Configurare il servizio EOP autonomo

Articolo
05/18/2024

Questo articolo illustra come configurare Exchange Online Protection (EOP) autonomo. Se si è arrivati qui dalla configurazione guidata dei domini di Office 365, tornare alla configurazione guidata dei domini di Office 365 se non si desidera utilizzare Exchange Online Protection. Per ulteriori informazioni su come configurare i connettori, vedere Configure mail flow using connectors in Office 365.

Nota

Questo articolo presuppone che siano presenti cassette postali locali e che si voglia proteggerle con EOP, noto come scenario autonomo. Se si desidera ospitare tutte le cassette postali nel cloud con Exchange Online, non è necessario completare tutti i passaggi descritti in questo articolo. Passare a Confrontare i piani di Exchange Online per iscriversi e acquistare cassette postali cloud.

Se si desidera ospitare alcune cassette postali in locale e alcune nel cloud, questo scenario è noto come scenario ibrido. Richiede impostazioni del flusso di posta più avanzate. Le distribuzioni ibride di Exchange Server spiegano il flusso di posta ibrido e contengono collegamenti alle risorse che illustrano come configurarlo.

Che cosa è necessario sapere prima di iniziare?

Tempo stimato per completare questa attività: un'ora
Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
- Autorizzazioni di Exchange Online Protection: è necessario il ruolo Domini remoti e accettati , assegnato ai gruppi di ruoli Gestione organizzazione e Amministratore flusso di posta per impostazione predefinita.
- Autorizzazioni di Microsoft Entra: appartenenza al ruolo Amministratore globale .
  
  Importante
  
  Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Se non si è già iscritti a EOP, visitare Exchange Online Protection e scegliere di acquistare o provare il servizio.
Per informazioni sui tasti di scelta rapida che potrebbero essere applicabili alle procedure in questo articolo, vedere Tasti di scelta rapida per l'interfaccia di amministrazione di Exchange in Exchange Online.

Passaggio 1: Usare l'interfaccia di amministrazione di Microsoft 365 per aggiungere e verificare il dominio

Nell'interfaccia di amministrazione di Microsoft 365 in https://admin.microsoft.compassare a Configurazione>Configurare il dominio personalizzato per aggiungere il dominio al servizio.
Seguire la procedura di aggiunta dei record DNS applicabili al provider che ospita i DNS per verificare la proprietà del dominio.

Aggiungere un dominio a Office 365 e creare record DNS in qualsiasi provider di hosting DNS per Office 365 sono riferimenti utili quando si aggiunge il dominio al servizio e si configura DNS.

Passaggio 2: aggiunta di destinatari e abilitazione DBEB (scelta facoltativa)

Prima di configurare il flusso di posta da e verso il servizio EOP, si consiglia di aggiungere i destinatari al servizio. L'aggiunta di destinatari è stata diversa, come documentato in Gestire gli utenti di posta elettronica in Exchange Online (ed EOP).

Inoltre, se si vuole abilitare ILB (Directory Based Edge Blocking) per applicare la verifica del destinatario, è necessario impostare il tipo di dominio su Autorevole. Per ulteriori informazioni su DBEB, vedere Use Directory Based Edge Blocking to Reject Messages Sent to Invalid Recipients.

Passaggio 3: Configurazione del flusso di posta tramite EAC

Creare i connettori nell'Interfaccia di amministrazione di Exchange (EAC) per abilitare il flusso di posta tra EOP e i server di posta locali. Per istruzioni dettagliate, vedere Configurare i connettori per instradare la posta tra Microsoft 365 e i propri server di posta elettronica.

Per verificare il flusso di posta tra EOP e l'ambiente locale, vedere Testare il flusso di posta elettronica convalidando i connettori di Microsoft 365.

Passaggio 4: Consentire alla porta in ingresso 25 accesso SMTP

Dopo aver configurato i connettori, attendere 72 ore per consentire la propagazione degli aggiornamenti dei record DNS. Limitare quindi il traffico SMTP della porta in ingresso 25 nel firewall o nei server di posta elettronica per accettare la posta solo dai data center EOP, in particolare dagli indirizzi IP elencati negli URL e negli intervalli di indirizzi IP di Microsoft 365. Questo passaggio protegge l'ambiente locale limitando l'ambito dei messaggi in ingresso che è possibile ricevere. Inoltre, se sul server di posta sono state definite impostazioni per il controllo degli indirizzi IP a cui è consentita la connessione per l'inoltro della posta, è necessario aggiornare anche tali impostazioni.

Consiglio

Configurare le impostazioni sul server SMTP con una tempo di timeout di connessione pari a 60 secondi. Questa impostazione è accettabile per la maggior parte delle situazioni, consentendo un certo ritardo nel caso di un messaggio inviato con un allegato di grandi dimensioni, ad esempio.

Passaggio 5: Assicurarsi che la posta indesiderata venga instradata alla cartella Posta indesiderata di ogni utente

Per assicurarsi che la posta indesiderata (posta indesiderata) venga instradata correttamente alla cartella Posta indesiderata di ogni utente in Exchange locale, è necessario eseguire un paio di passaggi di configurazione per tradurre i verdetti di posta indesiderata di EOP in valori che Exchange locale può usare. I passaggi sono disponibili in Configurare EOP autonomo per distribuire posta indesiderata nella cartella Posta indesiderata in ambienti ibridi.

Se non si desidera spostare i messaggi nella cartella Posta indesiderata di ogni utente, è possibile scegliere un'azione diversa modificando i criteri di protezione dalla posta indesiderata. Per altre informazioni, vedere Configurare i criteri di protezione dalla posta indesiderata in Office 365.

Passaggio 6: Usare l'interfaccia di amministrazione di Microsoft 365 per puntare il record MX a EOP

Seguire la procedura di configurazione del dominio per aggiornare il record MX per il dominio, in modo che la posta elettronica in ingresso passi attraverso EOP. Assicurarsi di puntare il record MX direttamente a EOP invece di avere un messaggio di inoltro del servizio di filtro di terze parti a EOP. Per altre informazioni, è possibile fare di nuovo riferimento a Creare record DNS per Office 365.

Nota

Se è necessario puntare il record MX a un altro server o servizio che si trova davanti a EOP, vedere Filtro avanzato per i connettori in Exchange Online.

Come si fa a sapere che il record MX punta a EOP?

A questo punto, l'erogazione del servizio è stata verificata per un connettore locale in uscita adeguatamente configurato ed è stato appurato che il record MX punta a EOP. Ora è possibile scegliere di eseguire ulteriori test per verificare che un messaggio di posta elettronica sia recapitato correttamente dal servizio all'ambiente locale:

Controllare il flusso di posta tra il servizio e l'ambiente. Per altre informazioni, vedere Testare il flusso di posta elettronica convalidando i connettori di Microsoft 365.
Inviare un messaggio di posta elettronica da un account di posta elettronica basato su Web a un destinatario di posta dell'organizzazione il cui dominio corrisponde al dominio aggiunto al servizio. Verificare il recapito del messaggio alla cassetta postale locale utilizzando Microsoft Outlook o un altro client di posta elettronica,
Se si vuole eseguire un test di posta elettronica in uscita, è possibile inviare un messaggio di posta elettronica da un utente dell'organizzazione a un servizio di posta elettronica esterno.