Sdílet prostřednictvím

Konfigurace filtrování připojení v cloudových organizacích

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Ve všech organizacích s cloudovými poštovními schránkami je k dispozici filtrování připojení prostřednictvím výchozích zásad filtru připojení, které povoluje nebo blokuje příchozí e-mailová připojení SMTP (doručování e-mailů) ze zadaných IP adres. Klíčové součásti výchozích zásad filtru připojení jsou:

  • Seznam povolených ip adres: Přeskočte filtrování spamu pro všechny příchozí zprávy ze zadaných zdrojových IP adres nebo rozsahů IP adres. Všechny příchozí zprávy se stále kontrolují na přítomnost malwaru a vysoce důvěryhodných útoků phishing. Další scénáře, ve kterých stále dochází k filtrování spamu, najdete v části Scénáře, ve kterých jsou zprávy ze zdrojů v seznamu povolených IP adres stále filtrované dál v tomto článku. Další informace o tom, jak by měl seznam povolených IP adres zapadnout do celkové strategie seznamu povolených, najdete v tématu Vytvoření seznamu povolených odesílatelů.

  • Seznam blokovaných IP adres: Zablokuje všechny příchozí zprávy ze zadaných zdrojových IP adres nebo rozsahů IP adres. Příchozí zprávy se zamítnou, neoznačí se jako spam a nedochází k žádnému jinému filtrování. Další informace o tom, jak by měl seznam blokovaných IP adres zapadnout do celkové strategie blokovaných odesílatelů, najdete v tématu Vytvoření seznamu blokovaných odesílatelů.

  • Bezpečný seznam: Seznam bezpečných položek ve výchozích zásadách filtru připojení je dynamický seznam povolených, který nevyžaduje konfiguraci zákazníka. Microsoft identifikuje tyto důvěryhodné e-mailové zdroje od odběrů po různé seznamy jiných společností než Microsoft. Povolíte nebo zakážete používání seznamu bezpečných kódů. nemůžete nakonfigurovat servery v seznamu. Filtrování spamu se u příchozích zpráv z e-mailových serverů v seznamu bezpečných položek přeskočí.

Tento článek popisuje, jak nakonfigurovat výchozí zásady filtru připojení na portálu Microsoft 365 Microsoft Defender portal nebo v Exchange Online PowerShellu. Další informace o tom, jak Microsoft 365 používá filtrování připojení, je součástí celkového nastavení ochrany proti spamu ve vaší organizaci, najdete v tématu Ochrana proti spamu.

Poznámka

Seznam povolených IP adres, seznam bezpečných adres a seznam blokovaných IP adres jsou součástí celkové strategie povolení nebo blokování e-mailů ve vaší organizaci. Další informace najdete v tématech Vytváření seznamů povolených odesílatelů a Vytváření seznamů blokovaných odesílatelů.

Rozsahy IPv6 se nepodporují. Položky pro adresy IPv6 můžete vytvářet a spravovat v seznamu povolených/blokovaných tenantů.

Zprávy z blokovaných zdrojů v seznamu blokovaných IP adres nejsou v trasování zpráv dostupné.

Co potřebujete vědět, než začnete?

  • Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na stránku zásad ochrany proti spamu , použijte https://security.microsoft.com/antispam.

  • Pokud se chcete připojit k Exchange Online PowerShellu, přečtěte si téma Připojení k Exchange Online PowerShellu.

  • Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Budete mít také následující možnosti:

    • Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell: Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).

    • Exchange Online oprávnění:

      • Úprava zásad: Členství ve skupinách rolí Správa organizace nebo Správce zabezpečení .
      • Přístup k zásadám jen pro čtení: Členství ve skupinách rolí Globální čtenář, Čtenář zabezpečení nebo Správa organizace jen pro zobrazení .

    • Microsoft Entra oprávnění: Členství v rolích globálního správce*, správce zabezpečení, globálního čtenáře nebo čtenáře zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.

      Důležité

      * Microsoft důrazně podporuje princip nejnižších privilegií. Přiřazení jenom minimálních oprávnění potřebných k provádění jejich úkolů pomáhá snižovat bezpečnostní rizika a posiluje celkovou ochranu vaší organizace. Globální správce je vysoce privilegovaná role, kterou byste měli omezit na nouzové scénáře nebo když nemůžete použít jinou roli.

  • Pokud chcete najít zdrojové IP adresy e-mailových serverů (odesílatelů), které chcete povolit nebo blokovat, můžete v záhlaví zprávy zkontrolovat pole hlavičky připojující se IP adresy (CIP). Pokud chcete zobrazit záhlaví zprávy v různých e-mailových klientech, přečtěte si článek Zobrazení záhlaví internetových zpráv v Outlooku.

  • Seznam povolených IP adres má přednost před seznamem blokovaných IP adres (adresa v obou seznamech není blokovaná).

  • Seznam povolených IP adres a seznam blokovaných IP adres podporují maximálně 1 273 položek, přičemž položka je jedna IP adresa, rozsah IP adres nebo IP adresa CIDR (Classless InterDomain Routing).

Použití portálu Microsoft Defender k úpravě výchozích zásad filtru připojení

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte v části Zásady Email & spolupráce>& Pravidla>Zásady> hrozebAntispam v části Zásady. Nebo pokud chcete přejít přímo na stránku zásad ochrany proti spamu, použijte .https://security.microsoft.com/antispam

  2. Na stránce Zásady antispamové ochrany vyberte v seznamu možnost Zásady filtru připojení (výchozí) kliknutím na libovolném jiném řádku než na zaškrtávací políčko vedle názvu.

  3. V informačním rámečku s podrobnostmi o zásadách, který se otevře, upravte nastavení zásad pomocí odkazů Upravit:

    • Oddíl Popis : Výběrem možnosti Upravit popis zadejte popis zásady do pole Popis v informačním rámečku Upravit název a popis , který se otevře. Název zásady není možné změnit.

      Až budete hotovi v informačním rámečku Upravit jméno a popis , vyberte Uložit.

    • Část filtrování připojení: Vyberte Upravit zásadu filtru připojení. V informačním rámečku, který se otevře, nakonfigurujte následující nastavení:

      • Vždy povolit zprávy z následujících IP adres nebo rozsahu adres: Toto nastavení je seznam povolených IP adres. Klikněte do pole, zadejte hodnotu a stiskněte klávesu ENTER nebo vyberte úplnou hodnotu zobrazenou pod polem. Platné hodnoty jsou:

        • Jedna IP adresa: Například 192.168.1.1.
        • Rozsah IP adres: Například 192.168.0.1-192.168.0.254.
        • IP adresa CIDR: Například 192.168.0.1/25. Platné hodnoty masky podsítě jsou /24 až /32. Pokud chcete přeskočit filtrování spamu pro /1 až /23, přečtěte si část Přeskočení filtrování spamu pro IP adresu CIDR mimo dostupný rozsah dále v tomto článku.

        Tento krok opakujte tolikrát, kolikrát je to potřeba. Pokud chcete odebrat existující položku, vyberte vedle položky.

    • Vždy blokovat zprávy z následujících IP adres nebo rozsahu adres: Toto nastavení je seznam blokovaných IP adres. Do pole zadejte jednu IP adresu, rozsah IP adres nebo IP adresu CIDR, jak je popsáno v nastavení Vždy povolit zprávy z následujících IP adres nebo rozsahu adres .

    • Zapnout seznam bezpečných adres: Povolí nebo zakáže použití seznamu bezpečných adres, který určuje známé a vhodné odesílatele, aby se přeskočí filtrování spamu. Pokud chcete seznam bezpečných položek použít, zaškrtněte toto políčko.

    Až budete v informačním rámečku hotovi, vyberte Uložit.

  4. Vraťte se do informačního rámečku s podrobnostmi o zásadách a vyberte Zavřít.

Tip

Pokud se přidané rozsahy IP adres nezobrazí v zásadách filtru připojení okamžitě, proveďte následující kroky:

  • Zkuste aktualizovat portál nebo ověřte změny v Exchange Online PowerShellu:

    Get-HostedConnectionFilterPolicy -Identity Default

  • Ověřte, že máte požadovaná oprávnění Microsoft Entra ID, jak je popsáno v části Co potřebujete vědět, než začnete?

Pokud problém přetrvává, může to znamenat zpoždění synchronizace nebo problém se službou.

Použití portálu Microsoft Defender k zobrazení výchozích zásad filtru připojení

Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte v části Zásady Email & spolupráce>& Pravidla>Zásady> hrozebAntispam v části Zásady. Nebo pokud chcete přejít přímo na stránku zásad ochrany proti spamu, použijte .https://security.microsoft.com/antispam

Na stránce Antispamové zásady se v seznamu zásad zobrazují následující vlastnosti:

  • Název: Výchozí zásada filtru připojení má název Zásada filtru připojení (výchozí).
  • Stav: Pro výchozí zásady filtru připojení je hodnota Vždy zapnutá .
  • Priorita: Výchozí zásada filtru připojení má hodnotu Nejnižší .
  • Typ: Hodnota výchozí zásady filtru připojení je prázdná.

Pokud chcete změnit seznam zásad z normálního na kompaktní řádkování, vyberte Změnit řádkování seznamu na kompaktní nebo normální a pak vyberte Komprimovat seznam.

Pomocí vyhledávacího pole a odpovídající hodnoty vyhledejte konkrétní zásady.

Vyberte výchozí zásadu filtru připojení tak, že kliknete kamkoli na jiný řádek než na zaškrtávací políčko vedle názvu. Otevře se informační rámeček s podrobnostmi o zásadách.

Použití PowerShellu k úpravě výchozích zásad filtru připojení

V Exchange Online PowerShellu použijte následující syntaxi:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
  • Platné hodnoty IP adresy nebo rozsahu adres jsou:
    • Jedna IP adresa: Například 192.168.1.1.
    • Rozsah IP adres: Například 192.168.0.1-192.168.0.254.
    • IP adresa CIDR: Například 192.168.0.1/25. Platné hodnoty masky sítě jsou /24 až /32.
  • Pokud chcete přepsat všechny existující položky zadanými hodnotami, použijte následující syntaxi: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
  • Pokud chcete přidat nebo odebrat IP adresy nebo rozsahy adres, aniž by to ovlivnilo další existující položky, použijte následující syntaxi: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
  • Pokud chcete vyprázdnit seznam povolených ip adres nebo seznam blokovaných IP adres, použijte hodnotu $null.

Tento příklad nakonfiguruje seznam povolených IP adres a seznam blokovaných IP adres se zadanými IP adresami a rozsahy adres.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

Tento příklad přidá a odebere zadané IP adresy a rozsahy adres ze seznamu povolených IP adres.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Podrobné informace o syntaxi a parametrech najdete v tématu Set-HostedConnectionFilterPolicy.

Jak víte, že tyto postupy fungovaly?

Pokud chcete ověřit, že jste úspěšně změnili výchozí zásadu filtru připojení, proveďte některý z následujících kroků:

  • Na stránce Zásady antispamové ochrany na portálu Microsoft Defender na https://security.microsoft.com/antispamadrese vyberte v seznamu možnost Zásady filtru připojení (výchozí) tak, že kliknete kamkoli na jiný řádek než zaškrtávací políčko vedle názvu a zkontrolujete nastavení zásad v informačním rámečku s podrobnostmi, který se otevře.

  • V Exchange Online PowerShellu spusťte následující příkaz a ověřte nastavení:

    Get-HostedConnectionFilterPolicy -Identity Default

  • Odešlete testovací zprávu z položky v seznamu povolených IP adres.

Další aspekty seznamu povolených IP adres

V následujících částech najdete další položky, o kterých potřebujete vědět při konfiguraci seznamu povolených IP adres.

Poznámka

Všechny příchozí zprávy se kontrolují na přítomnost malwaru a vysoce důvěryhodných útoků phishing bez ohledu na to, jestli je zdroj zpráv v seznamu povolených IP adres.

Přeskočení filtrování spamu pro IP adresu CIDR mimo dostupný rozsah

Jak je popsáno výše v tomto článku, můžete použít pouze IP adresu CIDR s maskou sítě /24 až /32 v seznamu povolených IP adres.

Pokud chcete přeskočit filtrování spamu u zpráv ze zdrojových e-mailových serverů v rozsahu /1 až /23, můžete použít pravidla toku pošty Exchange (označovaná také jako pravidla přenosu). Nedoporučujeme ale používat pravidla toku pošty. Zprávy se zablokují, pokud se IP adresa v rozsahu IP adres CIDR /1 až /23 zobrazí na některém z proprietárních seznamů blokovaných nebo jiných společností než Microsoft.

Teď, když jste si plně vědomi potenciálních problémů, můžete vytvořit pravidlo toku pošty s minimálně následujícími nastaveními, které zajistí, že zprávy z těchto IP adres přeskočí filtrování spamu:

  • Podmínka pravidla: Toto pravidlo použijte, pokud>je IP adresa odesílatele v některém z těchto rozsahů nebo přesně odpovídá> (zadejte IP adresu CIDR s maskou sítě /1 až /23).>
  • Akce pravidla: Úprava vlastností> zprávyNastavení úrovně spolehlivosti spamu (SCL)>Obejití filtrování spamu

Můžete pravidlo auditovat, testovat, aktivovat pravidlo během určitého časového období a další výběry. Než pravidlo vynutíte, doporučujeme ho na určité období otestovat. Další informace najdete v tématu Správa pravidel toku pošty v Exchange Online.

Přeskočení filtrování spamu u vybraných e-mailových domén ze stejného zdroje

Přidání IP adresy nebo rozsahu adres do seznamu povolených IP adres obvykle znamená, že důvěřujete všem příchozím zprávům z daného zdroje e-mailu. Co když tento zdroj odesílá e-maily z více domén a vy chcete přeskočit filtrování spamu u některých z těchto domén, ale u jiných ne? Seznam povolených IP adres můžete použít v kombinaci s pravidlem toku pošty.

Například zdrojový e-mailový server 192.168.1.25 odesílá e-maily z domén contoso.com, fabrikam.com a tailspintoys.com, ale filtrování spamu u zpráv od odesílatelů chcete přeskočit jenom v fabrikam.com:

  1. Přidejte 192.168.1.25 do seznamu povolených IP adres.

  2. Nakonfigurujte pravidlo toku pošty s následujícími nastaveními (minimálně):

    • Podmínka pravidla: Toto pravidlo použijte, pokud>je IP adresa odesílatele v některém z těchto rozsahů nebo přesně odpovídá> 192.168.1.25 (stejná IP adresa nebo rozsah adres, které jste přidali do seznamu povolených IP adres v předchozím kroku).>
    • Akce pravidla: Upravte vlastnosti> zprávyNastavte úroveň spolehlivosti spamu (SCL)>0.
    • Výjimka pravidla: Doména odesílatele>je> fabrikam.com (jenom doména nebo domény, u které chcete přeskočit filtrování spamu).

Scénáře, ve kterých jsou zprávy ze zdrojů v seznamu povolených IP adres stále filtrované

Poznámka

Tyto scénáře platí pro všechna prostředí: samostatná, hybridní, multi-geo a mezi doménovými strukturami. Filtrování chování je založené na kontrolách zabezpečení (například na detekci malwaru, ochraně před útoky phishing nebo na pravidlech toku pošty, nikoli na modelu nasazení.

Zprávy z e-mailového serveru v seznamu povolených IP adres stále podléhají filtrování spamu v následujících scénářích:

  • IP adresa v seznamu povolených IP adres je také nakonfigurovaná v místním příchozím konektoru založeném na PROTOKOLU IP v libovolné organizaci Microsoft 365 a tato organizace Microsoft 365 a první server Microsoftu 365, který se na zprávu narazí, jsou v datacentrech Microsoftu ve stejné doménové struktuře. V tomto scénáři se ip adresa IPV:CAL přidá do záhlaví zpráv o antispamové zprávě (což označuje, že zpráva obešla filtrování spamu), ale zpráva stále podléhá filtrování spamu.

  • Vaše organizace, která obsahuje seznam povolených IP adres, a server Microsoftu 365, na který se zpráva poprvé narazí, jsou v různých doménových strukturách v datacentrech Microsoftu. V tomto scénáři se IPV:CALnepřidá do záhlaví zprávy, takže zpráva stále podléhá filtrování spamu.

Pokud narazíte na některý z těchto scénářů, můžete vytvořit pravidlo toku pošty s následujícími nastaveními (minimálně), které zajistí, že zprávy z problematických IP adres přeskočí filtrování spamu:

  • Podmínka pravidla: Toto pravidlo použijte, pokud>je IP adresa odesílatele v některém z těchto rozsahů nebo se přesně shoduje> (vaše IP adresa nebo adresy).>
  • Akce pravidla: Úprava vlastností> zprávyNastavení úrovně spolehlivosti spamu (SCL)>Obejití filtrování spamu

Začínáte s Microsoftem 365?

Krátká ikona pro LinkedIn Learning. Začínáte s Microsoftem 365? Objevte bezplatné videokursy pro správce Microsoftu 365 a IT profesionály, které vám přináší LinkedIn Learning.

  • Last updated on