Konfigurer tilkoblingsfiltrering

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I Microsoft 365-organisasjoner med Exchange Online postbokser eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, tilkoblingsfiltrering og standard policy for tilkoblingsfilter identifiserer gode eller dårlige kilde-e-postservere etter IP-adresser. Nøkkelkomponentene i standard policyen for tilkoblingsfilter er:

• Ip-tillatelsesliste: Hopp over søppelpostfiltrering for alle innkommende meldinger fra angitte kilde-IP-adresser eller IP-adresseområder. Alle innkommende meldinger skannes for skadelig programvare og phishing med høy visshet. For andre scenarioer der filtrering av søppelpost fremdelvis forekommer på meldinger fra servere i listen over tillatte IP-adresser, kan du se scenarioer der meldinger fra kilder i ip-tillatelseslisten fortsatt filtreres senere i denne artikkelen. Hvis du vil ha mer informasjon om hvordan ip-tillatelseslisten skal passe inn i den generelle strategien for klarerte avsendere, kan du se Opprette lister over klarerte avsendere i EOP.

• IP-blokkeringsliste: Blokker alle innkommende meldinger fra angitte kilde-IP-adresser eller IP-adresseområder. Innkommende meldinger avvises, merkes ikke som søppelpost, og det oppstår ingen annen filtrering. Hvis du vil ha mer informasjon om hvordan IP-blokkeringslisten skal passe inn i strategien for samlede blokkerte avsendere, kan du se Opprette lister over blokkerte avsendere i EOP.

• Klarert liste: Listen over klarerte i policyen for tilkoblingsfilter er en dynamisk tillatelsesliste som ikke krever kundekonfigurasjon. Microsoft identifiserer disse klarerte e-postkildene fra abonnementer til ulike tredjepartslister. Du aktiverer eller deaktiverer bruken av listen over klarerte meldinger. du kan ikke konfigurere serverne i listen. Søppelpostfiltrering hoppes over på innkommende meldinger fra e-postserverne på listen over klarerte meldinger.

Denne artikkelen beskriver hvordan du konfigurerer standard policy for tilkoblingsfilter i Microsoft 365 Microsoft Defender-portalen eller i Exchange Online PowerShell. Hvis du vil ha mer informasjon om hvordan EOP bruker tilkoblingsfiltrering, er en del av organisasjonens generelle innstillinger for søppelpost, kan du se Beskyttelse mot søppelpost.

Obs!

Listen over tillatte IP-er, klarerte lister og IP-blokkeringslisten er en del av den overordnede strategien for å tillate eller blokkere e-post i organisasjonen. Hvis du vil ha mer informasjon, kan du se Opprette lister over klarerte avsendere og opprette lister over blokkerte avsendere.

IPv6-områder støttes ikke.

Meldinger fra blokkerte kilder i IP-blokkeringslisten er ikke tilgjengelige i meldingssporing.

Hva må du vite før du begynner?

• Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden for søppelpostpolicyer , bruker https://security.microsoft.com/antispamdu .

• Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell. Hvis du vil koble til frittstående EOP PowerShell, kan du se Koble til Exchange Online Protection PowerShell.

• Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

  • Microsoft Defender XDR Unified role based access control (RBAC) (påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).
  • Exchange Online tillatelser:
    • Endre policyer: Medlemskap i rollegruppene Organisasjonsadministrasjon eller Sikkerhetsadministrator .
    • Skrivebeskyttet tilgang til policyer: Medlemskap i rollegruppene Global Reader, Security Reader eller View-Only Organization Management .
  • Microsoft Entra tillatelser: Medlemskap i rollene global administrator, sikkerhetsadministrator, global leser eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

• Hvis du vil finne kilde-IP-adressene til e-postserverne (avsenderne) du vil tillate eller blokkere, kan du kontrollere det koblede IP-overskriftsfeltet (CIP) i meldingshodet. Hvis du vil vise et meldingshode i ulike e-postklienter, kan du se Vis meldingshoder på Internett i Outlook.

• Ip-tillatelseslisten har forrang over IP-blokkeringslisten (en adresse i begge listene er ikke blokkert).

• Ip-tillatelseslisten og IP-blokkeringslisten støtter maksimalt 1273 oppføringer, der en oppføring er én enkelt IP-adresse, et IP-adresseområde eller en CIDR-IP (Classless InterDomain Routing).

Bruk Microsoft Defender-portalen til å endre standard policy for tilkoblingsfilter

1. Gå til Policyer for e-& samarbeid>& Policyer>> for beskyttelse motsøppelpost i policyer-delen i Microsoft Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden for søppelpostpolicyer , kan du bruke https://security.microsoft.com/antispam.

2. Velg Policy fortilkoblingsfilter (standard) fra listen på siden Policyer for søppelpost ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet.

3. Bruk Rediger koblinger til å endre policyinnstillingene i undermenyen for policydetaljer som åpnes:

   • Beskrivelse-delen : Velg Rediger beskrivelse for å angi en beskrivelse for policyen i beskrivelsesboksen for undermenyen Rediger navn og beskrivelse som åpnes. Du kan ikke endre navnet på policyen.

     Når du er ferdig med undermenyen Rediger navn og beskrivelse , velger du Lagre.

   • Inndeling for tilkoblingsfiltrering : Velg Rediger policy for tilkoblingsfilter. Konfigurer følgende innstillinger i undermenyen som åpnes:

     • Tillat alltid meldinger fra følgende IP-adresser eller adresseområde: Denne innstillingen er IP-tillatelseslisten. Klikk i boksen, skriv inn en verdi, og trykk deretter ENTER eller velg den fullstendige verdien som vises under boksen. Gyldige verdier er:

       • Enkel IP-adresse: For eksempel 192.168.1.1.
       • IP-område: For eksempel 192.168.0.1-192.168.0.254.
       • CIDR IP: For eksempel 192.168.0.1/25. Gyldige delnettmaskeverdier er /24 til /32. Hvis du vil hoppe over søppelpostfiltrering for /1 til /23, kan du se Hopp over søppelpostfiltrering for en CIDR-IP utenfor delen for tilgjengelig område senere i denne artikkelen.

       Gjenta dette trinnet så mange ganger det er nødvendig. Hvis du vil fjerne en eksisterende oppføring, velger du ved siden av oppføringen.

   • Blokker alltid meldinger fra følgende IP-adresser eller adresseområde: Denne innstillingen er IP-blokkeringslisten. Skriv inn én enkelt IP-adresse, et IP-område eller en CIDR-IP i boksen, som tidligere beskrevet i innstillingen Tillat alltid meldinger fra følgende IP-adresser eller adresseområde .

   • Aktiver klarert liste: Aktiver eller deaktiver bruk av listen over klarerte meldinger for å identifisere kjente, gode avsendere som hopper over filtrering av søppelpost. Hvis du vil bruke sikkerlisten, merker du av i avmerkingsboksen.

   Når du er ferdig i undermenyen, velger du Lagre.

4. Gå tilbake til undermenyen for policydetaljer, og velg Lukk.

Bruk Microsoft Defender-portalen til å vise standard policy for tilkoblingsfilter

Gå til Policyer for e-& samarbeid>& Policyer>> for beskyttelse motsøppelpost i policyer-delen i Microsoft Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden for søppelpostpolicyer , kan du bruke https://security.microsoft.com/antispam.

På siden For søppelpostpolicyer vises følgende egenskaper i listen over policyer:

• Navn: Standard policy for tilkoblingsfilter kalles tilkoblingsfilterpolicy (standard).
• Status: Verdien er alltid på for standard policy for tilkoblingsfilter.
• Prioritet: Verdien er lavest for standard policy for tilkoblingsfilter.
• Type: Verdien er tom for standard policy for tilkoblingsfilter.

Hvis du vil endre listen over policyer fra normal til kompakt avstand, velger du Endre listeavstand til kompakt eller normal, og deretter velger du Komprimer liste.

Bruk Søk-boksen og en tilsvarende verdi til å finne bestemte policyer.

Velg standard policy for tilkoblingsfilter ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet for å åpne detaljenes undermeny for policyen.

Bruk Exchange Online PowerShell eller frittstående EOP PowerShell til å endre standard policy for tilkoblingsfilter

Bruk følgende syntaks:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]

• Gyldige VERDIER for IP-adresse eller adresseområde er:
  • Enkel IP-adresse: For eksempel 192.168.1.1.
  • IP-område: For eksempel 192.168.0.1-192.168.0.254.
  • CIDR IP: For eksempel 192.168.0.1/25. Gyldige nettverksmaskeverdier er /24 til /32.
• Hvis du vil skrive over eventuelle eksisterende oppføringer med verdiene du angir, bruker du følgende syntaks: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
• Hvis du vil legge til eller fjerne IP-adresser eller adresseområder uten å påvirke andre eksisterende oppføringer, bruker du følgende syntaks: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
• Hvis du vil tømme ip-tillatelseslisten eller IP-blokkeringslisten, bruker du verdien $null.

Dette eksemplet konfigurerer IP-tillatelseslisten og IP-blokkeringslisten med de angitte IP-adressene og adresseområder.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

Dette eksemplet legger til og fjerner de angitte IP-adressene og adresseområder fra IP-tillatelseslisten.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-HostedConnectionFilterPolicy.

Hvordan vet du at disse prosedyrene fungerte?

Hvis du vil bekrefte at du har endret standard policy for tilkoblingsfilter, gjør du ett av følgende:

• På siden For søppelpostpolicyer i Microsoft Defender-portalen på https://security.microsoft.com/antispamvelger du Tilkoblingsfilterpolicy (standard) fra listen ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av navnet, og kontrollere policyinnstillingene i undermenyen for detaljer som åpnes.

• Kjør følgende kommando i Exchange Online PowerShell eller frittstående EOP PowerShell, og kontroller innstillingene:

  Get-HostedConnectionFilterPolicy -Identity Default
  

• Send en testmelding fra en oppføring i tillatelseslisten for IP.

Flere hensyn for ip-tillatelseslisten

Avsnittene nedenfor identifiserer flere elementer du trenger å vite om når du konfigurerer ip-tillatelseslisten.

Obs!

Alle innkommende meldinger skannes for skadelig programvare og phishing med høy visshet, uavhengig av om meldingskilden er i listen over IP-tillatelser.

Hoppe over søppelpostfiltrering for en CIDR-IP utenfor det tilgjengelige området

Som beskrevet tidligere i denne artikkelen, kan du bare bruke en CIDR IP med nettverksmasken /24 til /32 i ip-tillatelseslisten. Hvis du vil hoppe over søppelpostfiltrering på meldinger fra kilde-e-postservere i området /1 til /23, må du bruke regler for Exchange-e-postflyt (også kjent som transportregler). Men vi anbefaler at du ikke bruker regelmetoden for e-postflyt, fordi meldingene blokkeres hvis en IP-adresse i IP-området /1 til /23 CIDR vises på noen av Microsofts rettighetsbeskyttede eller tredjeparts blokkeringslister.

Nå som du er fullt klar over potensielle problemer, kan du opprette en regel for e-postflyt med følgende innstillinger (som et minimum) for å sikre at meldinger fra disse IP-adressene hopper over søppelpostfiltrering:

• Regelbetingelse: Bruk denne regelen hvis>IP-adressen til avsenderen er i noen av disse områdene eller samsvarer nøyaktig> (angi CIDR-IP-adressen med en /1 til /23-nettverksmaske).>
• Regelhandling: Endre meldingsegenskapene>Angi søppelpostsikkerhetsnivå (SCL)>Omgå filtrering av søppelpost.

Du kan overvåke regelen, teste regelen, aktivere regelen i løpet av en bestemt tidsperiode og andre valg. Vi anbefaler at du tester regelen i en periode før du gjennomfører den. Hvis du vil ha mer informasjon, kan du se Behandle regler for e-postflyt i Exchange Online.

Hoppe over søppelpostfiltrering på selektive e-postdomener fra samme kilde

Vanligvis betyr det å legge til en IP-adresse eller et adresseområde i listen over tillatte IP-adresser at du stoler på alle innkommende meldinger fra denne e-postkilden. Hva om denne kilden sender e-post fra flere domener, og du vil hoppe over søppelpostfiltrering for noen av disse domenene, men ikke andre? Du kan bruke IP-tillatelseslisten i kombinasjon med en regel for e-postflyt.

Kilde-e-postserveren 192.168.1.25 sender for eksempel e-post fra domenene contoso.com, fabrikam.com og tailspintoys.com, men du vil bare hoppe over søppelpostfiltrering for meldinger fra avsendere i fabrikam.com:

1. Legg til 192.168.1.25 i ip-tillatelseslisten.

2. Konfigurer en e-postflytregel med følgende innstillinger (minst):

   • Regelbetingelse: Bruk denne regelen hvis>IP-adressen for avsenderen er i noen av disse områdene, eller samsvarer nøyaktig> med 192.168.1.25 (samme IP-adresse eller adresseområde som du la til i ip-tillatelseslisten i forrige trinn).>
   • Regelhandling: Endre meldingsegenskapene>Angi søppelpostsikkerhetsnivå (SCL)>0.
   • Regelunntak: Avsenderdomenet>er> fabrikam.com (bare domenet eller domenene du vil hoppe over filtrering av søppelpost).

Scenarioer der meldinger fra kilder i tillatelseslisten for IP fortsatt filtreres

Meldinger fra en e-postserver i listen over tillatte IP-adresser er fremdeles underlagt søppelpostfiltrering i følgende scenarioer:

• En IP-adresse i tillatelseslisten for IP er også konfigurert i en lokal, IP-basert inngående kobling i en hvilken som helst leier i Microsoft 365 (la oss kalle denne leier A) og tenant A og EOP-serveren som først støter på meldingen, er i samme Active Directory-skog i Microsoft-datasentrene. I dette scenarioet leggesIPV:CAL til meldingens meldingshoder for søppelpost (som indikerer at meldingen omgikk filtrering av søppelpost), men meldingen er fremdeles underlagt filtrering av søppelpost.

• Leieren som inneholder ip-tillatelseslisten og EOP-serveren som først støter på meldingen, er i forskjellige Active Directory-skoger i Microsoft-datasentrene. I dette scenarioet legges ikkeIPV:CAL til i meldingshodene, så meldingen er fremdeles underlagt søppelpostfiltrering.

Hvis du støter på et av disse scenarioene, kan du opprette en regel for e-postflyt med følgende innstillinger (som et minimum) for å sikre at meldinger fra de problematiske IP-adressene hopper over søppelpostfiltrering:

• Regelbetingelse: Bruk denne regelen hvis>IP-adressen for avsenderen er i noen av disse områdene eller samsvarer> nøyaktig (IP-adressen eller adressene dine).>
• Regelhandling: Endre meldingsegenskapene>Angi søppelpostsikkerhetsnivå (SCL)>Omgå filtrering av søppelpost.

Er Microsoft 365 nytt for deg?

---

Er Microsoft 365 nytt for deg? Oppdag gratis videokurs for Microsoft 365-administratorer og IT-eksperter, levert av LinkedIn Learning.