Использование блокировки Directory-Based Edge для отклонения сообщений, отправленных недопустимым получателям в Exchange Online

блокировка Directory-Based Edge (DBEB) позволяет отклонять сообщения для недопустимых получателей в периметре сети служб в организациях Microsoft 365 с почтовыми ящиками Exchange Online Online и в автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online Online. DBEB позволяет администраторам добавлять получателей с поддержкой почты в Microsoft 365 или Office 365 и блокировать все сообщения, отправляемые на адреса электронной почты, которые отсутствуют в Microsoft 365 или Office 365.

Если сообщение отправляется на допустимый адрес электронной почты в Microsoft 365 или Office 365, оно продолжается через остальные уровни фильтрации службы: антивредоносная программа, защита от спама и правила потока обработки почты (также известные как правила транспорта). Если адрес не существует, служба блокирует сообщение до того, как произойдет фильтрация, и отправитель возвращает отчет о недоставке (также известное как сообщение о недоставке или отказе). Недоставка выглядит следующим образом: 550 5.4.1 Recipient address rejected: Access denied.

Если все получатели вашего домена находятся в Exchange Online, DBEB уже действует, и вам не нужно ничего делать. При миграции из другой почтовой системы в Exchange Online можно использовать процедуру, описанную в этом разделе, чтобы включить DBEB для домена перед миграцией.

Примечание.

• В гибридных средах, чтобы обеспечить работу DBEB, запись MX для домена должна указывать на Microsoft 365 или Office 365, чтобы электронная почта для домена сначала перенаправлялась в Microsoft 365 или Office 365.
• Существуют дополнительные рекомендации при использовании DBEB с локальными общедоступными папками с поддержкой почты. Дополнительные сведения о dbeb и общедоступных папках с поддержкой почты см. в статье Поддержка блокировки пограничных локальных папок с поддержкой почты в Office 365 на основе каталогов.

Что нужно знать перед началом работы

• Предполагаемое время выполнения: 5–10 минут

• Сведения об открытии Центра администрирования Exchange см. в статье Центр администрирования Exchange в Exchange Online.

• Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в разделе Сочетания клавиш для Центра администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по Exchange Online или Exchange Online Protection.

Настройка DBEB

В этом разделе описывается процедура настройки DBEB для центра администрирования Exchange (EAC) и классического центра администрирования Exchange.

Для нового центра администрирования EAC

1. Убедитесь, что принятый домен в Exchange Online имеет значение Внутренний ретранслятор:

   А. Перейдите в раздел Поток> обработкипочты Принятые домены. Появится страница принятого домена.

   Б. Выберите обслуживаемый домен и щелкните его. Откроется экран сведений о принятом домене.

   c. Убедитесь, что тип домена задан как Внутренняя ретрансляция. Если для параметра задано значение Авторитетность, измените его на Внутренний ретранслятор.

   г. Щелкните Сохранить.

2. Добавление пользователей в Microsoft 365 или Office 365. Например:

   • Синхронизация каталогов. Добавление допустимых пользователей в Office 365 путем синхронизации из локальной среды Active Directory с идентификатором Microsoft Entra в облаке. Дополнительные сведения о настройке синхронизации каталогов см. в разделе Использование синхронизации каталогов для управления пользователями почты.
   • Добавление пользователей с помощью PowerShell или EAC. Дополнительные сведения о выполнении этой задачи см. в статье Управление пользователями почты в Exchange Online (и EOP).

3. Задайте для принятого домена в Exchange Online значение Полномочный:

   А. Перейдите в раздел Поток> обработкипочты Принятые домены. Появится страница принятого домена.

   Б. Выберите обслуживаемый домен и щелкните его. Откроется экран сведений о принятом домене.

   c. Убедитесь, что для типа домена задано значение Полномочная. Если для параметра задано значение Внутренний ретранслятор, измените его на Полномочный.

   г. Щелкните Сохранить.

Для классического центра администрирования EAC

1. Убедитесь, что принятый домен в Exchange Online имеет значение Внутренний ретранслятор:

   А. Перейдите в раздел Поток> обработкипочты Принятые домены.

   Б. Выберите обслуживаемый домен и нажмите кнопку Изменить.

   c. Убедитесь, что тип домена задан как Внутренняя ретрансляция. Если для параметра задано значение Авторитетность, измените его на Внутренний ретранслятор.

   г. Щелкните Сохранить.

2. Добавление пользователей в Microsoft 365 или Office 365. Например:

   • Синхронизация каталогов. Добавление допустимых пользователей в Office 365 путем синхронизации из локальной среды Active Directory с идентификатором Microsoft Entra в облаке. Дополнительные сведения о настройке синхронизации каталогов см. в разделе Использование синхронизации каталогов для управления пользователями почты.
   • Добавление пользователей с помощью PowerShell или EAC. Дополнительные сведения о выполнении этой задачи см. в статье Управление пользователями почты в Exchange Online (и EOP).

3. Задайте для принятого домена в Exchange Online значение Полномочный:

   А. Перейдите в раздел Поток> обработкипочты Принятые домены.

   Б. Выберите обслуживаемый домен и нажмите кнопку Изменить.

   c. Выберите для домена тип Уполномоченный.

   г. Щелкните Сохранить.

4. Нажмите кнопку Сохранить , чтобы сохранить изменения, и подтвердите, что вы хотите включить DBEB.

Примечание.

• Динамические группы рассылки не синхронизируются с Идентификатором Microsoft Entra и поэтому блокируются DBEB. В качестве обходного решения в гибридных средах можно создать почтовый контакт с тем же внешним адресом электронной почты заблокированной динамической группы рассылки.
• Пока все действительные получатели не будут добавлены в Exchange Online и не будут реплицированы через систему, следует оставить обслуживаемый домен, настроенный как внутренний ретранслятор. После изменения типа домена на Полномочный DBEB позволяет разрешить любой SMTP-адрес, добавленный в службу. В редких случаях адреса получателей, которые не существуют в вашей организации Microsoft 365 или Office 365, могут передаваться через службу.