在 M365 設定日誌記錄
了解如何在 Microsoft 365 中設定日誌記錄功能,將電子郵件的副本傳送至 Sophos EMS (電子郵件監控系統)。
日誌功能會將所有收發電子郵件的副本傳送至 Sophos EMS 進行掃描。在 Microsoft 365 中,您可以透過在 Microsoft Purview 中建立日誌規則來啟用日誌記錄。
要了解有關日誌記錄的更多資訊,請參閱Exchange Online 中的日誌記錄。
如果您使用的是其他電子郵件安全解決方案,請設定連接器或傳輸規則,將其與 Sophos EMS 整合。
重要事項
如果您的 Microsoft 365 租用戶使用第三方電子郵件安全閘道(例如 Barracuda),則日誌訊息必須直接從 Microsoft 365 傳送至 Sophos EMS。
不要透過網關轉發日誌訊息。如果日誌訊息被轉發,Sophos EMS 將從網關 IP 位址而不是 Microsoft 365 接收日誌訊息。這可能會導致日誌傳遞失敗、訊息 歷程記錄資料遺失或基於標頭的偵測出現問題。
準備事項
請確保您擁有以下帳戶:
- Microsoft Purview 管理員帳戶
- Microsoft 365 管理員帳戶
將 Sophos EMS 與 Microsoft 365 整合
將 Sophos EMS 與 Microsoft 365 整合的關鍵步驟如下:
在 Microsoft Purview 中建立日誌規則
您必須在 Microsoft Purview 中建立日誌規則,才能將入站電子郵件路由至 Sophos EMS。
若要建立日誌規則,請依照下列步驟操作:
- 登入至 Sophos Central。
- 前往 我的產品 > Email Security > 設定 > EMS 網域。
- 選取您的網域,然後按一下 設定外部相依項目。
-
在M365索引標籤的步驟 1中,複製提供的電子郵件地址並儲存以備後用。
這些電子郵件地址用於向 Sophos EMS 傳送日誌報告。一個地址用於接收無法投遞的日誌報告,另一個地址用於接收常規日誌報告。每個地址都有不同的用途,必須分別配置才能確保日誌傳遞完整。
-
請登入 Microsoft Purview。
- 前往「設定」 > 「資料生命週期管理」 > 「Exchange(舊版)」。
-
在「將無法送達的日誌報告傳送至」下,按一下「取代」,輸入從 Sophos Central 複製的無法送達的日誌報告的電子郵件地址,然後按一下「儲存」。
注意
僅當「傳送無法送達的日誌報告至」為空時才進行設定。不要更改已存在的地址。進行下一步。
當已記錄的電子郵件無法送達至預期目的地時,郵箱會收到未送達報告 (NDR)。
-
前往「解決方案」 > 「資料生命週期管理」 > 「Exchange(舊版)」 > 「日誌規則」,然後按一下「新增規則」以建立新的日誌規則。
- 在「傳送日誌報告至」中,輸入您從Sophos Central複製的用於接收常規日誌報告的電子郵件地址。
-
在「日誌規則名稱」中,輸入日誌規則的名稱。
範例
EMS掃描外部電子郵件 -
在日誌訊息的發送或接收來源中,選擇以下選項之一:
- 每個人:如果所有 M365 網域都已加入 Sophos EMS。
- 特定使用者或使用者群組:如果您希望 Sophos EMS 僅掃描選定的使用者和網域。
注意
如果您選擇特定使用者或群組,請確保該使用者或群組存在於 Microsoft 365 中。
-
在「傳送到日誌的訊息類型」中,選擇「僅限外部訊息」 。
- 點選「下一步」 ,查看設置,然後點選「提交」 。
您已為 Microsoft 365 建立了日誌規則。
在 Microsoft Purview 中完成日誌配置後,返回 Sophos Central 完成您的啟用流程。請參見 新增網域。
配置完成後,請確認以下條件:
- 日誌訊息直接從 Microsoft 365 傳送到Sophos EMS。
- 訊息歷程記錄中顯示的來源 IP 位址屬於 Microsoft 365,而非第三方閘道。
- SMTP From(信封寄件者)和 From 標頭值不會被修改。
將Sophos EMS 與第三方電子郵件安全解決方案集成
本條款僅適用於常規的郵件流程。
您可以根據電子郵件的處理方式,將Sophos EMS 與第三方電子郵件安全解決方案整合。
選擇與您的設定相符的方法。
-
基於網關的解決方案
電子郵件會透過第三方電子郵件安全網關,例如 Barracuda。
-
基於郵件流的解決方案
電子郵件使用 Microsoft 365 郵件流程規則進行處理。
注意
Microsoft 365 日誌訊息遵循單獨的傳遞路徑,必須始終直接從 Microsoft 365 傳送到 Sophos EMS。它們不能通過第三方網關。
如果啟用了日誌記錄功能並且您使用網關,則必須設定單獨的連接器以進行日誌傳遞。
注意
將 Sophos EMS 與第三方電子郵件安全解決方案整合時,請務必建立新的連接器或規則。請勿編輯或重複使用現有連接器或規則,因為這可能會中斷郵件流程。
基於網關的解決方案
如果您的電子郵件經過第三方電子郵件安全網關,請使用此功能。
配置入站郵件流程的連接器
此流程僅適用於您的第三方電子郵件安全解決方案基於網關的情況。
您必須如下在 Sophos EMS 與 Microsoft 365 之間建立安全連接器:
-
請登入 Sophos Central,並依照以下步驟設定您的第三方電子郵件安全解決方案:
- 前往 我的產品 > Email Security > 設定 > EMS 網域。
- 選取您的網域,然後按一下 設定外部相依項目。
- 請確保您位於M365索引標籤中。
- 在「我的電子郵件安全是網關」下,準備來自您的電子郵件安全解決方案的 IP 位址或 IP 位址範圍。
-
登入您的Microsoft Exchange 管理中心,並如下建立安全連接器:
- 前往「郵件流程」 > 「連接器」,然後點擊「新增連接器」。
- 在「連線來源」中,選擇「合作夥伴組織」,然後按一下「下一步」。
-
輸入連接器名稱。
範例
接受來自第三方郵件過濾解決方案的電子郵件 -
選擇「開啟」,然後按一下「下一步」。
- 選擇透過驗證傳送伺服器的 IP 位址是否與下列屬於您的合作夥伴組織的 IP 位址之一相符,新增入站交付 IP 位址,然後按一下「下一步」。
- (可選)若您的電子郵件安全解決方案是 將所有電子郵件傳送至 M365,請勾選「如果不是透過 TLS 傳送,則拒絕電子郵件訊息」,則予以拒收。
- 按一下「下一步」,檢視連接器設定,然後按一下「建立連接器」。
- 按一下 完成。
-
登入Microsoft Defender並以下列方式實施跳過清單:
- 選擇您建立的連接器。
- 選擇「跳過與連接器關聯的這些 IP 位址」。
- 新增入站交付的 IP 位址。
-
輸入每個 IP 位址後按 輸入 鍵,確保將其新增至清單。
注意
如果您不按 輸入 ,即使您點擊 儲存,IP 位址也不會被儲存。
-
在「套用至這些使用者」中,選擇「應用於整個組織」。
- 按一下 儲存。
連接器現已啟用增強型過濾功能。
日誌訊息傳遞
如果啟用日誌記錄功能,則必須設定單獨的連接器,以確保日誌訊息繞過第三方網關。
此設定直接將日誌訊息從 Microsoft 365 路由到 Sophos EMS。
若要進行此配置,請按以下步驟操作:
- 在 Microsoft 365 中建立一個連接器,將日誌訊息直接路由到 Sophos EMS 日誌域。
-
配置連接器,使其僅套用於 EMS 日誌域。
範例
use2.external.sophosems.com -
確保路由繞過第三方網關。
警告
不要透過第三方網關路由日誌訊息。這可能會導致投遞失敗或基於標頭的偵測問題。
警告
我們不建議在 EMS 網域 的 自訂網關 下新增第三方網關 IP 位址。
雖然這種配置允許日誌傳遞,但它可能會導致基於標頭的偵測問題,例如標頭異常失敗。
基於郵件流程的解決方案
如果您的電子郵件是透過 Microsoft 365 郵件流程規則處理的,請使用此選項。
為基於郵件流程的解決方案建立傳輸規則
!!! info “此流程僅適用於您的第三方電子郵件安全解決方案基於郵件流程的情況。”
點擊此索引標籤,查看建立入站和出站傳輸規則的逐步說明。
若要建立入站傳輸規則,請如下操作:
-
請登入 Sophos Central,並依照以下步驟設定您的第三方電子郵件安全解決方案:
- 前往 我的產品 > Email Security > 設定 > EMS 網域。
- 選取您的網域,然後按一下 設定外部相依項目。
- 請確保您位於 M365 索引標籤中。
- 在「我的電子郵件安全基於 M365 郵件流程」下,準備您的電子郵件安全解決方案的 IP 位址或 IP 範圍。
- 啟用 M365 郵件流程配置,並複製 標頭名稱 和 標頭值 以備後用。
- 按一下「儲存」
-
登入您的 Microsoft Exchange 管理中心,並以下列方式建立入站傳輸規則:
- 前往郵件流程 > 規則,點選新增規則,然後選擇建立新規則。
-
輸入入站傳輸規則的名稱。
範例
為入站電子郵件新增 EMS 掃描標頭 -
在“套用此規則的條件”下,選擇“收件者”和“是外部/內部”,確保選取“組織內部”,然後按一下“儲存”。
- 點選加號圖示新增第二個條件。
- 選擇收件者和網域為,新增您的電子郵件安全解決方案使用的網域,然後點擊儲存。
- 點選加號圖示新增第三個條件。
- 選擇“寄件者”和“**IP 位址在這些範圍內或完全匹配”,添加您的電子郵件安全解決方案使用的入站交付 IP 位址,然後按一下“儲存”。
- 在「執行下列操作」下,選擇「修改郵件屬性」和「設定郵件頭」。
- 點擊第一個“輸入文字”鏈接,從“設定外部相依項目”頁面輸入“標頭名稱”的值,然後點擊“儲存”。
- 點擊第二個「輸入文字」連結,從「設定外部相依項目」頁面輸入「標頭值」,然後點擊「儲存」。
- 按一下 下一步。
- 在設定規則中,確保規則模式設定為強制執行,並且匹配郵件中的寄件人地址設定為標頭。
- 按一下下一步,查看入站傳輸規則設置,然後按一下完成。
-
如下啟用入站傳輸規則:
- 選擇入站傳輸規則並將其啟用。
- 點選編輯規則設定,將優先權設定為
0,然後點選儲存。 - 按一下 完成。
您的入站傳輸規則現已生效。
若要建立出站傳輸規則,請如下操作:
-
請登入 Sophos Central,並依照以下步驟設定您的第三方電子郵件安全解決方案:
- 前往 我的產品 > Email Security > 設定 > EMS 網域。
- 選取您的網域,然後按一下 設定外部相依項目。
- 請確保您位於 M365 索引標籤中。
- 在「我的電子郵件安全基於 M365 郵件流程」下,準備您的電子郵件安全解決方案的 IP 位址或 IP 範圍。
- 啟用 M365 郵件流程配置,並複製 標頭名稱 和 標頭值 以備後用。
- 按一下「儲存」
-
登入您的Microsoft Exchange 管理中心,並以下列方式建立出站傳輸規則:
- 前往郵件流程 > 規則,點選新增規則,然後選擇建立新規則。
-
輸入出站傳輸規則的名稱。
範例
為出站電子郵件新增 EMS 掃描標頭。 -
在“套用此規則的條件”下,選擇“收件者”和“是外部/內部”,選擇“組織外部”,然後按一下“儲存”。
- 點選加號圖示新增第二個條件。
- 選擇寄件者和網域為,新增您的電子郵件安全解決方案使用的網域,然後按一下儲存。
- 點選加號圖示新增第三個條件。
- 選擇“寄件者”和“**IP 位址在這些範圍內或完全匹配”,添加您的電子郵件安全解決方案使用的出站交付 IP 位址,然後按一下“儲存”。
- 在「執行下列操作」下,選擇「修改郵件屬性」和「設定郵件標頭」。
- 按一下第一個「輸入文字」連結,從「設定外部相依項目」頁面輸入「標頭名稱」的值,然後按一下「儲存」。
- 按一下第二個「輸入文字」連結,從「設定外部相依性」頁面輸入「標頭值」,然後按一下「儲存」。
- 按一下 下一步。
- 在設定規則設定中,確保規則模式設定為強制執行,並且匹配郵件中的寄件人地址設定為標頭。
- 按一下 下一步,檢視出站傳輸規則設定,然後按一下 完成。
-
如下啟用出站傳輸規則:
- 選擇出站傳輸規則並將其啟用。
- 按一下 編輯規則設定,將 優先權 設定為
1,然後按一下 儲存。 - 按一下 完成。
您的出站傳輸規則現已強制執行。