為 M365 設定日誌記錄
瞭解如何在 Microsoft 365 中設定日誌記錄功能,將電子郵件副本傳送至 Sophos EMS(電子郵件監控系統)。
日誌記錄功能會將所有收發電子郵件的副本傳送至 Sophos EMS 進行掃描。在 Microsoft 365 中,您可以透過在 Microsoft Purview 中建立日誌規則來啟用日誌記錄功能。
欲進一步了解日誌記錄功能,請參閱Exchange Online 中的。
若您已使用其他電子郵件安全解決方案,並希望將其與 Sophos EMS 整合,則必須在兩者之間建立安全連接器或傳輸規則。
重要事項
若您的 Microsoft 365 租戶使用第三方電子郵件安全閘道(例如 Barracuda),日誌訊息必須直接從 Microsoft 365 傳送至 Sophos EMS。
請勿透過閘道進行訊息轉送。若這些通知是經由中繼傳送,Sophos EMS 將從閘道 IP 位址接收通知,而非來自 Microsoft 365。這可能導致期刊傳送失敗、訊息 歷程記錄遺失,或基於標頭的偵測功能出現問題。
準備事項
請確保您擁有以下帳戶:
- Microsoft Purview 管理員帳戶
- Microsoft 365 管理員帳戶
設定 Sophos EMS 與 Microsoft 365 的關鍵步驟如下:
在 Microsoft Purview 中建立日誌規則
您必須在 Microsoft Purview 中建立日誌規則,以將傳入電子郵件轉發至 Sophos EMS。
要建立日誌規則,請依下列步驟操作:
- 登入至 Sophos Central。
- 前往 我的產品 > 電子郵件防護 > 設定 > EMS 網域設定/狀態。
- 選取您的網域,然後按一下 設定外部相依項目。
-
在M365索引標籤頁的步驟 1 中,複製提供的電子郵件地址並儲存以備後續使用。
這些電子郵件地址用於將日誌報告傳送至 Sophos EMS。一個地址是為無法送達的期刊報告準備的,另一個則是用於常規期刊報告。每個地址皆有不同用途,必須分別進行設定,以確保日誌能完整送達。
-
登入Purview。
- 前往設定 > 資料生命週期管理 > Exchange(舊版)。
-
在「將無法送達的日誌報告傳送至」下方,點擊「取代」,輸入您從 Sophos Central 複製的無法送達日誌報告電子郵件地址,然後點擊「儲存」。
Note
僅當將無法送達的日誌報告發送至欄位為空時,才需設定此選項。請勿更改已存在的地址。請繼續進行下一步。
當日誌化電子郵件無法送達預定目的地時,收件信箱將收到一封無法送達報告(NDR)。
-
前往「解決方案」 > 「資料生命週期管理」 > 「Exchange(舊版)」 > 「日誌規則」,然後點擊「新增規則」以建立新的日誌規則。
- 在「將日誌報告寄送至」欄位中,輸入您從 Sophos Central 複製的定期日誌報告電子郵件地址。
-
在「日誌規則名稱」欄位中,輸入日誌規則的名稱。
例如:
EMS 掃描外部電子郵件。 -
在「從...發送或接收的日誌訊息」中,請選擇以下其中一項選項:
- 各位:若所有 M365 網域皆已整合至 Sophos EMS。
- 特定使用者或群組:若您希望 Sophos EMS 僅針對選定的使用者和網域執行掃描。
Note
若您選擇特定使用者或群組,請確保該使用者或群組存在於 Microsoft 365 中。
-
在「要記錄的訊息類型」中,請選擇「僅外部訊息」。
- 點擊「下一步」,檢視設定,然後點擊「提交」。
您已為 Microsoft 365 建立日誌規則。
在 Microsoft Purview 完成日誌記錄設定後,請返回 Sophos Central 完成您的啟用流程。請參見 新增網域。
完成設定後,請確認以下條件:
- 日誌訊息由 Microsoft 365 直接傳送至 Sophos EMS。
- 訊息 歷程記錄中顯示的來源 IP 位址屬於 Microsoft 365,而非第三方閘道。
- SMTP 寄件者(信封寄件者)與 From 標頭的值不會被修改。
將 Sophos EMS 與第三方電子郵件安全解決方案整合
!!! info 本節僅適用於常規的入站及出站郵件流。
您可以將 Sophos EMS 與第三方電子郵件安全解決方案整合,該方案可基於閘道或郵件流。僅當您使用上述任一方法時,才需設定此區段。否則,Sophos EMS 可能無法如您所預期地運作。
選擇最符合您設定的方法:
Microsoft 365 日誌訊息採用獨立傳輸路徑,必須直接從 Microsoft 365 轉發至 Sophos EMS。日誌傳輸不得依賴閘道式連接器或傳輸規則。
若您使用第三方閘道且已啟用 Microsoft 365 日誌記錄功能,則必須建立專用連接器以傳送日誌。請參見 建立自訂閘道的安全連接器。
Note
在將 Sophos Email Security 與第三方電子郵件安全解決方案整合時,請務必建立新的連接器或規則。請勿編輯或重複使用現有的連接器或規則,此舉可能導致郵件傳輸中斷。
建立自訂閘道的安全連接器
!!! info 此程序將使用客戶電子郵件網域的 MX 記錄中設定的 IP 位址,在 Sophos EMS 中配置自訂閘道設定。
此設定旨在支援郵件傳輸流程中存在第三方閘道時,日誌訊息的傳遞作業。它不會配置或修改第三方電子郵件安全解決方案本身。
若您的環境中存在第三方閘道,您必須建立獨立的 Microsoft 365 連接器以執行日誌記錄,確保日誌訊息能繞過該閘道。
在 Microsoft Exchange 管理中心中的「郵件傳輸」 > 「連接器」下建立連接器。
若要進行期刊傳送,您必須設定以下連接器設定:
- 連接來源:Office 365
- 連接至:合作組織
-
連接器使用說明:設定連接器僅在電子郵件訊息發送至 Sophos EMS 日誌網域時生效
Sophos EMS 日誌網域範例
use2.external.sophosems.com
-
路由和:查詢客戶電子郵件網域的 MX 記錄,並記錄其數值。您稍後在 Sophos Central 中設定自訂閘道時,將會使用這些 MX 記錄。
Warning
我們不建議在EMS 網域設定/狀態中的自訂閘道下新增第三方閘道 IP 位址。
雖然此設定允許日誌傳送,但可能導致基於標頭的偵測問題,例如標頭異常失敗,因為日誌訊息不再如預期般從 Microsoft 365 傳送至系統。
建立用於閘道器解決方案的安全連接器
!!! info 此程序僅適用於您的第三方電子郵件安全解決方案採用閘道式架構的情況。
您必須按照以下步驟在 Sophos EMS 與 Microsoft 365 之間建立安全連接器:
-
登入 Sophos Central,並依下列步驟設定您的第三方電子郵件安全解決方案:
- 前往 我的產品 > 電子郵件防護 > 設定 > EMS 網域設定/狀態。
- 選取您的網域,然後按一下 設定外部相依項目。
- 請確認您已切換至M365索引標籤。
- 在「我的電子郵件安全」設定中,請準備您電子郵件安全解決方案的IP位址或IP位址範圍。
-
請登入您的Exchange 管理中心,並依照以下步驟建立安全連接器:
Note
若需為透過第三方電子郵件安全閘道進行的常規入站郵件流量設定連接器,請遵循此程序。
若要讓 Microsoft 365 日誌訊息繞過第三方閘道器,直接傳送至 Sophos EMS,請設定一個專用連接器,並使用自訂閘道器設定。請參見 建立自訂閘道的安全連接器。
- 前往郵件流 > 連接器,然後點擊新增連接器。
- 在「關聯來源」中,選擇「合作夥伴組織」,然後點擊「下一步」。
-
輸入連接器名稱。
例如:
接受來自第三方郵件過濾解決方案的電子郵件。 -
選擇「開啟」並點擊「下一步」。
- 請確認發送伺服器的 IP 位址與以下屬於合作夥伴組織的 IP 位址之一相符,將入站傳遞 IP 位址加入清單後,點選「下一步」。
- (可選)若您的電子郵件安全解決方案僅 透過 TLS 協定將所有郵件傳送至 M365,請在此選取「拒絕非 TLS 傳輸的電子郵件」。
- 點擊「下一步」,檢視連接器設定,然後點擊「建立連接器」。
- 按一下 完成。
-
登入Defender並依下列步驟設定跳過清單:
- 請選擇您所建立的連接器。
- 選擇跳過與此連接器關聯的這些 IP 位址。
- 新增入站傳輸的IP位址。
-
在每個IP位址後按下++Enter++鍵,以確保其被加入清單。
Note
若您未按下++Enter++鍵,即使點擊儲存按鈕,IP位址仍不會被儲存。
-
在「套用至這些使用者」中,請選擇「套用至整個組織」。
- 按一下 儲存。
連接器現已啟用增強型過濾功能。
建立基於郵件流的解決方案之傳輸規則
!!! info 此程序僅適用於您的第三方電子郵件安全解決方案採用郵件流式處理技術的情況。
點擊索引標籤以查看建立入站和出站傳輸規則的逐步說明。
要建立入站傳輸規則,請執行以下步驟:
-
登入 Sophos Central,並依下列步驟設定您的第三方電子郵件安全解決方案:
- 前往 我的產品 > 電子郵件防護 > 設定 > EMS 網域設定/狀態。
- 選取您的網域,然後按一下 設定外部相依項目。
- 請確保您位於M365索引標籤中。
- 在 我的電子郵件安全基於 M365 郵件流 的前提下,請準備您電子郵件安全解決方案中的 IP 位址或 IP 範圍。
- 開啟啟用 M365 郵件傳輸配置,並複製標頭名稱與標頭值的數值以備後續使用。
- 按一下「儲存」
-
登入您的 Microsoft Exchange 管理中心,並依下列步驟建立傳入傳輸規則:
- 前往 郵件 流程 > 規則,點擊 新增規則,然後選擇 建立新規則。
-
為入站傳輸規則輸入名稱。
例如:
Add header for EMS scan for inbound emails. -
在「若符合以下條件則套用此規則」下,選擇「收件者」與「外部/內部」,確認已勾選「組織內部」,然後點擊「儲存」。
- 點擊加號圖示以新增第二個條件。
- 選擇收件者和網域為,輸入您電子郵件安全解決方案使用的網域名稱,然後點擊儲存。
- 點擊加號圖示以新增第三個條件。
- 選擇寄件者並勾選IP位址位於以下任一範圍或完全匹配,加入您電子郵件安全解決方案使用的入站傳遞IP位址,然後點擊儲存。
- 在執行以下操作下,選擇修改訊息屬性並設定訊息標頭。
- 點擊第一個輸入文字連結,輸入來自設定外部依賴項頁面的標頭名稱值,然後點擊儲存。
- 點擊第二個輸入文字連結,輸入來自設定外部依賴項頁面的標頭值,然後點擊儲存。
- 按一下 下一步。
- 在設定規則設定中,請確保規則模式已設定為強制執行,且比對訊息中的寄件者地址已設定為標頭。
- 點擊下一步,檢視傳入傳輸規則設定,然後點擊完成。
-
請依下列步驟啟用入站傳輸規則:
- 選取入站傳輸規則並啟用它。
- 點擊編輯規則設定,將優先級設為
0,然後點擊儲存。 - 按一下 完成。
您的入站運輸規則現已生效。
要建立外發傳輸規則,請依下列步驟操作:
-
登入 Sophos Central,並依下列步驟設定您的第三方電子郵件安全解決方案:
- 前往 我的產品 > 電子郵件防護 > 設定 > EMS 網域設定/狀態。
- 選取您的網域,然後按一下 設定外部相依項目。
- 請確保您位於M365索引標籤中。
- 在 我的電子郵件安全基於 M365 郵件流 的前提下,請準備您電子郵件安全解決方案中的 IP 位址或 IP 範圍。
- 開啟啟用 M365 郵件傳輸配置,並複製標頭名稱與標頭值的數值以備後續使用。
- 按一下「儲存」
-
登入您的 Microsoft Exchange 管理中心,並依下列步驟建立外發傳輸規則:
- 前往 郵件 流程 > 規則,點擊 新增規則,然後選擇 建立新規則。
-
為外發傳輸規則輸入名稱。
例如:
Add header for EMS scan for outbound emails. -
在「若符合以下條件則套用此規則」下,選擇「收件者」與「是外部/內部」,勾選「組織外部」,然後點擊「儲存」。
- 點擊加號圖示以新增第二個條件。
- 選擇寄件者和網域為,輸入您電子郵件安全解決方案使用的網域,然後點擊儲存。
- 點擊加號圖示以新增第三個條件。
- 選擇寄件者,並勾選IP位址位於以下任一範 圍或完全匹配,輸入您電子郵件安全解決方案使用的外發傳送IP位址,然後點擊儲存。
- 在執行以下操作下,選擇修改訊息屬性並設定訊息標頭。
- 點擊第一個輸入文字連結,輸入來自設定外部依賴項頁面的標頭名稱值,然後點擊儲存。
- 點擊第二個輸入文字連結,輸入來自設定外部依賴項頁面的標頭值,然後點擊儲存。
- 按一下 下一步。
- 在設定規則設定中,請確保規則模式已設定為強制執行,且比對訊息中的寄件者地址已設定為標頭。
- 點擊下一步,檢視外發傳輸規則設定,然後點擊完成。
-
請依下列步驟啟用外發傳輸規則:
- 選取外發運輸規則並啟用它。
- 點擊編輯規則設定,將優先級設為
1,然後點擊儲存。 - 按一下 完成。
您的外發運輸規則現已生效。