Compartilhar via

Filtragem Melhorada para Conectores no Exchange Online

Os conectores de entrada configurados corretamente são uma origem fidedigna de receção de correio para o Microsoft 365 ou Office 365. No entanto, em cenários de encaminhamento complexos em que o e-mail para o seu domínio do Microsoft 365 ou Office 365 é encaminhado para outro local primeiro, a origem do conector de entrada normalmente não é o verdadeiro indicador de onde a mensagem veio. Os cenários de encaminhamento complexos incluem:

  • Serviços de filtragem na cloud de terceiros
  • Aplicações de filtragem geridas
  • Ambientes híbridos (por exemplo, com o Exchange no local)

O encaminhamento de correio em cenários complexos tem o seguinte aspeto:

Diagrama de fluxo de correio para cenários de encaminhamento complexos.

Como pode ver, a mensagem adota o IP de origem do serviço, dispositivo ou organização do Exchange no local que se encontra à frente do Microsoft 365. A mensagem chega ao Microsoft 365 com um endereço IP de origem diferente. Este comportamento não é uma limitação do Microsoft 365; é simplesmente como o SMTP funciona.

Nestes cenários, ainda pode tirar o máximo partido de Proteção do Exchange Online (EOP) e Microsoft Defender para Office 365 ao utilizar a Filtragem Avançada para Conectores (também conhecido como ignorar listagem).

Depois de ativar a Filtragem Avançada para Conectores, o encaminhamento de correio em cenários de encaminhamento complexos tem o seguinte aspeto:

Diagrama de fluxo de correio para cenários de encaminhamento complexos depois de a opção Melhorar a Filtragem de Conectores estar ativada.

Como pode ver, a Filtragem Avançada para conectores permite preservar as informações do remetente e do endereço IP.

Nestes cenários de encaminhamento, é normalmente utilizado um selo ARC para manter as informações de origem e a integridade das mensagens com o DKIM. No entanto, o DKIM falha frequentemente porque muitos serviços que modificam a mensagem não suportam o ARC. Para ajudar nestas situações, a Filtragem Avançada para Conectores não só preserva o endereço IP do salto anterior, como também recupera de forma inteligente de falhas de assinatura do DKIM. Este comportamento ajuda as mensagens a passar a autenticação através dos filtros de inteligência spoof.

A Filtragem Avançada para Conectores tem as seguintes vantagens:

  • Precisão melhorada para os modelos de machine learning e pilha de filtragem da Microsoft, que incluem:
    • Foram reduzidos os falsos positivos no DMARC devido à modificação de conteúdo e à falta de um selo ARC.
    • Clustering heurístico
    • Anti-spoofing
    • Antiphishing
  • Melhores capacidades pós-falha na Investigação e resposta automatizadas (AIR)
  • Capaz de utilizar a autenticação explícita de e-mail (SPF, DKIM e DMARC) para verificar a reputação do domínio de envio para representação e deteção de spoof. Para obter mais informações sobre a autenticação de e-mail explícita e implícita, consulte Email autenticação no Microsoft 365.

Para obter mais informações, consulte a secção O que acontece quando ativa a Filtragem Avançada para Conectores? mais adiante neste artigo.

Utilize os procedimentos neste artigo para ativar a Filtragem Avançada para Conectores em conectores individuais. Para obter mais informações sobre conectores no Exchange Online, consulte Configurar o fluxo de correio com conectores.

Observação

  • A Filtragem Avançada para Conectores destina-se a cenários em que o registo MX do domínio não aponta para o Microsoft 365. Por exemplo:
    • Ambientes híbridos em que o correio da Internet é encaminhado através do ambiente do Exchange no local antes de ser entregue no Microsoft 365. Os e-mails enviados para destinatários no local não são analisados pelo Microsoft 365.
    • O correio na Internet é encaminhado através de um serviço ou dispositivo que não seja da Microsoft antes da entrega aos destinatários do Microsoft 365, conforme descrito em MX record points to third-party spam filtering.
  • A Filtragem Avançada de Conectores não se destina a serviços ou dispositivos que não sejam da Microsoft que analisam o e-mail após o Microsoft 365. Assim que o Microsoft 365 analisar uma mensagem, tenha cuidado para não quebrar a cadeia de confiança ao encaminhar o correio através de qualquer servidor que não seja do Exchange que não faça parte da sua organização na nuvem ou no local. Quando a mensagem chegar eventualmente à caixa de correio de destino, os cabeçalhos do primeiro veredicto de análise poderão já não ser precisos.
  • Em cenários de encaminhamento de entrada não lineares no Transporte de Correio Centralizado, a adição de servidores híbridos no local à Filtragem Avançada de Conectores não é suportada. Esta configuração pode fazer com que o Microsoft 365 analise o e-mail devolvido a partir do ambiente no local, o que adiciona um valor de cabeçalho de compauth às mensagens e pode resultar na identificação da mensagem como spam. Em cenários lineares de encaminhamento de entrada no Transporte de Correio Centralizado, é suportada a adição de servidores híbridos no local à Filtragem Avançada de Conectores.
    • Exemplos de encaminhamento de entrada não linear (a adição de servidores híbridos no local à Filtragem Avançada para Conectores não é suportada):
      • Internet > Microsoft 365 > No > Local Microsoft 365
      • Serviço Internet > não Microsoft > Microsoft 365 > No > Local Microsoft 365
    • São suportados exemplos de encaminhamento linear de entrada (é suportada a adição de servidores híbridos no local à Filtragem Avançada de Conectores):
      • Internet > No Local > Microsoft 365
      • Serviço internet > não Microsoft > No > local Microsoft 365

Configurar a Filtragem Avançada para Conectores

Observação

Atualmente, os endereços IPv6 são suportados apenas no PowerShell. Para utilizar o PowerShell para configurar a Filtragem Avançada para Conectores, veja a secção Utilizar Exchange Online PowerShell ou Proteção do Exchange Online PowerShell para configurar a Filtragem Avançada para Conectores num conector de entrada mais à frente neste artigo.

Do que você precisa saber para começar?

Utilizar o portal do Microsoft Defender para configurar a Filtragem Avançada para Conectores num conector de entrada

  1. No portal do Microsoft Defender, aceda à secção Políticas de Colaboração Email &políticas de colaboração >& políticasde ameaças de > regras > secção Regrasfiltragem> melhorada.

  2. Na página Filtragem Avançada para Conectores , selecione o conector de entrada que pretende configurar ao clicar no nome.

  3. Na lista de opções de detalhes do conector que é apresentada, configure as seguintes definições:

    • Endereços IP a ignorar: escolha um dos seguintes valores:

      • Desativar a Filtragem Avançada para Conectores: desative a Filtragem Avançada para Conectores no conector.

      • Detetar e ignorar automaticamente o último endereço IP: recomendamos este valor se tiver de ignorar apenas a última origem da mensagem.

      • Ignorar estes endereços IP associados ao conector: selecione este valor para configurar uma lista de endereços IP a ignorar.

        Importante

        • A introdução dos endereços IP do Microsoft 365 ou Office 365 não é suportada. Não utilize esta funcionalidade para compensar os problemas introduzidos por caminhos de encaminhamento de e-mail não suportados. Tenha cuidado e limite os intervalos de IP apenas aos sistemas de e-mail que irão processar as mensagens da sua própria organização antes do Microsoft 365 ou Office 365.
        • Não é suportado introduzir qualquer endereço de loopback (127.0.0.0/8) ou endereço IP privado definido por RFC 1918 (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16). A Filtragem Avançada deteta e ignora automaticamente endereços de loopback e endereços IP privados. Se o salto anterior for um servidor de e-mail por trás de um dispositivo de tradução de endereços de rede (NAT) que atribui endereços IP privados, recomendamos que configure o NAT para atribuir um endereço IP público ao servidor de e-mail.
        • Atualmente, os endereços IPv6 são suportados apenas no PowerShell.

    • Se tiver selecionado Detetar e ignorar automaticamente o último endereço IP ou Ignorar estes endereços IP associados ao conector, será apresentada a secção Aplicar a estes utilizadores :

      • Aplicar a toda a organização: recomendamos este valor depois de testar a funcionalidade em alguns destinatários primeiro.

      • Aplicar a um pequeno conjunto de utilizadores: selecione este valor para configurar uma lista de endereços de e-mail de destinatários aos quais se aplica a Filtragem Avançada para Conectores. Recomendamos este valor como um teste inicial da funcionalidade.

        Observação

        • Este valor só é eficaz nos endereços de e-mail reais que especificar. Por exemplo, se um utilizador tiver cinco endereços de e-mail associados à respetiva caixa de correio (também conhecida como endereços proxy), tem de especificar os cinco endereços de e-mail aqui. Caso contrário, as mensagens enviadas para os outros quatro endereços de e-mail passarão pela filtragem normal.
        • Em ambientes híbridos em que o correio de entrada flui através do Exchange no local, tem de especificar o targetAddress do objeto MailUser . Por exemplo, michelle@contoso.mail.onmicrosoft.com.
        • Este valor só é eficaz nas mensagens em que todos os destinatários são especificados aqui. Se uma mensagem contiver destinatários que não estejam especificados aqui, a filtragem normal é aplicada a todos os destinatários da mensagem.

      • Aplicar a toda a organização: recomendamos este valor depois de testar a funcionalidade em alguns destinatários primeiro.

  4. Quando terminar, selecione Salvar.

Utilizar Exchange Online PowerShell ou Proteção do Exchange Online PowerShell para configurar a Filtragem Avançada para Conectores num conector de entrada

Para configurar a Filtragem Avançada para Conectores num conector de entrada, utilize a seguinte sintaxe:

Set-InboundConnector -Identity <ConnectorIdentity> [-EFSkipLastIP <$true | $false>] [-EFSkipIPs <IPAddresses>] [-EFUsers "emailaddress1","emailaddress2",..."emailaddressN"]

  • EFSkipLastIP: os valores válidos são:

    • $true: apenas a última origem da mensagem é ignorada.
    • $false: ignore os endereços IP especificados pelo parâmetro EFSkipIPs . Se não forem especificados endereços IP, a Filtragem Avançada dos Conectores será desativada no conector de entrada. O valor padrão é $false.

  • EFSkipIPs: os endereços IPv4 ou IPv6 específicos a ignorar quando o valor do parâmetro EFSkipLastIP é $false. Os valores válidos são:

    • Um único endereço IP: por exemplo, 192.168.1.1.
    • Um intervalo de endereços IP: por exemplo, 192.168.1.0-192.168.1.31.
    • IP de Encaminhamento de Inter-Domain Sem Classe (CIDR): por exemplo, 192.168.1.0/25.

    Veja Ignorar estes endereços IP que estão associados à descrição do conector na secção anterior para obter limitações nos endereços IP.

  • EFUsers: o endereço de e-mail separado por vírgulas dos endereços de e-mail dos destinatários aos quais pretende aplicar a Filtragem Avançada para Conectores. Veja a descrição Aplicar a um pequeno conjunto de utilizadores na secção anterior para obter limitações sobre destinatários individuais. O valor predefinido está em branco ($null), o que significa que a Filtragem Avançada para Conectores é aplicada a todos os destinatários.

Este exemplo configura o conector de entrada com o nome Do Serviço Antiss spam com as seguintes definições:

  • A Filtragem Avançada para Conectores está ativada no conector e o endereço IP da última origem da mensagem é ignorado.
  • A Filtragem Avançada para Conectores aplica-se apenas aos endereços de e-mail dos destinatários michelle@contoso.com, laura@contoso.come julia@contoso.com.
Set-InboundConnector -Identity "From Anti-Spam Service" -EFSkipLastIP $true -EFUsers "michelle@contoso.com","laura@contoso.com","julia@contoso.com"

Para desativar a Filtragem Avançada para Conectores, utilize o valor $false para o parâmetro EFSkipLastIP .

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-InboundConnector.

O que acontece quando ativa a Filtragem Avançada para Conectores?

A tabela seguinte descreve o aspeto das ligações antes e depois de ativar a Filtragem Avançada para Conectores:

Recurso Antes de a Filtragem Avançada estar ativada Depois de ativar a Filtragem Avançada
autenticação de domínio Email Implícito na utilização da tecnologia de proteção anti-spoof. Explícito, com base nos registos SPF, DKIM e DMARC do domínio de origem no DNS.
X-MS-Exchange-ExternalOriginalInternetSender Não disponível Este cabeçalho será carimbado se a lista de ignorar tiver sido efetuada com êxito, ativada no conector e ocorrer a correspondência do destinatário. O valor deste campo contém informações sobre o endereço de origem verdadeiro.
X-MS-Exchange-SkipListedInternetSender Não disponível Este cabeçalho será carimbado se a lista de ignorar tiver sido ativada no conector, independentemente das correspondências dos destinatários. O valor deste campo contém informações sobre o endereço de origem verdadeiro. Este cabeçalho é utilizado principalmente para fins de relatório e para ajudar a compreender os cenários WhatIf.

Pode ver as melhorias na filtragem e nos relatórios com o relatório status Proteção contra ameaças no portal do Microsoft Defender. Para obter mais informações, veja Relatório de status de proteção contra ameaças.

Confira também

Melhores práticas de fluxo de correio para Exchange Online, Microsoft 365 e Office 365 (descrição geral)

Configurar o fluxo de e-mails usando conectores