Konfigurera anslutningsfiltrering
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
I Microsoft 365-organisationer med Exchange Online postlådor eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor, anslutningsfiltrering och standardprincipen för anslutningsfilter identifierar du bra eller dåliga käll-e-postservrar efter IP-adresser. Huvudkomponenterna i standardprincipen för anslutningsfilter är:
Lista över tillåtna IP-adresser: Hoppa över skräppostfiltrering för alla inkommande meddelanden från angivna käll-IP-adresser eller IP-adressintervall. Alla inkommande meddelanden genomsöks efter skadlig kod och nätfiske med hög konfidens. Andra scenarier där skräppostfiltrering fortfarande sker på meddelanden från servrar i listan över tillåtna IP-adresser finns i avsnittet Scenarier där meddelanden från källor i listan över tillåtna IP-adresser fortfarande filtreras senare i den här artikeln. Mer information om hur listan över tillåtna IP-adresser ska passa in i din övergripande strategi för säkra avsändare finns i Skapa listor över säkra avsändare i EOP.
IP-blockeringslista: Blockera alla inkommande meddelanden från de angivna käll-IP-adresserna eller IP-adressintervallen. Inkommande meddelanden avvisas, markeras inte som skräppost och ingen annan filtrering sker. Mer information om hur IP-blockeringslistan ska passa in i din övergripande strategi för blockerade avsändare finns i Skapa listor över blockavsändare i EOP.
Säker lista: Den säkra listan i principen för anslutningsfilter är en dynamisk lista över tillåtna som inte kräver någon kundkonfiguration. Microsoft identifierar dessa betrodda e-postkällor från prenumerationer till olika tredjepartslistor. Du aktiverar eller inaktiverar användningen av den säkra listan. du kan inte konfigurera servrarna i listan. Skräppostfiltrering hoppas över på inkommande meddelanden från e-postservrarna i listan över säkra meddelanden.
Den här artikeln beskriver hur du konfigurerar standardprincipen för anslutningsfilter i Microsoft 365 Microsoft Defender-portalen eller i Exchange Online PowerShell. Mer information om hur EOP använder anslutningsfiltrering är en del av organisationens övergripande inställningar för skräppostskydd finns i Skydd mot skräppost.
Obs!
Listan över tillåtna IP-adresser, listan över säkra och IP-blockering är en del av din övergripande strategi för att tillåta eller blockera e-post i din organisation. Mer information finns i Skapa listor över betrodda avsändare och Skapa blockerade avsändarlistor.
IPv6-intervall stöds inte.
Meddelanden från blockerade källor i IP-blockeringslistan är inte tillgängliga i meddelandespårningen.
Vad behöver jag veta innan jag börjar?
Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Principer för skräppostskydd använder du https://security.microsoft.com/antispam.
Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell. Information om hur du ansluter till fristående EOP PowerShell finns i Anslut till Exchange Online Protection PowerShell.
Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:
Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell): Auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (hantera) eller auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (läs).
-
- Ändra principer: Medlemskap i rollgrupperna Organisationshantering eller Säkerhetsadministratör .
- Skrivskyddad åtkomst till principer: Medlemskap i rollgrupperna Global läsare, Säkerhetsläsare eller Visa endast organisationshantering .
Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör*, Säkerhetsadministratör, Global läsare eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.
Viktigt
* Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Om du vill hitta käll-IP-adresserna för de e-postservrar (avsändare) som du vill tillåta eller blockera kan du kontrollera det anslutande IP-huvudfältet (CIP) i meddelandehuvudet. Om du vill visa ett meddelandehuvud i olika e-postklienter kan du läsa Visa meddelandehuvuden på Internet i Outlook.
Listan över tillåtna IP-adresser har företräde framför IP-blockeringslistan (en adress i båda listorna blockeras inte).
Listan över tillåtna IP-adresser och IP-blockeringslistan stöder högst 1 273 poster, där en post är en enda IP-adress, ett IP-adressintervall eller en CIDR-IP (Classless InterDomain Routing).
Använd Microsoft Defender-portalen för att ändra standardprincipen för anslutningsfilter
I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Mot skräppost i avsnittet Principer. Om du vill gå direkt till sidan Principer för skräppostskydd använder du https://security.microsoft.com/antispam.
På sidan Principer för skräppostskydd väljer du Princip för anslutningsfilter (standard) i listan genom att klicka var som helst på raden förutom kryssrutan bredvid namnet.
I den utfällbara menyn principinformation som öppnas använder du redigera länkar för att ändra principinställningarna:
Beskrivningsavsnitt : Välj Redigera beskrivning för att ange en beskrivning för principen i rutan Beskrivning i den utfällbara menyn Redigera namn och beskrivning som öppnas. Du kan inte ändra namnet på principen.
När du är klar med den utfällbara menyn Redigera namn och beskrivning väljer du Spara.
Avsnittet Anslutningsfiltrering : Välj Redigera princip för anslutningsfilter. I den utfällbara menyn som öppnas konfigurerar du följande inställningar:
Tillåt alltid meddelanden från följande IP-adresser eller adressintervall: Den här inställningen är listan över tillåtna IP-adresser. Klicka i rutan, ange ett värde och tryck sedan på RETUR eller välj det fullständiga värdet som visas under rutan. Giltiga värden är:
- Enskild IP-adress: Till exempel 192.168.1.1.
- IP-intervall: Till exempel 192.168.0.1-192.168.0.254.
- CIDR IP: Till exempel 192.168.0.1/25. Giltiga nätmaskvärden är /24 till /32. Om du vill hoppa över skräppostfiltrering för /1 till /23 läser du avsnittet Hoppa över skräppostfiltrering för en CIDR-IP-adress utanför det tillgängliga intervallet senare i den här artikeln.
Upprepa det här steget så många gånger det behövs. Om du vill ta bort en befintlig post väljer du bredvid posten.
Blockera alltid meddelanden från följande IP-adresser eller adressintervall: Den här inställningen är IP-blockeringslistan. Ange en ip-adress, ett IP-intervall eller en CIDR-IP-adress i rutan enligt beskrivningen ovan i inställningen Tillåt alltid meddelanden från följande IP-adresser eller adressintervall .
Aktivera säker lista: Aktivera eller inaktivera användningen av den säkra listan för att identifiera kända, bra avsändare som hoppar över skräppostfiltrering. Markera kryssrutan om du vill använda listan över betrodda datorer.
När du är klar med den utfällbara menyn väljer du Spara.
Gå tillbaka till den utfällbara menyn med principinformation och välj Stäng.
Använd Microsoft Defender-portalen för att visa standardprincipen för anslutningsfilter
I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Mot skräppost i avsnittet Principer. Om du vill gå direkt till sidan Principer för skräppostskydd använder du https://security.microsoft.com/antispam.
På sidan Principer för skräppostskydd visas följande egenskaper i listan över principer:
- Namn: Standardprincipen för anslutningsfilter heter Anslutningsfilterprincip (standard).
- Status: Värdet är Alltid aktiverat för standardprincipen för anslutningsfilter.
- Prioritet: Värdet är Lägst för standardprincipen för anslutningsfilter.
- Typ: Värdet är tomt för standardprincipen för anslutningsfilter.
Om du vill ändra listan över principer från normalt till kompakt avstånd väljer du Ändra listavstånd till kompakt eller normal och väljer sedan Komprimera lista.
Använd sökrutan och ett motsvarande värde för att hitta specifika principer.
Välj standardprincipen för anslutningsfilter genom att klicka någonstans på raden förutom kryssrutan bredvid namnet för att öppna den utfällbara menyn med information om principen.
Använd Exchange Online PowerShell eller fristående EOP PowerShell för att ändra standardprincipen för anslutningsfilter
Använd följande syntax:
Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
- Giltiga VÄRDEN för IP-adress eller adressintervall är:
- Enskild IP-adress: Till exempel 192.168.1.1.
- IP-intervall: Till exempel 192.168.0.1-192.168.0.254.
- CIDR IP: Till exempel 192.168.0.1/25. Giltiga nätverksmaskvärden är /24 till /32.
- Om du vill skriva över befintliga poster med de värden som du anger använder du följande syntax:
IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN
. - Om du vill lägga till eller ta bort IP-adresser eller adressintervall utan att påverka andra befintliga poster använder du följande syntax:
@{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}
. - Om du vill tömma listan över tillåtna IP-adresser eller IP-blockering använder du värdet
$null
.
I det här exemplet konfigureras listan över tillåtna IP-adresser och IP-blockeringslistan med angivna IP-adresser och adressintervall.
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24
Det här exemplet lägger till och tar bort de angivna IP-adresserna och adressintervallen från listan över tillåtna IP-adresser.
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}
Detaljerad information om syntax och parametrar finns i Set-HostedConnectionFilterPolicy.
Hur vet jag att de här procedurerna fungerade?
Kontrollera att du har ändrat standardprincipen för anslutningsfilter genom att utföra något av följande steg:
På sidan Principer för skräppostskydd i Microsoft Defender-portalen på https://security.microsoft.com/antispamväljer du Princip för anslutningsfilter (standard) i listan genom att klicka någon annanstans på raden än kryssrutan bredvid namnet och kontrollera principinställningarna i den utfällbara menyn med information som öppnas.
I Exchange Online PowerShell eller fristående EOP PowerShell kör du följande kommando och kontrollerar inställningarna:
Get-HostedConnectionFilterPolicy -Identity Default
Skicka ett testmeddelande från en post i listan över tillåtna IP-adresser.
Ytterligare överväganden för listan över tillåtna IP-adresser
I följande avsnitt identifieras ytterligare objekt som du behöver känna till när du konfigurerar listan över tillåtna IP-adresser.
Obs!
Alla inkommande meddelanden genomsöks efter skadlig kod och nätfiske med hög konfidens, oavsett om meddelandekällan finns i listan över tillåtna IP-adresser.
Hoppa över skräppostfiltrering för en CIDR-IP-adress utanför det tillgängliga intervallet
Som beskrivs tidigare i den här artikeln kan du bara använda en CIDR IP med nätverksmasken /24 till /32 i listan över tillåtna IP-adresser. Om du vill hoppa över skräppostfiltrering på meddelanden från källans e-postservrar i intervallet /1 till /23 måste du använda exchange-e-postflödesregler (även kallade transportregler). Men vi rekommenderar att du inte använder e-postflödesregelmetoden eftersom meddelandena blockeras om en IP-adress i IP-intervallet /1 till /23 CIDR visas på någon av Microsofts egna blockeringslistor eller blockeringslistor från tredje part.
Nu när du är fullt medveten om de potentiella problemen kan du skapa en e-postflödesregel med följande inställningar (minst) för att säkerställa att meddelanden från dessa IP-adresser hoppar över skräppostfiltrering:
- Regelvillkor: Tillämpa den här regeln om>avsändarens IP-adress finns i något av dessa intervall eller exakt matchar> (ange din CIDR IP med en /1 till /23 nätverksmask).>
- Regelåtgärd: Ändra meddelandeegenskaperna>Ange SCL (Spam Confidence Level)>Bypass spam filtering (Kringgå skräppostfiltrering).
Du kan granska regeln, testa regeln, aktivera regeln under en viss tidsperiod och andra val. Vi rekommenderar att du testar regeln under en period innan du tillämpar den. Mer information finns i Hantera e-postflödesregler i Exchange Online.
Hoppa över skräppostfiltrering på selektiva e-postdomäner från samma källa
Att lägga till en IP-adress eller ett adressintervall i listan över tillåtna IP-adresser innebär vanligtvis att du litar på alla inkommande meddelanden från e-postkällan. Vad händer om källan skickar e-post från flera domäner och du vill hoppa över skräppostfiltrering för vissa av dessa domäner, men inte andra? Du kan använda listan över tillåtna IP-adresser i kombination med en e-postflödesregel.
Till exempel skickar e-postservern 192.168.1.25 e-post från domänerna contoso.com, fabrikam.com och tailspintoys.com, men du vill bara hoppa över skräppostfiltrering för meddelanden från avsändare i fabrikam.com:
Lägg till 192.168.1.25 i listan över tillåtna IP-adresser.
Konfigurera en e-postflödesregel med följande inställningar (minst):
- Regelvillkor: Tillämpa den här regeln om>avsändarens IP-adress finns i något av dessa intervall eller exakt matchar> 192.168.1.25 (samma IP-adress eller adressintervall som du lade till i listan över tillåtna IP-adresser i föregående steg).>
- Regelåtgärd: Ändra meddelandeegenskaperna>Ange SCL (Spam Confidence Level)>0.
- Regelfel: Avsändardomänen>är> fabrikam.com (endast den domän eller de domäner som du vill hoppa över skräppostfiltrering).
Scenarier där meddelanden från källor i listan över tillåtna IP-adresser fortfarande filtreras
Meddelanden från en e-postserver i listan över tillåtna IP-adresser omfattas fortfarande av skräppostfiltrering i följande scenarier:
En IP-adress i listan över tillåtna IP-adresser konfigureras också i en lokal, IP-baserad inkommande anslutningsapp i alla klientorganisationer i Microsoft 365 (vi anropar detta klient A) och Klient A och EOP-servern som först stöter på meddelandet som båda råkar finnas i samma Active Directory-skog i Microsofts datacenter. I det här scenariot läggsIPV:CAL till i meddelandets meddelandehuvuden för skräppostskydd (vilket anger att meddelandet kringgick skräppostfiltreringen), men meddelandet är fortfarande föremål för skräppostfiltrering.
Din klientorganisation som innehåller listan över tillåtna IP-adresser och den EOP-server som först påträffar meddelandet råkar båda finnas i olika Active Directory-skogar i Microsofts datacenter. I det här scenariot läggs IPV:CALinte till i meddelandehuvudena, så meddelandet är fortfarande föremål för skräppostfiltrering.
Om du stöter på något av dessa scenarier kan du skapa en e-postflödesregel med följande inställningar (minst) för att säkerställa att meddelanden från problematiska IP-adresser hoppar över skräppostfiltrering:
- Regelvillkor: Tillämpa den här regeln om>avsändarens IP-adress finns i något av dessa intervall eller exakt matchar> (din IP-adress eller dina adresser).>
- Regelåtgärd: Ändra meddelandeegenskaperna>Ange SCL (Spam Confidence Level)>Bypass spam filtering (Kringgå skräppostfiltrering).
Har du inte använt Microsoft 365 tidigare?
Har du inte använt Microsoft 365 tidigare? Upptäck kostnadsfria videokurser för Microsoft 365-administratörer och IT-proffs, som linkedin learning ger dig.