Konfigurowanie filtrowania połączeń
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
W organizacjach platformy Microsoft 365 z Exchange Online skrzynkami pocztowymi lub autonomicznymi organizacjami Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych, filtrowania połączeń i domyślnych zasad filtrowania połączeń identyfikują dobre lub złe źródłowe serwery poczty e-mail według adresów IP. Kluczowe składniki domyślnych zasad filtrowania połączeń to:
Lista dozwolonych adresów IP: pomiń filtrowanie spamu dla wszystkich wiadomości przychodzących z określonych źródłowych adresów IP lub zakresów adresów IP. Wszystkie przychodzące wiadomości są skanowane pod kątem złośliwego oprogramowania i wyłudzania informacji o wysokim poziomie ufności. W przypadku innych scenariuszy, w których nadal występuje filtrowanie spamu na komunikatach z serwerów na liście dozwolonych adresów IP, zobacz scenariusze, w których komunikaty ze źródeł na liście dozwolonych adresów IP są nadal filtrowane w dalszej części tego artykułu. Aby uzyskać więcej informacji na temat dopasowania listy dozwolonych adresów IP do ogólnej strategii bezpiecznych nadawców, zobacz Tworzenie list bezpiecznych nadawców w ramach EOP.
Lista zablokowanych adresów IP: blokuj wszystkie przychodzące komunikaty z określonych źródłowych adresów IP lub zakresów adresów IP. Przychodzące wiadomości są odrzucane, nie są oznaczone jako spam i nie ma innego filtrowania. Aby uzyskać więcej informacji o tym, jak lista zablokowanych adresów IP powinna pasować do ogólnej strategii zablokowanych nadawców, zobacz Tworzenie list nadawców blokowych w usłudze EOP.
Lista bezpiecznych: lista bezpiecznych w zasadach filtrowania połączeń to dynamiczna lista dozwolonych, która nie wymaga konfiguracji klienta. Firma Microsoft identyfikuje te zaufane źródła poczty e-mail z subskrypcji do różnych list innych firm. Można włączyć lub wyłączyć korzystanie z listy bezpiecznych; Nie można skonfigurować serwerów na liście. Filtrowanie spamu jest pomijane w przypadku wiadomości przychodzących z serwerów poczty e-mail na liście bezpiecznych.
W tym artykule opisano sposób konfigurowania domyślnych zasad filtrowania połączeń w portalu usługi Microsoft 365 Microsoft Defender lub w programie Exchange Online programu PowerShell. Aby uzyskać więcej informacji na temat sposobu, w jaki funkcja EOP używa filtrowania połączeń, jest częścią ogólnych ustawień ochrony przed spamem w organizacji, zobacz Ochrona przed spamem.
Uwaga
Lista dozwolonych adresów IP, lista bezpiecznych adresów IP i lista zablokowanych adresów IP to jedna z części ogólnej strategii zezwalania na pocztę e-mail lub blokowania jej w organizacji. Aby uzyskać więcej informacji, zobacz Tworzenie list bezpiecznych nadawców i Tworzenie zablokowanych list nadawców.
Zakresy IPv6 nie są obsługiwane.
Komunikaty z zablokowanych źródeł na liście zablokowanych adresów IP nie są dostępne w śledzenia komunikatów.
Co należy wiedzieć przed rozpoczęciem?
Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony Zasady ochrony przed spamem , użyj polecenia https://security.microsoft.com/antispam.
Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online. Aby nawiązać połączenie z autonomicznym programem PowerShell EOP, zobacz Connect to Exchange Online Protection PowerShell (Nawiązywanie połączenia z programem PowerShell).
Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Masz następujące możliwości:
Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell): autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (zarządzanie) lub Autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (odczyt).
-
- Modyfikowanie zasad: członkostwo w grupach ról Zarządzanie organizacją lub Administrator zabezpieczeń .
- Dostęp tylko do odczytu do zasad: członkostwo w grupach ról Czytelnik globalny, Czytelnik zabezpieczeń lub Zarządzanie organizacją tylko do wyświetlania .
uprawnienia Microsoft Entra: członkostwo w rolach administratora* globalnego, administratora zabezpieczeń, czytelnika globalnego lub czytelnika zabezpieczeń zapewnia użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.
Ważna
* Firma Microsoft zaleca używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Aby znaleźć źródłowe adresy IP serwerów poczty e-mail (nadawców), na które chcesz zezwolić lub zablokować, możesz sprawdzić pole nagłówka łączącego się adresu IP () w nagłówku wiadomości. Aby wyświetlić nagłówek wiadomości w różnych klientach poczty e-mail, zobacz Wyświetlanie nagłówków wiadomości internetowych w programie Outlook.
Lista dozwolonych adresów IP ma pierwszeństwo przed listą zablokowanych adresów IP (adres na obu listach nie jest zablokowany).
Lista dozwolonych adresów IP i lista zablokowanych adresów IP obsługują maksymalnie 1273 wpisy, w których wpis jest pojedynczym adresem IP, zakresem adresów IP lub adresem IP cidr (Classless InterDomain Routing).
Modyfikowanie domyślnych zasad filtrowania połączeń za pomocą portalu Microsoft Defender
W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady współpracy> Email && Reguły>zasady>ochrony przed spamem w sekcji Zasady. Aby przejść bezpośrednio do strony Zasady ochrony przed spamem , użyj polecenia https://security.microsoft.com/antispam.
Na stronie Zasady ochrony przed spamem wybierz pozycję Zasady filtrowania połączeń (domyślne) z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy.
W wyświetlonym menu wysuwowym szczegółów zasad użyj linków Edytuj , aby zmodyfikować ustawienia zasad:
Sekcja opisu : wybierz pozycję Edytuj opis , aby wprowadzić opis zasad w polu Opis okna wysuwanego Edytuj nazwę i opis . Nie można zmodyfikować nazwy zasad.
Po zakończeniu pracy z wysuwaną pozycją Edytuj nazwę i opis wybierz pozycję Zapisz.
Sekcja filtrowania połączeń: wybierz pozycję Edytuj zasady filtrowania połączeń. W wyświetlonym wysuwie skonfiguruj następujące ustawienia:
Zawsze zezwalaj na komunikaty z następujących adresów IP lub zakresu adresów: to ustawienie jest listą dozwolonych adresów IP. Kliknij w polu, wprowadź wartość, a następnie naciśnij ENTER lub wybierz pełną wartość wyświetlaną poniżej pola. Prawidłowe wartości to:
- Pojedynczy adres IP: na przykład 192.168.1.1.
- Zakres adresów IP: na przykład 192.168.0.1-192.168.0.254.
- Adres IP CIDR: na przykład 192.168.0.1/25. Prawidłowe wartości maski podsieci to od /24 do /32. Aby pominąć filtrowanie spamu dla /1 do /23, zobacz Pomiń filtrowanie spamu dla adresu IP CIDR poza dostępnym zakresem w dalszej części tego artykułu.
Powtórz ten krok tyle razy, ile jest to konieczne. Aby usunąć istniejący wpis, wybierz obok wpisu.
Zawsze blokuj komunikaty z następujących adresów IP lub zakresu adresów: to ustawienie jest listą zablokowanych adresów IP. Wprowadź pojedynczy adres IP, zakres adresów IP lub adres IP CIDR w polu opisanym wcześniej w ustawieniu Zawsze zezwalaj na komunikaty z następujących adresów IP lub zakresu adresów .
Włącz bezpieczną listę: włącz lub wyłącz używanie listy bezpiecznych, aby zidentyfikować znanych, dobrych nadawców, którzy pomijają filtrowanie spamu. Aby użyć listy bezpiecznych, zaznacz pole wyboru.
Po zakończeniu wysuwanego menu wybierz pozycję Zapisz.
Po powrocie do wysuwanego szczegółów zasad wybierz pozycję Zamknij.
Wyświetlanie domyślnych zasad filtrowania połączeń za pomocą portalu Microsoft Defender
W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady współpracy> Email && Reguły>zasady>ochrony przed spamem w sekcji Zasady. Aby przejść bezpośrednio do strony Zasady ochrony przed spamem , użyj polecenia https://security.microsoft.com/antispam.
Na stronie Zasady ochrony przed spamem na liście zasad są wyświetlane następujące właściwości:
- Nazwa: domyślne zasady filtru połączeń mają nazwę Zasady filtru połączenia (domyślne).
- Stan: Wartość jest zawsze włączona dla domyślnych zasad filtru połączeń.
- Priorytet: wartość jest najniższa dla domyślnych zasad filtru połączeń.
- Typ: wartość jest pusta dla domyślnych zasad filtru połączeń.
Aby zmienić listę zasad z normalnej na kompaktową, wybierz pozycję Zmień odstępy między listami na kompaktowe lub normalne, a następnie wybierz pozycję Lista kompaktowa.
Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określone zasady.
Wybierz domyślne zasady filtrowania połączeń, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy, aby otworzyć wysuwane szczegóły zasad.
Użyj Exchange Online programu PowerShell lub autonomicznego programu PowerShell EOP, aby zmodyfikować domyślne zasady filtrowania połączeń
Należy stosować następującą składnię:
Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
- Prawidłowe wartości adresu IP lub zakresu adresów to:
- Pojedynczy adres IP: na przykład 192.168.1.1.
- Zakres adresów IP: na przykład 192.168.0.1-192.168.0.254.
- Adres IP CIDR: na przykład 192.168.0.1/25. Prawidłowe wartości maski sieci to od /24 do /32.
- Aby zastąpić wszystkie istniejące wpisy określonymi wartościami, użyj następującej składni:
IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN
. - Aby dodać lub usunąć adresy IP lub zakresy adresów bez wpływu na inne istniejące wpisy, użyj następującej składni:
@{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}
. - Aby opróżnić listę dozwolonych adresów IP lub listę zablokowanych adresów IP, użyj wartości
$null
.
W tym przykładzie skonfigurowano listę dozwolonych adresów IP i listę zablokowanych adresów IP z określonymi adresami IP i zakresami adresów.
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24
W tym przykładzie dodano i usunięto określone adresy IP i zakresy adresów z listy dozwolonych adresów IP.
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}
Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-HostedConnectionFilterPolicy.
Skąd wiesz, że te procedury zadziałają?
Aby sprawdzić, czy domyślne zasady filtru połączeń zostały pomyślnie zmodyfikowane, wykonaj dowolne z następujących kroków:
Na stronie Zasady ochrony przed spamem w portalu Microsoft Defender pod adresem https://security.microsoft.com/antispamwybierz pozycję Zasady filtru połączeń (domyślne) z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy i sprawdź ustawienia zasad w otwieranym wysuwu szczegółów.
W Exchange Online programu PowerShell lub autonomicznego programu PowerShell EOP uruchom następujące polecenie i sprawdź ustawienia:
Get-HostedConnectionFilterPolicy -Identity Default
Wyślij komunikat testowy z wpisu na liście dozwolonych adresów IP.
Dodatkowe zagadnienia dotyczące listy dozwolonych adresów IP
Poniższe sekcje identyfikują dodatkowe elementy, które należy znać podczas konfigurowania listy dozwolonych adresów IP.
Uwaga
Wszystkie przychodzące komunikaty są skanowane pod kątem złośliwego oprogramowania i wyłudzania informacji o wysokim poziomie ufności, niezależnie od tego, czy źródło komunikatów znajduje się na liście dozwolonych adresów IP.
Pomijanie filtrowania spamu dla adresu IP CIDR spoza dostępnego zakresu
Zgodnie z opisem we wcześniejszej części tego artykułu można używać tylko adresu IP CIDR z maską sieci /24 do /32 na liście dozwolonych adresów IP. Aby pominąć filtrowanie spamu w wiadomościach ze źródłowych serwerów poczty e-mail w zakresie od /1 do /23, należy użyć reguł przepływu poczty programu Exchange (znanych również jako reguły transportu). Zalecamy jednak, aby nie używać metody reguły przepływu poczty, ponieważ komunikaty są blokowane, jeśli adres IP w zakresie adresów IP /1 do /23 CIDR jest wyświetlany na dowolnej z list blokowych firmy Microsoft lub innych firm.
Teraz, gdy w pełni znasz potencjalne problemy, możesz utworzyć regułę przepływu poczty z następującymi ustawieniami (co najmniej), aby upewnić się, że wiadomości z tych adresów IP pomijają filtrowanie spamu:
- Warunek reguły: Zastosuj tę regułę, jeśli>adres IP nadawcy znajduje się w dowolnym z tych zakresów lub dokładnie pasuje> (wprowadź adres IP CIDR z maską sieci /1 do /23).>
- Akcja reguły: zmodyfikuj właściwości> wiadomościUstaw poziom ufności spamu (SCL)>Pomiń filtrowanie spamu.
Możesz przeprowadzić inspekcję reguły, przetestować regułę, aktywować regułę w określonym okresie i inne opcje. Zalecamy przetestowanie reguły przez pewien czas przed jej wymuszeniem. Aby uzyskać więcej informacji, zobacz Zarządzanie regułami przepływu poczty w Exchange Online.
Pomijanie filtrowania spamu w domenach selektywnej poczty e-mail z tego samego źródła
Zazwyczaj dodanie adresu IP lub zakresu adresów do listy dozwolonych adresów IP oznacza, że ufasz wszystkim przychodzącym wiadomościom ze źródła wiadomości e-mail. Co zrobić, jeśli to źródło wysyła wiadomość e-mail z wielu domen i chcesz pominąć filtrowanie spamu dla niektórych z tych domen, ale nie innych? List dozwolonych adresów IP można użyć w połączeniu z regułą przepływu poczty.
Na przykład źródłowy serwer poczty e-mail 192.168.1.25 wysyła wiadomości e-mail z domen contoso.com, fabrikam.com i tailspintoys.com, ale chcesz pominąć filtrowanie spamu dla wiadomości od nadawców w fabrikam.com:
Dodaj 192.168.1.25 do listy dozwolonych adresów IP.
Skonfiguruj regułę przepływu poczty przy użyciu następujących ustawień (co najmniej):
- Warunek reguły: zastosuj tę regułę, jeśli>adres IP nadawcy znajduje się w dowolnym z tych zakresów lub dokładnie odpowiada> wartości 192.168.1.25 (ten sam adres IP lub zakres adresów dodany do listy dozwolonych adresów IP w poprzednim kroku).>
- Akcja reguły: zmodyfikuj właściwości>komunikatu Ustaw poziom ufności spamu (SCL)>0.
- Wyjątek reguły: domena nadawcy>jest> fabrikam.com (tylko domena lub domeny, które chcesz pominąć filtrowanie spamu).
Scenariusze, w których komunikaty ze źródeł na liście dozwolonych adresów IP są nadal filtrowane
Wiadomości z serwera poczty e-mail na liście dozwolonych adresów IP nadal podlegają filtrowaniu spamu w następujących scenariuszach:
Adres IP na liście dozwolonych adresów IP jest również skonfigurowany w lokalnym łączniku przychodzącym opartym na adresach IP w dowolnej dzierżawie w usłudze Microsoft 365 (wywołajmy tę dzierżawę A), a dzierżawa A i serwer EOP, który po raz pierwszy napotka komunikat, znajdują się w tym samym lesie usługi Active Directory w centrach danych firmy Microsoft. W tym scenariuszu protokół IPV:CALjest dodawany do nagłówków wiadomości antyspamowych wiadomości (wskazujących pomijane filtrowanie spamu), ale wiadomość nadal podlega filtrowaniu spamu.
Dzierżawa zawierająca listę dozwolonych adresów IP i serwer EOP, który po raz pierwszy napotka komunikat, znajduje się w różnych lasach usługi Active Directory w centrach danych firmy Microsoft. W tym scenariuszu protokół IPV:CALnie jest dodawany do nagłówków wiadomości, więc wiadomość nadal podlega filtrowaniu spamu.
Jeśli wystąpi któryś z tych scenariuszy, możesz utworzyć regułę przepływu poczty z następującymi ustawieniami (co najmniej), aby upewnić się, że wiadomości z problematycznych adresów IP pomijają filtrowanie spamu:
- Warunek reguły: zastosuj tę regułę, jeśli>adres IP nadawcy znajduje się w dowolnym z tych zakresów lub jest dokładnie zgodny> (twój adres IP lub adresy).>
- Akcja reguły: zmodyfikuj właściwości> wiadomościUstaw poziom ufności spamu (SCL)>Pomiń filtrowanie spamu.
Jesteś nowym użytkownikem platformy Microsoft 365?
Jesteś nowym użytkownikem platformy Microsoft 365? Odkryj bezpłatne kursy wideo dla administratorów platformy Microsoft 365 i specjalistów IT, które zostały Ci przyniesione przez usługę LinkedIn Learning.