Konfigurace filtrování připojení
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.
V organizacích Microsoft 365 s Exchange Online poštovními schránkami nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek, filtrování připojení a výchozích zásad filtru připojení identifikují dobré nebo špatné zdrojové e-mailové servery podle IP adres. Klíčové součásti výchozích zásad filtru připojení jsou:
Seznam povolených ip adres: Přeskočte filtrování spamu pro všechny příchozí zprávy ze zadaných zdrojových IP adres nebo rozsahů IP adres. Všechny příchozí zprávy se kontrolují na přítomnost malwaru a vysoce důvěryhodných útoků phishing. Další scénáře, kdy filtrování spamu stále probíhá na zprávách ze serverů v seznamu povolených IP adres, najdete dále v tomto článku v části Scénáře, ve kterých jsou zprávy ze zdrojů v seznamu povolených IP adres stále filtrované . Další informace o tom, jak by měl seznam povolených IP adres zapadnout do celkové strategie bezpečných odesílatelů, najdete v tématu Create seznamy bezpečných odesílatelů v EOP.
Seznam blokovaných IP adres: Zablokuje všechny příchozí zprávy ze zadaných zdrojových IP adres nebo rozsahů IP adres. Příchozí zprávy se zamítnou, neoznačí se jako spam a nedochází k žádnému jinému filtrování. Další informace o tom, jak by měl seznam blokovaných IP adres zapadnout do celkové strategie blokovaných odesílatelů, najdete v tématu Create seznamy blokovaných odesílatelů v EOP.
Bezpečný seznam: Seznam bezpečných položek v zásadách filtru připojení je dynamický seznam povolených položek, který nevyžaduje konfiguraci zákazníka. Microsoft identifikuje tyto důvěryhodné zdroje e-mailu od odběrů až po různé seznamy třetích stran. Povolíte nebo zakážete používání seznamu bezpečných kódů. nemůžete nakonfigurovat servery v seznamu. Filtrování spamu se u příchozích zpráv z e-mailových serverů v seznamu bezpečných položek přeskočí.
Tento článek popisuje, jak nakonfigurovat výchozí zásady filtru připojení na portálu Microsoft 365 Microsoft Defender portal nebo v Exchange Online PowerShellu. Další informace o tom, jak EOP používá filtrování připojení, je součástí celkového nastavení ochrany proti spamu ve vaší organizaci, najdete v tématu Ochrana proti spamu.
Poznámka
Seznam povolených IP adres, seznam bezpečných adres a seznam blokovaných IP adres jsou součástí celkové strategie povolení nebo blokování e-mailů ve vaší organizaci. Další informace najdete v tématech Create seznamy bezpečných odesílatelů a Create seznamy blokovaných odesílatelů.
Rozsahy IPv6 se nepodporují.
Zprávy z blokovaných zdrojů v seznamu blokovaných IP adres nejsou v trasování zpráv dostupné.
Co potřebujete vědět, než začnete?
Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na stránku zásad ochrany proti spamu , použijte https://security.microsoft.com/antispam.
Pokud se chcete připojit k Exchange Online PowerShellu, přečtěte si téma Připojení k Exchange Online PowerShellu. Informace o připojení k samostatnému prostředí PowerShell EOP najdete v tématu Připojení k Exchange Online Protection PowerShellu.
Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Máte následující možnosti:
- Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC) (Týká se jenom portálu Defenderu, ne PowerShellu): Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).
- Exchange Online oprávnění:
- Úprava zásad: Členství ve skupinách rolí Správa organizace nebo Správce zabezpečení .
- Přístup k zásadám jen pro čtení: Členství ve skupinách rolí Globální čtenář, Čtenář zabezpečení nebo Správa organizace jen pro zobrazení .
- Microsoft Entra oprávnění: Členství v rolích globálního správce, správce zabezpečení, globálního čtenáře nebo čtenáře zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.
Pokud chcete najít zdrojové IP adresy e-mailových serverů (odesílatelů), které chcete povolit nebo blokovat, můžete v záhlaví zprávy zkontrolovat pole hlavičky připojující se IP adresy (CIP). Pokud chcete zobrazit záhlaví zprávy v různých e-mailových klientech, přečtěte si článek Zobrazení záhlaví internetových zpráv v Outlooku.
Seznam povolených IP adres má přednost před seznamem blokovaných IP adres (adresa v obou seznamech není blokovaná).
Seznam povolených IP adres a seznam blokovaných IP adres podporují maximálně 1273 položek, přičemž položka je jedna IP adresa, rozsah IP adres nebo IP adresa CIDR (Classless InterDomain Routing).
Použití portálu Microsoft Defender k úpravě výchozích zásad filtru připojení
Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte v části Zásady Email & spolupráce>& Pravidla>Zásady> hrozebAntispam v části Zásady. Nebo pokud chcete přejít přímo na stránku zásad ochrany proti spamu, použijte .https://security.microsoft.com/antispam
Na stránce Zásady antispamové ochrany vyberte v seznamu možnost Zásady filtru připojení (výchozí) kliknutím na libovolném jiném řádku než na zaškrtávací políčko vedle názvu.
V informačním rámečku s podrobnostmi o zásadách, který se otevře, upravte nastavení zásad pomocí odkazů Upravit:
Oddíl Popis : Výběrem možnosti Upravit popis zadejte popis zásady do pole Popis v informačním rámečku Upravit název a popis , který se otevře. Název zásady není možné změnit.
Až budete hotovi v informačním rámečku Upravit jméno a popis , vyberte Uložit.
Část filtrování připojení: Vyberte Upravit zásadu filtru připojení. V informačním rámečku, který se otevře, nakonfigurujte následující nastavení:
Vždy povolit zprávy z následujících IP adres nebo rozsahu adres: Toto nastavení je seznam povolených IP adres. Klikněte do pole, zadejte hodnotu a stiskněte klávesu ENTER nebo vyberte úplnou hodnotu, která se zobrazí pod polem. Platné hodnoty jsou:
- Jedna IP adresa: Například 192.168.1.1.
- Rozsah IP adres: Například 192.168.0.1-192.168.0.254.
- IP adresa CIDR: Například 192.168.0.1/25. Platné hodnoty masky podsítě jsou /24 až /32. Pokud chcete přeskočit filtrování spamu pro /1 až /23, přečtěte si část Přeskočení filtrování spamu pro IP adresu CIDR mimo dostupný rozsah dále v tomto článku.
Tento krok opakujte tolikrát, kolikrát je to potřeba. Pokud chcete odebrat existující položku, vyberte vedle položky.
Vždy blokovat zprávy z následujících IP adres nebo rozsahu adres: Toto nastavení je seznam blokovaných IP adres. Do pole zadejte jednu IP adresu, rozsah IP adres nebo IP adresu CIDR, jak je popsáno v nastavení Vždy povolit zprávy z následujících IP adres nebo rozsahu adres .
Zapnutí seznamu bezpečných adres: Povolte nebo zakažte použití seznamu bezpečných uživatelů k identifikaci známých a vhodných odesílatelů, kteří přeskakují filtrování spamu. Pokud chcete seznam bezpečných položek použít, zaškrtněte toto políčko.
Až budete v informačním rámečku hotovi, vyberte Uložit.
Vraťte se do informačního rámečku s podrobnostmi o zásadách a vyberte Zavřít.
Použití portálu Microsoft Defender k zobrazení výchozích zásad filtru připojení
Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte v části Zásady Email & spolupráce>& Pravidla>Zásady> hrozebAntispam v části Zásady. Nebo pokud chcete přejít přímo na stránku zásad ochrany proti spamu, použijte .https://security.microsoft.com/antispam
Na stránce Antispamové zásady se v seznamu zásad zobrazují následující vlastnosti:
- Název: Výchozí zásada filtru připojení má název Zásada filtru připojení (výchozí).
- Stav: Pro výchozí zásady filtru připojení je hodnota Vždy zapnutá .
- Priorita: Výchozí zásada filtru připojení má hodnotu Nejnižší .
- Typ: Hodnota výchozí zásady filtru připojení je prázdná.
Pokud chcete změnit seznam zásad z normálního na kompaktní řádkování, vyberte Změnit řádkování seznamu na kompaktní nebo normální a pak vyberte Komprimovat seznam.
K vyhledání konkrétních zásad použijte pole Search a odpovídající hodnotu.
Vyberte výchozí zásadu filtru připojení tak, že kliknete kamkoli na jiný řádek než na zaškrtávací políčko vedle názvu. Otevře se informační rámeček s podrobnostmi o zásadách.
Použití Exchange Online PowerShellu nebo samostatného EOP PowerShellu k úpravě výchozích zásad filtru připojení
Použijte tuto syntaxi:
Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
- Platné hodnoty IP adresy nebo rozsahu adres jsou:
- Jedna IP adresa: Například 192.168.1.1.
- Rozsah IP adres: Například 192.168.0.1-192.168.0.254.
- IP adresa CIDR: Například 192.168.0.1/25. Platné hodnoty masky sítě jsou /24 až /32.
- Pokud chcete přepsat všechny existující položky zadanými hodnotami, použijte následující syntaxi:
IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN
. - Pokud chcete přidat nebo odebrat IP adresy nebo rozsahy adres, aniž by to ovlivnilo další existující položky, použijte následující syntaxi:
@{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}
. - Pokud chcete vyprázdnit seznam povolených ip adres nebo seznam blokovaných IP adres, použijte hodnotu
$null
.
Tento příklad nakonfiguruje seznam povolených IP adres a seznam blokovaných IP adres se zadanými IP adresami a rozsahy adres.
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24
Tento příklad přidá a odebere zadané IP adresy a rozsahy adres ze seznamu povolených IP adres.
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}
Podrobné informace o syntaxi a parametrech najdete v tématu Set-HostedConnectionFilterPolicy.
Jak víte, že tyto postupy fungovaly?
Pokud chcete ověřit, že jste úspěšně upravili výchozí zásadu filtru připojení, proveďte některý z následujících kroků:
Na stránce Zásady antispamové ochrany na portálu Microsoft Defender na https://security.microsoft.com/antispamadrese vyberte v seznamu možnost Zásady filtru připojení (výchozí) tak, že kliknete kamkoli na jiný řádek než zaškrtávací políčko vedle názvu a zkontrolujete nastavení zásad v informačním rámečku s podrobnostmi, který se otevře.
V Exchange Online PowerShellu nebo samostatném powershellu EOP spusťte následující příkaz a ověřte nastavení:
Get-HostedConnectionFilterPolicy -Identity Default
Odešlete testovací zprávu z položky v seznamu povolených IP adres.
Další aspekty seznamu povolených IP adres
V následujících částech najdete další položky, o kterých potřebujete vědět, když konfigurujete seznam povolených IP adres.
Poznámka
Všechny příchozí zprávy se kontrolují na přítomnost malwaru a vysoce důvěryhodných útoků phishing bez ohledu na to, jestli je zdroj zpráv v seznamu povolených IP adres.
Přeskočení filtrování spamu pro IP adresu CIDR mimo dostupný rozsah
Jak je popsáno výše v tomto článku, můžete použít pouze IP adresu CIDR s maskou sítě /24 až /32 v seznamu povolených IP adres. Pokud chcete přeskočit filtrování spamu u zpráv ze zdrojových e-mailových serverů v rozsahu /1 až /23, musíte použít pravidla toku pošty Exchange (označovaná také jako pravidla přenosu). Doporučujeme ale nepoužívat metodu pravidla toku pošty, protože zprávy se zablokují, pokud se IP adresa v rozsahu IP adres CIDR /1 až /23 objeví v některém z vlastnických seznamů blokovaných společností Microsoft nebo třetích stran.
Teď, když jste si plně vědomi potenciálních problémů, můžete vytvořit pravidlo toku pošty s minimálně následujícími nastaveními, které zajistí, že zprávy z těchto IP adres přeskočí filtrování spamu:
- Podmínka pravidla: Toto pravidlo použijte, pokud>je IP adresa odesílatele v některém z těchto rozsahů nebo přesně odpovídá> (zadejte IP adresu CIDR s maskou sítě /1 až /23).>
- Akce pravidla: Úprava vlastností> zprávyNastavení úrovně spolehlivosti spamu (SCL)>Obejití filtrování spamu
Můžete pravidlo auditovat, testovat, aktivovat pravidlo během určitého časového období a další výběry. Než pravidlo vynutíte, doporučujeme ho na určité období otestovat. Další informace najdete v tématu Správa pravidel toku pošty v Exchange Online.
Přeskočení filtrování spamu u vybraných e-mailových domén ze stejného zdroje
Přidání IP adresy nebo rozsahu adres do seznamu povolených IP adres obvykle znamená, že důvěřujete všem příchozím zprávům z daného zdroje e-mailu. Co když tento zdroj odesílá e-maily z více domén a vy chcete přeskočit filtrování spamu u některých z těchto domén, ale u jiných ne? Seznam povolených IP adres můžete použít v kombinaci s pravidlem toku pošty.
Například zdrojový e-mailový server 192.168.1.25 odesílá e-maily z domén contoso.com, fabrikam.com a tailspintoys.com, ale filtrování spamu u zpráv od odesílatelů chcete přeskočit jenom v fabrikam.com:
Přidejte 192.168.1.25 do seznamu povolených IP adres.
Nakonfigurujte pravidlo toku pošty s následujícími nastaveními (minimálně):
- Podmínka pravidla: Toto pravidlo použijte, pokud>je IP adresa odesílatele v některém z těchto rozsahů nebo přesně odpovídá> 192.168.1.25 (stejná IP adresa nebo rozsah adres, které jste přidali do seznamu povolených IP adres v předchozím kroku).>
- Akce pravidla: Upravte vlastnosti> zprávyNastavte úroveň spolehlivosti spamu (SCL)>0.
- Výjimka pravidla: Doména odesílatele>je> fabrikam.com (jenom doména nebo domény, u které chcete přeskočit filtrování spamu).
Scénáře, ve kterých jsou zprávy ze zdrojů v seznamu povolených IP adres stále filtrované
Zprávy z e-mailového serveru v seznamu povolených IP adres stále podléhají filtrování spamu v následujících scénářích:
IP adresa v seznamu povolených IP adres je také nakonfigurovaná v místním příchozím konektoru založeném na PROTOKOLU IP v libovolném tenantovi v Microsoftu 365 (nazvěme ho Tenant A) a tenant A a server EOP, který se s touto zprávou poprvé setká, jsou v datacentrech Microsoftu ve stejné doménové struktuře Active Directory. V tomto scénáři se ip adresa IPV:CAL přidá do záhlaví zpráv o antispamové zprávě (což označuje, že zpráva obešla filtrování spamu), ale zpráva stále podléhá filtrování spamu.
Váš tenant, který obsahuje seznam povolených IP adres a server EOP, který se poprvé setká se zprávou, jsou v různých doménových strukturách služby Active Directory v datacentrech Microsoftu. V tomto scénáři se IPV:CALnepřidá do záhlaví zprávy, takže zpráva stále podléhá filtrování spamu.
Pokud narazíte na některý z těchto scénářů, můžete vytvořit pravidlo toku pošty s následujícími nastaveními (minimálně), které zajistí, že zprávy z problematických IP adres přeskočí filtrování spamu:
- Podmínka pravidla: Toto pravidlo použijte, pokud>je IP adresa odesílatele v některém z těchto rozsahů nebo se přesně shoduje> (vaše IP adresa nebo adresy).>
- Akce pravidla: Úprava vlastností> zprávyNastavení úrovně spolehlivosti spamu (SCL)>Obejití filtrování spamu
Začínáte s Microsoftem 365?
Začínáte s Microsoftem 365? Objevte bezplatné videokursy pro správce Microsoftu 365 a IT profesionály, které vám přináší LinkedIn Learning.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro