Konfigurace filtrování připojení

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

V organizacích Microsoft 365 s Exchange Online poštovními schránkami nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek, filtrování připojení a výchozích zásad filtru připojení identifikují dobré nebo špatné zdrojové e-mailové servery podle IP adres. Klíčové součásti výchozích zásad filtru připojení jsou:

• Seznam povolených ip adres: Přeskočte filtrování spamu pro všechny příchozí zprávy ze zadaných zdrojových IP adres nebo rozsahů IP adres. Všechny příchozí zprávy se kontrolují na přítomnost malwaru a vysoce důvěryhodných útoků phishing. Další scénáře, kdy filtrování spamu stále probíhá na zprávách ze serverů v seznamu povolených IP adres, najdete dále v tomto článku v části Scénáře, ve kterých jsou zprávy ze zdrojů v seznamu povolených IP adres stále filtrované . Další informace o tom, jak by měl seznam povolených IP adres zapadnout do celkové strategie bezpečných odesílatelů, najdete v tématu Vytvoření seznamů bezpečných odesílatelů v EOP.

• Seznam blokovaných IP adres: Zablokuje všechny příchozí zprávy ze zadaných zdrojových IP adres nebo rozsahů IP adres. Příchozí zprávy se zamítnou, neoznačí se jako spam a nedochází k žádnému jinému filtrování. Další informace o tom, jak by měl seznam blokovaných IP adres zapadnout do celkové strategie blokovaných odesílatelů, najdete v tématu Vytvoření seznamů blokovaných odesílatelů v EOP.

• Bezpečný seznam: Seznam bezpečných položek v zásadách filtru připojení je dynamický seznam povolených položek, který nevyžaduje konfiguraci zákazníka. Microsoft identifikuje tyto důvěryhodné zdroje e-mailu od odběrů až po různé seznamy třetích stran. Povolíte nebo zakážete používání seznamu bezpečných kódů. nemůžete nakonfigurovat servery v seznamu. Filtrování spamu se u příchozích zpráv z e-mailových serverů v seznamu bezpečných položek přeskočí.

Tento článek popisuje, jak nakonfigurovat výchozí zásady filtru připojení na portálu Microsoft 365 Microsoft Defender portal nebo v Exchange Online PowerShellu. Další informace o tom, jak EOP používá filtrování připojení, je součástí celkového nastavení ochrany proti spamu ve vaší organizaci, najdete v tématu Ochrana proti spamu.

Poznámka

Seznam povolených IP adres, seznam bezpečných adres a seznam blokovaných IP adres jsou součástí celkové strategie povolení nebo blokování e-mailů ve vaší organizaci. Další informace najdete v tématech Vytvoření seznamů bezpečných odesílatelů a Vytvoření seznamů blokovaných odesílatelů.

Rozsahy IPv6 se nepodporují.

Zprávy z blokovaných zdrojů v seznamu blokovaných IP adres nejsou v trasování zpráv dostupné.

Co potřebujete vědět, než začnete?

• Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na stránku zásad ochrany proti spamu , použijte https://security.microsoft.com/antispam.

• Pokud se chcete připojit k Exchange Online PowerShellu, přečtěte si téma Připojení k Exchange Online PowerShellu. Informace o připojení k samostatnému prostředí PowerShell EOP najdete v tématu Připojení k Exchange Online Protection PowerShellu.

• Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Budete mít také následující možnosti:

  • Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell: Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).

  • Exchange Online oprávnění:

    • Úprava zásad: Členství ve skupinách rolí Správa organizace nebo Správce zabezpečení .
    • Přístup k zásadám jen pro čtení: Členství ve skupinách rolí Globální čtenář, Čtenář zabezpečení nebo Správa organizace jen pro zobrazení .

  • Microsoft Entra oprávnění: Členství v rolích globálního správce^*, správce zabezpečení, globálního čtenáře nebo čtenáře zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.

    Důležité

    ^* Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

• Pokud chcete najít zdrojové IP adresy e-mailových serverů (odesílatelů), které chcete povolit nebo blokovat, můžete v záhlaví zprávy zkontrolovat pole hlavičky připojující se IP adresy (CIP). Pokud chcete zobrazit záhlaví zprávy v různých e-mailových klientech, přečtěte si článek Zobrazení záhlaví internetových zpráv v Outlooku.

• Seznam povolených IP adres má přednost před seznamem blokovaných IP adres (adresa v obou seznamech není blokovaná).

• Seznam povolených IP adres a seznam blokovaných IP adres podporují maximálně 1273 položek, přičemž položka je jedna IP adresa, rozsah IP adres nebo IP adresa CIDR (Classless InterDomain Routing).

Použití portálu Microsoft Defender k úpravě výchozích zásad filtru připojení

1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte v části Zásady Email & spolupráce>& Pravidla>Zásady> hrozebAntispam v části Zásady. Nebo pokud chcete přejít přímo na stránku zásad ochrany proti spamu, použijte .https://security.microsoft.com/antispam

2. Na stránce Zásady antispamové ochrany vyberte v seznamu možnost Zásady filtru připojení (výchozí) kliknutím na libovolném jiném řádku než na zaškrtávací políčko vedle názvu.

3. V informačním rámečku s podrobnostmi o zásadách, který se otevře, upravte nastavení zásad pomocí odkazů Upravit:

   • Oddíl Popis : Výběrem možnosti Upravit popis zadejte popis zásady do pole Popis v informačním rámečku Upravit název a popis , který se otevře. Název zásady není možné změnit.

     Až budete hotovi v informačním rámečku Upravit jméno a popis , vyberte Uložit.

   • Část filtrování připojení: Vyberte Upravit zásadu filtru připojení. V informačním rámečku, který se otevře, nakonfigurujte následující nastavení:

     • Vždy povolit zprávy z následujících IP adres nebo rozsahu adres: Toto nastavení je seznam povolených IP adres. Klikněte do pole, zadejte hodnotu a stiskněte klávesu ENTER nebo vyberte úplnou hodnotu, která se zobrazí pod polem. Platné hodnoty jsou:

       • Jedna IP adresa: Například 192.168.1.1.
       • Rozsah IP adres: Například 192.168.0.1-192.168.0.254.
       • IP adresa CIDR: Například 192.168.0.1/25. Platné hodnoty masky podsítě jsou /24 až /32. Pokud chcete přeskočit filtrování spamu pro /1 až /23, přečtěte si část Přeskočení filtrování spamu pro IP adresu CIDR mimo dostupný rozsah dále v tomto článku.

       Tento krok opakujte tolikrát, kolikrát je to potřeba. Pokud chcete odebrat existující položku, vyberte vedle položky.

   • Vždy blokovat zprávy z následujících IP adres nebo rozsahu adres: Toto nastavení je seznam blokovaných IP adres. Do pole zadejte jednu IP adresu, rozsah IP adres nebo IP adresu CIDR, jak je popsáno v nastavení Vždy povolit zprávy z následujících IP adres nebo rozsahu adres .

   • Zapnutí seznamu bezpečných adres: Povolte nebo zakažte použití seznamu bezpečných uživatelů k identifikaci známých a vhodných odesílatelů, kteří přeskakují filtrování spamu. Pokud chcete seznam bezpečných položek použít, zaškrtněte toto políčko.

   Až budete v informačním rámečku hotovi, vyberte Uložit.

4. Vraťte se do informačního rámečku s podrobnostmi o zásadách a vyberte Zavřít.

Použití portálu Microsoft Defender k zobrazení výchozích zásad filtru připojení

Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte v části Zásady Email & spolupráce>& Pravidla>Zásady> hrozebAntispam v části Zásady. Nebo pokud chcete přejít přímo na stránku zásad ochrany proti spamu, použijte .https://security.microsoft.com/antispam

Na stránce Antispamové zásady se v seznamu zásad zobrazují následující vlastnosti:

• Název: Výchozí zásada filtru připojení má název Zásada filtru připojení (výchozí).
• Stav: Pro výchozí zásady filtru připojení je hodnota Vždy zapnutá .
• Priorita: Výchozí zásada filtru připojení má hodnotu Nejnižší .
• Typ: Hodnota výchozí zásady filtru připojení je prázdná.

Pokud chcete změnit seznam zásad z normálního na kompaktní řádkování, vyberte Změnit řádkování seznamu na kompaktní nebo normální a pak vyberte Komprimovat seznam.

Pomocí vyhledávacího pole a odpovídající hodnoty vyhledejte konkrétní zásady.

Vyberte výchozí zásadu filtru připojení tak, že kliknete kamkoli na jiný řádek než na zaškrtávací políčko vedle názvu. Otevře se informační rámeček s podrobnostmi o zásadách.

Použití Exchange Online PowerShellu nebo samostatného EOP PowerShellu k úpravě výchozích zásad filtru připojení

Použijte tuto syntaxi:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]

• Platné hodnoty IP adresy nebo rozsahu adres jsou:
  • Jedna IP adresa: Například 192.168.1.1.
  • Rozsah IP adres: Například 192.168.0.1-192.168.0.254.
  • IP adresa CIDR: Například 192.168.0.1/25. Platné hodnoty masky sítě jsou /24 až /32.
• Pokud chcete přepsat všechny existující položky zadanými hodnotami, použijte následující syntaxi: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
• Pokud chcete přidat nebo odebrat IP adresy nebo rozsahy adres, aniž by to ovlivnilo další existující položky, použijte následující syntaxi: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
• Pokud chcete vyprázdnit seznam povolených ip adres nebo seznam blokovaných IP adres, použijte hodnotu $null.

Tento příklad nakonfiguruje seznam povolených IP adres a seznam blokovaných IP adres se zadanými IP adresami a rozsahy adres.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

Tento příklad přidá a odebere zadané IP adresy a rozsahy adres ze seznamu povolených IP adres.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Podrobné informace o syntaxi a parametrech najdete v tématu Set-HostedConnectionFilterPolicy.

Jak víte, že tyto postupy fungovaly?

Pokud chcete ověřit, že jste úspěšně upravili výchozí zásadu filtru připojení, proveďte některý z následujících kroků:

• Na stránce Zásady antispamové ochrany na portálu Microsoft Defender na https://security.microsoft.com/antispamadrese vyberte v seznamu možnost Zásady filtru připojení (výchozí) tak, že kliknete kamkoli na jiný řádek než zaškrtávací políčko vedle názvu a zkontrolujete nastavení zásad v informačním rámečku s podrobnostmi, který se otevře.

• V Exchange Online PowerShellu nebo samostatném powershellu EOP spusťte následující příkaz a ověřte nastavení:

  Get-HostedConnectionFilterPolicy -Identity Default
  

• Odešlete testovací zprávu z položky v seznamu povolených IP adres.

Další aspekty seznamu povolených IP adres

V následujících částech najdete další položky, o kterých potřebujete vědět, když konfigurujete seznam povolených IP adres.

Poznámka

Všechny příchozí zprávy se kontrolují na přítomnost malwaru a vysoce důvěryhodných útoků phishing bez ohledu na to, jestli je zdroj zpráv v seznamu povolených IP adres.

Přeskočení filtrování spamu pro IP adresu CIDR mimo dostupný rozsah

Jak je popsáno výše v tomto článku, můžete použít pouze IP adresu CIDR s maskou sítě /24 až /32 v seznamu povolených IP adres. Pokud chcete přeskočit filtrování spamu u zpráv ze zdrojových e-mailových serverů v rozsahu /1 až /23, musíte použít pravidla toku pošty Exchange (označovaná také jako pravidla přenosu). Doporučujeme ale nepoužívat metodu pravidla toku pošty, protože zprávy se zablokují, pokud se IP adresa v rozsahu IP adres CIDR /1 až /23 objeví v některém z vlastnických seznamů blokovaných společností Microsoft nebo třetích stran.

Teď, když jste si plně vědomi potenciálních problémů, můžete vytvořit pravidlo toku pošty s minimálně následujícími nastaveními, které zajistí, že zprávy z těchto IP adres přeskočí filtrování spamu:

• Podmínka pravidla: Toto pravidlo použijte, pokud>je IP adresa odesílatele v některém z těchto rozsahů nebo přesně odpovídá> (zadejte IP adresu CIDR s maskou sítě /1 až /23).>
• Akce pravidla: Úprava vlastností> zprávyNastavení úrovně spolehlivosti spamu (SCL)>Obejití filtrování spamu

Můžete pravidlo auditovat, testovat, aktivovat pravidlo během určitého časového období a další výběry. Než pravidlo vynutíte, doporučujeme ho na určité období otestovat. Další informace najdete v tématu Správa pravidel toku pošty v Exchange Online.

Přeskočení filtrování spamu u vybraných e-mailových domén ze stejného zdroje

Přidání IP adresy nebo rozsahu adres do seznamu povolených IP adres obvykle znamená, že důvěřujete všem příchozím zprávům z daného zdroje e-mailu. Co když tento zdroj odesílá e-maily z více domén a vy chcete přeskočit filtrování spamu u některých z těchto domén, ale u jiných ne? Seznam povolených IP adres můžete použít v kombinaci s pravidlem toku pošty.

Například zdrojový e-mailový server 192.168.1.25 odesílá e-maily z domén contoso.com, fabrikam.com a tailspintoys.com, ale filtrování spamu u zpráv od odesílatelů chcete přeskočit jenom v fabrikam.com:

1. Přidejte 192.168.1.25 do seznamu povolených IP adres.

2. Nakonfigurujte pravidlo toku pošty s následujícími nastaveními (minimálně):

   • Podmínka pravidla: Toto pravidlo použijte, pokud>je IP adresa odesílatele v některém z těchto rozsahů nebo přesně odpovídá> 192.168.1.25 (stejná IP adresa nebo rozsah adres, které jste přidali do seznamu povolených IP adres v předchozím kroku).>
   • Akce pravidla: Upravte vlastnosti> zprávyNastavte úroveň spolehlivosti spamu (SCL)>0.
   • Výjimka pravidla: Doména odesílatele>je> fabrikam.com (jenom doména nebo domény, u které chcete přeskočit filtrování spamu).

Scénáře, ve kterých jsou zprávy ze zdrojů v seznamu povolených IP adres stále filtrované

Zprávy z e-mailového serveru v seznamu povolených IP adres stále podléhají filtrování spamu v následujících scénářích:

• IP adresa v seznamu povolených IP adres je také nakonfigurovaná v místním příchozím konektoru založeném na PROTOKOLU IP v libovolném tenantovi v Microsoftu 365 (nazvěme ho Tenant A) a tenant A a server EOP, který se s touto zprávou poprvé setká, jsou v datacentrech Microsoftu ve stejné doménové struktuře Active Directory. V tomto scénáři se ip adresa IPV:CAL přidá do záhlaví zpráv o antispamové zprávě (což označuje, že zpráva obešla filtrování spamu), ale zpráva stále podléhá filtrování spamu.

• Váš tenant, který obsahuje seznam povolených IP adres a server EOP, který se poprvé setká se zprávou, jsou v různých doménových strukturách služby Active Directory v datacentrech Microsoftu. V tomto scénáři se IPV:CALnepřidá do záhlaví zprávy, takže zpráva stále podléhá filtrování spamu.

Pokud narazíte na některý z těchto scénářů, můžete vytvořit pravidlo toku pošty s následujícími nastaveními (minimálně), které zajistí, že zprávy z problematických IP adres přeskočí filtrování spamu:

• Podmínka pravidla: Toto pravidlo použijte, pokud>je IP adresa odesílatele v některém z těchto rozsahů nebo se přesně shoduje> (vaše IP adresa nebo adresy).>
• Akce pravidla: Úprava vlastností> zprávyNastavení úrovně spolehlivosti spamu (SCL)>Obejití filtrování spamu

Začínáte s Microsoftem 365?

---

Začínáte s Microsoftem 365? Objevte bezplatné videokursy pro správce Microsoftu 365 a IT profesionály, které vám přináší LinkedIn Learning.