企業自建Exchange Server我們都知道反垃圾郵件功能比較弱，通常是額外需要購買反垃圾郵件閘道器來配合Exchange Server工作，達到防垃圾和病毒郵件功能，一般硬體的反垃圾郵件閘道器基本都集中在梭子魚，賽門鐵克等功能比較強大但是價格也比較貴，如果企業有一兩千使用者，一套反垃圾郵件閘道器下來就是幾十萬了，那麼如標題所說：怎麼巧妙的利用Office365來解決這個問題呢？

在Office365中有這樣一個功能叫Exchange Online Protection，只要你購買的Office365中包含Exchange Online服務，就都會有這個功能，大家可能會有疑惑了，這個東西是提供ExchangeOnline線上防病毒反垃圾郵件的，跟我本地Exchange有什麼關係？我來告訴你，關係很大，能節約每年幾十萬的硬體反垃圾郵件閘道器費用（即使你只買一個Office365賬號的訂閱都有這個功能），但是帶來的問題就是每小時每使用者只能接收3000封郵件，整個組織每天對外只能發1萬個收件人（注意哦不是1萬封郵件，而是1萬個收件人地址哦），同時也沒有硬體反垃圾郵件閘道器的各種炫酷報表功能。EOP只能提供實時的最先進的反垃圾郵件和防病毒服務。

下面就跟大家分享下怎麼利用EOP來作為本地Exchange Server反垃圾郵件閘道器的吧！

首先的首先還是需要在已購買的Office365中新增企業的域名，在DNS設定的時候不要選擇Exchange服務，等把所有配置都完成後再去搞DNS記錄。

登入到Exchange Online管理中心，在郵件流中選擇接受的域並點選編輯

然後選擇將這個接受域作為內部中繼，並點選儲存

然後選擇郵件流-聯結器，點選新建

因為要使用EOP來提供郵件的外層防護，所以這裡選擇郵件路由的方向是Office365到本地Exchange Server

接下來就對這個聯結器進行命名和描述

接下來選擇僅使用發到接受域的電子郵件應用這個聯結器

這裡就關鍵了，填寫智慧主機，由於我這裡是測試環境資源有限，所以我直接填寫了對外對映的本地Exchange地址，一般來講建議單獨拿一個公網IP，開放25埠然後對映到Exchange Server上，並把這個公網IP填寫到這裡作為智慧主機

建立智慧主機完成

然後這裡也是關鍵步驟，是否要使用TLS，我這裡是勾選了TLS加密的，按常理講也是需要這麼搞得，但是後面就會看到驗證聯結器報錯，是因為我的Exchange Server用的CA自簽名證書，沒有用公網SSL證書

這裡還是選擇使用TLS繼續建立

然後接下來對使用TLS的聯結器進行驗證，點選+輸入一個本地Exchange Server上的收件人地址

然後依次下一步操作

看到了沒~妥妥的失敗了，是因為TLS身份驗證失敗了，無法驗證Exchange Server的證書，前面我說了我的Exchange Server證書是私有CA頒發的，Office365那邊自然是不能驗證這個證書的，所以這裡也強烈建議Exchange使用公網SSL證書，不然就像我後面的配置一樣，不使用TLS加密傳輸，讓Office365到本地Exchange Server這段路由之間裸奔，郵件洩露可不好背鍋啊

然後取消了TLS加密

再一次進行郵件測試，顯示成功了

最後，我們需要做一個切換：將MX記錄改成指向Office365，同時在SPF記錄中增加Office365上EOP資訊

然後我使用QQ郵箱給[email protected] 這個使用者發一封測試郵件

將這封郵件的郵件頭複製出來進行分析看整個郵件路由是怎麼走的

在以下網站中進行郵件路由分析

https://testconnectivity.microsoft.com/

可以看出來，QQ郵箱首先將郵件發出來，通過MX解析到了Office365的EOP上，EOP對郵件進行過濾，再通過之前建立的聯結器將這封郵件路由到本地Exchange Server，最終Exchange Server將這封傳輸到使用者的Mailbox

這樣就達到了我們預期的效果。

怎麼樣用起來是不是很爽~~~

有環境的趕緊試一下吧