Filtragem aprimorada para conectores em Exchange Online

  • Artigo

Os conectores de entrada configurados corretamente são uma fonte confiável de email de entrada para o Microsoft 365 ou Office 365. Mas em cenários de roteamento complexos em que o email para seu domínio microsoft 365 ou Office 365 é roteado em outro lugar primeiro, a origem do conector de entrada normalmente não é o verdadeiro indicador de onde a mensagem veio. Cenários de roteamento complexos incluem:

  • Serviços de filtragem de nuvem de terceiros
  • Dispositivos de filtragem gerenciados
  • Ambientes híbridos (por exemplo, Exchange local)

O roteamento de email em cenários complexos tem a seguinte aparência:

Diagrama de fluxo de email para cenários de roteamento complexos.

Como você pode ver, a mensagem adota o IP de origem do serviço, dispositivo ou organização local do Exchange que fica na frente do Microsoft 365. A mensagem chega ao Microsoft 365 com um endereço IP de origem diferente. Esse comportamento não é uma limitação do Microsoft 365; É simplesmente como o SMTP funciona.

Nesses cenários, você ainda pode aproveitar ao máximo Proteção do Exchange Online (EOP) e Microsoft Defender para Office 365 usando a Filtragem Aprimorada para Conectores (também conhecida como listagem de ignorar).

Depois de habilitar a Filtragem Aprimorada para Conectores, o roteamento de email em cenários de roteamento complexos tem a seguinte aparência:

Diagrama de fluxo de email para cenários de roteamento complexos após a habilitação de Aprimorar Filtragem para Conectores.

Como você pode ver, a Filtragem Aprimorada para conectores permite que informações de endereço IP e remetente sejam preservadas, o que tem os seguintes benefícios:

  • Precisão aprimorada para os modelos de pilha de filtragem e machine learning da Microsoft, que incluem:
    • Clustering heurístico
    • Anti-falsificação
    • Antiphishing
  • Melhores recursos pós-violação na investigação e resposta automatizadas (AIR)
  • É possível usar a autenticação de email explícita (SPF, DKIM e DMARC) para verificar a reputação do domínio de envio para representação e detecção de falsificação. Para obter mais informações sobre a autenticação explícita e implícita de email, consulte Email autenticação no EOP.

Para obter mais informações, confira a seção O que acontece quando você habilita a filtragem avançada para conectores mais tarde neste artigo.

Use os procedimentos neste artigo para habilitar a Filtragem Aprimorada para Conectores em conectores individuais. Para obter mais informações sobre conectores no Exchange Online, consulte Configurar o fluxo de email usando conectores.

Observação

  • Sempre recomendamos que você aponte seu registro MX para o Microsoft 365 ou Office 365 para reduzir a complexidade. Por exemplo, alguns hosts podem invalidar assinaturas DKIM, causando falsos positivos. Quando dois sistemas são responsáveis pela proteção por email, determinar qual deles agiu na mensagem é mais complicado.
  • Os cenários mais comuns para os quais a Filtragem Aprimorada foi projetada são ambientes híbridos; no entanto, o email destinado a caixas de correio locais (email de saída) ainda não será filtrado pelo EOP. A única maneira de obter a verificação completa do EOP em todas as caixas de correio é mover seu registro MX para o Microsoft 365 ou Office 365.
  • Exceto para cenários lineares de roteamento de entrada em que o MX aponta para servidores locais, não há suporte para adicionar seus IPs de servidor híbrido locais à lista de saltos de filtro aprimorado em um cenário de fluxo de email centralizado. Fazer isso pode fazer com que o EOP examine seus emails do servidor híbrido local, adicionando um valor de cabeçalho de compauth e pode resultar em EOP sinalizando a mensagem como spam. Em um ambiente híbrido configurado, não há necessidade de adicioná-los à lista de ignorar. A lista de ignorar destina-se principalmente a abordar cenários em que há um dispositivo/filtro de terceiros antes do locatário do Microsoft 365. Para obter mais informações, confira Pontos de registro MX para filtragem de spam de terceiros.
  • Não coloque outro serviço de verificação ou host após o EOP. Depois que o EOP examinar uma mensagem, tenha cuidado para não quebrar a cadeia de confiança roteando o email por meio de qualquer servidor que não seja do Exchange que não faça parte da sua nuvem ou organização local. Quando a mensagem finalmente chega à caixa de correio de destino, os cabeçalhos do primeiro veredicto de verificação podem não ser mais precisos. O Transporte de Email Centralizado não deve ser usado para introduzir servidores que não são do Exchange no caminho do fluxo de email.

Configurar filtragem aprimorada para conectores

Do que você precisa saber para começar?

Use o portal Microsoft Defender para configurar a Filtragem Aprimorada para Conectores em um conector de entrada

  1. No portal do Microsoft Defender, acesse Email & Políticas de Colaboração>& Regras>políticas> de ameaça seção>Filtragem aprimorada.

  2. Na página Filtragem Aprimorada para Conectores , selecione o conector de entrada que você deseja configurar clicando no nome.

  3. No flyout de detalhes do conector exibido, configure as seguintes configurações:

    • Endereços IP a serem ignoradas: escolha um dos seguintes valores:

      • Desabilitar filtragem aprimorada para conectores: desative a filtragem aprimorada para conectores no conector.

      • Detectar e ignorar automaticamente o último endereço IP: recomendamos esse valor se você precisar ignorar apenas a última fonte de mensagem.

      • Ignore esses endereços IP associados ao conector: selecione esse valor para configurar uma lista de endereços IP a serem ignoradas.

        Importante

        • Não há suporte para inserir os endereços IP do Microsoft 365 ou Office 365. Não use esse recurso para compensar problemas introduzidos por caminhos de roteamento de email sem suporte. Tenha cuidado e limite os intervalos de IP apenas para os sistemas de email que lidarão com as mensagens da sua própria organização antes do Microsoft 365 ou Office 365.
        • Não há suporte para inserir qualquer endereço IP privado definido pela RFC 1918 (10.0.0.0/8, 172.16.0.0.0/12 e 192.168.0.0/16). A filtragem aprimorada detecta e ignora automaticamente endereços IP privados. Se o salto anterior for um servidor de email que está por trás de um dispositivo NAT (conversão de endereço de rede) que atribui endereços IP privados, recomendamos que você configure o NAT para atribuir um endereço IP público ao servidor de email.

    • Se você selecionou Detectar e ignorar automaticamente o último endereço IP ou Ignorar esses endereços IP associados ao conector, a seção Aplicar a esses usuários será exibida:

      • Aplicar a uma organização inteira: recomendamos esse valor depois de testar o recurso em um pequeno número de destinatários primeiro.

      • Aplicar a um pequeno conjunto de usuários: selecione esse valor para configurar uma lista de endereços de email do destinatário aos quais a Filtragem Aprimorada para Conectores se aplica. Recomendamos esse valor como um teste inicial do recurso.

        Observação

        • Esse valor só é afetivo nos endereços de email reais que você especifica. Por exemplo, se um usuário tiver cinco endereços de email associados à caixa de correio (também conhecida como endereços proxy), você precisará especificar todos os cinco endereços de email deles aqui. Caso contrário, as mensagens enviadas para os outros quatro endereços de email passarão pela filtragem normal.
        • Em ambientes híbridos em que o email de entrada flui pelo Exchange local, você deve especificar o targetAddress do objeto MailUser . Por exemplo, michelle@contoso.mail.onmicrosoft.com.
        • Esse valor só é afetivo em mensagens em que todos os destinatários são especificados aqui. Se uma mensagem contiver quaisquer destinatários que não sejam especificados aqui, a filtragem normal será aplicada a todos os destinatários da mensagem.

      • Aplicar a uma organização inteira: recomendamos esse valor depois de testar o recurso em alguns destinatários primeiro.

  4. Quando concluir, clique em Salvar.

Use Exchange Online PowerShell ou Proteção do Exchange Online PowerShell para configurar a Filtragem Aprimorada para Conectores em um conector de entrada

Para configurar a Filtragem Aprimorada para Conectores em um conector de entrada, use a seguinte sintaxe:

Set-InboundConnector -Identity <ConnectorIdentity> [-EFSkipLastIP <$true | $false>] [-EFSkipIPs <IPAddresses>] [-EFUsers "emailaddress1","emailaddress2",..."emailaddressN"]

  • EFSkipLastIP: os valores válidos são:

    • $true: somente a última fonte de mensagem é ignorada.
    • $false: ignore os endereços IP especificados pelo parâmetro EFSkipIPs . Se nenhum endereço IP for especificado lá, a Filtragem Aprimorada para Conectores será desabilitada no conector de entrada. O valor padrão é $false.

  • EFSkipIPs: os endereços IP específicos a serem ignoradas quando o valor do parâmetro EFSkipLastIP for $false. Os valores válidos são:

    • Um único endereço IP: por exemplo, 192.168.1.1.
    • Um intervalo de endereços IP: por exemplo, 192.168.1.0-192.168.1.31.
    • IP cidr (roteamento de Inter-Domain sem classe): por exemplo, 192.168.1.0/25.

    Consulte o Ignorar esses endereços IP associados à descrição do conector na seção anterior para obter limitações em endereços IP.

  • EFUsers: o endereço de email separado por vírgulas dos endereços de email do destinatário aos quais você deseja aplicar Filtragem Aprimorada para Conectores. Confira a descrição Aplicar a um pequeno conjunto de usuários na seção anterior para obter limitações em destinatários individuais. O valor padrão está em branco ($null), o que significa que a Filtragem Aprimorada para Conectores é aplicada a todos os destinatários.

Este exemplo configura o conector de entrada chamado Do Serviço Anti-Spam com as seguintes configurações:

  • A filtragem aprimorada para conectores está habilitada no conector e o endereço IP da última fonte de mensagem é ignorado.
  • A filtragem aprimorada para conectores só se aplica aos endereços michelle@contoso.comde email do destinatário , laura@contoso.come julia@contoso.com.
Set-InboundConnector -Identity "From Anti-Spam Service" -EFSkipLastIP $true -EFUsers "michelle@contoso.com","laura@contoso.com","julia@contoso.com"

Observação: para desabilitar a Filtragem Aprimorada para Conectores, use o valor $false para o parâmetro EFSkipLastIP .

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-InboundConnector.

O que acontece quando você habilita a Filtragem Aprimorada para Conectores?

A tabela a seguir descreve como são as conexões antes e depois de habilitar a Filtragem Aprimorada para Conectores:

Recurso Antes que a filtragem aprimorada seja habilitada Depois que a filtragem aprimorada for habilitada
autenticação de domínio Email Implícito usando a tecnologia de proteção anti-falsificação. Explícito, com base nos registros SPF, DKIM e DMARC do domínio de origem no DNS.
X-MS-Exchange-ExternalOriginalInternetSender Não disponível Esse cabeçalho será carimbado se a listagem de skip tiver sido bem-sucedida, habilitada no conector e a correspondência do destinatário ocorrer. O valor deste campo contém informações sobre o endereço de origem verdadeiro.
X-MS-Exchange-SkipListedInternetSender Não disponível Esse cabeçalho será carimbado se a listagem de ignorar estiver habilitada no conector, independentemente das correspondências do destinatário. O valor deste campo contém informações sobre o endereço de origem verdadeiro. Esse cabeçalho é usado principalmente para fins de relatório e para ajudar a entender os cenários do WhatIf.

Você pode exibir as melhorias na filtragem e no relatório usando o relatório status proteção contra ameaças no portal Microsoft Defender. Para obter mais informações, consulte Relatório status proteção contra ameaças.

Confira também

Melhores práticas de fluxo de email para Exchange Online, Microsoft 365 e Office 365 (visão geral)

Configurar o fluxo de e-mails usando conectores