巧用Office365中的Exchange Online Protection（一）

企业自建Exchange Server我们都知道反垃圾邮件功能比较弱，通常是额外需要购买反垃圾邮件网关来配合Exchange Server工作，达到防垃圾和病毒邮件功能，一般硬件的反垃圾邮件网关基本都集中在梭子鱼，赛门铁克等功能比较强大但是价格也比较贵，如果企业有一两千用户，一套反垃圾邮件网关下来就是几十万了，那么如标题所说：怎么巧妙的利用Office365来解决这个问题呢？

在Office365中有这样一个功能叫Exchange Online Protection，只要你购买的Office365中包含Exchange Online服务，就都会有这个功能，大家可能会有疑惑了，这个东西是提供ExchangeOnline在线防病毒反垃圾邮件的，跟我本地Exchange有什么关系？我来告诉你，关系很大，能节约每年几十万的硬件反垃圾邮件网关费用（即使你只买一个Office365账号的订阅都有这个功能），EOP的出站和入站邮件数量限制问题可以参考微软网站 https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-limits#receiving-and-sending-limits  同时也没有硬件反垃圾邮件网关的各种炫酷报表功能。EOP只能提供实时的最先进的反垃圾邮件和防病毒服务。

下面就跟大家分享下怎么利用EOP来作为本地Exchange Server反垃圾邮件网关的吧！

首先的首先还是需要在已购买的Office365中添加企业的域名，在DNS设置的时候不要选择Exchange服务，等把所有配置都完成后再去搞DNS记录。

登录到Exchange Online管理中心，在邮件流中选择接受的域并点击编辑

然后选择将这个接受域作为内部中继，并点击保存

然后选择邮件流-连接器，点击新建

因为要使用EOP来提供邮件的外层防护，所以这里选择邮件路由的方向是Office365到本地Exchange Server

接下来就对这个连接器进行命名和描述

接下来选择仅使用发到接受域的电子邮件应用这个连接器

这里就关键了，填写智能主机，由于我这里是测试环境资源有限，所以我直接填写了对外映射的本地Exchange地址，一般来讲建议单独拿一个公网IP，开放25端口然后映射到Exchange Server上，并把这个公网IP填写到这里作为智能主机

创建智能主机完成

然后这里也是关键步骤，是否要使用TLS，我这里是勾选了TLS加密的，按常理讲也是需要这么搞得，但是后面就会看到验证连接器报错，是因为我的Exchange Server用的CA自签名证书，没有用公网SSL证书

这里还是选择使用TLS继续创建

然后接下来对使用TLS的连接器进行验证，点击+输入一个本地Exchange Server上的收件人地址

然后依次下一步操作

看到了没~妥妥的失败了，是因为TLS身份验证失败了，无法验证Exchange Server的证书，前面我说了我的Exchange Server证书是私有CA颁发的，Office365那边自然是不能验证这个证书的，所以这里也强烈建议Exchange使用公网SSL证书，不然就像我后面的配置一样，不使用TLS加密传输，让Office365到本地Exchange Server这段路由之间裸奔，邮件泄露可不好背锅啊

然后取消了TLS加密

再一次进行邮件测试，显示成功了

最后，我们需要做一个切换：将MX记录改成指向Office365，同时在SPF记录中增加Office365上EOP信息

然后我使用QQ邮箱给test01@ucssi.cn 这个用户发一封测试邮件

将这封邮件的邮件头复制出来进行分析看整个邮件路由是怎么走的

在以下网站中进行邮件路由分析

https://testconnectivity.microsoft.com/

可以看出来，QQ邮箱首先将邮件发出来，通过MX解析到了Office365的EOP上，EOP对邮件进行过滤，再通过之前创建的连接器将这封邮件路由到本地Exchange Server，最终Exchange Server将这封传输到用户的Mailbox

这样就达到了我们预期的效果。

怎么样用起来是不是很爽~~~

有环境的赶紧试一下吧

最后，原创不易，各位可以随意打赏~