使用 Directory-Based Edge 阻止拒绝发送到 Exchange Online 中无效收件人的邮件

Directory-Based Edge 阻止 (DBEB) 允许在具有Exchange Online邮箱的 Microsoft 365 组织中的服务网络外围以及没有Exchange Online邮箱的独立Exchange Online Protection (EOP) 组织中拒绝无效收件人的邮件。 DBEB 允许管理员将已启用邮件的收件人添加到 Microsoft 365 或 Office 365，并阻止发送到 Microsoft 365 或Office 365中不存在的电子邮件地址的所有邮件。

如果邮件发送到 Microsoft 365 或 Office 365 中的有效电子邮件地址，则邮件将继续通过服务筛选层的其余部分：反恶意软件、反垃圾邮件和邮件流规则 (也称为传输规则) 。 如果该地址不存在，服务将在筛选之前阻止邮件，并且未送达报告 (也称为 NDR 或 退回邮件) 返回给发件人。 NDR 如下所示： 550 5.4.1 Recipient address rejected: Access denied。

如果域的所有收件人都在Exchange Online，则 DBEB 已生效，无需执行任何操作。 如果要从另一个电子邮件系统迁移到 Exchange Online，则可以在迁移之前使用本主题中的过程为域启用 DBEB。

注意

• 在混合环境中，为了使 DBEB 正常工作，域的 MX 记录必须指向 Microsoft 365 或 Office 365，以便域的电子邮件首先路由到 Microsoft 365 或 Office 365。

• 将 DBEB 与已启用邮件的公用文件夹配合使用时，还有其他注意事项。 Exchange Online中托管的已启用邮件的公用文件夹不支持 DBEB。 仅本地托管的已启用邮件的公用文件夹支持 DBEB。 有关 DBEB 和已启用邮件的公用文件夹的详细信息，请参阅Office 365基于目录的边缘阻止对本地启用邮件的公用文件夹的支持。

开始前，有必要了解什么？

• 估计完成时间：5 到 10 分钟

• 若要 (EAC) 打开 Exchange 管理中心，请参阅 Exchange Online 中的 Exchange 管理中心。

• 有关可能适用于本主题中的过程的键盘快捷方式的信息，请参阅 Exchange 管理中心的键盘快捷方式。

提示

是否有任何疑问？ 在 Exchange 论坛中寻求帮助。 请访问以下论坛：Exchange Online 或 Exchange Online Protection。

配置 DBEB

本部分介绍为新 Exchange 管理中心 (EAC) 和经典 EAC 配置 DBEB 的过程。

对于新 EAC

1. 验证Exchange Online中接受的域是否设置为“内部中继”：

   a. 导航到 “邮件流>接受域”。 将显示接受的域 屏幕。

   b. 选择接受的域并单击它。 此时会显示接受域的详细信息屏幕。

   c. 确保域类型设置为 “内部中继”。 如果设置为“ 权威”，请将其更改为 “内部中继”。

   d. 单击“保存”。

2. 将用户添加到 Microsoft 365 或 Office 365。 例如：

   • 目录同步：通过从本地 Active Directory环境同步到云中的Microsoft Entra ID，将有效用户添加到Office 365。 有关如何设置目录同步的详细信息，请参阅在EOP 中管理邮件用户中的使用目录同步管理邮件用户部分。
   • 通过 PowerShell 或 EAC 添加用户：有关如何执行此任务的详细信息，请参阅在 EOP 中管理邮件用户或管理Exchange Online中的邮件用户。

3. 将 Exchange Online 中接受的域设置为“权威”：

   a. 导航到 “邮件流>接受域”。 将显示接受的域 屏幕。

   b. 选择接受的域并单击它。 此时会显示接受域的详细信息屏幕。

   c. 确保域类型设置为 “权威”。 如果设置为“ 内部中继”，请将其更改为 “权威”。

   d. 单击“保存”。

对于经典 EAC

1. 验证Exchange Online中接受的域是否设置为“内部中继”：

   a. 导航到 “邮件流>接受域”。

   b. 选择接受的域，然后单击“ 编辑”。

   c. 确保域类型设置为 “内部中继”。 如果设置为“ 权威”，请将其更改为 “内部中继”。

   d. 单击“保存”。

2. 将用户添加到 Microsoft 365 或 Office 365。 例如：

   • 目录同步：通过从本地 Active Directory环境同步到云中的Microsoft Entra ID，将有效用户添加到Office 365。 有关如何设置目录同步的详细信息，请参阅Manage Mail Users in EOP中的"使用目录同步管理收件人"。
   • 通过 PowerShell 或 EAC 添加用户：有关如何执行此任务的详细信息，请参阅在 EOP 中管理邮件用户或管理Exchange Online中的邮件用户。

3. 将 Exchange Online 中接受的域设置为“权威”：

   a. 导航到 “邮件流>接受域”。

   b. 选择接受的域，然后单击“ 编辑”。

   c. 将域类型设置为 “权威”。

   d. 单击“保存”。

4. 选择 “保存” 以保存更改，并确认要启用 DBEB。

注意

• 动态通讯组不会同步到Microsoft Entra ID，因此被 DBEB 阻止。 作为混合环境中的一种解决方法，可以使用被阻止的动态通讯组的相同外部电子邮件地址创建邮件联系人。 在仅限云的环境中，此解决方法不起作用。 若要在仅限云的环境中使用从外部发件人接收电子邮件的动态通讯组，需要禁用 DBEB (将域从 “权威” 更改为“ 内部中继) ”。

• 在将所有有效收件人添加到Exchange Online并通过系统复制之前，应保留接受的域配置为“内部中继”。 域类型更改为 “权威”后，DBEB 设计为允许任何已添加到服务 (的 SMTP 地址，但启用邮件的公用文件夹) 除外。 可能很少出现这样的情况：允许 Microsoft 365 或 Office 365 组织中不存在的收件人地址通过服务进行中继。