Настройка фильтрации подключений

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях Microsoft 365 с Exchange Online почтовыми ящиками или автономными Exchange Online Protection организациями без Exchange Online почтовых ящиков фильтрация подключений и политика фильтра подключений по умолчанию определяют хорошие или плохие исходные почтовые серверы по IP-адресам. Ключевые компоненты политики фильтра подключений по умолчанию:

• Список разрешенных IP-адресов. Пропустите фильтрацию спама для всех входящих сообщений из указанных исходных IP-адресов или диапазонов IP-адресов. Все входящие сообщения проверяются на наличие вредоносных программ и фишинга с высокой степенью достоверности. Другие сценарии, в которых фильтрация нежелательной почты по-прежнему выполняется для сообщений с серверов в списке разрешенных IP-адресов, см. в разделе Сценарии, в которых сообщения из источников в списке разрешенных IP-адресов по-прежнему фильтруются далее в этой статье. Дополнительные сведения о том, как список разрешенных IP-адресов должен соответствовать общей стратегии надежных отправителей, см. в статье Создание списков надежных отправителей в EOP.

• Список блокировок IP-адресов. Блокировать все входящие сообщения из указанных исходных IP-адресов или диапазонов IP-адресов. Входящие сообщения отклоняются, не помечаются как нежелательные, и никакой другой фильтрации не происходит. Дополнительные сведения о том, как список заблокированных IP-адресов должен соответствовать общей стратегии заблокированных отправителей, см. в статье Создание списков отправителей блокировок в EOP.

• Список безопасных. Список безопасных в политике фильтра подключений — это динамический список разрешений, который не требует настройки клиента. Корпорация Майкрософт определяет эти надежные источники электронной почты из подписок на различные сторонние списки. Вы включаете или отключаете использование безопасного списка; вы не можете настроить серверы в списке. Фильтрация нежелательной почты пропускается для входящих сообщений с серверов электронной почты в безопасном списке.

В этой статье описывается настройка политики фильтра подключений по умолчанию на портале microsoft 365 Microsoft Defender или в Exchange Online PowerShell. Дополнительные сведения о том, как EOP использует фильтрацию подключений, является частью общих параметров защиты от нежелательной почты в организации, см. в разделе Защита от нежелательной почты.

Примечание.

Список разрешенных IP-адресов, список безопасных и список заблокированных IP-адресов являются частью общей стратегии, позволяющей разрешать или блокировать электронную почту в организации. Дополнительные сведения см. в разделах Создание списков надежных отправителей и Создание списков заблокированных отправителей.

Диапазоны IPv6 не поддерживаются.

Сообщения из заблокированных источников в списке заблокированных IP-адресов недоступны в трассировке сообщений.

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы сразу перейти к странице Политики защиты от нежелательной почты, используйте ссылку https://security.microsoft.com/antispam.

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

  • разрешения Exchange Online:

    • Изменение политик: членство в группах ролей "Управление организацией" или "Администратор безопасности ".
    • Доступ только для чтения к политикам: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".

  • Microsoft Entra разрешения. Членство в ролях "Глобальный администратор^*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

    Важно!

    ^* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

• Чтобы найти исходные IP-адреса почтовых серверов (отправителей), которые необходимо разрешить или заблокировать, можно проверка поле заголовка подключающегося IP-адреса (CIP) в заголовке сообщения. Сведения о просмотре заголовков сообщений в различных почтовых клиентах см. в статье Просмотр заголовков сообщений в Интернете в Outlook.

• Список разрешенных IP-адресов имеет приоритет над списком заблокированных IP-адресов (адрес в обоих списках не блокируется).

• Список разрешенных IP-адресов и список блокировок IP-адресов поддерживают не более 1273 записей, где запись представляет собой один IP-адрес, диапазон IP-адресов или IP-адрес cidr(CIDR).

Изменение политики фильтра подключений по умолчанию с помощью портала Microsoft Defender

1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.

2. На странице Политики защиты от нежелательной почты выберите Политика фильтра подключений (по умолчанию) в списке, щелкнув в любом месте строки, кроме поля проверка рядом с именем.

3. В открывавшемся всплывающем окне сведений о политике используйте ссылки Изменить , чтобы изменить параметры политики:

   • Раздел описание . Выберите Изменить описание , чтобы ввести описание политики в поле Описание открывающегося всплывающего окна Изменение имени и описания . Вы не можете изменить имя политики.

     По завершении во всплывающем окне Изменение имени и описания нажмите кнопку Сохранить.

   • Раздел "Фильтрация подключений": выберите Изменить политику фильтра подключений. В открывавшемся всплывающем меню настройте следующие параметры:

     • Всегда разрешать сообщения из следующих IP-адресов или диапазона адресов: этот параметр является списком разрешенных IP-адресов. Щелкните поле, введите значение, а затем нажмите клавишу ВВОД или выберите полное значение, которое отображается под полем. Допустимые значения:

       • Один IP-адрес: например, 192.168.1.1.
       • Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
       • IP-адрес CIDR: например, 192.168.0.1/25. Допустимые значения маски подсети: от /24 до /32. Чтобы пропустить фильтрацию нежелательной почты для /1 до /23, см . раздел Пропустить фильтрацию нежелательной почты для IP-адреса CIDR за пределами доступного диапазона далее в этой статье.

       Повторите этот шаг нужное количество раз. Чтобы удалить существующую запись, щелкните рядом с записью.

   • Всегда блокируйте сообщения из следующих IP-адресов или диапазона адресов: этот параметр является списком блокировок IP-адресов. Введите в поле один IP-адрес, диапазон IP-адресов или IP-адрес CIDR, как описано ранее в параметре Всегда разрешать сообщения из следующих IP-адресов или диапазона адресов .

   • Включить безопасный список. Включите или отключите использование списка безопасности для выявления известных, хороших отправителей, которые пропускают фильтрацию нежелательной почты. Чтобы использовать список безопасных, выберите поле проверка.

   Завершив работу с всплывающей кнопкой, нажмите кнопку Сохранить.

4. Вернитесь во всплывающее окно сведений о политике и нажмите кнопку Закрыть.

Используйте портал Microsoft Defender для просмотра политики фильтра подключений по умолчанию.

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.

На странице Политики защиты от нежелательной почты в списке политик отображаются следующие свойства:

• Имя: политика фильтра подключений по умолчанию называется политика фильтра подключений (по умолчанию).
• Состояние: значение Always on для политики фильтра подключений по умолчанию.
• Приоритет. Для политики фильтра подключений по умолчанию используется наименьшее значение.
• Тип: значение пусто для политики фильтра подключений по умолчанию.

Чтобы изменить список политик с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Используйте поле Поиск и соответствующее значение для поиска определенных политик.

Выберите политику фильтра подключений по умолчанию, щелкнув в любом месте строки, кроме поля проверка рядом с именем, чтобы открыть всплывающее окно сведений о политике.

Использование Exchange Online PowerShell или автономной EOP PowerShell для изменения политики фильтра подключений по умолчанию

Используйте следующий синтаксис.

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]

• Допустимые значения IP-адреса или диапазона адресов:
  • Один IP-адрес: например, 192.168.1.1.
  • Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
  • IP-адрес CIDR: например, 192.168.0.1/25. Допустимые значения маски сети: от /24 до /32.
• Чтобы перезаписать все существующие записи указанными значениями, используйте следующий синтаксис: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
• Чтобы добавить или удалить IP-адреса или диапазоны адресов, не затрагивая другие существующие записи, используйте следующий синтаксис: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
• Чтобы очистить список разрешенных IP-адресов или список блокировок IP-адресов, используйте значение $null.

В этом примере в списке разрешенных IP-адресов и в списке заблокированных IP-адресов настраиваются указанные IP-адреса и диапазоны адресов.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

В этом примере указанные IP-адреса и диапазоны адресов добавляются из списка разрешенных IP-адресов и удаляются из него.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Подробные сведения о синтаксисе и параметрах см. в разделе Set-HostedConnectionFilterPolicy.

Как проверить, что эти процедуры выполнены?

Чтобы убедиться, что вы успешно изменили политику фильтра подключений по умолчанию, выполните одно из следующих действий.

• На странице Политики защиты от нежелательной почты на портале Microsoft Defender по адресу https://security.microsoft.com/antispamвыберите Политика фильтра подключений (по умолчанию) в списке, щелкнув в любом месте строки, кроме поля проверка рядом с именем, и проверьте параметры политики в открывающемся всплывающем окне сведений.

• В Exchange Online PowerShell или автономном EOP PowerShell выполните следующую команду и проверьте параметры:

  Get-HostedConnectionFilterPolicy -Identity Default
  

• Отправка тестового сообщения из записи в списке разрешенных IP-адресов.

Дополнительные рекомендации по списку разрешенных IP-адресов

В следующих разделах указаны дополнительные элементы, о которые необходимо знать при настройке списка разрешенных IP-адресов.

Примечание.

Все входящие сообщения проверяются на наличие вредоносных программ и фишинга с высокой степенью достоверности независимо от того, находится ли источник сообщения в списке разрешенных IP-адресов.

Пропустить фильтрацию нежелательной почты для IP-адреса CIDR за пределами доступного диапазона

Как описано ранее в этой статье, вы можете использовать ТОЛЬКО IP-адрес CIDR с маской сети от /24 до /32 в списке разрешенных IP-адресов. Чтобы пропустить фильтрацию нежелательной почты на сообщениях с исходных почтовых серверов в диапазоне от /1 до /23, необходимо использовать правила потока обработки почты Exchange (также известные как правила транспорта). Но мы рекомендуем не использовать метод правила потока обработки почты, так как сообщения блокируются, если IP-адрес в диапазоне IP-адресов CIDR /1–/23 отображается в любом из списков заблокированных или сторонних поставщиков Майкрософт.

Теперь, когда вы в полной мере знаете о потенциальных проблемах, вы можете создать правило потока обработки почты со следующими параметрами (как минимум), чтобы сообщения с этих IP-адресов пропускали фильтрацию спама:

• Условие правила. Примените это правило, если>IP-адрес отправителя находится в любом из этих диапазонов или точно соответствует> (введите IP-адрес CIDR с маской сети /1–/23).>
• Действие правила. Изменение свойств> сообщенияЗадайте уровень достоверности нежелательной почты (SCL)>Обход фильтрации нежелательной почты.

Вы можете выполнить аудит правила, протестировать его, активировать правило в течение определенного периода времени и другие параметры. Мы рекомендуем протестировать правило в течение определенного времени перед его применением. Дополнительные сведения см. в статье Управление правилами потока обработки почты в Exchange Online.

Пропустить фильтрацию нежелательной почты в выборочных доменах электронной почты из одного источника

Как правило, добавление IP-адреса или диапазона адресов в список разрешенных IP-адресов означает, что вы доверяете всем входящим сообщениям из этого источника электронной почты. Что делать, если этот источник отправляет электронную почту из нескольких доменов, и вы хотите пропустить фильтрацию спама для некоторых из этих доменов, но не для других? Список разрешенных IP-адресов можно использовать в сочетании с правилом потока обработки почты.

Например, исходный почтовый сервер 192.168.1.25 отправляет электронную почту из доменов contoso.com, fabrikam.com и tailspintoys.com, но вы хотите пропустить фильтрацию спама только для сообщений от отправителей в fabrikam.com:

1. Добавьте 192.168.1.25 в список разрешенных IP-адресов.

2. Настройте правило потока обработки почты со следующими параметрами (как минимум):

   • Условие правила. Примените это правило, если>IP-адрес отправителя находится в любом из этих диапазонов или точно соответствует> 192.168.1.25 (тот же IP-адрес или диапазон адресов, которые вы добавили в список разрешенных IP-адресов на предыдущем шаге).>
   • Действие правила. Изменение свойств> сообщенияЗадайте уровень достоверности нежелательной почты (SCL)>0.
   • Исключение правила. Домен отправителя>fabrikam.com> (только домен или домены, которые нужно пропустить фильтрацию нежелательной почты).

Сценарии, в которых сообщения из источников в списке разрешенных IP-адресов по-прежнему фильтруются

Сообщения с почтового сервера в списке разрешенных IP-адресов по-прежнему подвергаются фильтрации нежелательной почты в следующих сценариях:

• IP-адрес в списке разрешенных IP-адресов также настраивается в локальном соединителе входящего трафика на основе IP-адресов в любом клиенте Microsoft 365 (назовем этот клиент A), а клиент A и сервер EOP, который впервые встречает сообщение, оказались в одном лесу Active Directory в центрах обработки данных Майкрософт. В этом сценарии IPV:CALдобавляется в заголовки сообщений защиты от нежелательной почты (что указывает, что сообщение обошло фильтрацию нежелательной почты), но сообщение по-прежнему подлежит фильтрации нежелательной почты.

• Клиент, содержащий список разрешенных IP-адресов и сервер EOP, на котором впервые встречается сообщение, находится в разных лесах Active Directory в центрах обработки данных Майкрософт. В этом сценарии IPV:CALне добавляется в заголовки сообщений, поэтому сообщение по-прежнему подвергается фильтрации спама.

В любом из этих сценариев можно создать правило потока обработки почты со следующими параметрами (как минимум), чтобы сообщения с проблемных IP-адресов пропускали фильтрацию нежелательной почты:

• Условие правила. Примените это правило, если>IP-адрес отправителя находится в любом из этих диапазонов или точно соответствует> (ваш IP-адрес или адреса).>
• Действие правила. Изменение свойств> сообщенияЗадайте уровень достоверности нежелательной почты (SCL)>Обход фильтрации нежелательной почты.

Не знакомы с Microsoft 365?

---

Не знакомы с Microsoft 365? Ознакомьтесь с бесплатными видеокурсами для администраторов и ИТ-специалистов Microsoft 365, представленными LinkedIn Learning.