Улучшенная фильтрация соединителей в Exchange Online

  • Статья

Правильно настроенные входящие соединители являются надежным источником входящей почты в Microsoft 365 или Office 365. Но в сложных сценариях маршрутизации, когда электронная почта для вашего домена Microsoft 365 или Office 365 направляется в другое место, источник входящего соединителя обычно не является истинным показателем того, откуда пришло сообщение. К сложным сценариям маршрутизации относятся:

  • Сторонние службы облачной фильтрации
  • Управляемые модули фильтрации
  • Гибридные среды (например, локальная среда Exchange)

Маршрутизация почты в сложных сценариях выглядит следующим образом:

Схема потока обработки почты для сложных сценариев маршрутизации.

Как видите, сообщение принимает исходный IP-адрес службы, (модуль) или локальной организации Exchange, которая находится перед Microsoft 365. Сообщение поступает в Microsoft 365 с другим исходным IP-адресом. Это поведение не является ограничением Microsoft 365; Это просто то, как работает SMTP.

В этих сценариях вы по-прежнему можете максимально эффективно использовать Exchange Online Protection (EOP) и Microsoft Defender для Office 365 с помощью расширенной фильтрации для соединителей (также известной как пропустить список).

После включения расширенной фильтрации для соединителей маршрутизация почты в сложных сценариях маршрутизации выглядит следующим образом:

Схема потока обработки почты для сложных сценариев маршрутизации после включения функции

Как видите, расширенная фильтрация соединителей позволяет сохранять сведения об IP-адресах и отправителях, что имеет следующие преимущества:

  • Улучшена точность стека фильтрации Майкрософт и моделей машинного обучения, которые включают:
    • Эвристическая кластеризация
    • Защита от спуфингов
    • Защита от фишинга
  • Улучшенные возможности после нарушения в автоматизированном расследовании и реагировании (AIR)
  • Возможность явной проверки подлинности электронной почты (SPF, DKIM и DMARC) для проверки репутации отправляющего домена для олицетворения и обнаружения подделок. Дополнительные сведения о явной и неявной проверке подлинности электронной почты см. в разделе проверка подлинности Email в EOP.

Дополнительные сведения см. в разделе Что происходит при включении расширенной фильтрации для соединителей? далее в этой статье.

Используйте процедуры, описанные в этой статье, чтобы включить расширенную фильтрацию для соединителей на отдельных соединителях. Дополнительные сведения о соединителях в Exchange Online см. в разделе Настройка потока обработки почты с помощью соединителей.

Примечание.

  • Мы всегда рекомендуем указывать запись MX на Microsoft 365 или Office 365, чтобы снизить сложность. Например, некоторые узлы могут сделать недействительными подписи DKIM, вызывая ложные срабатывания. Если за защиту электронной почты отвечают две системы, определить, какая из них действовала с сообщением, сложнее.
  • Наиболее распространенными сценариями, для которых предназначена расширенная фильтрация, являются гибридные среды; однако почта, предназначенная для локальных почтовых ящиков (исходящая почта), по-прежнему не будет фильтроваться EOP. Единственный способ получить полное сканирование EOP во всех почтовых ящиках — переместить запись MX в Microsoft 365 или Office 365.
  • За исключением сценариев линейной входящей маршрутизации, в которых MX указывает на локальные серверы, добавление ip-адресов локального гибридного сервера в расширенный список пропуска фильтра не поддерживается в сценарии централизованного потока обработки почты. Это может привести к тому, что EOP сканирует сообщения электронной почты локального гибридного сервера, добавляет значение заголовка компаутов и может привести к тому, что EOP помечает сообщение как спам. В настроенной гибридной среде нет необходимости добавлять их в список пропусков. Список пропусков в основном предназначен для сценариев, когда перед клиентом Microsoft 365 есть стороннее устройство или фильтр. Дополнительные сведения см. в статье Mx record points to third-party spam filtering.
  • Не размещайте другую службу сканирования или узел после EOP. Когда EOP сканирует сообщение, будьте осторожны, чтобы не разорвать цепочку доверия, перенаправив почту через любой сервер, отличный от Exchange, который не является частью вашей облачной или локальной организации. Когда сообщение в конечном итоге поступает в целевой почтовый ящик, заголовки из первого вердикта сканирования могут быть не точными. Централизованный почтовый транспорт не следует использовать для введения серверов, отличных от Exchange, в путь потока обработки почты.

Настройка расширенной фильтрации для соединителей

Что нужно знать перед началом работы

  • Включите все доверенные IP-адреса, связанные с локальными узлами, или сторонние фильтры, отправляющие сообщения электронной почты в microsoft 365 или Office 365 организации, включая все промежуточные прыжки с общедоступными IP-адресами. Чтобы получить эти IP-адреса, обратитесь к документации или поддержке, предоставляемой службой.

  • Если у вас есть правила потока обработки почты (также известные как правила транспорта), которые устанавливают для SCL значение -1 для сообщений, проходящих через этот соединитель, эти правила потока обработки почты необходимо отключить после включения расширенной фильтрации для соединителей.

  • Чтобы открыть портал Microsoft Defender, перейдите на страницу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Расширенной фильтрации для соединителей, используйте .https://security.microsoft.com/skiplisting

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Сведения о подключении к Exchange Online Protection PowerShell см. в статье Подключение к Exchange Online Protection PowerShell.

  • Чтобы настроить расширенную фильтрацию для соединителей, необходимо быть членом одной из следующих групп ролей:

  • Расширенная фильтрация для соединителей не поддерживается в гибридных средах, использующих централизованный почтовый транспорт.

Используйте портал Microsoft Defender для настройки расширенной фильтрации соединителей на входящего соединителя.

  1. На портале Microsoft Defender перейдите в раздел Политики совместной работы>Email & & Правила> Политикиугроз в > разделе Правила, раздел >Расширенная фильтрация.

  2. На странице Расширенная фильтрация для соединителей выберите входящий соединитель, который нужно настроить, щелкнув имя.

  3. В появившемся всплывающем окне сведений о соединителе настройте следующие параметры:

    • IP-адреса, которые нужно пропустить: выберите одно из следующих значений:

      • Отключить расширенную фильтрацию для соединителей. Отключите расширенную фильтрацию для соединителей на соединителях.

      • Автоматическое обнаружение и пропуск последнего IP-адреса. Рекомендуется использовать это значение, если необходимо пропустить только последний источник сообщения.

      • Пропустите эти IP-адреса, связанные с соединителем. Выберите это значение, чтобы настроить список IP-адресов для пропуска.

        Важно!

        • Ввод IP-адресов Microsoft 365 или Office 365 не поддерживается. Не используйте эту функцию для компенсации проблем, возникающих из-за неподдерживаемых путей маршрутизации электронной почты. Будьте осторожны и ограничьте диапазоны IP-адресов только системами электронной почты, которые будут обрабатывать сообщения вашей организации до Microsoft 365 или Office 365.
        • Не поддерживается ввод любого частного IP-адреса, определенного в RFC 1918 (10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16). Расширенная фильтрация автоматически обнаруживает и пропускает частные IP-адреса. Если предыдущий прыжок является почтовым сервером, который находится за устройством преобразования сетевых адресов (NAT), который назначает частные IP-адреса, рекомендуется настроить NAT для назначения общедоступного IP-адреса почтовому серверу.

    • Если выбран параметр Автоматически определять и пропустить последний IP-адрес или Пропустить эти IP-адреса, связанные с соединителем, появится раздел Применить к этим пользователям :

      • Применяется ко всей организации. Мы рекомендуем использовать это значение после того, как вы протестируете функцию для небольшого числа получателей.

      • Применить к небольшому набору пользователей. Выберите это значение, чтобы настроить список адресов электронной почты получателей, к которым применяется расширенная фильтрация соединителей. Мы рекомендуем использовать это значение в качестве начальной проверки функции.

        Примечание.

        • Это значение влияет только на фактические адреса электронной почты, которые вы указали. Например, если у пользователя есть пять адресов электронной почты, связанных с его почтовым ящиком (также известные как прокси-адреса), необходимо указать здесь все пять адресов электронной почты. В противном случае сообщения, отправленные на четыре других адреса электронной почты, будут проходить обычную фильтрацию.
        • В гибридных средах, где входящая почта проходит через локальный Exchange, необходимо указать targetAddress объекта MailUser . Например, michelle@contoso.mail.onmicrosoft.com.
        • Это значение влияет только на сообщения, в которых здесь указаны все получатели. Если сообщение содержит получателей , не указанных здесь, обычная фильтрация применяется ко всем получателям сообщения.

      • Применить ко всей организации. Мы рекомендуем использовать это значение после того, как вы протестируете функцию для нескольких получателей.

  4. По завершении нажмите кнопку Сохранить.

Настройка расширенной фильтрации соединителей для входящего соединителя с помощью Exchange Online PowerShell или Exchange Online Protection PowerShell

Чтобы настроить расширенную фильтрацию для соединителей входящего соединителя, используйте следующий синтаксис:

Set-InboundConnector -Identity <ConnectorIdentity> [-EFSkipLastIP <$true | $false>] [-EFSkipIPs <IPAddresses>] [-EFUsers "emailaddress1","emailaddress2",..."emailaddressN"]

  • EFSkipLastIP: допустимые значения:

    • $true: пропускается только последний источник сообщения.
    • $false: пропустите IP-адреса, указанные параметром EFSkipIPs . Если IP-адреса там не указаны, расширенная фильтрация для соединителей отключена на входящего соединителя. Значение по умолчанию — $false.

  • EFSkipIPs: конкретные IP-адреса, которые следует пропустить, если значение параметра EFSkipLastIP равно $false. Допустимые значения:

    • Один IP-адрес: например. 192.168.1.1
    • Диапазон IP-адресов: например, 192.168.1.0-192.168.1.31.
    • IP-адрес маршрутизации Inter-Domain (CIDR): например. 192.168.1.0/25

    Ограничения на IP-адреса см. в разделе Пропуск этих IP-адресов, связанных с описанием соединителя в предыдущем разделе.

  • EFUsers: разделенные запятыми адреса электронной почты получателей, к которым требуется применить расширенную фильтрацию для соединителей. Ограничения для отдельных получателей см. в описании применения к небольшому набору пользователей в предыдущем разделе. Значение по умолчанию пустое ($null), что означает, что расширенная фильтрация соединителей применяется ко всем получателям.

В этом примере входящий соединитель с именем From Anti-Spam Service настраивается со следующими параметрами:

  • Расширенная фильтрация для соединителей включена на соединителе, а IP-адрес последнего источника сообщений пропускается.
  • Расширенная фильтрация для соединителей применяется только к адресам электронной почты michelle@contoso.comполучателя , laura@contoso.comи julia@contoso.com.
Set-InboundConnector -Identity "From Anti-Spam Service" -EFSkipLastIP $true -EFUsers "michelle@contoso.com","laura@contoso.com","julia@contoso.com"

Примечание. Чтобы отключить расширенную фильтрацию для соединителей, используйте значение $false параметра EFSkipLastIP .

Подробные сведения о синтаксисе и параметрах см. в разделе Set-InboundConnector.

Что происходит при включении расширенной фильтрации для соединителей?

В следующей таблице описано, как выглядят подключения до и после включения расширенной фильтрации для соединителей.

Функция До включения расширенной фильтрации После включения расширенной фильтрации
проверка подлинности Email домена Неявное использование технологии защиты от подделки. Явно, на основе записей SPF, DKIM и DMARC исходного домена в DNS.
X-MS-Exchange-ExternalOriginalInternetSender Недоступно Этот заголовок пометится, если перечисление пропуска прошло успешно, включено в соединителе и происходит совпадение получателей. Значение этого поля содержит сведения о истинном исходном адресе.
X-MS-Exchange-SkipListedInternetSender Недоступно Этот заголовок пометится, если в соединителе был включен параметр пропуска, независимо от того, соответствует ли получатель. Значение этого поля содержит сведения о истинном исходном адресе. Этот заголовок используется в основном для создания отчетов и помогает понять сценарии WhatIf.

Улучшения в фильтрации и создании отчетов можно просмотреть с помощью отчета о состоянии защиты от угроз на портале Microsoft Defender. Дополнительные сведения см. в статье Отчет о состоянии защиты от угроз.

См. также

Рекомендации по потоку обработки почты для Exchange Online, Microsoft 365 и Office 365 (обзор)

Настройка потока обработки почты с помощью соединителя