Настройка службы EOPSet up your EOP service

В этом разделе описывается настройка службы Microsoft Exchange Online Protection (EOP). Если вы перешли сюда из мастера доменов Office 365 и не хотите использовать Exchange Online Protection, вернитесь в мастер доменов Office 365. Дополнительные сведения о настройке соединителей см. в разделе Configure mail flow using connectors in Office 365.This topic explains how to set up Microsoft Exchange Online Protection (EOP). If you landed here from the Office 365 domains wizard, go back to the Office 365 domains wizard if you don't want to use Exchange Online Protection. If you're looking for more information on how to configure connectors, see Configure mail flow using connectors in Office 365.

Примечание

В данной статье предполагается, что у вас есть локальные почтовые ящики и их требуется защитить с помощью EOP. Это называется изолированным сценарием. Если вам нужно разместить все ваши почтовые ящики в облаке с Exchange Online, вам не обязательно выполнять все действия в этой статье. Перейдите к Exchange Online, чтобы зарегистрироваться и приобрести облачные почтовые ящики. Если вам нужно разместить некоторые из ваших почтовых ящиков локально, а некоторые — в облаке, это называется гибридным сценарием. Это требует настройки дополнительных параметров потока обработки почты. В статье Exchange Server 2013 Hybrid Deployments объясняется принцип работы гибридных потоков обработки почты и представлены ссылки на материалы по их настройке.This topic assumes you have on-premises mailboxes and you want to protect them with EOP, which is known as a standalone scenario. If you want to host all of your mailboxes in the cloud with Exchange Online, you don't have to complete all of the steps in this topic. Go to Exchange Online to sign up and purchase cloud mailboxes. If you want to host some of your mailboxes on premises and some in the cloud, this is known as a hybrid scenario. It requires more advanced mail-flow settings. Exchange Server 2013 Hybrid Deployments explains hybrid mail flow and has links to resources that show how to set it up.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время выполнения задачи: 1 час.Estimated time to complete this task: 1 hour

  • Чтобы вы могли настраивать соединители, у вашей учетной записи должны быть права глобального администратора Office 365 или администратора организации Exchange (группа ролей "Управление организацией"). Сведения о том, как разрешения Office 365 связаны с разрешениями Exchange, см. в статье Разрешения в Office 365.To configure connectors, your account must be an Office 365 Global Admin, or an Exchange Company Administrator (the Organization Management role group). For information about how Office 365 permissions relate to Exchange permissions, see Permissions in Office 365.

  • Если вы не подписаны на EOP, посетите Exchange Online Protection и приобретите службу или получите ее пробную версию.If you haven't signed up for EOP, visit Exchange Online Protection and choose to buy or try the service.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Keyboard shortcuts in Exchange 2013.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection.

Как это сделатьHow do you do this?

Шаг 1: использование центра администрирования Microsoft 365 для добавления и проверки доменаStep 1: Use the Microsoft 365 admin center to add and verify your domain

  1. В центре администрирования Microsoft 365 перейдите к разделу Настройка , чтобы добавить свой домен в службу.In the Microsoft 365 admin center, navigate to Setup to add your domain to the service.

    Не знаете, где находится центр администрирования Microsoft 365?Not sure where to find the Microsoft 365 admin center? Дополнительные сведения о центре администрирования Microsoft 365.Learn more at About the Microsoft 365 admin center.

  2. Выполните указанные ниже действия, чтобы добавить применимые записи DNS на сайте поставщика услуг размещения DNS для подтверждения прав владельца домена.Follow the steps to add the applicable DNS records to your DNS-hosting provider in order to verify domain ownership.

Совет

Статьи Добавление домена в Office 365 и Создание записей DNS для Office 365 содержат полезные справочные материалы по добавлению домена в службу и настройке DNS.Add your domain to Office 365 and Create DNS records for Office 365 are helpful resources to reference as you add your domain to the service and configure DNS.

Действие 2. Добавление получателей и включение при необходимости пограничной блокировки на основе каталогов (DBEB)Step 2: Add recipients and optionally enable DBEB

Перед настройкой передачи почты через службу EOP мы рекомендуем добавить в службу получателей. Это можно сделать несколькими способами, как описано в разделе Управление почтовыми пользователями в EOP. Кроме того, если вы хотите включить функцию пограничной блокировки на основе каталогов (DBEB) для принудительной проверки получателей в службе после их добавления, необходимо задать тип домена как "Уполномоченный". Дополнительные сведения о пограничной блокировке на основе каталогов см. в разделе Use Directory Based Edge Blocking to Reject Messages Sent to Invalid Recipients.Before configuring your mail to flow to and from the EOP service, we recommend adding your recipients to the service. There are several ways in which you can do this, as documented in Manage mail users in EOP. Also, if you want to enable Directory Based Edge Blocking (DBEB) in order to enforce recipient verification within the service after adding your recipients, you need to set your domain type to Authoritative. For more information about DBEB, see Use Directory Based Edge Blocking to Reject Messages Sent to Invalid Recipients.

Действие 3. Использование Центра администрирования Exchange для настройки потока обработки почтыStep 3: Use the EAC to set up mail flow

В Центр администрирования Exchange создайте соединители, необходимые для работы потока обработки почты между Exchange Online Protection и локальными почтовыми серверами. Подробные сведения о том, как это сделать, см. в разделе Set up connectors to route mail between Office 365 and your own email servers.Create connectors in the Exchange admin center (EAC) that enable mail flow between EOP and your on-premises mail servers. For detailed instructions, see Set up connectors to route mail between Office 365 and your own email servers.

Как убедиться, что это сработало?How do you know this task worked?

С помощью анализатора удаленных подключений запустите тест, который проверяет поток почты между службой и вашей средой. Дополнительные сведения см. в разделе "Использование анализатора удаленных подключений для тестирования доставки почты" статьи Testing Mail Flow with the Remote Connectivity Analyzer.Use the Remote Connectivity Analyzer to run a test that checks mail flow between the service and your environment. For more information, see the "Use the Remote Connectivity Analyzer to test email delivery" section in Testing Mail Flow with the Remote Connectivity Analyzer.

Действие 4. Разрешение доступа к входящему порту 25 для трафика SMTPStep 4: Allow inbound port 25 SMTP access

После настройки соединителей подождите 72 часа, чтобы обновления записи DNS распространились. После этого настройте входящий порт 25 для трафика SMTP в брандмауэре или на почтовых серверах для приема почты только от центров данных EOP, в частности от IP-адресов, указанных в IP-адреса службы Exchange Online Protection. Так вы защитите локальную среду, ограничив область входящих сообщений, которые можете принимать. Кроме того, если на почтовом сервере настроены параметры, определяющие IP-адреса, которым разрешено подключаться для ретрансляции почты, обновите и эти параметры.After you configured connectors, wait 72 hours to allow propagation of your DNS-record updates. Following this, restrict inbound port-25 SMTP traffic on your firewall or mail servers to accept mail only from the EOP datacenters, specifically from the IP addresses listed at Exchange Online Protection IP addresses. This protects your on-premises environment by limiting the scope of inbound messages you can receive. Additionally, if you have settings on your mail server that control the IP addresses allowed to connect for mail relay, update those settings as well.

Совет

Настройте на сервере SMTP время подключения, равное 60 секундам. Это значение подходит для большинства ситуаций, обеспечивая определенную задержку, например если отправлено сообщение с крупным вложением.Configure settings on the SMTP server with a connection time out of 60 seconds. This setting is acceptable for most situations, allowing for some delay in the case of a message sent with a large attachment, for instance.

Действие 5. С помощью командной консоли убедитесь, что нежелательная почта маршрутизируется в папку нежелательной почты каждого пользователя.Step 5: Use the Shell to ensure that spam is routed to each user's junk email folder

Чтобы проверить, правильно ли нежелательная почта маршрутизируется в соответствующие папки каждого пользователя, необходимо выполнить несколько действий по настройке.To ensure that spam (junk) email is routed correctly to each user's Junk Email folder, you must perform a couple of configuration steps. Эти действия предназначены для обеспечения маршрутизации спама в папку нежелательной почты каждого пользователя.The steps are provided in Ensure that spam is routed to each user's Junk Email folder.

Если вы не хотите перемещать сообщения в папку неЖелательной почты каждого пользователя, вы можете выбрать другое действие, отредактировав политики фильтрации содержимого в центре администрирования Exchange.If you don't want to move messages to each user's Junk Email folder, you may choose another action by editing your content filter policies in the Exchange admin center. Дополнительные сведения см. в статье Configure your spam filter policies.For more information, see Configure your spam filter policies.

Шаг 6: использование центра администрирования Microsoft 365 для направления записи MX на EOPStep 6: Use the Microsoft 365 admin center to point your MX record to EOP

Выполните инструкции по настройке домена Office 365 для обновления записи MX своего домена, чтобы входящая электронная почта проходила через службу EOP. Убедитесь, что запись MX указывает напрямую на EOP. Не используйте службу фильтрации стороннего поставщика для ретрансляции почты в EOP. Дополнительные сведения также можно найти в статье Создание записей DNS для Office 365.Follow the Office 365 domain configuration steps to update your MX record for your domain, so that your inbound email flows through EOP. Be sure to point your MX record directly to EOP as opposed to having a third-party filtering service relay email to EOP. For more information, you can again reference Create DNS records for Office 365.

Как убедиться, что это сработало?How do you know this task worked?

С помощью анализатора удаленных подключений запустите тест, проверяющий вашу запись MX. Дополнительные сведения см. в разделе "Использование анализатора удаленных подключений для тестирования записи MX и исходящего соединителя" статьи Testing Mail Flow with the Remote Connectivity Analyzer.Use the Remote Connectivity Analyzer to run a test that verifies your MX record. For more information, see the "Use the Remote Connectivity Analyzer to test your MX record and Outbound connector" section in Testing Mail Flow with the Remote Connectivity Analyzer.

На этот момент выполнена проверка правильности настройки локального исходящего соединителя предоставляемой службы, а также проверка того, что запись MX указывает на EOP. Теперь можно выполнить следующие дополнительные тесты, чтобы убедиться, что служба успешно доставляет электронную почту в локальную среду.At this point, you've verified service delivery for a properly configured Outbound on-premises connector, and you've verified that your MX record is pointing to EOP. You can now choose to run the following additional tests to verify that an email will be successfully delivered by the service to your on-premises environment:

  • В анализаторе удаленных подключений перейдите на вкладку Office 365 и запустите тест Входящая электронная почта SMTP, расположенный в разделе Тесты передачи электронной почты через Интернет.In the Remote Connectivity Analyzer, click the Office 365 tab, and then run the Inbound SMTP Email test located under Internet Email Tests.

  • Отправьте сообщение с любой учетной записи электронной почты в Интернете получателю в вашей организации, чей домен соответствует добавленному в службу. Подтвердите доставку сообщения в локальный почтовый ящик с помощью Microsoft Outlook или другого почтового клиента.Send an email message from any web-based email account to a mail recipient in your organization whose domain matches the domain you added to the service. Confirm delivery of the message to the on-premises mailbox using Microsoft Outlook or another email client.

  • Если нужно запустить тест для исходящей почты, вы можете отправить электронное сообщение от пользователя в вашей организации на учетную запись электронной почты в Интернете и подтвердить получение сообщения.If you want to run an outbound email test, you can send an email message from a user in your organization to a web-based email account and confirm that the message is received.

Совет

После завершения настройки нет необходимости отдельно удалять нежелательную почту и вредоносные программы с помощью EOP. EOP удаляет нежелательную почту и вредоносные программы автоматически. Тем не менее, в Центре администрирования Exchange можно выполнить точную настройку на основе бизнес-требований. Подробнее см. в разделе Anti-Spam and Anti-Malware Protection. > Теперь после запуска службы рекомендуется прочитать раздел Рекомендации по настройке EOP, в котором описываются рекомендуемые настройки и соображения относительно работы после настройки EOP.When you've completed your setup, you don't have to perform extra steps to make EOP remove spam and malware. EOP removes spam and malware automatically. However, you can fine tune your settings in the EAC, based on your business requirements. For more information, see Anti-Spam and Anti-Malware Protection. > Now that your service is running, we recommend reading Best practices for configuring EOP, which describes recommended settings and considerations for after you set up EOP.