正确配置的入站连接器是Microsoft 365 的受信任传入邮件源。 但在复杂路由方案中,Microsoft 365 域的电子邮件首先路由到其他位置,入站连接器的源通常不是邮件来源的真实指标。 复杂的路由方案包括:
- 非Microsoft云筛选服务。
- 托管筛选设备。
- 例如,混合环境 (本地 Exchange) 。
复杂方案中的邮件路由如下所示:
可以看到,该消息采用位于 Microsoft 365 前面的最后一个跃点的源 IP。 消息以不同的源 IP 地址到达 Microsoft 365。 此行为不是 Microsoft 365 的限制;它只是 SMTP 的工作原理。
在这些方案中,仍可使用 (连接器增强筛选(也称为跳过列表) )充分利用所有云邮箱的内置安全功能和Office 365 Microsoft Defender。
为连接器启用增强筛选后,复杂路由方案中的邮件路由如下所示:
可以看到,连接器的增强筛选会保留源 IP 地址和发件人信息。
在这些路由方案中,通常使用 ARC 密封 来使用 DKIM 维护源信息和消息完整性。 但是,许多修改消息的服务不支持 ARC。 为了在这些情况下提供帮助,连接器的增强筛选不仅保留了上一跃点中的 IP 地址,而且还从 DKIM 签名失败中智能地恢复。 此行为可帮助消息通过欺骗智能筛选器传递身份验证。
连接器的增强筛选具有以下优势:
- 提高了Microsoft筛选堆栈和机器学习模型的准确性,其中包括:
- 由于内容修改和缺少 ARC 密封,减少了 DMARC 中的误报。
- 启发式聚类分析
- 反欺骗
- 防网络钓鱼
- AIR ) 自动调查和响应 ( 更好的违规后功能
- 能够使用显式电子邮件身份验证 (SPF、DKIM 和 DMARC) 来验证发送域的信誉,以便进行模拟和欺骗检测。 有关显式和隐式电子邮件身份验证的详细信息,请参阅 Microsoft 365 中的Email身份验证。
有关详细信息,请参阅本文后面的 为连接器启用增强筛选时会发生什么情况? 部分。
使用本文中的过程在各个连接器上为连接器启用增强筛选。 有关 Exchange Online 中的连接器的详细信息,请参阅使用连接器配置邮件流。
注意
- 连接器的增强筛选适用于域的 MX 记录不指向 Microsoft 365 的方案。 例如:
- 混合环境,其中 Internet 邮件在传递到 Microsoft 365 之前通过本地 Exchange 环境路由。 Microsoft 365 不会扫描发送给本地收件人的邮件。
- Internet 邮件在传递到 Microsoft 365 收件人之前,通过非Microsoft服务或设备路由,如 MX 记录指向非Microsoft垃圾邮件筛选中所述。
- 连接器的增强筛选不适用于非Microsoft服务或扫描 Microsoft 365 后 的邮件的设备。 Microsoft 365 扫描邮件后,请注意不要通过不属于云或本地组织的任何非 Exchange 服务器路由邮件来破坏信任链。 当邮件最终到达目标邮箱时,第一次扫描判决的标头可能不再准确。
- 在集中式邮件传输中的非线性入站路由方案中,不支持将本地混合服务器添加到连接器的增强筛选。 此配置可能导致 Microsoft 365 扫描从本地环境返回的邮件。 此行为向邮件添加
compauth标头值,这可能会导致 邮件被标识为垃圾邮件。 在集中式邮件传输中的 线性入站路由 方案中,支持将本地混合服务器添加到连接器的增强筛选。- 不支持将本地混合服务器添加到连接器增强筛选 (非线性入站路由 的示例) :
- Internet > Microsoft 365 > 本地 > Microsoft 365
- Internet > 非Microsoft服务 > Microsoft 365 > 本地 > Microsoft 365
- ) 支持将本地混合服务器添加到连接器增强筛选 (线性入站路由 的示例:
- >本地 Internet > Microsoft 365
- Internet > 非Microsoft服务 > 本地 > Microsoft 365
- 不支持将本地混合服务器添加到连接器增强筛选 (非线性入站路由 的示例) :
为连接器配置增强筛选
注意
目前,IPv6 地址仅在 PowerShell 中受支持。 若要使用 PowerShell 为连接器配置增强筛选,请参阅本文后面的 使用 PowerShell 为入站连接器上的连接器配置增强筛选 部分。
开始前,有必要了解什么?
包括与本地主机关联的所有受信任 IP 地址或向 Microsoft 365 组织发送电子邮件的非Microsoft筛选器,包括具有公共 IP 地址的任何中间跃点。 若要获取这些 IP 地址,请参阅随服务提供的文档或支持。
为连接器启用增强筛选后,必须 禁用 任何邮件流规则 (也称为传输规则) ,这些规则将流经此连接器的邮件 的 SCL 设置为 -1 。 可能需要维护 SCL = -1 邮件流规则的异常:
- 你将Microsoft Defender用于Office 365评估模式。
- 你正在逐步执行 深度防御 配置。
若要打开Microsoft Defender门户,请转到 https://security.microsoft.com。 若要直接转到“ 连接器增强筛选 ”页,请使用 https://security.microsoft.com/skiplisting。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Exchange Online权限:组织管理角色组中的成员身份。
Microsoft Entra权限:全局管理员或 Exchange 管理员*角色的成员身份。
重要
* Microsoft强烈主张最低特权原则。 仅向帐户分配执行其任务所需的最低权限有助于降低安全风险,并增强组织的整体保护。 全局管理员是一种高特权角色,应限制在紧急情况下或无法使用其他角色时使用。
使用 Microsoft Defender 门户为入站连接器上的连接器配置增强筛选
在Microsoft Defender门户中,转到“Email &协作>策略 & 规则>威胁策略”页>“规则”部分>“增强筛选”。
在“ 连接器的增强筛选 ”页上,单击名称选择要配置的入站连接器。
在显示的连接器详细信息浮出控件中,配置以下设置:
要跳过的 IP 地址:选择以下值之一:
禁用连接器的增强筛选:关闭连接器上的连接器增强筛选。
自动检测并跳过最后一个 IP 地址:如果只跳过最后一个消息源,建议使用此值。
跳过与连接器关联的这些 IP 地址:选择此值以配置要跳过的 IP 地址列表。
重要
- 不支持Microsoft 365 个 IP 地址。 请勿使用此功能来弥补不受支持的电子邮件路由路径引入的问题。 请谨慎使用,并将 IP 范围限制为仅在 Microsoft 365 或 Office 365 之前处理自己组织邮件的电子邮件系统。
- 由 RFC 1918 (10.0.0.0/8 定义的环回地址 (127.0.0.0/8) 或专用 IP 地址, 不支持 172.16.0.0/12 和 192.168.0.0/16) 。 增强筛选会自动检测并跳过环回地址和专用 IP 地址。 应配置任何网络地址转换 (NAT) 设备,以将公共 IP 地址分配给电子邮件传送涉及的电子邮件服务器,并将其分配给 Microsoft 365。
- 目前,IPv6 地址仅在 PowerShell 中受支持。
如果选择了“自动检测并跳过最后一个 IP 地址”或“跳过与连接器关联的这些 IP 地址”,则将显示“应用于这些用户”部分:
适用于整个组织:建议先在几个收件人上测试此功能后使用此值。
应用于一小部分用户:选择此值可配置适用于连接器的增强筛选的收件人电子邮件地址列表。 建议使用此值作为功能的初始测试。
注意
- 此值仅在指定的实际电子邮件地址上有效。 例如,如果用户有五个电子邮件地址与其邮箱关联, (也称为 代理地址) ,则需要在此处指定其所有五个电子邮件地址。 否则,发送到其他四个电子邮件地址的邮件将经过正常筛选。
- 在入站邮件流经本地 Exchange 的混合环境中,必须指定 MailUser 对象的 TargetAddress。 例如,
michelle@contoso.mail.onmicrosoft.com。 - 此值仅对此处指定 了所有 收件人的邮件有效。 如果邮件包含此处未指定 的任何 收件人,则常规筛选将应用于邮件 的所有 收件人。
适用于整个组织:建议先在几个收件人上测试此功能后使用此值。
完成后,选择“保存”。
使用 PowerShell 为入站连接器上的连接器配置增强筛选
若要在入站连接器上为连接器配置增强筛选,请连接到 Exchange Online PowerShell 并使用以下语法:
Set-InboundConnector -Identity <ConnectorIdentity> [-EFSkipLastIP <$true | $false>] [-EFSkipIPs <IPAddresses>] [-EFUsers "emailaddress1","emailaddress2",..."emailaddressN"]
EFSkipLastIP:有效值为:
-
$true:仅跳过最后一个消息源。 -
$false:跳过 EFSkipIPs 参数指定的 IP 地址。 如果未指定 IP 地址,则会在入站连接器上禁用连接器的增强筛选。 默认值为$false。
-
EFSkipIPs:当 EFSkipLastIP 参数值为
$false时要跳过的特定 IPv4 或 IPv6 地址。 有效值包含:-
单个 IP 地址:例如
192.168.1.1。 -
IP 地址范围:例如
192.168.1.0-192.168.1.31。 -
无类 Inter-Domain 路由 (CIDR) IP:例如
192.168.1.0/25。
有关 IP 地址的限制,请参阅上一部分中的 跳过这些与连接器关联的 IP 地址说明。
-
单个 IP 地址:例如
EFUsers:要对其应用连接器增强筛选的收件人电子邮件地址的逗号分隔电子邮件地址。 有关单个收件人的限制,请参阅上 一部分中的“应用于一小部分用户 ”说明。 默认值为空白 (
$null) ,这意味着连接器的增强筛选将应用于所有收件人。
此示例使用以下设置配置名为 From Anti-Spam Service 的入站连接器:
- 连接器上启用了连接器的增强筛选,并跳过最后一个消息源的 IP 地址。
- 连接器的增强筛选仅适用于收件人电子邮件地址
michelle@contoso.com、laura@contoso.com和julia@contoso.com。
Set-InboundConnector -Identity "From Anti-Spam Service" -EFSkipLastIP $true -EFUsers "michelle@contoso.com","laura@contoso.com","julia@contoso.com"
若要禁用连接器的增强筛选,请使用 EFSkipLastIP 参数的值$false。
有关详细语法和参数信息,请参阅 Set-InboundConnector。
为连接器启用增强筛选时会发生什么情况?
下表描述了在为连接器启用增强筛选之前和之后连接的外观:
| 功能 | 启用增强筛选之前 | 启用增强筛选后 |
|---|---|---|
| Email域身份验证 | 隐式 使用反欺骗保护技术。 | 显式,基于 DNS 中的源域的 SPF、DKIM 和 DMARC 记录。 |
| X-MS-Exchange-ExternalOriginalInternetSender | 不可用 | 如果跳过列表成功,在连接器上启用,并且收件人匹配发生,则会标记此标头。 此字段的值包含有关真实源地址的信息。 |
| X-MS-Exchange-SkipListedInternetSender | 不可用 | 如果在连接器上启用了跳过列表,则会标记此标头,而不考虑收件人匹配项。 此字段的值包含有关真实源地址的信息。 此标头主要用于报告目的并帮助了解 WhatIf 方案。 |
可以使用 Microsoft Defender 门户中的威胁防护状态报告来查看筛选和报告方面的改进。 有关详细信息,请参阅 威胁防护状态报告。