為 M365 設定日誌記錄
瞭解如何在 Microsoft 365 中設定日誌記錄功能,將電子郵件副本傳送至 Sophos EMS(電子郵件監控系統)。
日誌記錄功能會將所有收發電子郵件的副本傳送至 Sophos EMS 進行掃描。在 Microsoft 365 中,您可以透過在 Microsoft Purview 中建立日誌規則來啟用日誌記錄功能。
如需進一步了解日誌記錄功能,請參閱 Exchange Online 中的 Journaling。
如果您正在使用其他電子郵件安全解決方案,請設定連接器或傳輸規則,以將其與 Sophos Email Security 整合。
重要事項
如果您的 Microsoft 365 租戶使用第三方電子郵件安全閘道(例如 Barracuda),則日誌訊息必須直接從 Microsoft 365 傳送至 Sophos Email Security。
請勿透過閘道進行訊息轉送。如果這些訊息經過中繼傳送,Sophos EMS 會從閘道器的 IP 位址接收這些訊息,而非從 Microsoft 365 接收。這可能會導致日誌傳送失敗、訊息 歷程記錄資料遺失,或引發基於標頭的偵測問題。
準備事項
請確認您已擁有以下帳戶:
- Microsoft Purview 管理員帳戶
- Microsoft 365 管理員帳戶
設定 Sophos EMS 與 Microsoft 365
設定 Sophos EMS 與 Microsoft 365 的關鍵步驟如下:
在 Microsoft Purview 中建立日誌規則
您必須在 Microsoft Purview 中建立一則日誌規則,將傳入的電子郵件轉送至 Sophos EMS。
要建立日誌規則,請依照以下步驟操作:
- 登入至 Sophos Central。
- 前往 我的產品 > Email Security > 設定 > EMS 網域。
- 選取您的網域,然後按一下 設定外部相依項目。
-
在「M365」索引標籤的「步驟 1」中,複製提供的電子郵件地址並儲存起來,以備日後使用。
這些電子郵件地址是用來將日誌報告傳送至 Sophos EMS 的。一個地址是用來接收無法送達的期刊報告,另一個則是用來接收常規期刊報告。每個地址的用途各不相同,必須分別進行設定,以確保日誌能完整送達。
-
請登入 Microsoft Purview。
- 前往「設定」 > 「資料生命週期管理」 > 「Exchange(舊版)」。
-
在「將無法送達的日誌報告傳送至」下方,按一下「取代」,輸入您從 Sophos Central 複製而來的無法送達日誌報告電子郵件地址,然後按一下「儲存」。
注意
僅當該欄位為空時,才設定 將無法送達的日誌報告傳送至。請勿變更現有的地址。請繼續進行下一步。
當已記錄的電子郵件無法送達預定目的地時,信箱會收到一份未送達報告 (NDR)。
-
前往「解決方案」 > 「資料生命週期管理」 > 「Exchange(舊版)」 > 「日誌規則」,然後按一下「新增規則」以建立新的日誌規則。
- 在「將日誌報告傳送至」欄位中,輸入您從 Sophos Central 複製下來的電子郵件地址,該地址將用於接收定期日誌報告。
-
在「日誌規則名稱」中,輸入日誌規則的名稱。
例如:
EMS scan for external emails. -
在「日誌訊息的發送或接收來源」中,請選擇以下其中一個選項:
- 各位:如果所有 M365 網域均已整合至 Sophos EMS 中。
- 特定使用者或群組:若您希望 Sophos EMS 僅針對選定的使用者和網域進行掃描。
注意
如果您選擇 特定使用者或群組,請確認該使用者或群組確實存在於 Microsoft 365 中。
-
在「日誌訊息類型」中,請選取「僅外部訊息」。
- 按一下「下一步」,檢視設定,然後按一下「送出」。
您已建立 Microsoft 365 的日誌規則。
在 Microsoft Purview 中完成日誌記錄設定後,請返回 Sophos Central 以完成您的導入流程。請參見 新增網域。
完成設定後,請確認以下條件:
- 日誌訊息會直接從 Microsoft 365 傳送至 Sophos EMS。
- 「訊息 歷程記錄」中顯示的來源 IP 位址屬於 Microsoft 365,而非第三方閘道。
- SMTP 的「From」(信封寄件者)以及「From」標頭的值並未被修改。
將 Sophos EMS 與第三方電子郵件安全解決方案整合
!!! info 「本節僅適用於常規的進出口郵件流。」
您可以根據電子郵件的處理方式,將 Sophos Email Security 與第三方電子郵件安全解決方案進行整合。
請選擇符合您系統設定的方法。
-
基於閘道的解決方案
電子郵件會經過第三方電子郵件安全閘道,例如 Barracuda。
-
基於郵件流的解決方案
電子郵件是透過 Microsoft 365 郵件 流程 規則進行處理的。
注意
Microsoft 365 日誌訊息採用獨立的傳送路徑,必須始終由 Microsoft 365 直接傳送至 Sophos EMS。它們絕不能經過第三方閘道。
如果已啟用日誌記錄功能且您使用閘道器,則必須為日誌傳送配置一個獨立的連接器。
注意
在將 Sophos EMS 與第三方電子郵件安全解決方案整合時,請務必建立新的連接器或規則。請勿編輯或重複使用現有的連接器或規則,因為這可能會中斷郵件傳輸。
基於閘道的解決方案
若您的電子郵件需經過第三方電子郵件安全閘道,請使用此選項。
設定連接器以處理傳入郵件流量
!!! info 「此程序僅適用於您的第三方電子郵件安全解決方案採用閘道式架構的情況。」
您必須依照以下步驟,在 Sophos EMS 與 Microsoft 365 之間建立安全的連線:
-
請登入 Sophos Central,並依照以下步驟設定您的第三方電子郵件安全解決方案:
- 前往 我的產品 > Email Security > 設定 > EMS 網域。
- 選取您的網域,然後按一下 設定外部相依項目。
- 請確認您目前位於「M365」索引標籤中。
- 在「我的電子郵件安全性」下,選擇「閘道」,請準備您電子郵件安全解決方案中的 IP 位址或 IP 範圍。
-
請登入您的 Microsoft Exchange 管理中心,並依照以下步驟建立安全連接器:
- 前往「郵件流程」 > 「連接器」,然後點擊「新增連接器」。
- 在「來源」中,選取「合作夥伴組織」,然後按一下「下一步」。
-
輸入連接器名稱。
例如:
Accept email from third-party mail filtering solution. -
選取「開啟」,然後按一下「下一步」。
- 請選取「透過驗證發送伺服器的 IP 位址是否與下列屬於您合作夥伴組織的 IP 位址之一相符」此選項,新增傳入傳送的 IP 位址,然後按一下「下一步」。
- (可選)若您的電子郵件安全解決方案是 將所有電子郵件傳送至 M365,請勾選「如果不是透過 TLS 傳送,則拒絕電子郵件訊息」,則予以拒收。
- 按一下「下一步」,檢視連接器設定,然後按一下「建立連接器」。
- 按一下 完成。
-
請登入 Microsoft Defender,並依照以下步驟設定跳過清單:
- 請選取您所建立的連接器。
- 選取「跳過與此連接器相關聯的這些 IP 位址」。
- 新增傳入的傳送 IP 位址。
-
在每個 IP 位址後按下 ++Enter++,以確保其已加入清單。
注意
若未按下 ++Enter++,即使您點擊了 儲存,IP 位址也不會被儲存。
-
在「套用至這些使用者」中,請選取「套用至整個組織」。
- 按一下 儲存。
此連接器目前已啟用進階篩選功能。
日誌訊息傳送
如果已啟用日誌記錄功能,您必須設定一個獨立的連接器,以確保日誌訊息能繞過第三方閘道。
此設定會將日誌訊息直接從 Microsoft 365 路由至 Sophos EMS。
若要進行此設定,請依照以下步驟操作:
- 在 Microsoft 365 中建立一個連接器,將日誌訊息直接傳送至 Sophos EMS 日誌網域。
use2.external.sophosems.com請將連接器設定為僅套用至 EMS 日誌網域(例如,)。- 請確保路由設定能繞過第三方閘道。
警告
請勿透過第三方閘道轉發日誌訊息。這可能會導致傳送失敗或引發基於標頭的偵測問題。
警告
我們不建議在 EMS 網域 中的 自訂閘道 下新增第三方閘道 IP 位址。
雖然此設定允許傳送日誌,但可能會導致基於標頭的偵測問題,例如標頭異常錯誤。
基於郵件流的解決方案
若您的電子郵件是透過 Microsoft 365 郵件 流程 規則進行處理,請使用此選項。
為基於郵件流的解決方案建立傳輸規則
!!! info 「此程序僅適用於您的第三方電子郵件安全解決方案採用郵件流處理模式的情況。」
點擊此索引標籤,查看建立入站和出站傳輸規則的逐步說明。
要建立一個傳入傳輸規則,請依照以下步驟操作:
-
請登入 Sophos Central,並依照以下步驟設定您的第三方電子郵件安全解決方案:
- 前往 我的產品 > Email Security > 設定 > EMS 網域。
- 選取您的網域,然後按一下 設定外部相依項目。
- 請確認您目前位於 M365 索引標籤中。
- 在「我的電子郵件安全性基於 M365 郵件流量」下,請準備來自您的電子郵件安全解決方案的 IP 位址或 IP 範圍。
- 開啟 啟用 M365 郵件流設定,並複製 標頭名稱 和 標頭值 的內容,以備日後使用。
- 按一下「儲存」
-
請登入您的 Microsoft Exchange 管理中心,並依照以下步驟建立傳入傳輸規則:
- 前往 郵件 流程 > 規則,點擊 新增規則,然後選擇 建立新規則。
-
請輸入傳入傳輸規則的名稱。
例如:
Add header for EMS scan for inbound emails. -
在 若符合以下條件,則套用此規則 下,選取 收件者 以及 外部/內部,確認已選取 組織內部,然後按一下 儲存。
- 點擊加號圖示以新增第二個條件。
- 選取 收件者 和 網域為,輸入您的電子郵件安全解決方案所使用的網域,然後按一下 儲存。
- 點擊加號圖示以新增第三個條件。
- 選取 寄件者 以及 IP 位址位於以下任一範圍或完全符合,輸入您的電子郵件安全解決方案所使用的傳入傳送 IP 位址,然後按一下 儲存。
- 在 執行以下操作 下,請選取 修改訊息屬性 並 設定訊息標頭。
- 點擊第一個 輸入文字 連結,輸入 設定外部依賴項 頁面中的 標頭名稱 值,然後點擊 儲存。
- 點擊第二個 輸入文字 連結,輸入 設定外部依賴項 頁面中的 標頭值,然後點擊 儲存。
- 按一下 下一步。
- 在 設定規則 中,請確認 規則模式 已設定為 強制執行,且 比對訊息中的寄件者地址 已設定為 標頭。
- 按一下 下一步,檢視傳入傳輸規則的設定,然後按一下 完成。
-
請依照以下步驟啟用傳入傳輸規則:
- 選取傳入傳輸規則並啟用它。
- 點選 編輯規則設定,將 優先級 設為
0,然後點選 儲存。 - 按一下 完成。
您的入站傳輸規則現已生效。
若要建立出站傳輸規則,請依照以下步驟操作:
-
請登入 Sophos Central,並依照以下步驟設定您的第三方電子郵件安全解決方案:
- 前往 我的產品 > Email Security > 設定 > EMS 網域。
- 選取您的網域,然後按一下 設定外部相依項目。
- 請確認您目前位於 M365 索引標籤中。
- 在「我的電子郵件安全性基於 M365 郵件流量」下,請準備來自您的電子郵件安全解決方案的 IP 位址或 IP 範圍。
- 開啟 啟用 M365 郵件流設定,並複製 標頭名稱 和 標頭值 的內容,以備日後使用。
- 按一下「儲存」
-
請登入您的 Microsoft Exchange 管理中心,並依照以下步驟建立外發傳輸規則:
- 前往 郵件 流程 > 規則,點擊 新增規則,然後選擇 建立新規則。
-
請輸入出站傳輸規則的名稱。
例如:
Add header for EMS scan for outbound emails. -
在 若符合以下條件,則套用此規則 下,選擇 收件者,並在 外部/內部 選項中選擇 組織外部,然後按一下 儲存。
- 點擊加號圖示以新增第二個條件。
- 選取 寄件者 和 網域為,輸入您的電子郵件安全解決方案所使用的網域,然後按一下 儲存。
- 點擊加號圖示以新增第三個條件。
- 選取 寄件者 以及 IP 位址位於以下任一範 圍內或完全符合,加入您的電子郵件安全解決方案所使用的外發傳送 IP 位址,然後按一下 儲存。
- 在 執行以下操作 下,請選取 修改訊息屬性 並 設定訊息標頭。
- 點擊第一個 輸入文字 連結,輸入 設定外部依賴項 頁面中的 標頭名稱 值,然後點擊 儲存。
- 點擊第二個 輸入文字 連結,輸入 設定外部依賴項 頁面中的 標頭值,然後點擊 儲存。
- 按一下 下一步。
- 在 設定規則 中,請確認 規則模式 已設定為 強制執行,且 比對訊息中的寄件者地址 已設定為 標頭。
- 按一下 下一步,檢視傳出傳輸規則的設定,然後按一下 完成。
-
請依照以下步驟啟用外發傳輸規則:
- 選取出站傳輸規則並啟用它。
- 點選 編輯規則設定,將 優先級 設為
1,然後點選 儲存。 - 按一下 完成。
您的出站傳輸規則現已生效。