为本地 Exchange 实施 Exchange Online 保护第 I 部分

随着通过电子邮件进入组织的（成功的）网络钓鱼攻击数量不断增加，对坚如磐石的消息卫生解决方案的需求不断增加。在我看来，能够出色工作的本地解决方案非常少，云解决方案也非常少。 Google 拥有出色的消息卫生解决方案，但 Microsoft 的 Exchange Online Protection (EOP) 每年都在变得越来越好。这并不奇怪，因为谷歌和微软都可以在其消息卫生解决方案上投入大量研发资金。

我的许多本地客户目前正在考虑 Exchange Online Protection (EOP)，并考虑在短期内实施 EOP。在这篇博文中，我将重点讨论使用本地 Exchange 服务器（2010 或更高版本）时实施 EOP。现有的实现可能如下所示：

本地有一个 Exchange 邮箱服务器，在组织的 DMZ 中有一个邮件中继服务器。在我的环境中，这是一个 Exchange 边缘传输服务器，但这当然可以是任何 SMTP 服务器。 MX 记录指向 DMZ 中的边缘传输服务器，Internet 发送连接器使用边缘传输服务器作为源传输服务器。邮箱服务器和边缘传输服务器之间运行边缘同步，以使边缘传输服务器保持最新的内部信息。

这里的 MX 记录指向 smtphost.exchange2019.nl，这也是出站服务器。在这种情况下，SPF 记录非常简单，因为我的电子邮件只有一个出口点，因此记录为 V=spf1 ip4:176.62.196.247 -all。

此时，没有 DKIM 签名或验证（在本地 Exchange 中不可用），也没有 DMARC 记录。

Exchange 在线保护

Exchange Online Protection 是 Microsoft 邮件卫生解决方案。在 EOP 之前，它称为 Forefront Online Protection for Exchange (FOPE)。最初的版本是由 FrontBridge 创建的，该公司于 2005 年被微软收购。

您可以获取单独的 EOP 订阅，但 EOP 自动成为任何 Exchange Online 订阅的一部分，因此您必须进行计算以找出最佳性价比。

EOP 可用于入站邮件和出站邮件。要为入站邮件实施 EOP，只需更改 MX 记录，使它们指向 EOP 而不是您的本地邮件服务器。对于出站邮件，您必须更改 Internet 发送连接器以使用 EOP 作为智能主机。然后，所有出站电子邮件将转发至 EOP，并由 EOP 递送至预期收件人。

在我的实验室环境中，我从一开始就一直在使用边缘传输服务器。从消息卫生的角度来看，他们在连接过滤方面做得很好，但除此之外的消息卫生就一般了。
Exchange Online Protection 所需的配置如下：

注册 Exchange Online Protection 后，您必须对其进行配置。第一步是在 Microsoft 365 管理中心配置新域。添加并验证域后，它将自动作为接受域显示在 Exchange Online Protection 中。

当您单击管理中心中的域时，它将打开另一个窗口，其中包含该域的相应 DNS 设置，如以下屏幕截图所示（单击放大）：

目录同步

Microsoft 建议在实施 Exchange Online Protection 时使用 Azure AD Connect 实施目录同步。如果这样做，本地 Exchange 环境中的所有邮箱在 EOP 中都称为联系人，并且可以在 EOP 中单独管理。

入站邮件流

在将 MX 记录更改为 EOP 之前，应创建从 EOP 到本地 Exchange 服务器的发送连接器。此连接使用 TLS 加密，因此建议使用第 3 方证书。

要创建从 EOP 到本地 Exchange 环境的发送连接器，请打开 Exchange 管理中心（在 Office 365 中），选择邮件流，然后单击连接器强>。如果这是一个新的 EOP 环境，您应该看不到任何内容。

单击+ 图标添加新连接器，然后在附加窗口中的“发件人：”下拉框中选择Office 365，然后选择您组织的电子邮件服务器在“收件人：”下拉框中，如下面的屏幕截图所示（点击放大）：

单击下一步继续。在新的连接器窗口中，为新连接器命名，例如“EOP to your Organization”，然后单击下一步继续。在下面的窗口中，您必须选择何时使用此连接器。保留默认单选按钮“对于发送到组织中所有接受域的电子邮件”，然后单击下一步继续。在下一个窗口中，指定 EOP 应将所有消息传递到的主机的名称。在我的环境中，这是我的边缘传输服务器，因此我输入 FQDN smtphost.exchange2019.nl，如以下屏幕截图所示（单击放大）：

单击下一步继续。以下窗口是关于 TLS 的。默认设置是强制执行 TLS 并使用来自有效第三方 CA 的证书。 接受默认设置并单击下一步继续。连接器现已完全配置，查看所有设置，然后单击下一步创建连接器。

创建连接器后，应对其进行验证。这是为了确保连接器按预期工作，您应该在更改 MX 之前执行此操作。使用+ 图标在本地 Exchange 环境中添加电子邮件地址，然后单击验证。如果连接器配置正确，验证应该成功，并且您输入的电子邮件地址将收到验证消息（点击放大）

连接器现已可供使用。将公共 DNS 中的 MX 记录更改为 Office 365 管理中心中找到的 FQDN（类似于 yourdomain-com.mail.protection.outlook.com）后，入站邮件现在将受到以下保护： Exchange 在线保护。

当从 Gmail 向我的 Exchange 环境发送电子邮件并检查收到邮件的标头时，可以清楚地看到邮件流现在通过 Exchange Online Protection（单击放大）：

概括

在这篇博文中，我向您展示了如何在本地 Exchange 环境中将 Exchange Online Protection 实施为邮件卫生解决方案。如果您使用不同的邮件解决方案但希望在解决方案之前实施 EOP，则过程将类似。
在第二部分中，我将解释当您想要为出站消息传递实施 EOP 时的步骤。