Konfigurieren von Verbindungsfiltern

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Wenn Sie ein Microsoft 365-Kunde mit Postfächern in Exchange Online oder ein eigenständiger EOP-Kunde (Exchange Online Protection) ohne Exchange Online Postfächer sind, verwenden Sie die Verbindungsfilterung in EOP (insbesondere die Standardverbindungsfilterrichtlinie), um gute oder schlechte Quell-E-Mails zu identifizieren. Server nach ihren IP-Adressen. Die Hauptkomponenten der Standardverbindungsfilter-Richtlinie sind:

  • Liste zugelassener IP-Adressen: Überspringen Sie die Spamfilterung für alle eingehenden Nachrichten von den Quell-E-Mail-Servern, die Sie nach IP-Adresse oder IP-Adressbereich angeben. Szenarien, in denen für Nachrichten aus diesen Quellen weiterhin Spamfilterung auftreten kann, finden Sie im Abschnitt Szenarien, in denen Nachrichten aus Quellen in der Liste zugelassener IP-Adressen weiterhin gefiltert werden weiter unten in diesem Artikel. Weitere Informationen dazu, wie die Liste zugelassener IP-Adressen in Ihre allgemeine Strategie für sichere Absender passen sollte, finden Sie unter Erstellen von Listen sicherer Absender in EOP.

  • IP-Sperrliste: Blockieren Sie alle eingehenden Nachrichten von den Quell-E-Mail-Servern, die Sie nach IP-Adresse oder IP-Adressbereich angeben. Die eingehenden Nachrichten werden abgelehnt, nicht als Spam gekennzeichnet, und es erfolgt keine zusätzliche Filterung. Weitere Informationen dazu, wie die IP-Sperrliste in Ihre allgemeine Strategie für blockierte Absender passen sollte, finden Sie unter Erstellen von Listen blockierter Absender in EOP.

  • Sichere Liste: Die sichere Liste ist eine dynamische Zulassungsliste im Microsoft Rechenzentrum, für die keine Kundenkonfiguration erforderlich ist. Microsoft identifiziert diese vertrauenswürdigen E-Mail-Quellen aus Abonnements für verschiedene Drittanbieterlisten. Sie aktivieren oder deaktivieren die Verwendung der Sicheren Liste; Sie können die Quell-E-Mail-Server in der Sicheren Liste nicht konfigurieren. Die Spamfilterung wird bei eingehenden Nachrichten von den E-Mail-Servern in der Liste der sicheren Nachrichten übersprungen.

In diesem Artikel wird beschrieben, wie Sie die Standardrichtlinie für Verbindungsfilter im Microsoft 365 Microsoft 365 Defender-Portal oder in PowerShell (Exchange Online PowerShell für Microsoft 365-Organisationen mit Postfächern in Exchange Online ; eigenständige EOP PowerShell für Organisationen ohne Exchange Online Postfächer). Weitere Informationen dazu, wie EOP die Verbindungsfilterung verwendet, ist Teil der allgemeinen Antispameinstellungen Ihrer Organisation, finden Sie unter Antispamschutz.

Hinweis

Die Liste zugelassener IP-Adressen, die sichere Liste und die Liste blockierter IP-Adressen sind Teil Ihrer allgemeinen Strategie, E-Mails in Ihrer Organisation zuzulassen oder zu blockieren. Weitere Informationen finden Sie unter Erstellen von Listen sicherer Absender und Erstellen von Listen blockierter Absender.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft 365 Defender-Portal unter https://security.microsoft.com. Wechseln Sie direkt zur Seite Antispamrichtlinien, verwenden Sie https://security.microsoft.com/antispam.

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.

  • Sie müssen in Exchange Online Berechtigungen erhalten, bevor Sie die in diesem Artikel beschriebenen Schritte ausführen können:

    • Um die Standardrichtlinie für Verbindungsfilter zu ändern, müssen Sie Mitglied der Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator sein.
    • Für den schreibgeschützten Zugriff auf die Standardverbindungsfilterrichtlinie müssen Sie Mitglied der Rollengruppen Globaler Leser oder Sicherheitsleseberechtigter sein.

    Weitere Informationen finden Sie unter Berechtigungen in Exchange Online.

    Hinweise:

    • Durch Hinzufügen von Benutzern zur entsprechenden Azure Active Directory-Rolle im Microsoft 365 Admin Center erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365. Weitere Informationen finden Sie unter Informationen zu Administratorrollen.
    • Die Rollengruppe Organisationsverwaltung mit Leserechten in Exchange Online ermöglicht auch einen schreibgeschützten Zugriff auf das Feature.
  • Um die Quell-IP-Adressen der E-Mail-Server (Absender) zu finden, die Sie zulassen oder blockieren möchten, können Sie das Feld für den Cip-Header (Connecting IP) im Nachrichtenheader überprüfen. Informationen zum Anzeigen einer Nachrichtenkopfzeile in verschiedenen E-Mail-Clients finden Sie unter Anzeigen von Internetnachrichtenkopfzeilen in Outlook.

  • Die Liste zugelassener IP-Adressen hat Vorrang vor der IP-Sperrliste (eine Adresse in beiden Listen ist nicht blockiert).

  • Die Liste zugelassener IP-Adressen und die Ip-Sperrliste unterstützen jeweils maximal 1273 Einträge, wobei ein Eintrag eine einzelne IP-Adresse, ein IP-Adressbereich oder eine CIDR-IP(Classless InterDomain Routing) ist.

Verwenden des Microsoft 365 Defender-Portals zum Ändern der Standardrichtlinie für Verbindungsfilter

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antispam im Abschnitt Richtlinien. Wechseln Sie direkt zur Seite Antispamrichtlinien, verwenden Sie https://security.microsoft.com/antispam.

  2. Wählen Sie auf der Seite Antispamrichtlinien die Option Verbindungsfilterrichtlinie (Standard) aus der Liste aus, indem Sie auf den Namen der Richtlinie klicken.

  3. Konfigurieren Sie im angezeigten Flyout mit den Richtliniendetails eine der folgenden Einstellungen:

    • Abschnitt Beschreibung: Klicken Sie auf Name und Beschreibung bearbeiten. Geben Sie im angezeigten Flyout Name und Beschreibung bearbeiten optionalen beschreibenden Text in das Feld Beschreibung ein.

      Klicken Sie nach Abschluss des Vorgangs auf Speichern.

    • Abschnitt "Verbindungsfilterung": Klicken Sie auf Verbindungsfilterrichtlinie bearbeiten. Konfigurieren Sie im angezeigten Flyout die folgenden Einstellungen:

      • Nachrichten aus den folgenden IP-Adressen oder Adressbereichen immer zulassen: Dies ist die Liste zugelassener IP-Adressen. Klicken Sie in das Feld, geben Sie einen Wert ein, und drücken Sie dann die EINGABETASTE, oder wählen Sie den vollständigen Wert aus, der unterhalb des Felds angezeigt wird. Gültige Werte sind:

        Wiederholen Sie diesen Schritt so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie neben dem Wert auf entfernen Symbol Entfernen .

      Klicken Sie zum Hinzufügen der IP-Adresse oder des Adressbereichs in das Feld, und geben Sie es ein, und klicken Sie auf Symbol hinzufügen.. Um einen Eintrag zu entfernen, wählen Sie den Eintrag unter Zulässige IP-Adresse aus, und klicken Sie dann auf EntfernenEntfernen. Klicken Sie nach Abschluss des Vorgangs auf Speichern.

    • Nachrichten aus den folgenden IP-Adressen oder Adressbereichen immer blockieren: Dies ist die IP-Sperrliste. Geben Sie eine einzelne IP-Adresse, einen IP-Adressbereich oder eine CIDR-IP in das Feld ein, wie zuvor in der Einstellung Nachrichten von den folgenden IP-Adressen oder Adressbereichen immer zulassen beschrieben.

    • Sichere Liste aktivieren: Aktivieren oder deaktivieren Sie die Verwendung der sicheren Liste, um bekannte, gute Absender zu identifizieren, die die Spamfilterung überspringen. Um die Sichere Liste zu verwenden, aktivieren Sie das Kontrollkästchen.

    Klicken Sie nach Abschluss des Vorgangs auf Speichern.

  4. Zurück auf dem Flyout der Richtliniendetails klicken Sie auf Schließen.

Verwenden des Microsoft 365 Defender-Portals zum Anzeigen der Standardrichtlinie für Verbindungsfilter

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antispam im Abschnitt Richtlinien. Wechseln Sie direkt zur Seite Antispamrichtlinien, verwenden Sie https://security.microsoft.com/antispam.

  2. Auf der Seite Antispamrichtlinien werden die folgenden Eigenschaften in der Liste der Richtlinien angezeigt:

    • Name: Dieser Wert ist Verbindungsfilterrichtlinie (Standard) für die Standardverbindungsfilterrichtlinie.
    • Status: Dieser Wert ist für die Standardverbindungsfilterrichtlinie immer aktiviert .
    • Priorität: Dieser Wert ist für die Standardverbindungsfilterrichtlinie niedrigster Wert.
    • Typ: Dieser Wert ist für die Standardverbindungsfilterrichtlinie leer.
  3. Wenn Sie die Standardverbindungsfilterrichtlinie auswählen, werden die Richtlinieneinstellungen in einem Flyout angezeigt.

Verwenden von Exchange Online PowerShell oder eigenständiger EOP PowerShell zum Ändern der Standardrichtlinie für Verbindungsfilter

Verwenden Sie die folgende Syntax:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]

Hinweise:

  • Gültige Werte für IP-Adressen oder Adressbereiche sind:
    • Einzelne IP-Adresse: Beispiel: 192.168.1.1.
    • IP-Bereich: Beispiel: 192.168.0.1-192.168.0.254.
    • CIDR-IP: Beispiel: 192.168.0.1/25. Gültige Netzwerkmaskenwerte sind /24 bis /32.
  • Um vorhandene Einträge mit den von Ihnen angegebenen Werten zu überschreiben , verwenden Sie die folgende Syntax: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
  • Verwenden Sie die folgende Syntax, um IP-Adressen oder Adressbereiche ohne Auswirkungen auf andere vorhandene Einträge hinzuzufügen oder zu entfernen : @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
  • Verwenden Sie den Wert $null, um die Liste zugelassener IP-Adressen oder blockierte IP-Adressen zu leeren.

In diesem Beispiel werden die Liste zugelassener IP-Adressen und die IP-Sperrliste mit den angegebenen IP-Adressen und Adressbereichen konfiguriert.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

In diesem Beispiel werden die angegebenen IP-Adressen und Adressbereiche der Liste zugelassener IP-Adressen hinzugefügt und daraus entfernt.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-HostedConnectionFilterPolicy.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Führen Sie einen der folgenden Schritte aus, um zu überprüfen, ob Sie die Standardrichtlinie für verbindungsfilter erfolgreich geändert haben:

  • Wählen Sie auf der Seite Antispam im Microsoft 365 Defender-Portal unter die https://security.microsoft.com/antispamOption Verbindungsfilterrichtlinie (Standard) aus der Liste aus, indem Sie auf den Namen der Richtlinie klicken, und überprüfen Sie die Einstellungen.

  • Führen Sie in Exchange Online PowerShell oder eigenständiger EOP PowerShell den folgenden Befehl aus, und überprüfen Sie die Einstellungen:

    Get-HostedConnectionFilterPolicy -Identity Default
    
  • Senden Sie eine Testnachricht aus einem Eintrag in der Liste zugelassener IP-Adressen.

Zusätzliche Überlegungen zur Liste zugelassener IP-Adressen

In den folgenden Abschnitten werden zusätzliche Elemente aufgeführt, die Sie kennen müssen, wenn Sie die Liste zugelassener IP-Adressen konfigurieren.

Überspringen der Spamfilterung für eine CIDR-IP-Adresse außerhalb des verfügbaren Bereichs

Wie weiter oben in diesem Artikel beschrieben, können Sie nur eine CIDR-IP mit der Netzwerkmaske /24 bis /32 in der Liste zugelassener IP-Adressen verwenden. Um die Spamfilterung von Nachrichten von Quell-E-Mail-Servern im Bereich "/1" bis "/23" zu überspringen, müssen Sie Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwenden. Es wird jedoch empfohlen, dies nach Möglichkeit nicht zu tun, da die Nachrichten blockiert werden, wenn eine IP-Adresse im CIDR-IP-Bereich /1 bis /23 in einer der proprietären oder Sperrlisten von Microsoft von Drittanbietern angezeigt wird.

Nachdem Sie sich der potenziellen Probleme vollständig bewusst sind, können Sie eine Nachrichtenflussregel mit den folgenden Einstellungen (mindestens) erstellen, um sicherzustellen, dass Nachrichten von diesen IP-Adressen die Spamfilterung überspringen:

  • Regelbedingung: Wenden Sie diese Regel an, wenn>sich dieIP-Adresse des Absenders in einem dieser Bereiche befindet oder genau übereinstimmt> (geben Sie Ihre CIDR-IP-Adresse mit einer Netzwerkmaske von /1 bis /23 ein).>
  • Regelaktion: Ändern der Nachrichteneigenschaften>Legen Sie die Spam-Konfidenzstufe (SCL)>Spamfilterung umgehen fest.

Sie können die Regel überwachen, die Regel testen, die Regel während eines bestimmten Zeitraums aktivieren und andere Auswahlmöglichkeiten vornehmen. Wir empfehlen, die Regel über eine bestimmte Zeit zu testen, bevor Sie sie erzwingen. Weitere Informationen finden Sie unter Verwalten von Nachrichtenflussregeln in Exchange Online.

Überspringen der Spamfilterung für selektive E-Mail-Domänen aus derselben Quelle

In der Regel bedeutet das Hinzufügen einer IP-Adresse oder eines Adressbereichs zur Liste zugelassener IP-Adressen, dass Sie allen eingehenden Nachrichten aus dieser E-Mail-Quelle vertrauen. Was aber, wenn diese Quelle E-Mails von mehreren Domänen sendet und Sie die Spamfilterung für einige dieser Domänen überspringen möchten, andere jedoch nicht? Sie können hierfür nicht allein die Zulassungsliste für IP-Adressen verwenden, aber Sie können die ZUGELASSENE IP-Liste in Kombination mit einer Nachrichtenflussregel verwenden.

Der Quell-E-Mail-Server 192.168.1.25 sendet beispielsweise E-Mails von den Domänen contoso.com, fabrikam.com und tailspintoys.com. Sie möchten jedoch nur die Spamfilterung für Nachrichten von Absendern in fabrikam.com überspringen. Führen Sie hierzu folgende Schritte aus:

  1. Fügen Sie 192.168.1.25 zur Liste zugelassener IP-Adressen hinzu.

  2. Konfigurieren Sie eine Nachrichtenflussregel mit den folgenden Einstellungen (mindestens):

    • Regelbedingung: Wenden Sie diese Regel an, wenn>sich die IP-Adresse des Absenders>in einem dieser Bereiche befindet oder genau mit 192.168.1.25 übereinstimmt > (die gleiche IP-Adresse oder derselbe Adressbereich, die Sie im vorherigen Schritt zur Liste zugelassener IP-Adressen hinzugefügt haben).
    • Regelaktion: Ändern der Nachrichteneigenschaften>Legen Sie die Spam-Konfidenzstufe (Spam Confidence Level, SCL)>0 fest.
    • Regel-Ausnahme: Die Absenderdomäne>ist> fabrikam.com (nur die Domäne oder Domänen, für die Sie die Spamfilterung überspringen möchten).

Szenarien, in denen Nachrichten aus Quellen in der Liste zugelassener IP-Adressen weiterhin gefiltert werden

Nachrichten von einem E-Mail-Server in Ihrer IP-Zulassungsliste unterliegen in den folgenden Szenarien weiterhin der Spamfilterung:

  • Eine IP-Adresse in Ihrer IP-Zulassungsliste wird auch in einem lokalen IP-basierten eingehenden Connector in einem beliebigen Mandanten in Microsoft 365 (nennen wir diesen Mandanten A) und Mandant A und dem EOP-Server, der die Nachricht zuerst findet, in der gleichen Active Directory-Gesamtstruktur in den Microsoft-Rechenzentren konfiguriert. In diesem Szenario wirdIPV:CAL den Antispam-Nachrichtenheadern der Nachricht hinzugefügt (was darauf hinweist, dass die Nachricht die Spamfilterung umgangen hat), aber die Nachricht unterliegt weiterhin der Spamfilterung.

  • Ihr Mandant, der die Liste zugelassener IP-Adressen enthält, und der EOP-Server, auf dem die Nachricht zuerst angezeigt wird, befinden sich in verschiedenen Active Directory-Gesamtstrukturen in den Microsoft Rechenzentren. In diesem Szenario wird IPV:CALnicht zu den Nachrichtenheadern hinzugefügt, sodass die Nachricht weiterhin der Spamfilterung unterliegt.

Wenn eines dieser Szenarien auftritt, können Sie eine Nachrichtenflussregel mit den folgenden Einstellungen (mindestens) erstellen, um sicherzustellen, dass Nachrichten von den problematischen IP-Adressen die Spamfilterung überspringen:

  • Regelbedingung: Wenden Sie diese Regel an, wenn>sich dieIP-Adresse des Absenders in einem dieser Bereiche befindet oder genau übereinstimmt> (Ihre IP-Adresse oder Adressen).>
  • Regelaktion: Ändern der Nachrichteneigenschaften>Legen Sie die Spam-Konfidenzstufe (SCL)>Spamfilterung umgehen fest.

Neu bei Microsoft 365?


Das kurze Symbol für LinkedIn Learning.Neu bei Microsoft 365? Entdecken Sie kostenlose Videokurse für Microsoft 365 Administratoren und IT-Experten, die Ihnen von LinkedIn Learning zur Verfügung gestellt werden.