跳至主内容

Mesh 网关

所有电子邮件平台上的组织均可使用 Mesh 网关,只要其能通过25端口接收邮件并将MX记录指向 Mesh .

Mesh Office 365专用网关

Mesh Exchange专用网关

Mesh Google Workspace网关

Mesh 其他所有电子邮件平台网关

Mesh Microsoft 365网关

本指南概述如何安装 Mesh 面向Microsoft 365组织的网关。

提示:若这是您首次在 Mesh 中配置客户(或即便不是),建议先熟悉此检查表⟶ 准备工作检查表

提示

安装时间:10-15分钟

步骤1:为 Mesh 创建Microsoft 365邮件流规则

为确保经 Mesh 过滤的邮件能安全送达且不受微软二次过滤,需在Microsoft 365中为我们的 IP地址范围创建邮件流规则。

以下视频逐步演示该流程:

https://youtu.be/JXiK0Ja1NXE

  • 请确保使用适用于您所在区域的IP范围。相关范围可 在此

  • 查看我们的 分步指南 了解如何创建邮件流规则。

  • 参阅微软相关文档 此处

步骤2:通过Azure同步填充用户

为了让用户能够接收隔离摘要并创建自己的允许/阻止规则,需在用户表中填充用户信息。

  • 以客户身份登录,导航至用户⟶导入与同步⟶Azure同步

  • 选择“O365授权”以允许 Mesh 从Azure同步用户。

  • 查看更多关于 用户填充与角色类型 .

注意:Azure同步将每小时自动运行。对于同步的无需在 Mesh 中创建账户的邮箱,请选择并设置为“禁用”

步骤3:导入允许与阻止规则(可选)

您可以使用我们的 CSV模板 .

步骤4:更新您的MX记录

根据您的 服务区域

更新MX记录值。 MX记录具有区域特异性

且不应存在其他记录。 若使用 MTA-STS

,请确保同时更新其中的MX条目。

重要提示 :在 Mesh 中创建账户后,请至少等待15分钟再更新MX记录,以确保系统更新期间邮件投递不受中断。

步骤5:在Microsoft 365中创建连接器

为防止威胁绕过 Mesh 的过滤功能,并确保来自我们MTA的邮件能成功投递至您的邮件环境,您需要在Microsoft 365中为 Mesh 创建一个连接器。

注意

重要提示:

  • 请仅在将MX记录指向 Mesh 后完成此步骤。建议等待24小时以确保DNS完全生效。

  • 若您正从其他安全邮件网关迁移,可能已存在一个连接器用于拒绝非特定IP范围发送的邮件。

  • 您需在更改MX记录前移除该设置,以避免经 Mesh 过滤的合法邮件被拒收。

以下视频将逐步演示该流程:

步骤6:启用出站邮件扫描(可选)

注意

若您的租户启用了自动转发功能,请务必阅读上述指南。

1054801944.png

步骤7:配置垃圾邮件和钓鱼邮件举报按钮(可选)

Outlook举报按钮可用于将潜在误判(假阴性/假阳性)案例共享给您的帮助台及 Mesh 检测团队。查看我们的 分步 指南。

1658159116.png

提示

一切就绪。您的邮件现已受到 Mesh 网关的保护。

Mesh Exchange版网关

本指南概述如何为Exchange上的组织安装 Mesh 网关。

提示:若这是您首次在 Mesh 中配置客户(或即便不是),建议先熟悉此检查表⟶ 准备工作检查表

提示

安装时间:10-15分钟

步骤1:为Exchange中的 Mesh 创建邮件流规则

为确保经 Mesh 过滤的邮件能安全投递且不受微软二次过滤,您需要为我们的 IP地址范围

在Exchange中创建邮件流规则。本视频 将逐步演示该流程:

  • 请确保使用适用于您所在区域的IP范围。相关范围可 在此处

  • 查看我们的 分步指南 关于创建邮件流规则

  • 查看微软相关文档 此处

步骤二:通过CSV导入用户

为了让用户能接收隔离摘要并创建自己的允许/阻止规则,需将用户信息填充至用户表中。

步骤三:导入允许与阻止规则(可选)

您可以使用我们的 CSV模板 .

步骤四:更新您的MX记录

根据您所在 服务区域

更新MX记录值 MX记录具有区域特异性

且不应存在其他记录 若使用 MTA-STS

请确保同时更新其中的MX条目

重要提示 :在 Mesh 创建账户后,请至少等待15分钟再更新MX记录,以确保系统更新期间不会中断邮件投递

步骤五:在Exchange中创建连接器

为防止威胁绕过 Mesh 为确保来自我们邮件传输代理(MTA)的邮件能顺利投递至您的邮件环境,同时避免威胁绕过过滤机制,您需在Exchange中为 Mesh 创建连接器。

注意

重要提示:

  • 请仅在将MX记录指向 Mesh 后完成此步骤。建议等待24小时以确保DNS记录全局生效。

  • 若您正从其他安全邮件网关迁移,可能已存在用于拒绝非指定IP范围邮件的连接器。

  • 在更改MX记录前需移除该设置,以避免 Mesh 过滤的合规邮件被误拒。

以下视频将逐步演示操作流程:

步骤6:启用出站邮件扫描(可选)

注意

若租户启用了自动转发功能,请务必阅读上述指南。

1054801944.png

步骤7:配置垃圾邮件和钓鱼邮件举报按钮(可选)

Outlook举报按钮可用于将潜在漏判/误判案例共享给您的帮助台及 Mesh 检测团队。查看我们的 分步 指南。

1658159116.png

提示

您已全部设置完成。您的邮件现在受到 Mesh 网关的保护。

Mesh 网关(适用于Google Workspace)

本指南概述了如何为Google Workspace上的组织安装 Mesh 网关。

提示:如果您是首次在 Mesh 中设置客户(或即使不是),建议您先熟悉此检查清单⟶ 开始前检查清单

提示

安装时间:10-15分钟

步骤1:在Google Workspace中为 Mesh 创建入站网关

为确保经 Mesh 过滤的邮件能安全送达且不受Google二次过滤,您需要为我们的 IP范围

注意

重要提示: 若您正从其他安全电子邮件网关迁移,可能已配置了连接器用于拒收非特定IP范围发送的邮件。

在更改MX记录前需移除该设置,以避免 Mesh 过滤的合法邮件被拒收。

步骤2:配置谷歌工作空间内部邮件保留在租户内

与微软365不同(内部邮件不会被 Mesh 网关检测),谷歌通过MX记录路由内部邮件。这意味着它们将受到 Mesh 网关过滤及仿冒检测的影响,导致误判。通过配置内部邮件保留在谷歌工作空间租户内可避免此问题。

步骤3:用户数据导入

为使用户能接收隔离摘要并创建个人允许/阻止规则,需将用户信息导入用户表。

步骤4:导入允许与阻止规则(可选)

可使用 CSV模板 .

步骤5:更新MX记录

根据您的 服务区域

更新MX记录值。 MX记录具有区域专属性

且不应存在其他记录。 若使用MTA-STS ,请确保同时更新该处的MX记录。

注意

重要提示 :在 Mesh 中创建账户后,请至少等待15分钟再更新MX记录,以确保系统更新期间邮件投递不受干扰。

步骤6:拒绝所有非网关IP发来的邮件

建议将邮件环境锁定为仅接收来自Google和 Mesh 的邮件。为此,请勾选 “拒绝所有非网关IP发来的邮件” 选项(位于本指南的入站网关部分): https://docs.emailsecurity.app/help-center/Create-an-Inbound-Gateway-for- Mesh -in-Google-Workspace.869236945.html

注意

完成此步骤前请等待24小时,以确保DNS生效。

步骤7:启用出站邮件扫描(可选)

  • 查看我们的 分步指南 了解如何启用出站邮件扫描功能。

1054801944.png

提示

设置完成。您的邮件现已受到 Mesh 网关的保护。

为Google Workspace中的 Mesh 创建入站网关

为确保经 Mesh 确保被过滤的邮件能安全送达且不受谷歌二次过滤,您需要为 Mesh 在Google Workspace中创建入站网关。

建议您参考 谷歌官方文档 .

注意

重要提示:

  • 只有在将MX记录指向 Mesh 后才能完成此步骤。建议等待24小时以确保DNS生效。

  • 若您正从其他安全邮件网关迁移,可能已存在连接器用于拒绝非指定IP范围发送的邮件。

  • 在更改MX记录前需移除该设置,以避免被 Mesh 过滤的干净邮件遭拒收。

步骤1:访问Google管理后台

进入Google管理后台→Gmail。选择-垃圾邮件、钓鱼和恶意软件

网址: https://admin.google.com/ac/apps/gmail/spam

869105767.png

步骤2:编辑入站网关

点击编辑入站网关。

869105775.png

步骤3:添加网关IP

您需要添加两组IP地址:

  1. Mesh 投递IP范围 (需根据您所在区域选择)。

  2. 谷歌的发送IP范围。 

谷歌IP列表
提取自_spf.google.com
(谷歌可能不另行通知更改这些IP,建议二次核对)
66.249.80.0/20 
72.14.192.0/18 
74.125.0.0/16
108.177.8.0/21 
173.194.0.0/16 
209.85.128.0/17 
216.58.192.0/19 
216.239.32.0/19
2001:4860:4000::/36
2404:6800:4000::/36 
2607:f8b0:4000::/36 
2800:3f0:4000::/36
2a00:1450:4000::/36 
2c0f:fb50:4000::/36
172.217.0.0/19 
172.217.32.0/20
172.217.128.0/19 
172.217.160.0/20 
172.217.192.0/19 
172.253.56.0/21 
172.253.112.0/20 
108.177.96.0/19

步骤4:勾选选项

勾选以下复选框:

  • 自动检测外部IP(推荐)。

  • 要求与上述邮件网关的连接使用TLS加密。

注意

重要提示: 目前请勿勾选“拒绝所有非网关IP发来的邮件”。该选项将在本设置指南的最后阶段启用。

启用“拒绝所有非网关IP发来的邮件”时,建议包含Google的发件IP范围,以避免其自身服务器邮件被拒收的情况。

若选择不勾选“拒绝所有非网关IP发来的邮件”,发件人可绕过 Mesh 或Google网关。

步骤5:创建正则表达式

勾选 "当邮件头匹配以下正则表达式时视为垃圾邮件"

  • 在正则表达式文本框内输入任意字符串。

  • 只要该字符串不会出现在邮件头中,具体内容无关紧要。

步骤6:禁用垃圾邮件评估

勾选 "对此网关邮件禁用Gmail垃圾邮件评估;仅使用邮件头值"

当前设置应如下图所示:

image-20250310-133744.png

步骤7:继续 Mesh 网关设置指南

下一步是继续 Mesh 网关设置指南,其中包含将内部邮件保留在Google基础设施内的详细说明。

https://docs.emailsecurity.app/help-center/Routing-Internal-Emails-in-Google-Workspace.960069643.html

提示

您已全部设置完成!

在Google Workspace中路由内部邮件

注意

未完成此步骤将导致内部发送的邮件极有可能被作为冒充邮件隔离 Mesh 。内部邮件应保留在Google租户内,不应通过 Mesh 网关传输。

创建邮件路由

  1. 访问 https://admin.google.com

  2. 进入应用 -> Google Workspace -> Gmail。

  3. 滚动至"主机"部分,点击"添加路由"

  4. 为新路由命名,例如"内部邮件路由"。

  5. 在"指定邮件服务器"下选择"单一主机",输入"aspmx.l.google.com",端口25。(若适用,也可从此处选择 smtp.google.com 选项: https://support.google.com/a/answer/174125?hl=zh ).

  6. 重要提示 :取消勾选"执行MX记录查找"。

  7. 确保勾选以下选项:

    a. 要求通过安全(TLS)连接传输邮件(推荐)。

    b. 要求CA签名证书(推荐)。

    c. 验证证书主机名(推荐)。

  8. 点击保存。

应用路由规则

  1. 进入应用 -> Google Workspace -> Gmail。

  2. 滚动至"路由"部分。

  3. 点击"配置"或"添加其他规则"。

  4. 为新规则命名,如"内部邮件路由规则"。

  5. 勾选"内部-发送"复选框。

  6. 在第2部分的下拉菜单中选择"修改邮件",勾选"更改路由"并选择之前设置的主机。

  7. 滚动至底部并点击"显示选项"。

  8. 确保勾选以下选项:

    a. 用户

    b. 群组

  9. 在C部分下,选择“仅影响特定信封发件人”,从下拉菜单中选择“模式匹配”,并在正则表达式字段中以“example.com”格式输入您的域名/客户域名。

  10. 点击保存。

禁用SPF/DKIM检查

SPF和DKIM检查由 Mesh 执行。通过我们的服务器后再次验证可能导致邮件在Gmail中被错误标记为垃圾邮件。

  1. 转到应用 -> Google Workspace -> Gmail。

  2. 进入“安全”部分。

  3. 选择“欺骗和身份验证”。

  4. 取消勾选“保护免受任何未经验证的邮件”和“自动应用未来推荐设置”。

  5. 点击保存。

继续 Mesh 网关设置指南

请返回本指南以完成剩余步骤:

https://docs.emailsecurity.app/help-center/mesh-gateway-for-google-workspace

提示

您已全部设置完成!

Mesh 适用于所有其他电子邮件平台的网关

本指南概述了如何为 Mesh 非使用Microsoft 365、Exchange或Google Workspace的组织安装网关。 使用Microsoft 365、Exchange或Google Workspace。

提示:如果这是您首次在 Mesh (即使不是首次设置),熟悉这份检查清单也很有价值 ⟶ 开始前检查清单

提示

安装时间:10-15分钟

步骤1:为 Mesh

创建允许规则 Mesh 为确保经 Mesh 过滤的邮件能安全投递,您需在邮件服务器上为其创建允许规则。请使用 IP范围 (需选择您所在特定区域)。

注意

重要提示: 若您正从其他安全邮件网关迁移,可能已存在连接器用于拒绝非指定IP范围发送的邮件。

更改MX记录前需移除该设置,以避免经 Mesh 过滤的合法邮件被拒绝。

步骤2:通过CSV导入用户

为使用户能接收隔离摘要并创建个人允许/阻止规则,需将用户信息填入用户表。

步骤3:导入允许与阻止规则(可选)

您可通过我们的 CSV模板 .

步骤4:更新MX记录

根据您所在 服务区域适用的值更新MX记录

MX记录具有区域特定性 且不应存在其他记录

若使用 MTA-STS 请确保同时更新其中的MX条目

注意

重要提示 :在 Mesh 创建账户后,请至少等待15分钟再更新MX记录,以确保系统更新期间邮件投递不受影响

步骤5:将服务器设置为仅接受经 Mesh

过滤的邮件 Mesh 过滤,并确保来自我们MTA的邮件能送达您的邮件服务器,您应将其配置为拒绝非 Mesh IP范围内的邮件

注意

建议等待24小时再完成此步骤,以确保DNS完全生效

步骤6:启用外发邮件扫描(可选)

注意

若您的租户使用自动转发功能,请务必阅读上述指南

1054801944.png

提示

已完成设置。您的邮件现已受到 Mesh 网关。

在本节中 :