Как создать catch-all почтовый ящик в Office 365

Короткое определение: catch‑all — это почтовый адрес, который принимает все письма, адресованные на любые имена в вашем домене (включая несуществующие адреса).

Когда catch‑all полезен

• Предотвращает потерю деловой корреспонденции из‑за опечаток в адресах.
• Упрощает приём писем в небольших организациях с часто меняющимися адресами.
• Используется как резервный канал для внешней почты при миграциях.

Важно: catch‑all работает только для писем из внешних доменов — локальные отправители по умолчанию ищутся в GAL.

Кому не стоит включать catch‑all

• Организациям с высокой чувствительностью к фишингу и спаму.
• Если нет ресурсов на фильтрацию и мониторинг входящей почты.

Обзор решения и архитектура

Для реализации catch‑all в Exchange Online мы используем три элемента:

• Динамическая группа получателей (Dynamic Distribution Group) — перечисляет всех реципиентов или релевантные типы получателей.
• Общий почтовый ящик (Shared Mailbox) — финальный ящик, куда будут перенаправляться ошибки и письма на несуществующие адреса.
• Правило транспорта Exchange Online (Mail Flow Rule) — перенаправляет входящую внешнюю почту на общий ящик.

Ключевой момент: домен должен быть настроен не как Authoritative, а как Internal Relay, чтобы не возвращать ошибку «recipient not found», а пересылать сообщение дальше.

План действий в двух словах

1. Создать Dynamic Distribution Group, покрывающую нужные типы получателей.
2. Создать Shared Mailbox, добавить в него администраторов/наблюдателей.
3. Перевести домен в Accepted Domains в режим Internal Relay.
4. Создать правило транспорта с условием «отправитель находится за пределами организации» и действием «перенаправить сообщение в общий почтовый ящик».

Ниже — детальная пошаговая инструкция и операционные рекомендации.

Подробная пошаговая инструкция

Шаг 1. Создание Dynamic Distribution Group

Динамическая группа автоматически включает список адресов по заданным критериям и упрощает администрирование.

1. Войдите в Microsoft 365 Portal и перейдите в Exchange Admin Center (EAC): Office 365 Portal → Show All → Exchange.

2. В EAC откройте Recipients → Groups.
3. Нажмите + и выберите New dynamic distribution group.

4. Заполните обязательные поля: Display name, Alias. В свойствах группы укажите правила отбора членов — например, All recipient types или filter по отделу/роли.
5. Сохраните группу.

Совет: используйте понятный alias, например catchall-members, чтобы в дальнейшем быстро идентифицировать группу в правилах транспорта.

Шаг 2. Создание Shared Mailbox

Общий почтовый ящик будет конечной точкой для всех перенаправленных писем.

1. В Microsoft 365 Portal перейдите в Groups → Shared Mailboxes.

2. Нажмите + для создания нового общего почтового ящика.
3. Укажите имя, адрес в вашем домене и Email администратора.
4. Перейдите в Next steps → Add members to this mailbox и добавьте пользователей или динамическую группу, созданную на шаге 1.

5. Сохраните настройки.

Рекомендация: добавьте минимум двух администраторов и одного мониторингового аккаунта, чтобы обеспечить наблюдение и распределение ответственности.

Шаг 3. Настройка Accepted Domain как Internal Relay

Если домен остаётся в статусе Authoritative, Exchange Online вернёт отправителю ошибку «recipient not found» при отсутствии записи в GAL.

1. В EAC перейдите Mail flow → Accepted domains.
2. Выберите нужный домен и измените тип с Authoritative на Internal Relay.

Важно: для каждой публично зарегистрированной зоны необходимо изменить настройку отдельно.

Последствия: при Internal Relay Exchange попытается передать письмо на «другую почтовую инфраструктуру» вместо возвращения ошибки — это именно поведение, которое нужно для catch‑all.

Шаг 4. Создание правила транспорта в Exchange Online

1. В EAC откройте Mail flow → Rules.
2. Нажмите + → Create a new rule.
3. Назовите правило Catch‑all.
4. В условиях выберите if the sender is located → Outside the organization.

5. В действиях выберите Do the following → Redirect the message to → укажите адрес Shared Mailbox (CatchAll).

6. Добавьте исключения при необходимости: например, исключить письма с проверенным DKIM/SPF, от конкретных партнеров или из внутренних систем мониторинга.
7. Включите правило и протестируйте сценарии отправки на несуществующие адреса.

Тест: Отправьте внешнее письмо на несуществующий@вашдомен и убедитесь, что оно появляется в Shared Mailbox.

Как это работает технически

При Internal Relay входящее сообщение, адресованное на несуществующий локальный ящик, не обрабатывается как окончательная ошибка. Exchange перенаправляет или ретранслирует сообщение дальше — правило транспорта перехватывает этот поток и направляет письмо в общий почтовый ящик. Динамическая группа служит для удобной настройки подписчиков и прав доступа.

Проверки и критерии приёмки

• Отправка письма извне на несуществующий адрес приводит к появлению письма в Shared Mailbox.
• Письма от внутренних отправителей с несуществующим адресом по‑прежнему поворачивают ошибку (при необходимости).
• Правило транспорта срабатывает только для отправителей Outside the organization.
• Исключения (белые списки) функционируют как ожидается.

Риски и способы снижения

Риск: рост объёма спама и фишинга, что повышает нагрузку на администраторов и может привести к пропуску важных писем.

Митигаторы:

• Включите многоуровневую фильтрацию спама (Exchange Online Protection, Defender for Office 365).
• Настройте политики DLP и правила для автоматического перемещения писем с признаками опасности в карантин.
• Создайте отдельный мониторинговый почтовый ящик и используйте автоматические ярлыки/правила для классификации входящих писем.
• Ограничьте доступ к Shared Mailbox и назначьте ответственных за просмотр.

Таблица рисков и мер

• Риск: фишинг через подставленные локальные имена. Мера: строгая антифишинговая защита и обучение сотрудников.
• Риск: перегрузка Shared Mailbox. Мера: автоматическое архивирование и правила сортировки.
• Риск: ложные срабатывания на легитимные письма партнёров. Мера: белые списки и исключения по отправителям.

Альтернативные подходы

1. SMTP relay на внешнюю инфраструктуру (например, собственный MTA) — даёт больше контроля над фильтрацией, но требует поддержки.
2. Сервер‑side скрипты и transport agents (custom code) — гибко, но требует разработки и поддержки; не рекомендуется, если нет компетенций.
3. Использование сторонних SaaS‑провайдеров почтовой фильтрации, которые поддерживают catch‑all на уровне проксирования.

Когда альтернативы предпочтительнее:

• Если у вас высокая нагрузка спама и вы хотите тонкую обработку — используйте внешний MTA или SaaS‑фильтрацию.
• Если требуется интеграция с корпоративными системами, лучше реализовать relay и фильтрацию на вашей инфраструктуре.

Практические рекомендации и чеклисты

Чеклист перед включением catch‑all:

• Выполнен бэкап конфигураций Exchange и правил транспорта.
• Создан Shared Mailbox с минимум двумя ответственными пользователями.
• Настроены фильтры спама и антифишинг.
• Домены переведены в Internal Relay.
• Создано правило транспорта с исключениями и логированием.
• Запланированы процедуры мониторинга и архивации.

Руководство для наблюдателя Shared Mailbox:

• Ежедневно просматривать почту в течение первых 14 дней после включения.
• Подпись писем, требующих ответа, помечать соответствующей меткой «Требует ответа».
• Определить SLA реакции на критические запросы.

Playbook инцидента при всплеске спама

1. Включить режим карантина для Shared Mailbox в EOP.
2. Ограничить доступ к общему ящику до минимального набора администраторов.
3. Применить временное правило блокировки писем по географии/поведенческим сигнатурам.
4. Проанализировать заголовки и источники — добавить в блок‑список.
5. Сообщить пользователям о временных мерах и ожидаемом времени восстановления.

Тестовые случаи и приёмка

1. Отправка письма с внешней почты на несуществующий адрес → письмо должно быть в Shared Mailbox.
2. Отправка от внутреннего пользователя на несуществующий адрес → получить NDR, если это требуется политикой.
3. Письмо от доверенного партнёра не должно попадать в карантин при корректных DKIM/SPF/DMARC.
4. Проверить логи правила транспорта за недельный период — уменьшить количество ложных срабатываний.

Примеры конфигурации и сниппеты

Mermaid диаграмма потока решений для включения catch‑all:

flowchart TD
  A[Получено входящее письмо] --> B{Отправитель внутренний?}
  B -- Да --> C[Обработка по стандартной логике]
  B -- Нет --> D{Домен настроен как Internal Relay?}
  D -- Нет --> E[Возврат NDR отправителю]
  D -- Да --> F[Правило транспорта: перенаправить в Shared Mailbox]
  F --> G[Shared Mailbox: фильтрация и распределение]

Короткий чек для создания правила транспорта в терминах EAC:

• Условие: Sender is located -> Outside the organization.
• Действие: Redirect the message to -> Shared Mailbox (CatchAll).
• Исключения: отправители из списка доверенных доменов, внутренние системы мониторинга.

Советы по безопасности и соответствию

• Включите DMARC с политикой мониторинга перед массовым переходом на Internal Relay, чтобы не сломать доставку легитимной почты.
• Документируйте, кто имеет доступ к Shared Mailbox и какие действия разрешены.
• Для чувствительных отраслей (финансы, здравоохранение) оцените соответствие требованиям GDPR/налоговым правилам перед сохранением пользовательских писем в catch‑all.

Когда catch‑all не работает или не нужен

• Если ваша организация строго фильтрует внешнюю входящую почту на границе, catch‑all может пропускать слишком много небезопасных писем.
• При высоком уровне адресной точности (адреса выдаются централизованно) catch‑all приносит больше вреда, чем пользы.

Короткая галерея крайних случаев

• Кейс: Миграция почтовых записей между системами. Решение: временно включить catch‑all для приёма писем на старые адреса и настроить маршрутизацию.
• Кейс: Партнёры регулярно отправляют на старые имена адресов. Решение: создать правила редиректа на новые адреса и вести logging.

Глоссарий 1 строкой

• Catch‑all: почтовый ящик, принимающий почту для всех адресов домена.
• Internal Relay: режим Accepted Domain, позволяющий пересылать почту в другую почтовую инфраструктуру.
• Dynamic Distribution Group: группа, члены которой определяются правилом, а не статическим списком.
• Shared Mailbox: общий почтовый ящик, доступный нескольким пользователям.

Краткое резюме

Catch‑all в Office 365 реализуется не нативно, но корректно и относительно просто через перевод домена в Internal Relay, создание динамической группы, общего почтового ящика и правила транспорта. Главное — предусмотреть многоуровневую фильтрацию спама, назначить ответственных и протестировать сценарии до включения в продакшен.

Важно: перед развёртыванием оцените риск фишинга и подготовьте playbook на случай всплеска нежелательной почты.

Часто задаваемые вопросы

Что делать, если Shared Mailbox переполняется спамом?

Сначала временно включите карантин в EOP, затем настройте дополнительные правила фильтрации, используйте метки и автоматические правила сортировки. Также рассмотрите подключение стороннего фильтра или relay на собственный MTA.

Можно ли сделать catch‑all только для отдельного поддомена?

Да — Accepted Domain и правила транспорта применяются по доменам и поддоменам. Настройте Internal Relay только для нужного поддомена.

Потребуются ли дополнительные лицензии для Shared Mailbox?

Shared Mailbox не требует отдельной лицензии для базового доступа, но пользователи, которые входят в него, должны быть лицензированы для доступа к Microsoft 365, если это требуется по политике вашей организации.

Мы подготовили пошаговые чеклисты и playbook для быстрого развёртывания и управления catch‑all. Используйте их как основу и адаптируйте под внутренние политики безопасности и требования соответствия.