Vai al contenuto

E-mail in uscita per Microsoft 365

In questa sezione viene descritto come configurare la scansione dei messaggi in uscita con Sophos Gateway dal proprio account Microsoft 365 (in precedenza Office 365).

Configurazione Routing in uscita

Per configurare Sophos Gateway in modo che gestisca il routing in uscita per Microsoft 365, procedere come segue:

  1. Accedere a Sophos Central.
  2. Cliccare su Email Security > Impostazioni > Impostazioni di dominio/Stato.
  3. Selezionare il dominio.
  4. Selezionare In ingresso e in uscita come direzione, sotto Configura dominio.
  5. Nel menu a discesa Gateway in uscita, selezionare Microsoft Office 365 e cliccare su Salva.
  6. Cliccare quindi su Configura dipendenze esterne.
  7. Cliccare su Impostazioni in uscita e copiare l’indirizzo Host relay in uscita.
  8. Accedere all'interfaccia di amministrazione di Office 365.
  9. Selezionare Amministratore > Exchange. Verrà visualizzata l'Interfaccia di amministrazione di Exchange.
  10. Selezionare Flusso di posta > Connettori e creare un nuovo connettore:

    Opzione Descrizione
    Da Selezionare Office 365 dall'elenco a discesa.
    A Selezionare Organizzazione partner dall'elenco a discesa.
  11. Cliccare su Avanti.

  12. Compilare i seguenti campi:

    Opzione Descrizione
    Nome Immettere un nome per il connettore.
    Descrizione Opzionalmente, immettere una descrizione per il connettore.
    Attiva Selezionare questa opzione per disattivare il connettore.
  13. Cliccare su Avanti.

  14. Selezionare Solo quando i messaggi di posta elettronica sono inviati a questi domini.
  15. Cliccare sull'icona + per aggiungere i domini dei destinatari che devono utilizzare questo connettore.
  16. Immettere il valore * per fare in modo che tutte le e-mail in uscita vengano instradate attraverso Sophos.
  17. Cliccare su OK e quindi su Avanti.
  18. Selezionare Instrada la posta elettronica tramite questi smart host.
  19. Cliccare sull'icona + per aggiungere gli smart host.
  20. Per recuperare il testo da inserire negli smart host, accedere a Sophos Central.
  21. Cliccare su Email Security > Impostazioni > Impostazioni di dominio/Stato.
    1. Copiare e incollare il testo nell’Host relay in uscita. Si tratta del testo che dovrà essere inserito nella pagina web dello smart host. Ad esempio relay-us-east-2.prod.hydra.sophos.com.
    2. Incollare il testo nel campo e cliccare su Salva.
  22. Cliccare su Avanti.
  23. Selezionare le seguenti opzioni:
    • Usa sempre Transport Layer Security (TLS) per proteggere la connessione
    • Qualsiasi certificato digitale, inclusi quelli autofirmati.
  24. Cliccare su Avanti per verificare le impostazioni.
  25. Cliccare su Avanti e aggiungere l'indirizzo e-mail di un destinatario di un dominio esterno all’organizzazione.
  26. Cliccare su Convalida.
  27. Una volta convalidate le impostazioni su Office 365, cliccare su Salva.

Se sono presenti connettori di invio in uscita utilizzati in precedenza, disattivarli o rimuoverli. Se non si svolge questa operazione, le e-mail in uscita continueranno a utilizzare i connettori di invio in uscita precedenti e non verranno instradate attraverso Sophos Gateway. Eventuali connettori di invio utilizzati per altri scopi (ad es. per l’archiviazione) potrebbero dover essere comunque abilitati. In caso di dubbio, rivolgersi al Supporto Sophos.

Nota

La propagazione delle modifiche potrebbe richiedere fino a un massimo di 24 ore.

Aggiornamento del record SPF del proprio dominio

L’organizzazione dovrebbe avere già fornito il record SPF per i domini registrati a Microsoft 365 (in precedenza Office 365). Occorre aggiornare questo record nella zona DNS corrispondente al dominio interessato.

È possibile sostituire il record SPF esistente o aggiungervi dati, a seconda delle proprie esigenze.

Di solito il record viene sostituito. Tuttavia, se la posta in uscita viene instradata simultaneamente attraverso Sophos Gateway e Microsoft 365 per un determinato periodo di tempo, è possibile aggiungere un'istruzione di inclusione per Sophos Gateway al record SPF esistente.

È possibile utilizzare il parametro all in diversi modi. Occorre comprendere come svolgere questa operazione e quali sono le implicazioni della scelta effettuata.

  • Errore bloccante:

    È possibile utilizzare un trattino (-) prima del parametro all per un "errore bloccante". Se la posta non viene inviata da Sophos Gateway e i server di posta dei destinatari effettuano controlli SPF, le e-mail verranno rifiutate.

  • Errore non bloccante:

    In alternativa, è possibile utilizzare una tilde (~) prima del parametro all per un "errore non bloccante". Il comando non risulterà non riuscito se un indirizzo IP non esiste, bensì continuerà a elaborare il resto degli indirizzi IP. Se i server di posta dei destinatari effettuano controlli SPF, le e-mail non verranno rifiutate.

Per ulteriori informazioni sugli errori bloccanti e non bloccanti, vedere Funzionamento di SPF per impedire lo spoofing e il phishing in Microsoft 365

Domini SPF di Sophos

Quando si modifica il proprio record SPF, è necessario utilizzare uno dei domini di Sophos.

Per informazioni sul dominio da utilizzare, vedere Domini SPF Sophos.

Se la posta in uscita viene instradata solo attraverso Sophos Gateway, è possibile utilizzare il record SPF di Sophos Gateway per sostituire quello attuale.

Se per un periodo di tempo le e-mail in uscita vengono instradate simultaneamente sia attraverso Sophos Gateway che Microsoft 365, è possibile lasciare immutato il record SPF originale e aggiungere un'istruzione di inclusione per Sophos Gateway.

Sostituzione del record SPF

Per sostituire il proprio record SPF, procedere segue:

  • Rimuovi v=spf1 include:spf.protection.outlook.com –all.

  • Se si è sicuri che non sono presenti terze parti che inviano messaggi e-mail per conto proprio e che tutte le e-mail vengono instradate attraverso Sophos Gateway, è possibile configurare il proprio record come segue:

    v=spf1 include:_spf.<your_regionaddress>.sophos.com -all

  • Se non tutte le e-mail vengono instradate attraverso Sophos, o se non si è sicuri, utilizzare un errore non bloccante:

    v=spf1 include:_spf.<your_regionaddress>.sophos.com ~all

Nota

Prestare estrema attenzione al carattere che si immette prima di all. Vedere Aggiornamento del record SPF del proprio dominio.

Aggiunta al record SPF

Se per un periodo di tempo le e-mail in uscita vengono instradate simultaneamente sia attraverso Sophos Gateway che Microsoft 365, è possibile lasciare immutato il record SPF originale e aggiungere un'istruzione di inclusione per Sophos Gateway.

Per utilizzare un'istruzione di inclusione per aggiungere il record di Sophos Gateway al record esistente, procedere come segue:

  • SPF esistente: v=spf1 include:spf.protection.outlook.com -all

  • Esempio con inclusione (include): SPF: v=spf1 include:spf.protection.outlook.com include:_spf.prod.hydra.sophos.com -all

Si consiglia di sostituire l'istruzione di inclusione con il record SPF di Sophos Gateway una volta che tutte le e-mail in uscita vengono instradate attraverso le soluzioni Sophos.

Verificare il corretto funzionamento del flusso di posta in uscita, inviando un'e-mail a un indirizzo esterno.

Per confermare che l'e-mail è stata inviata, procedere come segue:

  1. Accedere a Sophos Central.
  2. Selezionare Email Security > Log e Report > Cronologia dei messaggi.
  3. Selezionare la direzione in uscita.
  4. Aggiornare la schermata fino a quando non vengano visualizzati i dettagli dell'e-mail di prova inviata.
Torna su