設定獨立 EOP 服務
本文說明如何設定獨立 Exchange Online Protection (EOP) 。 如果您從 Office 365 網域精靈進入這裡,而您不希望使用 Exchange Online Protection 的話,請回到 Office 365 網域精靈。 如果您正在尋找如何設定連接器的詳細資訊,請參閱Configure mail flow using connectors in Office 365。
注意事項
本文假設您有內部部署信箱,而且您想要使用 EOP 來保護它們,這稱為獨立案例。 如果您想要使用 Exchange Online 在雲端中裝載所有信箱,則不需要完成本文中的所有步驟。 移至比較 Exchange Online 方案以註冊及購買雲端信箱。
如果您想要將一部分信箱裝載在內部部署、一部分信箱裝載在雲端中,這稱為「混合」案例。 這需要更進階的郵件流程設定。 Exchange Server Hybrid Deployments 會說明混合郵件流程,並提供一些說明相關設定方式的連結。
開始之前有哪些須知?
完成此工作的預估時間:一小時
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Exchange Online Protection 許可權:您需要預設指派給組織管理和郵件流程管理員角色群組的遠端和已接受網域角色。
Microsoft權限: 全域管理員 角色的成員資格。
重要事項
Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。
如果您尚未註冊 EOP,請造訪 Exchange Online Protection 並選擇購買或試用服務。
如需本文中可能套用至程序的鍵盤快捷方式相關信息,請參閱 Exchange Online 中 Exchange 系統管理中心的鍵盤快捷方式。
步驟 1:使用 Microsoft 365 系統管理中心新增及確認您的網域
在 Microsoft 365 系統管理中心https://admin.microsoft.com中,移至 [設定>][設定][設定您的自定義網域],將您的網域新增至服務。
請遵循這些步驟,將適用的 DNS 記錄新增到 DNS 主機提供者,以便驗證網域擁有權。
將網域新增至 Office 365 ,並在 Office 365 的任何 DNS 主機提供者建立 DNS 記錄 ,對於您將網域新增至服務並設定 DNS 很有説明。
步驟 2:新增收件者並選擇性地啟用 DBEB
在設定您的郵件來進出 EOP 服務之前,建議您將收件者新增至服務。 新增收件者的方式不同,如在 Exchange Online 中管理郵件使用者 (和 EOP) 中所述。
此外,如果您想要啟用目錄型Edge封鎖 (DBEB) 來強制執行收件者驗證,則必須將網域類型設定為 [授權]。 如需 DBEB 的相關資訊,請參閱Use Directory Based Edge Blocking to Reject Messages Sent to Invalid Recipients。
步驟 3:使用 EAC 來設定郵件流程
在 Exchange 系統管理中心 (EAC) 內建立連接器,來啟用 EOP 與您內部部署郵件伺服器之間的郵件流程。 如需詳細指示, 請參閱設定連接器以在 Microsoft 365 與您自己的電子郵件伺服器之間路由傳送郵件。
若要確認 EOP 與內部部署環境之間的郵件流程,請參閱 驗證Microsoft 365 連接器來測試郵件流程。
步驟 4:允許輸入連接埠 25 SMTP 存取
設定連接器之後,請等候 72 小時,以允許傳播您的 DNS 記錄更新。 然後,將防火牆或郵件伺服器上的輸入埠 25 SMTP 流量限製為只接受來自 EOP 資料中心的郵件,特別是從 列於 Microsoft 365 URL 和 IP 位址範圍的 IP 位址。 此步驟會限制您可以接收的輸入訊息範圍,以保護您的內部部署環境。 此外,若您在郵件伺服器上進行設定,以控制允許連線執行郵件轉送的 IP 位址,請一併更新這些設定。
提示
將 SMTP 伺服器的連線時間設定設為超過 60 秒。 此設定適用於大部分情況,例如,在傳送具有大型附件的郵件時可稍許延遲。
步驟 5:確定垃圾郵件路由傳送至每個使用者的垃圾郵件資料夾
若要確保垃圾郵件 (垃圾郵件) 電子郵件會正確地路由傳送至內部部署 Exchange 中每個使用者的垃圾郵件資料夾,您需要執行幾個設定步驟,將 EOP 垃圾郵件決策轉譯為內部部署 Exchange 可以使用的值。 設定 獨立EOP以將垃圾郵件傳遞至混合式環境中的垃圾郵件資料夾中提供這些步驟。
如果您不想將郵件移至每個使用者的 [垃圾郵件] 資料夾,您可以編輯反垃圾郵件原則來選擇不同的動作。 如需詳細資訊,請參閱在 Office 365 中設定反垃圾郵件原則。
步驟 6:使用 Microsoft 365 系統管理中心將您的 MX 記錄指向 EOP
請遵循網域設定步驟來更新網域的 MX 記錄,讓您的輸入電子郵件流經 EOP。 請務必直接將 MX 記錄指向 EOP 而非讓協力廠商篩選服務將郵件轉送至 EOP。 如需詳細資訊,請再次參照建立 Office 365 的 DNS 記錄。
注意事項
如果您必須將 MX 記錄指向位於 EOP 前方的另一部伺服器或服務,請參閱 Exchange Online 中連接器的增強篩選。
您如何知道 MX 記錄指向 EOP?
到目前為止,您已確定有正確設定的輸出內部部署連接器可用來進行服務傳遞,並已確認 MX 記錄是指向 EOP。 現在您可以選擇執行下列其他測試,以確認服務能夠成功將電子郵件傳遞至您的內部部署環境:
- 檢查服務和環境之間的郵件流程。 如需詳細資訊,請 參閱驗證Microsoft 365 連接器來測試郵件流程。
- 從任何其網域符合您新增至此服務之網域的 Web 式電子郵件帳戶,傳送電子郵件給您組織中的郵件收件者。 使用 Microsoft Outlook 或其他電子郵件用戶端,確認郵件已傳遞至內部部署信箱。
- 如果您要執行輸出電子郵件測試,您可以將組織中使用者的電子郵件訊息傳送至外部電子郵件服務。
提示
完成本文中的設定步驟之後,您不需要執行額外的 EOP 步驟來保護您的組織免於垃圾郵件和惡意代碼。 不過,您可以根據商務需求微調您的設定。 如需詳細資訊, 請參閱開始使用適用於 Office 365 的 Microsoft Defender:步驟 2:設定保護原則。