Condividi tramite


Configurare il filtro connessioni

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Nelle organizzazioni di Microsoft 365 con cassette postali Exchange Online o organizzazioni Exchange Online Protection autonome senza cassette postali Exchange Online, i filtri di connessione e i criteri di filtro di connessione predefiniti identificano server di posta elettronica di origine buoni o non validi in base agli indirizzi IP. I componenti principali del criterio di filtro connessioni predefinito sono:

  • Elenco indirizzi IP consentiti: ignorare il filtro della posta indesiderata per tutti i messaggi in ingresso dagli indirizzi IP di origine o dagli intervalli di indirizzi IP specificati. Tutti i messaggi in arrivo vengono analizzati per individuare malware e phishing ad alta attendibilità. Per altri scenari in cui il filtro della posta indesiderata viene ancora applicato ai messaggi provenienti dai server nell'elenco indirizzi IP consentiti, vedere la sezione Scenari in cui i messaggi provenienti da origini nell'elenco indirizzi IP consentiti sono ancora filtrati più avanti in questo articolo. Per altre informazioni sul modo in cui l'elenco indirizzi IP consentiti deve rientrare nella strategia complessiva dei mittenti sicuri, vedere Creare elenchi di mittenti sicuri in EOP.

  • Elenco indirizzi IP bloccati: blocca tutti i messaggi in ingresso dagli indirizzi IP di origine o dagli intervalli di indirizzi IP specificati. I messaggi in arrivo vengono rifiutati, non vengono contrassegnati come posta indesiderata e non si verificano altri filtri. Per altre informazioni sul modo in cui l'elenco indirizzi IP bloccati deve rientrare nella strategia complessiva dei mittenti bloccati, vedere Creare elenchi di mittenti bloccati in EOP.

  • Elenco sicuro: l'elenco sicuro nei criteri di filtro della connessione è un elenco di indirizzi consentiti dinamici che non richiede alcuna configurazione del cliente. Microsoft identifica queste origini di posta elettronica attendibili dalle sottoscrizioni a vari elenchi di terze parti. Si abilita o disabilita l'uso dell'elenco sicuro; non è possibile configurare i server nell'elenco. Il filtro della posta indesiderata viene ignorato nei messaggi in ingresso dai server di posta elettronica nell'elenco sicuro.

Questo articolo descrive come configurare i criteri di filtro di connessione predefiniti nel portale di microsoft 365 Microsoft Defender o in Exchange Online PowerShell. Per altre informazioni sul modo in cui EOP usa il filtro delle connessioni fa parte delle impostazioni generali di protezione dalla posta indesiderata dell'organizzazione, vedere Protezione dalla posta indesiderata.

Nota

L'elenco indirizzi IP consentiti, l'elenco sicuro e l'elenco indirizzi IP bloccati fanno parte della strategia complessiva per consentire o bloccare la posta elettronica nell'organizzazione. Per altre informazioni, vedere Creare elenchi di mittenti attendibili e Creare elenchi di mittenti bloccati.

Gli intervalli IPv6 non sono supportati.

I messaggi provenienti da origini bloccate nell'elenco indirizzi IP bloccati non sono disponibili nella traccia dei messaggi.

Che cosa è necessario sapere prima di iniziare?

  • Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Criteri di protezione dalla posta indesiderata, usare https://security.microsoft.com/antispam.

  • Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a PowerShell di EOP autonomo, vedere Connettersi a PowerShell per Exchange Online Protection.

  • Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

    • Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (gestione) o Autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).

    • Exchange Online autorizzazioni:

      • Modificare i criteri: appartenenza ai gruppi di ruoli Gestione organizzazione o Amministratore della sicurezza .
      • Accesso in sola lettura ai criteri: appartenenza ai gruppi di ruoli Lettore globale, Lettore di sicurezza o Gestione organizzazione di sola visualizzazione .
    • Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore* globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

      Importante

      * Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

  • Per trovare gli indirizzi IP di origine dei server di posta elettronica (mittenti) che si desidera consentire o bloccare, è possibile controllare il campo dell'intestazione IP di connessione (CIP) nell'intestazione del messaggio. Per visualizzare un'intestazione di messaggio in vari client di posta elettronica, vedere Visualizzare le intestazioni dei messaggi Internet in Outlook.

  • L'elenco indirizzi IP consentiti ha la precedenza sull'elenco indirizzi IP bloccati (un indirizzo in entrambi gli elenchi non è bloccato).

  • L'elenco indirizzi IP consentiti e l'elenco indirizzi IP bloccati supportano al massimo 1273 voci, in cui una voce è un singolo indirizzo IP, un intervallo di indirizzi IP o un INDIRIZZO IP CIDR (Classless InterDomain Routing).

Usare il portale di Microsoft Defender per modificare i criteri di filtro di connessione predefiniti

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & Criteri di collaborazione>& Regole>Criteri di minaccia>Protezione dalla posta indesiderata nella sezione Criteri. In alternativa, per passare direttamente alla pagina Criteri di protezione dalla posta indesiderata , usare https://security.microsoft.com/antispam.

  2. Nella pagina Criteri di protezione dalla posta indesiderata selezionare Criteri filtro connessione (impostazione predefinita) dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome.

  3. Nel riquadro a comparsa dei dettagli dei criteri visualizzato usare i collegamenti Modifica per modificare le impostazioni dei criteri:

    • Sezione Descrizione : selezionare Modifica descrizione per immettere una descrizione per i criteri nella casella Descrizione del riquadro a comparsa Modifica nome e descrizione visualizzato. Non è possibile modificare il nome dei criteri.

      Al termine del riquadro a comparsa Modifica nome e descrizione , selezionare Salva.

    • Sezione Filtro connessioni : selezionare Modifica criteri filtro connessione. Nel riquadro a comparsa visualizzato configurare le impostazioni seguenti:

      • Consenti sempre i messaggi dagli indirizzi IP o dall'intervallo di indirizzi IP seguenti: questa impostazione è l'elenco indirizzi IP consentiti. Fare clic nella casella, immettere un valore e quindi premere INVIO o selezionare il valore completo visualizzato sotto la casella. I valori validi sono:

        Ripetere questo passaggio tutte le volte necessarie. Per rimuovere una voce esistente, selezionare accanto alla voce.

    • Blocca sempre i messaggi dagli indirizzi IP o dall'intervallo di indirizzi IP seguenti: questa impostazione è l'elenco indirizzi IP bloccati. Immettere un singolo INDIRIZZO IP, intervallo IP o IP CIDR nella casella come descritto in precedenza nell'impostazione Consenti sempre i messaggi dagli indirizzi IP o dall'intervallo di indirizzi IP seguenti .

    • Attiva elenco sicuro: abilita o disabilita l'uso dell'elenco sicuro per identificare mittenti noti e validi che ignorano il filtro della posta indesiderata. Per usare l'elenco sicuro, selezionare la casella di controllo .

    Al termine del riquadro a comparsa, selezionare Salva.

  4. Tornare al riquadro a comparsa dei dettagli dei criteri, selezionare Chiudi.

Usare il portale di Microsoft Defender per visualizzare i criteri di filtro di connessione predefiniti

Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & Criteri di collaborazione>& Regole>Criteri di minaccia>Protezione dalla posta indesiderata nella sezione Criteri. In alternativa, per passare direttamente alla pagina Criteri di protezione dalla posta indesiderata , usare https://security.microsoft.com/antispam.

Nella pagina Criteri di protezione dalla posta indesiderata vengono visualizzate le proprietà seguenti nell'elenco dei criteri:

  • Nome: il criterio del filtro di connessione predefinito è denominato Criteri filtro connessione (impostazione predefinita).
  • Stato: il valore è Sempre attivo per i criteri di filtro di connessione predefiniti.
  • Priorità: il valore è Minimo per i criteri di filtro di connessione predefiniti.
  • Tipo: il valore è vuoto per i criteri di filtro di connessione predefiniti.

Per modificare l'elenco dei criteri da spaziatura normale a spaziatura compatta, selezionare Modifica spaziatura elenco in compatta o normale e quindi selezionare Elenco compatto.

Usare la casella di ricerca e un valore corrispondente per trovare criteri specifici.

Selezionare i criteri di filtro connessione predefiniti facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome per aprire il riquadro a comparsa dei dettagli per il criterio.

Usare Exchange Online PowerShell o PowerShell EOP autonomo per modificare i criteri di filtro di connessione predefiniti

Usare la sintassi seguente:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
  • I valori validi dell'indirizzo IP o dell'intervallo di indirizzi sono:
    • IP singolo: ad esempio, 192.168.1.1.
    • Intervallo IP: ad esempio, 192.168.0.1-192.168.0.254.
    • IP CIDR: ad esempio, 192.168.0.1/25. I valori validi della maschera di rete sono compresi tra /24 e /32.
  • Per sovrascrivere le voci esistenti con i valori specificati, usare la sintassi seguente: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
  • Per aggiungere o rimuovere indirizzi IP o intervalli di indirizzi senza influire su altre voci esistenti, usare la sintassi seguente: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
  • Per svuotare l'elenco indirizzi IP consentiti o l'elenco indirizzi IP bloccati, usare il valore $null.

In questo esempio vengono configurati l'elenco indirizzi IP consentiti e l'elenco indirizzi IP bloccati con gli indirizzi IP e gli intervalli di indirizzi specificati.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

In questo esempio vengono aggiunti e rimossi gli indirizzi IP e gli intervalli di indirizzi specificati dall'elenco indirizzi IP consentiti.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-HostedConnectionFilterPolicy.

Come verificare se queste procedure hanno avuto esito positivo?

Per verificare di aver modificato correttamente i criteri di filtro di connessione predefiniti, seguire questa procedura:

  • Nella pagina Criteri di protezione dalla posta indesiderata nel portale https://security.microsoft.com/antispamdi Microsoft Defender in selezionare Criteri filtro connessione (impostazione predefinita) dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome e verificare le impostazioni dei criteri nel riquadro a comparsa dettagli visualizzato.

  • In Exchange Online PowerShell o powershell EOP autonomo eseguire il comando seguente e verificare le impostazioni:

    Get-HostedConnectionFilterPolicy -Identity Default
    
  • Inviare un messaggio di test da una voce nell'elenco indirizzi IP consentiti.

Considerazioni aggiuntive per l'elenco indirizzi IP consentiti

Le sezioni seguenti identificano gli elementi aggiuntivi che è necessario conoscere quando si configura l'elenco indirizzi IP consentiti.

Nota

Tutti i messaggi in ingresso vengono analizzati per individuare malware e phishing ad alta attendibilità, indipendentemente dal fatto che l'origine del messaggio sia nell'elenco indirizzi IP consentiti.

Ignorare il filtro della posta indesiderata per un INDIRIZZO IP CIDR esterno all'intervallo disponibile

Come descritto in precedenza in questo articolo, è possibile usare solo un INDIRIZZO IP CIDR con la maschera di rete da /24 a /32 nell'elenco indirizzi IP consentiti. Per ignorare il filtro della posta indesiderata sui messaggi dai server di posta elettronica di origine nell'intervallo da /1 a /23, è necessario usare le regole del flusso di posta di Exchange (note anche come regole di trasporto). Tuttavia, è consigliabile non usare il metodo della regola del flusso di posta, perché i messaggi vengono bloccati se un indirizzo IP nell'intervallo CIDR da /1 a /23 viene visualizzato in uno degli elenchi di blocchi proprietari o di terze parti di Microsoft.

Ora che si è pienamente a conoscenza dei potenziali problemi, è possibile creare una regola del flusso di posta con le impostazioni seguenti (almeno) per assicurarsi che i messaggi provenienti da questi indirizzi IP ignorino il filtro della posta indesiderata:

  • Condizione regola: applicare questa regola se>l'indirizzo IP del mittente>si trova in uno di questi intervalli o corrisponde> esattamente (immettere l'INDIRIZZO IP CIDR con una maschera di rete da /1 a /23).
  • Azione regola: modificare le proprietà> del messaggioImpostare il livello di attendibilità della posta indesiderata (SCL)>Ignorare il filtro della posta indesiderata.

È possibile controllare la regola, testare la regola, attivare la regola durante un periodo di tempo specifico e altre selezioni. È consigliabile testare la regola per un periodo prima di applicarla. Per altre informazioni, vedere Gestire le regole del flusso di posta in Exchange Online.

Ignorare il filtro della posta indesiderata nei domini di posta elettronica selettivi dalla stessa origine

In genere, l'aggiunta di un indirizzo IP o di un intervallo di indirizzi all'elenco indirizzi IP consentiti indica che tutti i messaggi in ingresso da tale origine di posta elettronica sono attendibili. Cosa accade se l'origine invia messaggi di posta elettronica da più domini e si vuole ignorare il filtro della posta indesiderata per alcuni di questi domini, ma non per altri? È possibile usare l'elenco indirizzi IP consentiti in combinazione con una regola del flusso di posta.

Ad esempio, il server di posta elettronica di origine 192.168.1.25 invia posta elettronica dai domini contoso.com, fabrikam.com e tailspintoys.com, ma si vuole ignorare solo il filtro della posta indesiderata per i messaggi provenienti dai mittenti in fabrikam.com:

  1. Aggiungere 192.168.1.25 all'elenco indirizzi IP consentiti.

  2. Configurare una regola del flusso di posta con le impostazioni seguenti (almeno):

    • Condizione regola: applicare questa regola se>l'indirizzo IP del mittente>si trova in uno di questi intervalli o corrisponde> esattamente alla versione 192.168.1.25 (lo stesso indirizzo IP o intervallo di indirizzi aggiunto all'elenco indirizzi IP consentiti nel passaggio precedente).
    • Azione regola: modificare le proprietà> del messaggioImpostare il livello di attendibilità della posta indesiderata (SCL)>0.
    • Eccezione regola: il dominio del mittente>è> fabrikam.com (solo il dominio o i domini che si desidera ignorare il filtro della posta indesiderata).

Scenari in cui i messaggi provenienti da origini nell'elenco indirizzi IP consentiti vengono ancora filtrati

I messaggi provenienti da un server di posta elettronica nell'elenco indirizzi IP consentiti sono ancora soggetti al filtro della posta indesiderata negli scenari seguenti:

  • Un indirizzo IP nell'elenco indirizzi IP consentiti viene configurato anche in un connettore in ingresso locale basato su IP in qualsiasi tenant di Microsoft 365 (chiamiamo il tenant A) e il tenant A e il server EOP che rilevano per la prima volta che il messaggio si trova nella stessa foresta di Active Directory nei data center Microsoft. In questo scenario, IPV:CALviene aggiunto alle intestazioni del messaggio di protezione dalla posta indesiderata del messaggio (che indica che il messaggio ha ignorato il filtro della posta indesiderata), ma il messaggio è ancora soggetto al filtro della posta indesiderata.

  • Il tenant che contiene l'elenco indirizzi IP consentiti e il server EOP che prima rileva il messaggio si verificano entrambi in foreste active directory diverse nei data center Microsoft. In questo scenario, IPV:CALnon viene aggiunto alle intestazioni del messaggio, quindi il messaggio è ancora soggetto al filtro della posta indesiderata.

Se si verifica uno di questi scenari, è possibile creare una regola del flusso di posta con le impostazioni seguenti (almeno) per assicurarsi che i messaggi provenienti dagli indirizzi IP problematici ignorino il filtro della posta indesiderata:

  • Condizione regola: applicare questa regola se>l'indirizzo IP del mittente>si trova in uno di questi intervalli o corrisponde> esattamente (indirizzo IP o indirizzi).
  • Azione regola: modificare le proprietà> del messaggioImpostare il livello di attendibilità della posta indesiderata (SCL)>Ignorare il filtro della posta indesiderata.

Novità di Microsoft 365?


Icona breve per LinkedIn Learning. Novità di Microsoft 365? Scopri i corsi video gratuiti per gli amministratori e i professionisti IT di Microsoft 365, forniti da LinkedIn Learning.