設定 Sophos EMS
使用Sophos EMS (電子郵件監控系統)將Sophos Central與第三方電子郵件服務(如Microsoft Defender或Google工作空間安全)連接。EMS僅監控電子郵件流量和報告數據。它不會對消息應用保護或強制實施任何原則。
相反,EMS會提供僅供觀察的判決,顯示Sophos電子郵件如果處理這些消息將會執行什麼操作。EMS掃描入站和出站電子郵件,記錄它看到的內容,並更新報告而不採用任何動作。這些判定可幫助您了解Sophos電子郵件 原則的工作方式,而不會更改當前電子郵件服務處理事務的方式。
當與Microsoft 365一起使用時,EMS還支援通過API集成手動進行電子郵件追回。
Sophos EMS還通過向Sophos Data Lake發送與電子郵件相關的數據來補充Sophos MDR和Sophos XDR。對於MDR和XDR客戶,這為威脅檢測增加了寶貴的上下文,並增強了事件響應能力。
操作前準備事項
在設定 Sophos Mailflow 之前,請務必瞭解下列要點。
-
Sophos EMS授權
Sophos EMS是一個獨立的產品,是Sophos電子郵件Advanced的替代產品。您不能同時使用這兩種功能。
EMS僅用於監護。它掃描並記錄電子郵件,但不使用動作。
-
Sophos EMS模式
開啟EMS模式時,您會在Sophos Central中的某些頁面上看到警告橫幅,指出僅監控電子郵件,且未套用任何動作。
-
不可配置的設定和原則
打開EMS模式時,某些設定和功能將被禁用,包括SMTP路由,點擊時間,自助服務門戶等。EMS處理電子郵件的日誌副本,因此不支援加密。
安全消息原則也不可用。您可以配置電子郵件安全和數據控制原則,但配置的操作僅用於報告目的,不會應用於電子郵件。
若要設定原則,請依照下列步驟操作:
檢查EMS模式是否已開啟
當您將Sophos EMS授權添加到帳戶時,EMS模式預設為打開。要使用Sophos EMS,您需要確保已打開EMS模式。
若要執行此動作,請依照以下步驟操作。
- 登入 Sophos Central。
- 單擊配置文件圖標,然後按一下
帳戶喜好設定。
-
在 Sophos電子郵件監護系統(EMS)中,確保 僅監護模式(EMS) 已打開。
如果EMS模式已關閉,請將其打開。
有關EMS模式的信息,請參閱 Sophos 電子郵件監控系統 (EMS)。
-
按一下 儲存。
EMS模式現已針對Sophos Central啟用。
新增郵件信箱
在EMS模式下,您可以將電子信箱添加到Sophos Central。
您可以採用以下方式新增郵件信箱:
- 自動使用目錄服務。您可以使用 AD Sync 或 Microsoft Entra ID Sync。如需有關如何設定目錄服務的更多資訊和說明,請參閱 目錄服務。
- 在用戶界面中手動。
- 通過從CSV文件導入數據手動。
新增網域
您可以添加域並將其與Sophos EMS集成,如下所示:
- 前往 我的產品 > 電子郵件防護 > 設定 > EMS 網域設定/狀態。
- 按一下 新增網域。
-
在 電子郵件域中,輸入您的電子郵件域。例如:
example.com
。您必須驗證域所有權,然後才能交付電子郵件。為此,請向您的域添加TXT記錄。新增此記錄不會影響您的電子郵件或其他服務。
-
按一下 驗證網域擁有權。
-
使用 驗證網域擁有權 中提供的詳細資訊將 TXT 記錄新增到您的網域名稱伺服器 (DNS)。
注意
最多可能需要十分鐘時間生效。
-
按一下 驗證。
警告
您無法儲存未驗證的網域。您必須糾正任何關於網域擁有權驗證的問題。
-
從以下選項中選擇方向:
- 僅限入埠
- 入埠和出埠
-
從以下選項中選擇日誌源IP範圍:
- Microsoft Office 365
- Google Apps Gmail
- 自訂閘道
您可以設定一個或多個電子郵件伺服器,以便為同一網域傳送外寄郵件。
如果您選取自訂閘道,則至少需要一個 IP 位址和 CIDR(子網路範圍)。在每個項目之後按一下「新增」。您可以新增多個 IP 位址或範圍。
-
點選 儲存 來驗證您的設定。
**** 此時將顯示配置外部依賴關係對話框。
-
在 配置外部依賴關係中,在第三方郵件服務中配置日誌記錄:
作爲域配置的一部分,您必須在郵件服務中配置日誌記錄。這將在您的郵件服務和EMS之間建立通信,從而允許EMS接收每個電子郵件的副本以進行掃描。您必須完成此步驟,EMS才能正常工作。
完成日誌記錄配置後,返回此處完成設定過程。
-
按一下關閉。
您的域現在已啟用Sophos EMS。您可以隨時新增額外網域。
設定策略和設定
要管理原則,請轉至 我的產品 > 電子郵件Protection > 原則。
在EMS模式下,只有電子郵件安全和數據控制原則可供配置。這些原則不強制執行操作,但用於生成報告判決。要確保結果準確,請對其進行配置,使其與當前電子郵件環境中的原則保持一致。
要管理電子郵件安全設定,請轉至 我的產品 > 常規設定 > 電子郵件安全。
測試並確認郵件流程
在您登入您的域,創建您的日誌規則並配置原則和設定後,請從電子郵件域外部的地址向任何電子信箱發送測試電子郵件。
電子郵件應發送到日誌電子信箱。同樣,您配置的電子信箱地址應接收郵件的副本。
執行上述過程後,您可以通過向應用規則的用戶發送入站和出站電子郵件來測試日誌規則。
若要確認郵件是否經由 Sophos Gateway 遞送,您可以查閱 郵件歷史記錄 報告。
若要取得報告,請依照以下步驟操作:
- 登入 Sophos Central。
- 轉至 我的產品 > 電子郵件Protection > Reports > 訊息記錄。
如果郵件是經由系統傳送,您會在此報告中看見項目。
如果郵件沒有傳送,您的測試收件匣將不會收到電子郵件。請執行以下步驟:
- 驗證您是否正確設定了Sophos Delivery IP。
- 驗證您傳送的目標信箱存在於 Sophos Email Security 當中。
如果您已經完成所有這些步驟,但您的網域的郵件仍然無法正常傳送,請聯繫 Sophos 支援。
管理M365個域
您必須是超級管理員才能使用此功能。
如果已添加M365個租戶域,則可以執行以下操作:
- 連線您的租用戶網域以允許 Microsoft 365 Security 執行。
-
為您的M365用戶打開交付後保護功能。
注意
Sophos EMS僅支援交付後保護中的按需追回功能。自動搜尋和修復功能在EMS中不起作用。在使用按需追回之前配置交付後保護。請參閱 傳遞後保護。
-
斷開租用戶網域的連線。
編輯網域
若要編輯網域,請點選清單中的網域名稱,變更設定並點選 儲存。
刪除網域
若要刪除網域,請點選要移除的網域右側的灰色十字。