跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=sophos-email-monitoring-system-m365-configuration

配置 M365 的日誌記錄

了解如何在 Microsoft 365 中設定日誌記錄,以便將電子郵件副本傳送至Sophos EMS(電子郵件監控系統)。

日誌功能會將所有收發郵件的副本傳送至Sophos EMS 進行掃描。在 Microsoft 365 中,您可以透過在 Microsoft 檢視中建立日誌規則來啟用日誌記錄。

要了解有關日記的更多信息,請參閱Exchange Online 中的日記

如果您使用的是其他電子郵件安全解決方案,請設定連接器或傳輸規則,將其與Sophos EMS 整合。

重要事項

如果您的 Microsoft 365 租用戶使用第三方電子郵件安全閘道(例如 Barracuda),則記錄訊息必須直接從 Microsoft 365 傳送至Sophos EMS。

不要透過網關轉發日誌訊息。如果資料被轉發, Sophos EMS 將從網關 IP 位址而不是 Microsoft 365 接收資料。這可能會導致日誌傳遞失敗、訊息 歷程記錄資料遺失或基於標頭的偵測出現問題。

準備事項

請確保您擁有以下帳戶:

  • Microsoft Purview 管理員帳戶
  • Microsoft 365 管理員帳戶

將Sophos EMS 與 Microsoft 365 集成

將Sophos EMS 與 Microsoft 365 整合的關鍵步驟如下:

在 Microsoft 檢視中建立日誌規則

您必須在 Microsoft Purview 中建立日誌規則,才能將入站電子郵件路由至Sophos EMS。

若要建立日誌規則,請依照下列步驟操作:

  1. 登入至 Sophos Central。
  2. 前往 我的產品 > Email Security > 設定 > EMS 網域
  3. 選取您的網域,然後按一下 設定外部相依項目

  4. M365索引標籤的步驟 1中,複製提供的電子郵件地址並儲存以備後用。

    這些電子郵件地址用於向Sophos EMS 發送日誌報告。一個地址用於接收無法投遞的期刊報告,另一個地址用於接收常規期刊報告。每個地址都有不同的用途,必須分別配置才能確保期刊完整送達。

  5. 登入 Microsoft 視圖

  6. 前往「設定」 > “資料生命週期管理」 > “Exchange(舊版)”

  7. 「將無法送達的日誌報告傳送至」下,按一下「取代」 ,輸入從Sophos Central複製的無法送達的日誌報告的電子郵件地址,然後按一下「儲存」

    注意

    僅當「發送無法送達的日誌報告至」為空時才進行設定。不要更改已存在的地址。進行下一步。

    當已記錄的電子郵件無法送達至預期目的地時,郵箱會收到未送達報告 (NDR)。

  8. 前往「解決方案」 > “資料生命週期管理” > “Exchange(舊版)” > “日誌規則” ,然後按一下「新規則」以建立新的日誌規則。

  9. 「傳送日誌報告至」中,輸入您從Sophos Central複製的用於接收常規日誌報告的電子郵件地址。

  10. 「日記帳規則名稱」中,輸入日記帳規則的名稱。

    例如:EMS scan for external emails.

  11. 「已傳送或已接收的日誌訊息」中,選擇下列選項之一:

    • 每個人:如果所有 M365 網域都已加入Sophos EMS。
    • 特定使用者或使用者群組:如果您希望Sophos EMS 僅掃描選定的使用者和網域。

    注意

    如果您選擇特定使用者或群組,請確保該使用者或群組存在於 Microsoft 365 中。

  12. 「傳送到日誌的訊息類型」中,選擇「僅限外部訊息」

  13. 點選「下一步」 ,查看設置,然後點選「提交」

您已為 Microsoft 365 建立了日誌規則。

在 Microsoft Purview 中完成日誌配置後,返回Sophos Central完成您的入職流程。請參見 新增網域

配置完成後,請確認以下條件:

  • 日誌訊息直接從 Microsoft 365 傳送到Sophos EMS。
  • 訊息 歷程記錄中顯示的來源 IP 位址屬於 Microsoft 365,而非第三方閘道。
  • SMTP From(信封寄件者)和 From 標頭值不會被修改。

將Sophos EMS 與第三方電子郵件安全解決方案集成

!!! info “本條款僅適用於常規的收發郵件流程。”

您可以根據電子郵件的處理方式,將Sophos EMS 與第三方電子郵件安全解決方案整合。

選擇與您的設定相符的方法。

注意

Microsoft 365 日誌訊息遵循單獨的傳遞路徑,必須始終直接從 Microsoft 365 傳送到Sophos EMS。它們不能通過第三方網關。

如果啟用了日誌記錄功能並且您使用網關,則必須設定單獨的連接器以進行日誌傳遞。

注意

將Sophos EMS 與第三方電子郵件安全解決方案整合時,請務必建立新的連接器或規則。請勿編輯或重複使用現有連接器或規則,因為這可能會中斷郵件流。

基於網關的解決方案

如果您的電子郵件經過第三方電子郵件安全網關,請使用此功能。

配置入站郵件流的連接器

!!! info “此流程僅適用於您的第三方電子郵件安全解決方案基於網關的情況。”

您必須如下在Sophos EMS 和 Microsoft 365 之間建立安全連接器:

  1. 登入Sophos Central並如下設定您的第三方電子郵件安全解決方案:

    1. 前往 我的產品 > Email Security > 設定 > EMS 網域
    2. 選取您的網域,然後按一下 設定外部相依項目
    3. 請確保您位於M365索引標籤中。
    4. 「我的電子郵件安全是網關」下,準備來自您的電子郵件安全解決方案的 IP 位址或 IP 位址範圍。

  2. 登入您的 Exchange 管理中心,並如下建立安全連接器:

    注意

    使用此程序設定連接器,以便透過第三方電子郵件安全閘道進行常規入站郵件流。

    有關期刊訊息傳遞,請參見日誌訊息傳遞

    1. 前往「郵件流」 > “連接器” ,然​​後按一下「新增連接器」
    2. 「連線來源」中,選擇「合作夥伴組織」 ,然後按一下「下一步」

    3. 輸入連接器名稱。

      例如:Accept email from third-party mail filtering solution.

    4. 選擇「開啟」 ,然後按一下「下一步」

    5. 選擇“透過驗證傳送伺服器的 IP 位址是否與下列屬於您合作夥伴組織的 IP 位址之一相符”,新增入站交付 IP 位址,然後按一下「下一步」
    6. (可選)僅當您的電子郵件安全解決方案透過 TLS 向 M365 發送所有電子郵件時,才選擇「如果電子郵件不是透過 TLS 發送,則拒絕電子郵件」
    7. 按一下「下一步」 ,查看連接器設置,然後按一下「建立連接器」
    8. 按一下 完成

  3. 登入 Defender並以下列方式實施跳過清單:

    1. 選擇您建立的連接器。
    2. 選擇「跳過與連接器關聯的這些 IP 位址」
    3. 新增入站交付的 IP 位址。

    4. 輸入每個 IP 位址後按 輸入 鍵,確保將其新增至清單。

      注意

      如果您不按 輸入 ,即使您點擊 儲存,IP 位址也不會被儲存。

    5. 「套用至這些使用者」中,選擇「應用於整個組織」

    6. 按一下 儲存

連接器現已啟用增強型濾波器功能。

日誌訊息傳遞

如果啟用日誌記錄功能,則必須設定單獨的連接器,以確保日誌訊息繞過第三方網關。

此設定直接將日誌訊息從 Microsoft 365 路由到Sophos EMS。

若要進行此配置,請按以下步驟操作:

  • 在 Microsoft 365 中建立一個連接器,將日誌訊息直接路由到Sophos EMS 日誌域。
  • 配置連接器,使其僅套用於 EMS 日誌域(例如,use2.external.sophosems.com )。
  • 確保路由繞過第三方網關。

警告

不要透過第三方網關路由日誌訊息。這可能會導致投遞失敗或基於標頭的偵測問題。

警告

我們不建議在 EMS 網域自訂網關 下新增第三方網關 IP 位址。

雖然這種配置允許日誌傳遞,但它可能會導致基於標頭的偵測問題,例如標頭異常失敗。

基於郵件流的解決方案

如果您的電子郵件是透過 Microsoft 365 郵件流規則處理的,請使用此選項。

為基於郵件流的解決方案建立傳輸規則

!!! info “此流程僅適用於您的第三方電子郵件安全解決方案基於郵件流的情況。”

點擊此索引標籤,查看建立入站和出站傳輸規則的逐步說明。

若要建立入站傳輸規則,請如下操作:

  1. 登入Sophos Central並如下設定您的第三方電子郵件安全解決方案:

    1. 前往我的產品 > 電子郵件安全 > 設定 > EMS 網域
    2. 選取您的網域,然後按一下 設定外部相依項目
    3. 請確保您位於M365索引標籤中。
    4. 在「我的電子郵件安全基於 M365 郵件流」下,準備您的電子郵件安全解決方案的 IP 位址或 IP 範圍。
    5. 啟用M365郵件流配置,並複製標頭名稱標頭值以備後用。
    6. 按一下「儲存

  2. 登入您的Microsoft Exchange 管理中心,並以下列方式建立入站傳輸規則:

    1. 前往郵件流 > 規則,點選新增規則,然後選擇建立新規則

    2. 輸入入站傳輸規則的名稱。

      例如:Add header for EMS scan for inbound emails.

    3. 在“套用此規則的條件”下,選擇“收件者”和“是外部/內部”,確保選取“組織內部”,然後按一下“儲存”。

    4. 點選加號圖示新增第二個條件。
    5. 選擇收件人域名,新增您的電子郵件安全解決方案使用的域名,然後點擊儲存
    6. 點選加號圖示新增第三個條件。
    7. 選擇“寄件者”和“**IP 位址在這些範圍內或完全匹配”,添加您的電子郵件安全解決方案使用的入站交付 IP 位址,然後按一下“儲存”。
    8. 在「執行下列操作」下,選擇「修改郵件屬性」和「設定郵件頭」。
    9. 點擊第一個“輸入文字”鏈接,從“配置外部依賴項”頁面輸入“標題名稱”的值,然後點擊“儲存”。
    10. 點擊第二個“輸入文字”鏈接,從“配置外部依賴項”頁面輸入“標題值”,然後點擊“儲存”。
    11. 按一下 下一步
    12. 設定規則設定中,確保規則模式設定為強制執行,並且匹配郵件中的寄件人地址設定為標頭
    13. 按一下下一步,查看入站傳輸規則設置,然後按一下完成

  3. 如下啟用入站傳輸規則:

    1. 選擇入站傳輸規則並將其啟用。
    2. 點選編輯規則設定,將優先權設定為0然後點選儲存
    3. 按一下 完成

您的入站運送規則現已生效。

若要建立出站傳輸規則,請如下操作:

  1. 登入Sophos Central並如下設定您的第三方電子郵件安全解決方案:

    1. 前往我的產品 > 電子郵件安全 > 設定 > EMS 網域
    2. 選取您的網域,然後按一下 設定外部相依項目
    3. 請確保您位於M365索引標籤中。
    4. 在「我的電子郵件安全基於 M365 郵件流」下,準備您的電子郵件安全解決方案的 IP 位址或 IP 範圍。
    5. 啟用M365郵件流配置,並複製標頭名稱標頭值以備後用。
    6. 按一下「儲存

  2. 登入您的Microsoft Exchange 管理中心,並以下列方式建立出站傳輸規則:

    1. 前往郵件流 > 規則,點選新增規則,然後選擇建立新規則

    2. 輸入出站傳輸規則的名稱。

      例如:Add header for EMS scan for outbound emails.

    3. 在“套用此規則的條件”下,選擇“收件者”和“是外部/內部”,選擇“組織外部”,然後按一下“儲存”。

    4. 點選加號圖示新增第二個條件。
    5. 選擇寄件者網域為,新增您的電子郵件安全解決方案使用的網域,然後按一下儲存
    6. 點選加號圖示新增第三個條件。
    7. 選擇“寄件者”和“**IP 位址在這些範圍內或完全匹配”,添加您的電子郵件安全解決方案使用的出站發送 IP 位址,然後按一下“儲存”。
    8. 在「執行下列操作」下,選擇「修改郵件屬性」和「設定郵件頭」。
    9. 點擊第一個“輸入文字”鏈接,從“配置外部依賴項”頁面輸入“標題名稱”的值,然後點擊“儲存”。
    10. 點擊第二個“輸入文字”鏈接,從“配置外部依賴項”頁面輸入“標題值”,然後點擊“儲存”。
    11. 按一下 下一步
    12. 設定規則設定中,確保規則模式設定為強制執行,並且匹配郵件中的寄件人地址設定為標頭
    13. 按一下下一步,查看出站傳輸規則設置,然後按一下完成

  3. 如下啟用出站傳輸規則:

    1. 選擇出站傳輸規則並將其啟用。
    2. 點選編輯規則設定,將優先權設定為1然後點選儲存
    3. 按一下 完成

您的出站傳輸規則現已生效。