name (Nome dell’intestazione) ottenuto dalla pagina Configure External Dependencies (Configura dipendenze esterne), quindi cliccare su Save.
    10. Cliccare sul secondo link Enter text (Inserisci testo), inserire il valore di Header value (Valore dell’intestazione) ottenuto dalla pagina Configure External Dependencies, quindi cliccare su Save.
    11. Cliccare su Avanti.
    12. In Set rule settings (Configura impostazioni della regola), assicurarsi che la Rule mode (Modalità della regola) sia impostata su Enforce (Implementa) e che l’opzione Match sender address in message (Trova corrispondenza con l’indirizzo del mittente nel messaggio) sia impostata su Header.
    13. Cliccare su Next, controllare le impostazioni della regola di trasporto in uscita e cliccare su Finish (Fine).

  3. Attivare la regola di trasporto in uscita procedendo come segue:

    1. Selezionare e attivare la regola di trasporto in uscita.
    2. Cliccare su Edit rule settings (Modifica le impostazioni della regola), impostare la Priority (Priorità) su 1, e successivamente cliccare su Save.
    3. Cliccare su Fine.

La regola di trasporto in uscita è ora implementata.