Konfigurer filtrering af forbindelse
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
I Microsoft 365-organisationer med Exchange Online postkasser eller enkeltstående EOP-organisationer (Exchange Online Protection) uden Exchange Online postkasser identificerer forbindelsesfiltrering og standardfilterpolitikken for forbindelse gode eller forkerte kildemailservere efter IP-adresser. Nøglekomponenterne i standardfilterpolitikken for forbindelsen er:
Ip-tilladelsesliste: Spring spamfiltrering over for alle indgående meddelelser fra de angivne kilde-IP-adresser eller IP-adresseområder. Alle indgående meddelelser scannes for malware og phishing med høj genkendelsessikkerhed. I andre scenarier, hvor spamfiltrering stadig forekommer på meddelelser fra servere på listen over tilladte IP-adresser, skal du se afsnittet Scenarier, hvor meddelelser fra kilder på LISTEN over tilladte IP-adresser stadig er filtreret senere i denne artikel. Du kan få flere oplysninger om, hvordan listen over ip-adresser skal passe ind i din overordnede strategi for sikre afsendere, under Opret lister over sikre afsendere i EOP.
IP-blokliste: Bloker alle indgående meddelelser fra de angivne kilde-IP-adresser eller IP-adresseområder. De indgående meddelelser afvises, markeres ikke som spam, og der sker ingen anden filtrering. Du kan få flere oplysninger om, hvordan IP-bloklisten skal passe til din overordnede blokerede afsenderstrategi, under Opret lister over afsendere af blokeringer i EOP.
Liste, der er tillid til: Den sikre liste i forbindelsesfilterpolitikken er en dynamisk liste over tilladte, der ikke kræver kundekonfiguration. Microsoft identificerer disse mailkilder, der er tillid til, fra abonnementer til forskellige tredjepartslister. Du aktiverer eller deaktiverer brugen af listen over sikre filer. Du kan ikke konfigurere serverne på listen. Filtrering af spam springes over på indgående meddelelser fra mailserverne på den sikre liste.
I denne artikel beskrives det, hvordan du konfigurerer standardfilterpolitikken for forbindelser på Microsoft 365 Microsoft Defender-portalen eller i Exchange Online PowerShell. Du kan få flere oplysninger om, hvordan EOP bruger forbindelsesfiltrering, i organisationens overordnede indstillinger for anti-spam under Beskyttelse mod spam.
Bemærk!
Ip-listen over tilladte, sikre lister og IP-blokeringslisten er en del af din overordnede strategi om at tillade eller blokere mail i din organisation. Du kan få flere oplysninger under Opret lister over sikre afsendere og Opret lister over blokerede afsendere.
IPv6-områder understøttes ikke.
Meddelelser fra blokerede kilder på IP-bloklisten er ikke tilgængelige i meddelelsessporing.
Hvad har du brug for at vide, før du begynder?
Du åbner portalen Microsoft Defender på https://security.microsoft.com. Hvis du vil gå direkte til siden Politikker mod spam , skal du bruge https://security.microsoft.com/antispam.
Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell. Hvis du vil oprette forbindelse til enkeltstående EOP PowerShell, skal du se Opret forbindelse til Exchange Online Protection PowerShell.
Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:
Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (Hvis mail & samarbejde>Defender for Office 365 tilladelser er aktive. Påvirker kun Defender-portalen, ikke PowerShell: Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (administrer) eller Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).
-
- Rediger politikker: Medlemskab i rollegrupperne Organisationsadministration eller Sikkerhedsadministrator .
- Skrivebeskyttet adgang til politikker: Medlemskab af rollegrupperne Global læser, Sikkerhedslæser eller Vis kun organisationsadministration .
Microsoft Entra tilladelser: Rollerne Global administrator*, Sikkerhedsadministrator, Global læser eller Sikkerhedslæser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.
Vigtigt!
* Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
Hvis du vil finde kilde-IP-adresserne for de mailservere (afsendere), du vil tillade eller blokere, kan du kontrollere headerfeltet for ip-adressen (CIP) i meddelelsesheaderen. Hvis du vil have vist en brevhoved i forskellige mailklienter, skal du se Få vist internetmeddelelsesheadere i Outlook.
Listen over tilladte IP-adresser tilsidesætter IP-blokeringslisten (en adresse på begge lister er ikke blokeret).
Ip-tilladelseslisten og IP-bloklisten understøtter hver især maksimalt 1273 poster, hvor en post er en enkelt IP-adresse, et IP-adresseinterval eller en Klasseløs CIDR-IP (InterDomain Routing).
Brug Microsoft Defender-portalen til at ændre standardfilterpolitikken for forbindelsen
På Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & Samarbejdspolitikker>& Regler>Trusselspolitikker>Anti-spam i afsnittet Politikker. Du kan også gå direkte til siden Politikker for bekæmpelse af spam ved at bruge https://security.microsoft.com/antispam.
På siden Politikker mod spam skal du vælge Forbindelsesfilterpolitik (standard) på listen ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet.
I pop op-vinduet med politikoplysninger, der åbnes, skal du bruge Rediger links til at redigere politikindstillingerne:
Beskrivelsessektion : Vælg Rediger beskrivelse for at angive en beskrivelse af politikken i feltet Beskrivelse i pop op-vinduet Rediger navn og beskrivelse , der åbnes. Du kan ikke ændre navnet på politikken.
Når du er færdig i pop op-vinduet Rediger navn og beskrivelse , skal du vælge Gem.
Afsnittet Forbindelsesfiltrering: Vælg Rediger politik for forbindelsesfilter. Konfigurer følgende indstillinger i det pop op-vindue, der åbnes:
Tillad altid meddelelser fra følgende IP-adresser eller adresseinterval: Denne indstilling er listen over tilladte IP-adresser. Klik i feltet, angiv en værdi, og tryk derefter på ENTER, eller vælg den komplette værdi, der vises under feltet. Gyldige værdier er:
- Enkelt IP: f.eks. 192.168.1.1.
- IP-interval: f.eks. 192.168.0.1-192.168.0.254.
- CIDR IP: For eksempel 192.168.0.1/25. Gyldige værdier for undernetmaske er /24 til /32. Hvis du vil springe spamfiltrering for /1 til /23 over, skal du se afsnittet Spring spamfiltrering over for en CIDR-IP uden for det tilgængelige intervalafsnit senere i denne artikel.
Gentag dette trin så mange gange, det er nødvendigt. Hvis du vil fjerne en eksisterende post, skal du vælge ud for posten.
Bloker altid meddelelser fra følgende IP-adresser eller adresseinterval: Denne indstilling er IP-bloklisten. Angiv en enkelt IP-, IP-interval eller CIDR-IP i feltet som tidligere beskrevet i indstillingen Tillad altid meddelelser fra følgende IP-adresser eller adresseområde .
Slå liste, der er tillid til, til: Aktivér eller deaktiver brugen af listen, der er tillid til, for at identificere kendte, gode afsendere, der springer spamfiltrering over. Hvis du vil bruge listen, der er tillid til, skal du markere afkrydsningsfeltet.
Når du er færdig i pop op-vinduet, skal du vælge Gem.
Tilbage på pop op-vinduet med politikoplysninger skal du vælge Luk.
Brug Microsoft Defender-portalen til at få vist standardpolitikken for forbindelsesfilteret
På Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & Samarbejdspolitikker>& Regler>Trusselspolitikker>Anti-spam i afsnittet Politikker. Du kan også gå direkte til siden Politikker for bekæmpelse af spam ved at bruge https://security.microsoft.com/antispam.
På siden Politikker mod spam vises følgende egenskaber på listen over politikker:
- Navn: Standardpolitikken for forbindelsesfilteret hedder Politik for forbindelsesfilter (standard).
- Status: Værdien er Altid slået til for standardfilterpolitikken for forbindelser.
- Prioritet: Værdien er Laveste for standardfilterpolitikken for forbindelsen.
- Type: Værdien er tom for standardfilterpolitikken for forbindelsen.
Hvis du vil ændre listen over politikker fra normal til kompakt afstand, skal du vælge Skift listeafstand til kompakt eller normal og derefter vælge Kompakt liste.
Brug søgefeltet og en tilsvarende værdi til at finde bestemte politikker.
Vælg standardfilterpolitikken for forbindelsen ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet for at åbne detaljer for politikken.
Brug Exchange Online PowerShell eller enkeltstående EOP PowerShell til at ændre standardfilterpolitikken for forbindelse
Brug følgende syntaks:
Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
- Gyldige værdier for IP-adresse eller adresseområde er:
- Enkelt IP: f.eks. 192.168.1.1.
- IP-interval: f.eks. 192.168.0.1-192.168.0.254.
- CIDR IP: For eksempel 192.168.0.1/25. Gyldige værdier for netværksmasker er /24 til /32.
- Hvis du vil overskrive eksisterende poster med de værdier, du angiver, skal du bruge følgende syntaks:
IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN
. - Hvis du vil tilføje eller fjerne IP-adresser eller adresseområder, uden at det påvirker andre eksisterende poster, skal du bruge følgende syntaks:
@{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}
. - Hvis du vil tømme IP-listen over tilladte lister eller IP-blokeringslisten, skal du bruge værdien
$null
.
I dette eksempel konfigureres listen over tilladte IP-adresser og ip-bloklisten med de angivne IP-adresser og adresseintervaller.
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24
I dette eksempel tilføjes og fjernes de angivne IP-adresser og adresseområder fra listen over tilladte IP-adresser.
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}
Du kan finde detaljerede oplysninger om syntaks og parametre under Set-HostedConnectionFilterPolicy.
Hvordan ved du, at disse procedurer virkede?
Benyt en af følgende fremgangsmåder for at bekræfte, at du har ændret standardfilterpolitikken for forbindelsen:
På siden Politikker til bekæmpelse af spam på Microsoft Defender-portalen på https://security.microsoft.com/antispamskal du vælge Forbindelsesfilterpolitik (standard) på listen ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet og kontrollere politikindstillingerne i det detaljerede pop op-vindue, der åbnes.
I Exchange Online PowerShell eller enkeltstående EOP PowerShell skal du køre følgende kommando og kontrollere indstillingerne:
Get-HostedConnectionFilterPolicy -Identity Default
Send en testmeddelelse fra en post på IP-listen over tilladte.
Yderligere overvejelser i forbindelse med LISTEN over tilladte IP-adresser
I følgende afsnit identificeres yderligere elementer, som du har brug for at vide om, når du konfigurerer listen over tilladte IP-adresser.
Bemærk!
Alle indgående meddelelser scannes for malware og phishing med høj sikkerhed, uanset om meddelelseskilden er på listen over tilladte IP-adresser.
Spring spamfiltrering over for en CIDR-IP uden for det tilgængelige interval
Som beskrevet tidligere i denne artikel kan du kun bruge en CIDR-IP med netværksmasken /24 til /32 på listen over tilladte IP-adresser. Hvis du vil springe spamfiltrering over meddelelser fra kildemailservere i området /1 til /23, skal du bruge regler for Exchange-mailflow (også kaldet transportregler). Men vi anbefaler, at du ikke bruger regelmetoden for mailflow, fordi meddelelserne blokeres, hvis en IP-adresse i CIDR-intervallet /1 til /23 vises på nogen af Microsofts beskyttede eller tredjepartsblokeringslister.
Nu, hvor du er helt opmærksom på de potentielle problemer, kan du oprette en regel for mailflow med følgende indstillinger (som minimum) for at sikre, at meddelelser fra disse IP-adresser springer spamfiltrering over:
- Regelbetingelse: Anvend denne regel, hvis>afsenderens IP-adresse er inden for et af disse intervaller eller stemmer nøjagtigt overens> (angiv din CIDR-IP med netværksmasken /1 til /23).>
- Regelhandling: Rediger meddelelsesegenskaberne>Angiv niveauet for tillid til spam (SCL)>Omgå filtrering af spam.
Du kan overvåge reglen, teste reglen, aktivere reglen i en bestemt tidsperiode og andre valg. Vi anbefaler, at du tester reglen i en periode, før du gennemtvinger den. Du kan få flere oplysninger under Administrer regler for mailflow i Exchange Online.
Spring spamfiltrering over på udvalgte maildomæner fra den samme kilde
Hvis du føjer en IP-adresse eller et adresseområde til listen over tilladte IP-adresser, betyder det typisk, at du har tillid til alle indgående meddelelser fra den pågældende mailkilde. Hvad nu, hvis denne kilde sender mail fra flere domæner, og du vil springe spamfiltrering over for nogle af disse domæner, men ikke andre? Du kan bruge IP-listen over tilladte i kombination med en regel for mailflow.
Kildemailserveren 192.168.1.25 sender f.eks. mail fra domænerne contoso.com, fabrikam.com og tailspintoys.com, men du vil kun springe spamfiltrering over for meddelelser fra afsendere i fabrikam.com:
Føj 192.168.1.25 til IP-listen over tilladte.
Konfigurer en regel for et mailflow med følgende indstillinger (som minimum):
- Regelbetingelse: Anvend denne regel, hvis>afsenderens IP-adresse er i et af disse intervaller eller stemmer nøjagtigt overens med> 192.168.1.25 (den samme IP-adresse eller det samme adresseinterval, som du føjede til listen over tilladte IP-adresser i det forrige trin).>
- Regelhandling: Rediger meddelelsesegenskaberne>Angiv niveauet for afsendersikkerhed for spam (SCL)>0.
- Regelundtagelse: Afsenderdomænet>er> fabrikam.com (kun det eller de domæner, du vil springe spamfiltrering over).
Scenarier, hvor meddelelser fra kilder på listen over tilladte IP-adresser stadig filtreres
Meddelelser fra en mailserver på listen over tilladte IP-adresser kan stadig filtreres efter spam i følgende scenarier:
En IP-adresse på listen over tilladte IP-adresser er også konfigureret i en IP-baseret indgående connector i en hvilken som helst lejer i Microsoft 365 (lad os kalde denne lejer A), og lejer A og den EOP-server, der første gang støder på meddelelsen, befinder sig i det samme Active Directory-område i Microsoft-datacentrene. I dette scenarie føjesIPV:CAL til meddelelsens anti-spam-meddelelsesheadere (hvilket angiver, at meddelelsen er omgået spamfiltrering), men meddelelsen er stadig underlagt filtrering af spam.
Din lejer, der indeholder ip-tilladelseslisten og den EOP-server, der første gang støder på meddelelsen, befinder sig i forskellige Active Directory-områder i Microsoft-datacentrene. I dette scenarie føjesIPV:CAL ikke til brevhovederne, så meddelelsen er stadig underlagt filtrering af spam.
Hvis du støder på et af disse scenarier, kan du oprette en regel for mailflow med følgende indstillinger (som minimum) for at sikre, at meddelelser fra de problematiske IP-adresser springer spamfiltrering over:
- Regelbetingelse: Anvend denne regel, hvis>afsenderens IP-adresse er inden for et af disse intervaller eller stemmer nøjagtigt overens> (din IP-adresse eller dine adresser).>
- Regelhandling: Rediger meddelelsesegenskaberne>Angiv niveauet for tillid til spam (SCL)>Omgå filtrering af spam.
Er du ny bruger af Microsoft 365?
Er du ny bruger af Microsoft 365? Se gratis videokurser til Microsoft 365-administratorer og it-teknikere, som du får med LinkedIn Learning.