巧用Office365中的Exchange Online Protection（一）

企業自建Exchange Server我們都知道反垃圾郵件功能比較弱，通常是額外需要購買反垃圾郵件網關來配合Exchange Server工作，達到防垃圾和病毒郵件功能，一般硬件的反垃圾郵件網關基本都集中在梭子魚，賽門鐵克等功能比較強大但是價格也比較貴，如果企業有一兩千用戶，一套反垃圾郵件網關下來就是幾十萬了，那么如標題所說：怎么巧妙的利用Office365來解決這個問題呢？

在Office365中有這樣一個功能叫Exchange Online Protection，只要你購買的Office365中包含Exchange Online服務，就都會有這個功能，大家可能會有疑惑了，這個東西是提供ExchangeOnline在線防病毒反垃圾郵件的，跟我本地Exchange有什么關系？我來告訴你，關系很大，能節約每年幾十萬的硬件反垃圾郵件網關費用（即使你只買一個Office365賬號的訂閱都有這個功能），EOP的出站和入站郵件數量限制問題可以參考微軟網站 https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-limits#receiving-and-sending-limits  同時也沒有硬件反垃圾郵件網關的各種炫酷報表功能。EOP只能提供實時的最先進的反垃圾郵件和防病毒服務。

下面就跟大家分享下怎么利用EOP來作為本地Exchange Server反垃圾郵件網關的吧！

首先的首先還是需要在已購買的Office365中添加企業的域名，在DNS設置的時候不要選擇Exchange服務，等把所有配置都完成后再去搞DNS記錄。

登錄到Exchange Online管理中心，在郵件流中選擇接受的域并點擊編輯

然后選擇將這個接受域作為內部中繼，并點擊保存

然后選擇郵件流-連接器，點擊新建

因為要使用EOP來提供郵件的外層防護，所以這里選擇郵件路由的方向是Office365到本地Exchange Server

接下來就對這個連接器進行命名和描述

接下來選擇僅使用發到接受域的電子郵件應用這個連接器

這里就關鍵了，填寫智能主機，由于我這里是測試環境資源有限，所以我直接填寫了對外映射的本地Exchange地址，一般來講建議單獨拿一個公網IP，開放25端口然后映射到Exchange Server上，并把這個公網IP填寫到這里作為智能主機

創建智能主機完成

然后這里也是關鍵步驟，是否要使用TLS，我這里是勾選了TLS加密的，按常理講也是需要這么搞得，但是后面就會看到驗證連接器報錯，是因為我的Exchange Server用的CA自簽名證書，沒有用公網SSL證書

這里還是選擇使用TLS繼續創建

然后接下來對使用TLS的連接器進行驗證，點擊+輸入一個本地Exchange Server上的收件人地址

然后依次下一步操作

看到了沒~妥妥的失敗了，是因為TLS身份驗證失敗了，無法驗證Exchange Server的證書，前面我說了我的Exchange Server證書是私有CA頒發的，Office365那邊自然是不能驗證這個證書的，所以這里也強烈建議Exchange使用公網SSL證書，不然就像我后面的配置一樣，不使用TLS加密傳輸，讓Office365到本地Exchange Server這段路由之間裸奔，郵件泄露可不好背鍋啊

然后取消了TLS加密

再一次進行郵件測試，顯示成功了

最后，我們需要做一個切換：將MX記錄改成指向Office365，同時在SPF記錄中增加Office365上EOP信息

然后我使用QQ郵箱給test01@ucssi.cn 這個用戶發一封測試郵件

將這封郵件的郵件頭復制出來進行分析看整個郵件路由是怎么走的

在以下網站中進行郵件路由分析

https://testconnectivity.microsoft.com/

可以看出來，QQ郵箱首先將郵件發出來，通過MX解析到了Office365的EOP上，EOP對郵件進行過濾，再通過之前創建的連接器將這封郵件路由到本地Exchange Server，最終Exchange Server將這封傳輸到用戶的Mailbox

這樣就達到了我們預期的效果。

怎么樣用起來是不是很爽~~~

有環境的趕緊試一下吧

最后，原創不易，各位可以隨意打賞~