Zum Inhalt

Einrichten von Sophos Mailflow

Sie können Sophos Mailflow verwenden, um Sophos Email Security in Microsoft 365- E-Mail-Domänen (ehemals Office 365) zu integrieren, ohne Ihre DNS- und MX-Einträge zu ändern.

Anweisungen zur Verwendung von Sophos Gateway für die Verbindung mit lokalen E-Mail-Systemen und -Domänen, die nicht von Microsoft 365 stammen, finden Sie unter Einrichten von Sophos Gateway.

Hinweis

Um Probleme zu vermeiden, konfigurieren Sie nicht beide E-Mail-Verarbeitungsmodi, Sophos Mailflow und Sophos Gateway, für dieselbe Domäne. Wenn Sie zwischen den Modi für eine Domäne wechseln, entfernen Sie die Einstellungen des vorherigen Modus, nachdem Sie den neuen Modus konfiguriert haben.

Vorbereitende Schritte

Es ist wichtig, die folgenden Punkte zu verstehen, bevor Sie Sophos Mailflow einrichten.

Nachrichtenflussregeln in Microsoft 365

Sophos Mailflow erstellt Nachrichtenflussregeln in Ihrer Microsoft 365-Umgebung mit der Microsoft API. Diese Nachrichtenflussregeln leiten die E-Mails an Sophos und zurück an Microsoft 365.

Warnung

Die Microsoft-Sicherheitsfunktion „Standardmäßig sicher“ kann eingehende Nachrichten als schädlich markieren und in Quarantäne stellen, bevor sie an Sophos Email weitergeleitet werden. Sie können diese Nachrichten über das Microsoft 365 Defender Portal überprüfen und freigeben.

Sie können die Funktion „Standardmäßig sicher“ nicht deaktivieren.

Siehe Standardmäßig sicher in Office 365.

Warnung

Sophos-Regeln haben eine höhere Priorität als bestehende Regeln für den E-Mail-Fluss in Ihrer Microsoft 365-Domäne. Dadurch wird sichergestellt, dass E-Mails zuerst auf Bedrohungen überprüft werden.

Ihre bestehenden Regeln werden nach der Ausführung der Sophos-Regeln in der gleichen Reihenfolge wie zuvor ausgeführt.

Möglicherweise wird auch die Meldung Bereits vorhandene Nachrichtenflussregeln gefunden angezeigt. Wie Sie dieses Problem lösen, siehe Beheben von Konflikten mit Microsoft 365-Regeln.

Eingeschlossene Domänen

Sophos Mailflow prüft nur E-Mails von Domänen, die Sie in Sophos Central hinzugefügt haben und verifiziert wurden. Außerdem müssen Sie die Domänen zu den von Ihnen konfigurierten Microsoft 365 Connectors hinzufügen.

Ein Beispiel: Wenn Sie über eine Backup-Microsoft-Domäne verfügen, wie <yourdomain>.onmicrosoft.com, prüfen wir keine E-Mails von dieser Domäne. Sie werden direkt an den Benutzer gesendet.

Sie können die Microsoft 365-Backup-Domäne deaktivieren oder die Backup-Domäne zu Ihren Microsoft 365 Connector-Einstellungen hinzufügen.

Eingangs-Connectors

Das Sophos Mailflow-Setup erstellt Eingangs-Connectors in Ihrer Microsoft 365-Organisation. Einige Microsoft 365-Abonnements unterstützen keine Eingangs-Connectors. Dies bedeutet, dass das Sophos Mailflow-Setup fehlschlägt.

Stellen Sie sicher, dass Sie mit Ihrem Microsoft 365-Abonnement Eingangs-Connectors erstellen können, bevor Sie beginnen.

Entwicklerkonten

Sie können kein Microsoft-Entwicklerkonto verwenden, um Sophos Email Security in Microsoft 365 zu integrieren.

Siehe Verfügt die Instant Sandbox über andere Funktionen als ein Standard-Microsoft 365 E5-Abonnement?.

Sophos Notfall-Postfach

Sophos Mailflow sendet nach der Verarbeitung Nachrichten von Benutzern an das Notfall-Postfach des Sophos Central Self Service Portals. Wenn es ein Problem mit den Servern von Microsoft gibt, kann Sophos Mailflow keine Nachrichten von Microsoft empfangen, sodass sie nicht in das Notfall-Postfach gelangen. Das Notfall-Postfach enthält nur Nachrichten, die Sophos Mailflow vor Auftreten des Problems verarbeitet hat. Siehe Einstellungen für Sophos Central Self-Service verwalten.

TLS

Bei Sophos Mailflow wird Transport Layer Security (TLS) immer zwischen Sophos Email und Microsoft 365 angewendet. Sie müssen TLS in Microsoft 365 konfigurieren, um sicherzustellen, dass von Microsoft 365 gelieferte und empfangene E-Mails sicher sind.

Echtzeit-Blockierlisten

RBL-Prüfungen (Real-Time Blackhole List) werden bereits zu Beginn des Empfangs von E-Mails während der SMTP-Befehle angewendet. Dies bedeutet, dass RBL-Prüfungen von Microsoft 365 angewendet werden.

Einrichten von Sophos Mailflow

Sie müssen Microsoft 365-Administrator sein, um Sophos Mailflow einzurichten.

So richten Sie Sophos Mailflow ein:

  • Fügen Sie die Postfächer hinzu, die Sie schützen möchten.
  • Fügen Sie die E-Mail-Domains, die Sie schützen möchten, hinzu und konfigurieren Sie sie.

    Wie Sie dies tun, hängt davon ab, ob Sie bereits Sophos Email Security verwenden oder nicht.

  • Konfigurieren Sie Ihre Richtlinien und Einstellungen.

Postfächer hinzufügen

Sie können Postfächer auf folgende Weise hinzufügen:

  1. Automatisch unter Verwendung eines Verzeichnisdienstes. Sie können Active Directory und Microsoft Entra ID verwenden. Für weitere Informationen sowie Anweisungen zur Einrichtung eines Verzeichnisdienstes siehe Verzeichnisdienst.
  2. Manuell über die Benutzeroberfläche.
  3. Manuell, mit einer .CSV-Datei.

Wenn Sie eine Microsoft 365-Gruppe zum Schutz eines Teils Ihrer Postfächer verwenden möchten, müssen Sie die Gruppe einrichten, bevor Sie eine Verbindung zu Ihrer Domäne herstellen. Siehe Microsoft 365-E-Mail-Gruppen.

Akzeptieren von Microsoft-Popups

Wenn Sie Ihre Domänen hinzufügen und konfigurieren, müssen Sie Sophos-Anwendungen die Berechtigung zum Zugriff auf Ihre Microsoft-Mandanten erteilen.

Dazu muss Ihr Browser Popups von Microsoft akzeptieren. Möglicherweise müssen Sie Popup-Blocker deaktivieren oder Ausnahmen für Microsoft-Domänen festlegen.

Sie müssen sich auch bei der richtigen Domäne anmelden können. Wenn Ihr Browser Anmeldeinformationen für eine andere Domäne gespeichert hat, verwenden Sie ein Inkognito- oder privates Browserfenster.

Domänen hinzufügen und konfigurieren

Die Schritte hängen davon ab, ob Sie bereits Sophos Email Security verwenden oder nicht.

Wenn Sie keine Microsoft 365-Domänen für Sophos Gateway eingerichtet haben, gehen Sie wie folgt vor:

  1. Gehen Sie in Sophos Central zu Meine Produkte > Allgemeine Einstellungen.
  2. Klicken Sie auf M365-Nachrichtenfluss Domäneneinstellungen/Status.
  3. Klicken Sie auf Domänen und Richtlinien für M365-Nachrichtenfluss einrichten.
  4. Wenn Sie Ihr Active Directory nicht synchronisiert haben, führen Sie die Synchronisierung jetzt durch. Wenn Sie Ihre Benutzer und Postfächer bereits synchronisiert haben, klicken Sie auf Mit nächstem Schritt fortfahren.
  5. Geben Sie unter Domäne hinzufügenIhre Domäneninformationen ein und klicken Sie auf M365-Nachrichtenfluss einrichten.

    Hinweis

    Wenn Sie nur eine Teilmenge der Postfächer der Domäne schützen möchten, erstellen Sie in Microsoft 365 eine neue Gruppe und fügen Sie der Gruppe die zu schützenden Postfächer hinzu. Diese Gruppe wird importiert, wenn Sie das nächste Mal Benutzer und Gruppen synchronisieren. Siehe Microsoft 365-E-Mail-Gruppen.

  6. Befolgen Sie die Anweisungen, um Ihre Nachrichtenflussdomänen und -regeln einzurichten. Wenn Sie Ihre Domäne hinzugefügt haben, werden Sie zur Authentifizierung und zur Erteilung von Berechtigungen an Microsoft weitergeleitet. Sie müssen diese Berechtigungen erteilen, um die erforderlichen Anwendungen und Nachrichtenflussregeln erstellen zu können.

    Wenn die Migration oder das Hinzufügen von Domänen abgeschlossen ist, wird der Bildschirm M365-Nachrichtenfluss Domäneneinstellungen/Status mit Ihrer Domänenliste angezeigt.

  7. Um Nachrichtenflussregeln für diese Domänen einzurichten, klicken Sie auf Verbinden und befolgen Sie die Anweisungen.

    Sie werden zu Microsoft weitergeleitet, um Ihre Domänen zu authentifizieren und Berechtigungen zu erteilen.

    Sie müssen diese Berechtigungen erteilen, um einen Microsoft 365-Connector und die erforderlichen Anwendungen und Nachrichtenflussregeln in Ihrer Microsoft 365-Umgebung zu erstellen.

    Hinweis

    Wenn Sie die Berechtigungen erteilt haben, kann der Connector-Erstellungsprozess bis zu zehn Minuten dauern.

    Wenn in Ihrer Microsoft 365-Domäne bereits Nachrichtenflussregeln eingerichtet sind, wird die Meldung Bereits vorhandene Nachrichtenflussregeln gefunden angezeigt. Siehe hierzu Beheben von Konflikten mit Microsoft 365-Regeln.

    Wenn Ihr Mailflow-Schutz eingerichtet ist, wird eine Erfolgsmeldung angezeigt.

  8. Sie können auf Einen Schnelltest durchführen klicken, um die Mailflow-Einrichtung zu überprüfen. Geben Sie eine E-Mail-Adresse ein, um die Testnachricht zu erhalten. Der Test kann einige Minuten dauern.

    Warnung

    Nachdem die Verbindung eingerichtet wurde, kann Microsoft weiterhin andere Verbindungen und Ressourcen im Hintergrund erstellen. Wenn der Schnelltest fehlschlägt, warten Sie mindestens 15 Minuten und führen Sie ihn dann erneut aus, bevor Sie mit der Fehlerbehebung beginnen. Siehe Fehlerbehebung für Sophos Mailflow.

    Die Domänen werden in M365-Nachrichtenfluss Domäneneinstellungen/Status mit einem grünen Häkchen angezeigt.

Wenn Sie Sophos Gateway bereits auf Ihren Microsoft 365-Domänen verwenden und Sophos Mailflow-Regeln für eine neue Domäne einrichten oder Ihre vorhandenen Domänen zu Sophos Mailflow migrieren möchten, gehen Sie wie folgt vor:

  1. Gehen Sie in Sophos Central zu Meine Produkte > Allgemeine Einstellungen.
  2. Klicken Sie auf M365-Nachrichtenfluss Domäneneinstellungen/Status.
  3. Im nächsten Fenster haben Sie folgende Optionen:

    • Wenn Sie eine Domäne von Sophos Gateway zu Sophos Mailflow migrieren, klicken Sie auf Vorhandene O365-Domänen kopieren. Sie bestätigen Ihre Auswahl, dann kopieren wir alle erkannten Microsoft 365-Domänen.
    • Wenn Sie zum ersten Mal eine Domäne zur Verwendung mit Sophos Mailflow hinzufügen, klicken Sie auf Domänen und Richtlinien für M365-Nachrichtenfluss einrichten und befolgen Sie die Anweisungen.
  4. Wenn die Migration oder das Hinzufügen von Domänen abgeschlossen ist, wird der Bildschirm M365-Nachrichtenfluss Domäneneinstellungen/Status mit Ihrer Domänenliste angezeigt.

  5. Um Nachrichtenflussregeln für diese Domänen einzurichten, klicken Sie auf Verbinden und befolgen Sie die Anweisungen.

    Sie werden zu Microsoft weitergeleitet, um Ihre Domänen zu authentifizieren und Berechtigungen zu erteilen.

    Sie müssen diese Berechtigungen erteilen, um einen Microsoft 365-Connector und die erforderlichen Anwendungen und Nachrichtenflussregeln in Ihrer Microsoft 365-Umgebung zu erstellen.

    Hinweis

    Wenn Sie die Berechtigungen erteilt haben, kann der Connector-Erstellungsprozess bis zu zehn Minuten dauern.

    Wenn in Ihrer Microsoft 365-Domäne bereits Nachrichtenflussregeln eingerichtet sind, wird die Meldung Bereits vorhandene Nachrichtenflussregeln gefunden angezeigt. Siehe hierzu Beheben von Konflikten mit Microsoft 365-Regeln.

    Wenn Ihr Sophos Mailflow-Schutz eingerichtet ist, wird eine Meldung Erfolg! angezeigt.

  6. Sie können auf Einen Schnelltest durchführen klicken, um die Sophos Mailflow-Einrichtung zu überprüfen. Geben Sie eine E-Mail-Adresse ein, um die Testnachricht zu erhalten. Der Test kann einige Minuten dauern.

    Warnung

    Nachdem die Verbindung eingerichtet wurde, kann Microsoft weiterhin andere Verbindungen und Ressourcen im Hintergrund erstellen. Wenn der Schnelltest fehlschlägt, warten Sie mindestens 15 Minuten und führen Sie ihn dann erneut aus, bevor Sie mit der Fehlerbehebung beginnen. Siehe Fehlerbehebung für Sophos Mailflow.

    Die Domänen werden in M365-Nachrichtenfluss Domäneneinstellungen/Status mit einem grünen Häkchen angezeigt.

Wenn Sie Ihre vorhandenen Domänen migriert haben, überprüfen Sie, ob die Nachrichtenflussregeln funktionieren und entfernen Sie dann das Sophos Gateway-Setup für jede Domäne. Dazu kann das Entfernen von MX-Datensätzen gehören, die auf Sophos verweisen. Siehe Duplizierte Scans verhindern.

Konfigurieren von Richtlinien und Einstellungen

Gehen Sie zu Meine Produkte > Email Protection > Richtlinien, um Richtlinien für Email Security und Data Control zu konfigurieren, zu bearbeiten oder zu löschen.

Gehen Sie zu Meine Produkte > Email Protection > Einstellungen, um Einstellungen für Email Security zu konfigurieren, zu bearbeiten oder zu löschen.

Sophos Gateway-Verbindungen löschen

Wenn Sie bereits ein Benutzer sind und die Domäne mit Sophos Mailflow verbunden haben, die zuvor mit dem Sophos Gateway verbunden war, empfehlen wir Ihnen, die Verbindung zum Sophos Gateway so bald wie möglich zu löschen. Dazu kann das Entfernen von MX-Datensätzen gehören, die auf Sophos verweisen.

Wenn Sie die Verbindung nicht trennen und die Verbindung zum Sophos Gateway nicht löschen, können Ihre Nachrichten zweimal gescannt werden. Siehe Duplizierte Scans verhindern.

Weitere Ressourcen

In diesem Video wird erläutert, wie Sie Sophos Mailflow einrichten, um Ihre Microsoft-365-E-Mail-Domänen in Sophos Central zu integrieren.

Sie können sich dieses Video auch auf der Sophos-Techvids-Seite ansehen. Siehe Sophos Email: Die ersten Schritte mit Sophos Email.

Wir haben auch andere Videos, die Sie durch die Einrichtung von Sophos Email Security führen.