Filtro avanzato per i connettori in Exchange Online

Articolo
04/04/2023

I connettori in ingresso configurati correttamente sono un'origine attendibile della posta in arrivo a Microsoft 365 o Office 365. Tuttavia, in scenari di routing complessi in cui la posta elettronica per il dominio di Microsoft 365 o Office 365 viene instradata in un'altra posizione, l'origine del connettore in ingresso in genere non è il vero indicatore della provenienza del messaggio. Gli scenari di routing complessi includono:

Servizi di filtro cloud di terze parti
Appliance di filtro gestito
Ambienti ibridi (ad esempio, Exchange locale)

Il routing della posta in scenari complessi è simile al seguente:

Diagramma del flusso di posta per scenari di routing complessi.

Come si può vedere, il messaggio adotta l'IP di origine del servizio, dell'appliance o dell'organizzazione di Exchange locale che si trova davanti a Microsoft 365. Il messaggio arriva in Microsoft 365 con un indirizzo IP di origine diverso. Questo comportamento non è una limitazione di Microsoft 365; è semplicemente il funzionamento di SMTP.

In questi scenari è comunque possibile sfruttare al meglio Exchange Online Protection (EOP) e Microsoft Defender per Office 365 usando il filtro avanzato per i connettori (noto anche come skip list).

Dopo aver abilitato il filtro avanzato per i connettori, il routing della posta in scenari di routing complessi è simile al seguente:

Diagramma del flusso di posta per scenari di routing complessi dopo l'abilitazione del filtro per i connettori.

Come si può notare, il filtro avanzato per i connettori consente di mantenere le informazioni sull'indirizzo IP e sul mittente, con i vantaggi seguenti:

Accuratezza migliorata per lo stack di filtri Microsoft e i modelli di Machine Learning, tra cui:
- Clustering euristico
- Anti-spoofing
- Anti-phishing
Migliori funzionalità post-violazione in Analisi automatizzata e risposta (AIR)
Possibilità di usare l'autenticazione esplicita tramite posta elettronica (SPF, DKIM e DMARC) per verificare la reputazione del dominio di invio per il rilevamento della rappresentazione e dello spoofing. Per altre informazioni sull'autenticazione esplicita e implicita della posta elettronica, vedere autenticazione Email in EOP.

Per altre informazioni, vedere la sezione Cosa accade quando si abilita il filtro avanzato per i connettori? più avanti in questo articolo.

Usare le procedure descritte in questo articolo per abilitare il filtro avanzato per i connettori nei singoli connettori. Per altre informazioni sui connettori in Exchange Online, vedere Configurare il flusso di posta usando i connettori.

Nota

È sempre consigliabile puntare il record MX a Microsoft 365 o Office 365 per ridurre la complessità. Ad esempio, alcuni host potrebbero invalidare le firme DKIM, causando falsi positivi. Quando due sistemi sono responsabili della protezione della posta elettronica, determinare quale ha agito sul messaggio è più complicato.
Gli scenari più comuni per cui è progettato il filtro avanzato sono gli ambienti ibridi; tuttavia, la posta destinata alle cassette postali locali (posta in uscita) non verrà ancora filtrata in base a EOP. L'unico modo per ottenere l'analisi completa di EOP in tutte le cassette postali consiste nello spostare il record MX in Microsoft 365 o Office 365.
Ad eccezione degli scenari di routing in ingresso lineare in cui MX punta ai server locali, l'aggiunta degli INDIRIZZI IP dei server ibridi locali all'elenco di indirizzi ignorati dei filtri avanzati non è supportata in uno scenario di flusso di posta centralizzato. In questo modo, EOP può analizzare i messaggi di posta elettronica del server ibrido locale, aggiungere un valore di intestazione compauth e contrassegnare il messaggio come posta indesiderata. In un ambiente ibrido configurato non è necessario aggiungerli all'elenco ignorati. L'elenco ignorati è destinato principalmente agli scenari in cui è presente un dispositivo/filtro di terze parti prima del tenant di Microsoft 365. Per altre informazioni, vedere Punti di record MX per il filtro della posta indesiderata di terze parti.
Non inserire un altro servizio o host di analisi dopo EOP. Dopo l'analisi di un messaggio da parte di EOP, prestare attenzione a non interrompere la catena di attendibilità instradando la posta elettronica attraverso qualsiasi server non Exchange che non fa parte del cloud o dell'organizzazione locale. Quando il messaggio arriva alla cassetta postale di destinazione, le intestazioni del primo verdetto di analisi potrebbero non essere più accurate. Il trasporto centralizzato della posta non deve essere usato per introdurre server non Exchange nel percorso del flusso di posta.

Configurare il filtro avanzato per i connettori

Che cosa è necessario sapere prima di iniziare?

Includere tutti gli indirizzi IP attendibili associati agli host locali o ai filtri di terze parti che inviano messaggi di posta elettronica all'organizzazione microsoft 365 o Office 365, inclusi gli hop intermedi con indirizzi IP pubblici. Per ottenere questi indirizzi IP, consultare la documentazione o il supporto fornito con il servizio.
Se sono presenti regole del flusso di posta (note anche come regole di trasporto) che impostano l'SCL su -1 per i messaggi che passano attraverso questo connettore, è necessario disabilitare tali regole del flusso di posta dopo aver abilitato il filtro avanzato per i connettori.
Per aprire il portale di Microsoft Defender, passare a https://security.microsoft.com. Per passare direttamente alla pagina Filtro avanzato per i connettori , usare https://security.microsoft.com/skiplisting.
Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a Exchange Online Protection PowerShell, vedere Connettersi a Exchange Online Protection PowerShell.
Per configurare il filtro avanzato per i connettori, è necessario essere membri di uno dei gruppi di ruoli seguenti:
- Amministratore della gestione dell'organizzazione o della sicurezza nel portale di Microsoft Defender.
- Gestione dell'organizzazione in Exchange Online.
Il filtro avanzato per i connettori non è supportato negli ambienti ibridi che usano il trasporto centralizzato della posta.

Usare il portale di Microsoft Defender per configurare il filtro avanzato per i connettori in un connettore in ingresso

Nel portale di Microsoft Defender passare a Email & criteri di collaborazione>& regole Pagina Regole>criteri di minaccia>Sezione>Filtri avanzati.
Nella pagina Filtro avanzato per i connettori selezionare il connettore in ingresso da configurare facendo clic sul nome.
Nel riquadro a comparsa dei dettagli del connettore visualizzato configurare le impostazioni seguenti:
- Indirizzi IP da ignorare: scegliere uno dei valori seguenti:
  - Disabilitare il filtro avanzato per i connettori: disattiva filtro avanzato per i connettori nel connettore.
  - Rilevare e ignorare automaticamente l'ultimo indirizzo IP: è consigliabile questo valore se è necessario ignorare solo l'ultima origine del messaggio.
  - Ignorare questi indirizzi IP associati al connettore: selezionare questo valore per configurare un elenco di indirizzi IP da ignorare.
    Importante
    - L'immissione degli indirizzi IP di Microsoft 365 o Office 365 non è supportata. Non usare questa funzionalità per compensare i problemi introdotti dai percorsi di routing della posta elettronica non supportati. Prestare attenzione e limitare gli intervalli IP solo ai sistemi di posta elettronica che gestiranno i messaggi dell'organizzazione prima di Microsoft 365 o Office 365.
    - L'immissione di qualsiasi indirizzo IP privato definito da RFC 1918 (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) non è supportata. Il filtro avanzato rileva e ignora automaticamente gli indirizzi IP privati. Se l'hop precedente è un server di posta elettronica dietro un dispositivo NAT (Network Address Translation) che assegna indirizzi IP privati, è consigliabile configurare NAT per assegnare un indirizzo IP pubblico al server di posta elettronica.
- Se è stata selezionata l'opzione Rileva e ignora automaticamente l'ultimo indirizzo IP o Ignora gli indirizzi IP associati al connettore, verrà visualizzata la sezione Applica a questi utenti :
  - Applica a un'intera organizzazione: è consigliabile usare questo valore dopo aver testato prima la funzionalità su un numero ridotto di destinatari.
  - Applica a un piccolo set di utenti: selezionare questo valore per configurare un elenco di indirizzi di posta elettronica dei destinatari a cui si applica il filtro avanzato per i connettori. È consigliabile usare questo valore come test iniziale della funzionalità.
    Nota
    - Questo valore è affettivo solo per gli indirizzi di posta elettronica effettivi specificati. Ad esempio, se un utente ha cinque indirizzi di posta elettronica associati alla propria cassetta postale (noti anche come indirizzi proxy), sarà necessario specificare tutti e cinque gli indirizzi di posta elettronica qui. In caso contrario, i messaggi inviati agli altri quattro indirizzi di posta elettronica verranno filtrati normalmente.
    - Negli ambienti ibridi in cui la posta in ingresso scorre attraverso Exchange locale, è necessario specificare targetAddress dell'oggetto MailUser . Ad esempio, michelle@contoso.mail.onmicrosoft.com.
    - Questo valore è affettivo solo nei messaggi in cui tutti i destinatari sono specificati qui. Se un messaggio contiene tutti i destinatari non specificati qui, il filtro normale viene applicato a tutti i destinatari del messaggio.
  - Applica a un'intera organizzazione: è consigliabile usare questo valore dopo aver testato prima la funzionalità su alcuni destinatari.
Al termine, fare clic su Salva.

Usare Exchange Online PowerShell o Exchange Online Protection PowerShell per configurare il filtro avanzato per i connettori in un connettore in ingresso

Per configurare il filtro avanzato per i connettori in un connettore in ingresso, usare la sintassi seguente:

Set-InboundConnector -Identity <ConnectorIdentity> [-EFSkipLastIP <$true | $false>] [-EFSkipIPs <IPAddresses>] [-EFUsers "emailaddress1","emailaddress2",..."emailaddressN"]

EFSkipLastIP: i valori validi sono:
- $true: viene ignorata solo l'ultima origine del messaggio.
- $false: ignorare gli indirizzi IP specificati dal parametro EFSkipIPs . Se non sono specificati indirizzi IP, il filtro avanzato per i connettori viene disabilitato nel connettore in ingresso. Il valore predefinito è $false.
EFSkipIPs: indirizzi IP specifici da ignorare quando il valore del parametro EFSkipLastIP è $false. I valori validi sono:
- Un singolo indirizzo IP: ad esempio, 192.168.1.1.
- Intervallo di indirizzi IP: ad esempio, 192.168.1.0-192.168.1.31.
- IP cidr (Classless Inter-Domain Routing): ad esempio. 192.168.1.0/25
Per limitazioni sugli indirizzi IP, vedere ignorare gli indirizzi IP associati alla descrizione del connettore nella sezione precedente.
EFUsers: indirizzo di posta elettronica delimitato da virgole degli indirizzi di posta elettronica dei destinatari a cui si vuole applicare il filtro avanzato per i connettori. Vedere la descrizione Applica a un piccolo set di utenti nella sezione precedente per informazioni sulle limitazioni relative ai singoli destinatari. Il valore predefinito è vuoto ($null), il che significa che il filtro avanzato per i connettori viene applicato a tutti i destinatari.

In questo esempio viene configurato il connettore in ingresso denominato From Anti-Spam Service con le impostazioni seguenti:

Il filtro avanzato per i connettori è abilitato nel connettore e l'indirizzo IP dell'ultima origine messaggio viene ignorato.
Il filtro avanzato per i connettori si applica solo agli indirizzi michelle@contoso.comdi posta elettronica del destinatario , laura@contoso.come julia@contoso.com.

Set-InboundConnector -Identity "From Anti-Spam Service" -EFSkipLastIP $true -EFUsers "michelle@contoso.com","laura@contoso.com","julia@contoso.com"

Nota: per disabilitare il filtro avanzato per i connettori, usare il valore $false per il parametro EFSkipLastIP .

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-InboundConnector.

Cosa accade quando si abilita il filtro avanzato per i connettori?

La tabella seguente descrive l'aspetto delle connessioni prima e dopo l'abilitazione del filtro avanzato per i connettori:

Funzionalità	Prima dell'abilitazione del filtro avanzato	Dopo l'abilitazione del filtro avanzato
Email autenticazione del dominio	Implicito usando la tecnologia di protezione anti-spoof.	Esplicito, basato sui record SPF, DKIM e DMARC del dominio di origine in DNS.
X-MS-Exchange-ExternalOriginalInternetSender	Non disponibile	Questa intestazione viene contrassegnata se l'elenco ignora è riuscito, abilitato nel connettore e si verifica la corrispondenza del destinatario. Il valore di questo campo contiene informazioni sull'indirizzo di origine vero.
X-MS-Exchange-SkipListedInternetSender	Non disponibile	Questa intestazione viene contrassegnata se l'opzione skip listing è stata abilitata nel connettore, indipendentemente dalle corrispondenze dei destinatari. Il valore di questo campo contiene informazioni sull'indirizzo di origine vero. Questa intestazione viene usata principalmente a scopo di creazione di report e per comprendere gli scenari WhatIf.

È possibile visualizzare i miglioramenti apportati al filtro e alla creazione di report usando il report sullo stato della protezione dalle minacce nel portale di Microsoft Defender. Per altre informazioni, vedere Rapporto sullo stato della protezione dalle minacce.

Vedere anche

Procedure consigliate per il flusso di posta per Exchange Online, Microsoft 365 e Office 365 (panoramica)

Configurare il flusso di posta elettronica usando i connettori