AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 阿里邮箱 管理员篇 安全管理 配置第三方客户端访问控制与安全策略

配置第三方客户端访问控制与安全策略

更新时间:
复制为 MD 格式
产品详情
我的收藏

为了保障企业邮箱数据的安全性并满足灵活办公的需求,通过阿里邮箱域管理后台,管理员可以配置第三方客户端(Outlook、Foxmail等)的访问权限、强制安全密码及服务协议,从而有效防范账号泄露风险。

前提条件

  • 您拥有阿里邮箱的管理员账号(postmaster@邮箱域名)或具有域管理权限的分级管理员账号。

  • 您已了解企业内部的安全合规要求(例如是否允许员工在个人设备上接收公司邮件)。

设置第三方客户端登录权限

针对数据防泄露的高安全需求,默认策略禁止使用第三方客户端,仅允许使用网页版或阿里邮箱App。如确需使用 Outlook 等软件,您可以手动开启第三方客户端登录权限,以满足特定业务场景。

功能说明

  • 关闭(禁止)默认策略(针对新购用户)。成员无法使用第三方客户端登录。如果成员尝试登录,客户端会提示认证失败或连接错误。网页端登录及阿里邮箱官方客户端不受此影响。

  • 开启(允许):成员可以使用任意支持标准协议的第三方客户端配置并登录阿里邮箱。

操作步骤

  1. 使用管理员账号(postmaster)登录阿里邮箱域管理平台

    标准版

    https://qiye.aliyun.com/

    国产化版

    https://mail.xc.aliyun.com/

  2. 在左侧导航栏中,选择安全管理 > 账号安全策略

  3. 找到三方客户端登录安全 > 允许使用第三方客户端选项。

    • 允许使用:点亮开关(image)。

    • 禁止使用:关闭开关(image)。

    image

  4. 单击页面左上角的保存按钮。

结果验证:设置禁止后,尝试在手机自带的邮件App中配置一个企业账号,应显示无法连接服务器或用户名密码错误。

强制启用第三方客户端安全密码

重要

如有使用第三方邮箱客户端的需求,建议开启此配置提升账号安全性。

通过强制启用第三方客户端安全密码,可将客户端登录凭证与主账号密码隔离。即使客户端配置泄露,攻击者也只能获取可撤销的专用密码,无法得知真实的邮箱登录密码,从而有效防止账号被滥用。

功能说明

开启后,成员在配置第三方客户端时,不能使用邮箱登录密码,而必须使用在网页端单独生成的“第三方客户端安全密码”。

操作步骤

  1. 使用管理员账号(postmaster)登录阿里邮箱域管理平台

    标准版

    https://qiye.aliyun.com/

    国产化版

    https://mail.xc.aliyun.com/

  2. 进入安全管理 > 账号安全策略

  3. 找到三方客户端登录安全 > 强制启用安全密码选项并开启开关。

    image

  4. 设置启用范围:

    • 全员:所有成员必须使用安全密码。

    • 仅指定部门和账号:单击打开选择框,勾选需要强制执行的部门或员工。

  5. (可选)添加例外:如果选择了全员开启,但有个别特殊账号(如打印机扫描到邮件功能)不支持该协议,可将其添加到例外列表。

  6. 单击左上角的保存按钮。

注意事项

  • 开启策略后,原有的第三方客户端连接会立即失效(提示密码错误)

  • 请务必提前通知员工:需登录网页版邮箱,在设置 > 账户与安全 > 第三方客户端安全密码中生成新密码,并替换客户端中的旧密码。

配置客户端访问 IP 白名单

通过配置客户端访问 IP 白名单,限制仅特定公网 IP(如公司内网)的设备使用第三方客户端,阻断非受信任网络环境下的连接尝试,确保邮箱仅在安全网络中访问,提升数据安全性。

配置逻辑

此配置通过“全局禁止 + 白名单例外”的方式生效:

  1. 全局关闭允许使用第三方客户端

  2. 设置安全登录IP中添加公司公网 IP。

结果:只有来自公司IP的第三方客户端请求会被放行,其他网络的第三方客户端请求一律拒绝。

操作步骤

  1. 使用管理员账号(postmaster)登录阿里邮箱域管理平台

    标准版

    https://qiye.aliyun.com/

    国产化版

    https://mail.xc.aliyun.com/

  2. 进入安全管理 > 账号安全策略

  3. 确保允许使用第三方客户端处于关闭状态(image.png)。

  4. 在页面下方找到设置安全登录IP区域。

  5. 输入公司的公网出口 IP 地址或 IP 段(例如 1.1.1.11.1.1.0/24)。

  6. 单击 保存

结果验证:连接手机热点(非公司IP)尝试收取邮件应失败;切换连接公司Wi-Fi后应能正常收取邮件。

管理邮箱服务协议

通过管理邮箱服务协议,可按需开启或关闭POP3/IMAP服务。例如,开启IMAP以满足移动办公需求,同时关闭 POP3 防止邮件被批量下载至本地,从而有效降低数据外泄风险。

协议简述

  • POP3:将邮件下载到本地,通常用于本地归档。

  • IMAP:多端同步邮件状态,适合移动办公。

  • SMTP:发送邮件服务。

操作步骤

修改单个

  1. 使用管理员账号(postmaster)登录阿里邮箱域管理平台

    标准版

    https://qiye.aliyun.com/

    国产化版

    https://mail.xc.aliyun.com/

  2. 进入组织与用户 > 员工账号

  3. 单击需要设置的员工邮箱,单击切换到功能权限页,找到客户端配置,可管理对应的服务协议。建议使用以下两种设置。

    • 组合一:同时开启IMAPSMTP(推荐)。

    • 组合二:同时开启POP3SMTP。

    修改后自动保存。

    image

批量修改

  1. 使用管理员账号(postmaster)登录阿里邮箱域管理平台

    标准版

    https://qiye.aliyun.com/

    国产化版

    https://mail.xc.aliyun.com/

  2. 进入组织与用户 > 员工账号

  3. 选择操作对象:在员工列表中勾选需要调整权限的部门或具体员工账号,然后单击批量设置按钮。

  4. 在功能列表中,勾选POP3/SMTP服务开关

  5. 根据需求调整子选项:

    • 禁止下载邮件:取消勾选开启POP3/SMTP服务

    • 允许同步查看:保持勾选开启IMAP/SMTP服务

    image

  6. 单击确定完成设置。

常见问题

  • 关闭“允许使用第三方客户端”后,网页端还能登录吗?

    可以。该设置仅限制 Outlook、Foxmail、Mac Mail 等第三方客户端软件,不影响阿里邮箱网页版以及阿里邮箱官方客户端(阿里邮箱App)的正常使用。

  • 为什么我开启了“强制启用安全密码”,客户端提示“密码错误”?

    这是正常现象。开启该功能后,原有的邮箱登录密码在客户端上即刻失效。用户必须登录网页版邮箱,生成一个新的“第三方客户端安全密码”,并用这个新密码替换客户端中的旧密码。

  • 已经禁用了第三方客户端,为什么员工还能通过手机收邮件?

    请检查员工是否使用的是“阿里邮箱App”阿里邮箱App视为安全客户端,不受“禁止第三方客户端”策略的限制。如果员工使用的是手机系统自带的“邮件”应用,请检查是否配置了IP白名单,或者策略生效是否有延迟(通常在几分钟后生效)。

  • 设置完IP白名单后,员工出差怎么办?

    如果配置了IP白名单且禁止了外网第三方客户端,员工在白名单 IP 范围之外(如出差或在家办公)将无法使用第三方客户端。建议引导出差员工使用网页版邮箱或阿里邮箱官方App进行移动办公。

上一篇:什么是自有端访问限制以及如何开启?下一篇:域管如何开启三方客户端安全密码?