Kapcsolatszűrés konfigurálása

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Az Office 365-höz készült Microsoft Defender kipróbálás című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.

Az Exchange Online-postaládákkal rendelkező Microsoft 365-ös szervezetekben vagy az Exchange Online-postaládákat nem tartalmazó különálló Exchange Online Védelmi (EOP)-szervezetekben a kapcsolatszűrés és az alapértelmezett kapcsolatszűrési szabályzat IP-címek alapján azonosítja a jó vagy rossz forrású e-mail-kiszolgálókat. Az alapértelmezett kapcsolatszűrő házirend fő összetevői a következők:

• IP-engedélyezési lista: Kihagyhatja a levélszemétszűrést a megadott forrás IP-címekről vagy IP-címtartományokból érkező összes bejövő üzenetre vonatkozóan. A rendszer minden bejövő üzenetet ellenőriz a kártevők és a megbízható adathalászat szempontjából. Az IP-címek engedélyezési listájában lévő kiszolgálókról érkező üzenetek levélszemétszűrése egyéb esetekben is előfordul, tekintse meg a cikk későbbi, Az IP-címek engedélyezési listájában szereplő forrásokból származó üzenetek szűrésének forgatókönyvei című szakaszát. Ha többet szeretne tudni arról, hogy az IP-engedélyezési lista hogyan illeszkedjen a megbízható feladók általános stratégiájába, olvassa el a Megbízható feladók listájának létrehozása az EOP-ban című témakört.

• IP-tiltólista: Tiltsa le a megadott forrás IP-címekről vagy IP-címtartományokból érkező összes bejövő üzenetet. A rendszer elutasítja a bejövő üzeneteket, nem jelöli meg levélszemétként, és nem történik más szűrés. Ha többet szeretne tudni arról, hogy az IP-tiltólista hogyan illeszkedjen a letiltott feladók általános stratégiájába, olvassa el a Letiltott feladók listáinak létrehozása az EOP-ban című témakört.

• Biztonságos lista: A kapcsolatszűrő házirend biztonságos listája egy dinamikus engedélyezési lista, amely nem igényel ügyfélkonfigurációt. A Microsoft azonosítja ezeket a megbízható e-mail-forrásokat az előfizetésektől a különböző külső listákig. Engedélyezi vagy letiltja a biztonságos lista használatát; nem konfigurálhatja a kiszolgálókat a listában. A levélszemétszűrés kimarad a biztonságos listában szereplő e-mail-kiszolgálókról érkező üzeneteken.

Ez a cikk azt ismerteti, hogyan konfigurálhatja az alapértelmezett kapcsolatszűrő házirendet a Microsoft 365 Microsoft Defender portálon vagy az Exchange Online PowerShellben. További információ arról, hogy az EOP hogyan használja a kapcsolatszűrést a szervezet levélszemét elleni általános beállításai között: Levélszemét elleni védelem.

Megjegyzés:

Az IP-engedélyezési lista, a biztonságos lista és az IP-tiltólista az e-mailek szervezeten belüli engedélyezésére vagy letiltására vonatkozó általános stratégia egyik részét képezi. További információ: Megbízható feladólisták létrehozása és Letiltott feladók listájának létrehozása.

Az IPv6-tartományok nem támogatottak.

Az IP-címblokkok listájában szereplő blokkolt forrásokból érkező üzenetek nem érhetők el az üzenetkövetésben.

Mit kell tudnia a kezdés előtt?

• A Microsoft Defender portált a címen nyithatja meg https://security.microsoft.com. Ha közvetlenül a Levélszemét elleni házirendek lapra szeretne lépni, használja a parancsot https://security.microsoft.com/antispam.

• Az Exchange Online PowerShellhez való csatlakozáshoz lásd: Csatlakozás az Exchange Online-hoz PowerShell. A különálló EOP PowerShellhez való csatlakozáshoz lásd: Csatlakozás az Exchange Online Védelmi PowerShellhez.

• Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. Az alábbi lehetőségek közül választhat:

  • Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha az e-mail & együttműködéshez>Az Office 365-höz készült Defender engedélyei aktívak. Csak a Defender portált érinti, a PowerShellt nem: Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (kezelés) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).

  • Exchange Online-engedélyek:

    • Szabályzatok módosítása: Tagság a Szervezetkezelés vagy a Biztonsági rendszergazda szerepkörcsoportban.
    • Csak olvasási hozzáférés a szabályzatokhoz: Tagság a globális olvasó, a biztonsági olvasó vagy a csak megtekintési jogosultsággal rendelkező szervezetfelügyeleti szerepkörcsoportokban.

  • Microsoft Entra-engedélyek: A globális rendszergazdai, biztonsági rendszergazdai^*, globális olvasói vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.

    Fontos

    ^* A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

• Ha meg szeretné keresni az engedélyezni vagy letiltani kívánt e-mail-kiszolgálók (feladók) forrás IP-címét, ellenőrizze a csatlakozó IP-cím (CIP) fejlécmezőt az üzenetfejlécben. Ha meg szeretne tekinteni egy üzenetfejlécet a különböző levelezőprogramokban, olvassa el az Internetes üzenetfejlécek megtekintése az Outlookban című témakört.

• Az IP-engedélyezési lista elsőbbséget élvez az IP-tiltólistával szemben (a két lista egyik címe nincs letiltva).

• Az IP-engedélyezési lista és az IP-blokklista legfeljebb 1273 bejegyzést támogat, ahol egy bejegyzés egyetlen IP-cím, IP-címtartomány vagy osztály nélküli tartományközi útválasztási (CIDR) IP-cím.

Az alapértelmezett kapcsolatszűrő házirend módosítása a Microsoft Defender portálon

1. A Microsoft Defender portálján https://security.microsoft.coma Házirendek szakaszban lépjen az E-mail & együttműködési>szabályzatok & Szabályok>Veszélyforrások elleni házirendek>Levélszemét elleni szakaszára. Vagy ha közvetlenül a Levélszemét elleni házirendek lapra szeretne lépni, használja a parancsot https://security.microsoft.com/antispam.

2. A Levélszemét elleni házirendek lapon válassza a Kapcsolatszűrő házirend (alapértelmezett) lehetőséget a listából, ha a név melletti jelölőnégyzeten kívül bárhová kattint.

3. A megnyíló szabályzat részletei úszó panelen a Hivatkozások szerkesztése paranccsal módosíthatja a szabályzatbeállításokat:

   • Leírás szakasz: Válassza a Leírás szerkesztése lehetőséget a megnyíló Név és leírás szerkesztése úszó panel Leírás mezőjében a szabályzat leírásának megadásához. A szabályzat neve nem módosítható.

     Ha végzett a Név és leírás szerkesztése úszó panelen, válassza a Mentés lehetőséget.

   • Kapcsolatszűrés szakasz: Válassza a Kapcsolatszűrő-szabályzat szerkesztése lehetőséget. A megnyíló úszó panelen konfigurálja a következő beállításokat:

     • Mindig engedélyezze az üzeneteket a következő IP-címekről vagy címtartományokból: Ez a beállítás az IP-címek engedélyezési listája. Kattintson a mezőbe, adjon meg egy értéket, majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő teljes értéket. Az érvényes értékek a következők:

       • Egyetlen IP-cím: Például: 192.168.1.1.
       • IP-címtartomány: Például: 192.168.0.1-192.168.0.254.
       • CIDR IP: Például: 192.168.0.1/25. Az alhálózati maszk érvényes értékei /24–/32. A /1 és /23 közötti levélszemétszűrés kihagyásához olvassa el a jelen cikk A ciDR IP-cím levélszemétszűrésének kihagyása a rendelkezésre álló tartományon kívül című szakaszát.

       Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. Meglévő bejegyzés eltávolításához válassza a elemet a bejegyzés mellett.

   • Mindig tiltsa le az üzeneteket a következő IP-címekről vagy címtartományokból: Ez a beállítás az IP-tiltólista. Adjon meg egyetlen IP-címet, IP-tartományt vagy CIDR IP-címet a mezőben, ahogy azt korábban a Mindig engedélyezze az üzeneteket a következő IP-címekről vagy címtartományból beállításban leírtak szerint.

   • A biztonságos lista bekapcsolása: Engedélyezze vagy tiltsa le a biztonságos lista használatát az ismert, jó feladók azonosításához, amelyek kihagyják a levélszemétszűrést. A biztonságos lista használatához jelölje be a jelölőnégyzetet.

   Ha végzett az úszó panelen, válassza a Mentés lehetőséget.

4. A szabályzat részletei úszó panelre visszatérve válassza a Bezárás lehetőséget.

Az alapértelmezett kapcsolatszűrő szabályzat megtekintése a Microsoft Defender portálon

A Microsoft Defender portálján https://security.microsoft.coma Házirendek szakaszban lépjen az E-mail & együttműködési>szabályzatok & Szabályok>Veszélyforrások elleni házirendek>Levélszemét elleni szakaszára. Vagy ha közvetlenül a Levélszemét elleni házirendek lapra szeretne lépni, használja a parancsot https://security.microsoft.com/antispam.

A Levélszemét elleni házirendek lapon a következő tulajdonságok jelennek meg a szabályzatok listájában:

• Név: Az alapértelmezett kapcsolatszűrő házirend neve Kapcsolatszűrő szabályzat (alapértelmezett).
• Állapot: Az alapértelmezett kapcsolatszűrő szabályzat értéke Mindig be van kapcsolva .
• Prioritás: Az alapértelmezett kapcsolatszűrási szabályzat értéke Legalacsonyabb .
• Típus: Az alapértelmezett kapcsolatszűrő házirend értéke üres.

Ha a házirendek listáját normálról kompaktra szeretné módosítani, válassza a Listatérköz módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.

A Keresés mező és egy megfelelő érték segítségével megkeresheti az adott szabályzatokat.

Válassza ki az alapértelmezett kapcsolatszűrő házirendet, ha a név melletti jelölőnégyzeten kívül bárhová kattint a házirend részletes úszó paneljének megnyitásához.

Az alapértelmezett kapcsolatszűrő házirend módosítása az Exchange Online PowerShell vagy az önálló EOP PowerShell használatával

Használja a következő szintaxist:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]

• Érvényes IP-cím- vagy címtartomány-értékek:
  • Egyetlen IP-cím: Például: 192.168.1.1.
  • IP-címtartomány: Például: 192.168.0.1-192.168.0.254.
  • CIDR IP: Például: 192.168.0.1/25. Az érvényes hálózati maszkértékek a /24 és /32 közöttiek.
• Ha a megadott értékekkel szeretné felülírni a meglévő bejegyzéseket, használja a következő szintaxist: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
• Ha az IP-címeket vagy címtartományokat anélkül szeretné hozzáadni vagy eltávolítani , hogy az hatással legyen más meglévő bejegyzésekre, használja a következő szintaxist: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
• Az IP-engedélyezési lista vagy az IP-blokklista kiürítéséhez használja a értéket $null.

Ez a példa konfigurálja az IP-engedélyezési listát és az IP-blokklistát a megadott IP-címekkel és címtartományokkal.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

Ez a példa hozzáadja és eltávolítja a megadott IP-címeket és címtartományokat az IP-címek engedélyezési listájából.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Részletes szintaxis- és paraméterinformációkért lásd: Set-HostedConnectionFilterPolicy.

Honnan tudja, hogy ezek az eljárások működnek?

Az alábbi lépések végrehajtásával ellenőrizheti, hogy sikeresen módosította-e az alapértelmezett kapcsolatszűrő-szabályzatot:

• A Microsoft Defender portál https://security.microsoft.com/antispamlevélszemét-ellenes szabályzatok lapján válassza a listában a Kapcsolatszűrő házirend (alapértelmezett) lehetőséget. Ehhez kattintson a név melletti jelölőnégyzeten kívül bárhová, és ellenőrizze a házirend-beállításokat a megnyíló részletes úszó panelen.

• A PowerShell vagy az önálló EOP PowerShell Exchange Online futtassa a következő parancsot, és ellenőrizze a beállításokat:

  Get-HostedConnectionFilterPolicy -Identity Default
  

• Küldjön egy tesztüzenetet az IP-engedélyezési lista egyik bejegyzéséből.

További szempontok az IP-engedélyezési listához

A következő szakaszokban további elemeket ismerhet meg, amelyekről az IP-engedélyezési lista konfigurálásakor tudnia kell.

Megjegyzés:

A rendszer minden bejövő üzenetet ellenőriz a kártevők és a megbízható adathalászat szempontjából, függetlenül attól, hogy az üzenet forrása szerepel-e az IP-címek engedélyezési listájában.

Az elérhető tartományon kívüli CIDR IP-címek levélszemétszűrésének kihagyása

A cikk korábbi részében leírtaknak megfelelően az IP-címek engedélyezési listájában csak a /24–/32 hálózati maszkkal rendelkező CIDR IP-cím használható. Ha ki szeretné hagyni a levélszemétszűrést a /1 és /23 tartományba tartozó forrás levelezőkiszolgálókról érkező üzenetekre, exchange-alapú levélforgalmi szabályokat (más néven átviteli szabályokat) kell használnia. Azt javasoljuk azonban, hogy ne használja az e-mail-forgalmi szabály metódusát, mert az üzenetek le lesznek tiltva, ha a /1 és /23 CIDR IP-címtartomány egyik IP-címe megjelenik a Microsoft saját tulajdonú vagy külső blokklistáin.

Most, hogy teljes mértékben tisztában van a lehetséges problémákkal, létrehozhat egy levelezési szabályt a következő beállításokkal (legalább) annak érdekében, hogy az e-mail-címekről érkező üzenetek ne szűrjék a levélszeméteket:

• Szabályfeltétel: Akkor alkalmazza ezt a szabályt, ha>a feladó>IP-címe ezen tartományok bármelyikében található, vagy pontosan egyezik> (adja meg a CIDR IP-címét /1 és /23 hálózati maszkkal).
• Szabályművelet: Módosítsa az üzenettulajdonságokat>A levélszemét-megbízhatósági szint (SCL) beállítása A>levélszemétszűrés megkerülése.

Naplózhatja a szabályt, tesztelheti a szabályt, aktiválhatja a szabályt egy adott időszakban, és egyéb beállításokat is választhat. Javasoljuk, hogy a kényszerítés előtt egy ideig tesztelje a szabályt. További információ: E-mail-forgalom szabályainak kezelése Exchange Online.

Levélszemétszűrés kihagyása az azonos forrásból származó szelektív e-mail-tartományokon

Az IP-cím vagy címtartomány ip-engedélyezési listához való hozzáadása általában azt jelenti, hogy az adott e-mail-forrásból érkező összes bejövő üzenetet megbízhatónak tartja. Mi a teendő, ha ez a forrás több tartományból küld e-maileket, és át szeretné hagyni a levélszemétszűrést egyes tartományokra, másokra nem? Az IP-engedélyezési lista e-mail-forgalmi szabvánnyal együtt használható.

Például a forrás levelezőkiszolgáló 192.168.1.25 e-maileket küld a tartományokból contoso.com, fabrikam.com és tailspintoys.com, de csak a fabrikam.com feladóitól érkező üzenetek levélszemétszűrését szeretné kihagyni:

1. Adja hozzá a 192.168.1.25-ös verziót az IP-címek engedélyezési listájához.

2. Konfiguráljon egy levelezési szabályt a következő beállításokkal (legalább):

   • Szabályfeltétel: Akkor alkalmazza ezt a szabályt, ha>a feladó>IP-címe ezen tartományok bármelyikében található, vagy pontosan megegyezik> a 192.168.1.25-ös címmel (ugyanazzal az IP-címmel vagy címtartománysal, amelyet az előző lépésben hozzáadott az IP-cím engedélyezési listájához).
   • Szabályművelet: Az üzenettulajdonságok> módosítása: Állítsa be a levélszemét megbízhatósági szintjét (SCL)>0.
   • Szabálykivétel: A feladó>tartománya> fabrikam.com (csak az a tartomány vagy tartomány, amelyet ki szeretne hagyni a levélszemétszűrésből).

Olyan forgatókönyvek, amelyekben az IP-engedélyezési listában szereplő forrásokból érkező üzenetek továbbra is szűrve vannak

Az IP-cím engedélyezési listájában lévő e-mail-kiszolgálótól érkező üzeneteket továbbra is levélszemétszűrésnek vetik alá a következő esetekben:

• Az IP-engedélyezési listában szereplő IP-címek egy helyszíni, IP-alapú bejövő összekötőben is konfigurálva vannak a Microsoft 365 bármely bérlőjében (nevezzük ezt az A bérlőt), valamint az A bérlőt és az üzenetet először észlelő EOP-kiszolgálónak is ugyanabban az Active Directory-erdőben kell lennie a Microsoft adatközpontjaiban. Ebben a forgatókönyvben az IPV:CAL hozzá lesz adva az üzenet levélszemét-ellenes üzenetfejléceihez (ami azt jelzi, hogy az üzenet megkerülte a levélszemétszűrést), de az üzenetre továbbra is levélszemétszűrés vonatkozik.

• Az IP-engedélyezési listát tartalmazó bérlő és az üzenet elsőként megjelenő EOP-kiszolgálója a Microsoft-adatközpontok különböző Active Directory-erdőiben található. Ebben a forgatókönyvben az IPV:CALnincs hozzáadva az üzenetfejlécekhez, így az üzenet továbbra is levélszemétszűrés alá esik.

Ha a fenti forgatókönyvek bármelyikével találkozik, létrehozhat egy levelezési szabályt a következő beállításokkal (legalább), hogy a problémás IP-címekről érkező üzenetek ne szűrjenek levélszemét-szűrést:

• Szabályfeltétel: Akkor alkalmazza ezt a szabályt, ha>a feladó>IP-címe ezen tartományok bármelyikében található, vagy pontosan egyezik> (az ÖN IP-címe vagy címe).
• Szabályművelet: Módosítsa az üzenettulajdonságokat>A levélszemét-megbízhatósági szint (SCL) beállítása A>levélszemétszűrés megkerülése.

A Microsoft 365 új felhasználója?

---

A Microsoft 365 új felhasználója? Fedezze fel a LinkedIn Learning által a Microsoft 365 rendszergazdáinak és informatikai szakembereinek szóló ingyenes videós tanfolyamokat.