共用方式為

在雲端組織中配置連線過濾

提示

你知道你可以免費試用 Microsoft Defender for Office 365 Plan 2 的功能嗎? 請於 Microsoft Defender 入口試用中心使用 Defender for Office 365 的 90 天試用版。 了解誰可以註冊並試用 Microsoft Defender for Office 365

在所有擁有雲端郵箱的組織中,都可透過預設連線過濾政策進行連線過濾,允許或阻擋來自指定 IP 位址的 SMTP 電子郵件連線 (郵件投遞) 。 預設連線篩選原則的主要元件如下:

  • IP 允許清單:跳過所有來自指定來源 IP 位址或 IP 範圍的來信垃圾郵件過濾。 所有來信仍會被掃描是否有惡意軟體和高信心的釣魚攻擊。 關於其他仍存在垃圾郵件過濾的情況,請參閱本文後面「 IP 允許清單中來源郵件仍被過濾 的情況情境」。 欲了解更多關於 IP 允許清單如何融入整體授權清單策略的資訊,請參閱 建立發送者允許清單

  • IP 封鎖清單:封鎖來自指定來源 IP 位址或 IP 位址範圍的所有進來訊息。 收到的訊息會被拒絕,不會被標記為垃圾郵件,也不會進行其他過濾。 欲了解更多關於IP封鎖名單如何融入整體封鎖寄件人策略的資訊,請參閱 「建立寄件人封鎖名單」。

  • 安全清單:預設連線過濾政策中的 安全清單 是動態允許清單,不需要客戶設定。 Microsoft 從訂閱各種非 Microsoft 清單中辨識這些可信的電子郵件來源。 你可以啟用或停用保險箱清單的使用;你無法設定清單中的伺服器。 來自安全名單郵件伺服器的來信會跳過垃圾郵件過濾。

本文說明如何在 Microsoft 365 Microsoft Defender 入口網站或 Exchange Online PowerShell 中設定預設連線過濾政策。 關於 Microsoft 365 如何使用連線過濾作為您組織整體反垃圾郵件設定的一部分,請參見 反垃圾郵件保護

注意事項

IP 允許清單、安全清單和 IP 封鎖清單是你整體策略中允許或封鎖電子郵件的一環。 欲了解更多資訊,請參閱 建立寄件人允許清單建立寄件人封鎖名單

不支援 IPv6 範圍。 你可以在 租戶允許/封鎖清單中建立和管理 IPv6 位址的條目。

IP 封鎖清單中被封鎖來源的訊息無法在 訊息追蹤中顯示。

開始之前有哪些須知?

  • 你可以在 https://security.microsoft.com. 開啟 Microsoft Defender 入口網站。 若要直接移至 [反垃圾郵件原則] 頁面,請使用 https://security.microsoft.com/antispam

  • 若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell

  • 您必須已獲派權限,才能進行本文中的程序。 您有下列選項:

    • Microsoft Defender 全面偵測回應 基於角色的統一存取控制 (RBAC) (若 Email & 協作>,Defender for Office 365 權限為啟用。僅影響 Defender 入口網站,不影響 PowerShell) :授權與設定/安全設定/核心安全設定 (管理) 或授權與設定/安全設定/核心安全設定 (讀取)

    • Exchange Online 權限

      • 修改政策:加入 組織管理資安管理員 角色群組。
      • 政策的唯讀存取:加入 全域閱讀器、 安全閱讀器或 僅檢視組織管理 角色群組。

    • Microsoft Entra 權限:成為全域管理員*安全管理員全域閱讀器安全閱讀器角色的成員,可賦予使用者在 Microsoft 365 中其他功能所需的權限權限。

      重要事項

      * Microsoft 強烈主張最小權限原則。 僅分配執行任務所需的最低權限,有助於降低安全風險並強化組織整體防護。 全域管理員是一個高度特權的職位,應該限制在緊急情境或無法使用其他角色時使用。

  • 要找到你想要允許或封鎖的電子郵件伺服器 (寄件人) 的來源 IP 位址,可以在訊息標頭中檢查連接 IP (CIP) 標頭欄位。 要在各種電子郵件客戶端查看訊息標頭,請參見 Outlook 中的「查看網路訊息標頭」。

  • IP 允許清單優先於 IP 封鎖清單 (兩個清單中的一個地址都未被封鎖) 。

  • IP 允許清單與 IP 封鎖清單各支援最多 1,273 個條目,其中條目為單一 IP 位址、IP 位址範圍,或 CIDR) IP (無類別域間路由。

使用 Microsoft Defender 入口網站修改預設連線過濾政策

  1. 在Microsoft Defender入口https://security.microsoft.com網站,請前往政策區塊的協作Email &>政策 & 規則>、威脅政策>、反垃圾郵件。 或者,若要直接前往 反垃圾郵件政策 頁面,請使用 https://security.microsoft.com/antispam

  2. 反垃圾郵件政策 頁面,點擊清單中除名稱旁勾選框以外的任何位置,選擇 連線過濾政策 (預設)

  3. 在開啟的政策細節飛出視窗中,請使用 編輯 連結修改政策設定:

    • 描述區塊:選擇編輯描述,在開啟的編輯名稱與描述飛出視窗的描述框中輸入政策描述。 你不能修改保單名稱。

      當你完成 編輯名稱和描述 的選項後,選擇 儲存

    • 連線過濾 區塊:選擇 編輯連線過濾政策。 在開啟的飛出視窗中,請設定以下設定:

      • 請始終允許來自以下 IP 位址或位址範圍的訊息:此設定即為 IP 允許清單。 點選方框,輸入一個數值,然後按下 ENTER 鍵或選擇下方顯示的完整數值。 有效值為:

        • 單一 IP:例如,192.168.1.1。
        • IP 範圍:例如 192.168.0.1-192.168.0.254。
        • CIDR IP:例如,192.168.0.1/25。 有效的子網遮罩值為 /24 至 /32。 若要跳過 /1 至 /23 的垃圾郵件過濾,請參閱本文後面關於 CIDR IP 在可用範圍外的垃圾郵件過濾 部分。

        視需要重複此步驟多次。 要移除現有條目,請選擇 該條目旁邊的項目。

    • 請務必封鎖來自以下 IP 位址或位址範圍的訊息:此設定即為 IP 封鎖清單。 在該框中輸入單一 IP、IP 範圍或 CIDR IP,如先前「 永遠允許來自以下 IP 位址或位址範圍的訊息 」設定。

    • 開啟安全清單:啟用或停用指定已知且良好寄件人的安全清單,以避免垃圾郵件過濾。 要使用保險箱清單,請勾選勾選方塊。

    當你完成飛行任務後,選擇 儲存

  4. 回到保單細節的跳板,選擇 關閉

提示

如果你新增的 IP 位址範圍沒有立即出現在連線過濾政策中,請採取以下步驟:

  • 試著重新整理入口網站或確認 Exchange Online PowerShell 的變更:

    Get-HostedConnectionFilterPolicy -Identity Default

  • 請確認你擁有「開始前你需要知道什麼?」章節所描述的 Microsoft Entra ID 權限。

如果問題持續存在,可能表示同步延遲或服務有問題。

請使用 Microsoft Defender 入口網站查看預設連線過濾政策

在Microsoft Defender入口https://security.microsoft.com網站,請前往政策區塊的協作Email &>政策 & 規則>、威脅政策>、反垃圾郵件。 或者,若要直接前往 反垃圾郵件政策 頁面,請使用 https://security.microsoft.com/antispam

反垃圾郵件政策 頁面,以下屬性顯示在政策列表中:

  • 名稱:預設連線過濾政策稱為 連線過濾政策 (預設)
  • 狀態:預設連線過濾政策的值為 「永遠開啟 」。
  • 優先權:預設連線過濾政策的值為 最低
  • 類型:預設連線過濾策略的值為空。

要將政策清單從正常間距改為緊湊間距,請選擇 「變更清單間距為緊湊」或「正常」,然後選擇 「緊湊」清單

請使用 搜尋 框及相應的數值來尋找特定保單。

點擊該列中除名稱旁勾選框以外的任何地方,即可選擇預設連線過濾政策,以開啟政策的詳細跳板。

使用 PowerShell 修改預設連線過濾政策

Exchange Online PowerShell 中,請使用以下語法:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
  • 有效的 IP 位址或位址範圍值如下:
    • 單一 IP:例如,192.168.1.1。
    • IP 範圍:例如 192.168.0.1-192.168.0.254。
    • CIDR IP:例如,192.168.0.1/25。 有效的網路遮罩值為 /24 至 /32。
  • 若要 覆蓋 任何現有的條目,並指定值,請使用以下語法: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN
  • 若要 新增或移除 IP 位址或位址範圍,且不影響其他現有條目,請使用以下語法: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}
  • 要清空 IP 允許清單或 IP 封鎖清單,請使用值 $null

此範例配置了 IP 允許清單與 IP 封鎖清單,並設定指定的 IP 位址與位址範圍。

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

此範例會新增或移除指定的 IP 位址及位址範圍,從 IP 允許清單中移除。

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

如需詳細語法與參數資訊,請參見 Set-HostedConnectionFilterPolicy

如何知道這些程序是否正常運作?

要確認你已成功修改預設連線過濾政策,請執行以下任一步驟:

  • 在Microsoft Defender入口網站https://security.microsoft.com/antispam反垃圾郵件政策頁面,從列表中選擇連線過濾政策 (預設) ,方法是點擊該行中除名稱旁勾選框以外的任何位置,並在開啟的詳細說明視窗中確認政策設定。

  • 在 Exchange Online PowerShell 中,執行以下指令並驗證設定:

    Get-HostedConnectionFilterPolicy -Identity Default

  • 從 IP 允許清單上的一個項目發送測試訊息。

關於 IP 允許清單的其他考量

以下章節指出您在設定 IP 允許清單時需要注意的其他事項。

注意事項

所有來信都會被掃描是否有惡意軟體和高信心的釣魚攻擊,無論訊息來源是否在 IP 允許清單中。

跳過超出可用範圍的 CIDR IP 垃圾郵件過濾

如本文前述所述,你只能在 IP 允許清單中使用帶有網路遮罩 /24 到 /32 的 CIDR IP。

要跳過來自 /1 到 /23 範圍郵件伺服器的垃圾郵件過濾,可以使用 Exchange 郵件流規則 (也稱為傳輸規則) 。 不過,我們不建議使用郵件流程規則。 如果 /1 到 /23 CIDR IP 範圍的 IP 位址出現在 Microsoft 專有或非 Microsoft 的封鎖名單中,則該訊息會被封鎖。

既然你已經完全了解潛在問題,可以建立包含以下設定的郵件流規則, (至少) ,以確保這些 IP 地址的郵件能跳過垃圾郵件過濾:

  • 規則條件:如果>發送方>IP 位址位於上述任一範圍內或完全符合>, (輸入你的 CIDR IP 並設定 /1 到 /23 的網路遮罩) ,則適用此規則
  • 規則操作: 修改訊息屬性>設定垃圾信賴等級 (SCL) >繞過垃圾郵件過濾

你可以審核規則、測試規則、在特定時間段啟用規則,以及其他選擇。 施行規則之前,建議先測試規則一段時間。 欲了解更多資訊,請參閱 Exchange Online 中的郵件流管理規則

跳過同一來源的選擇性電子郵件網域的垃圾郵件過濾

通常,將 IP 位址或地址範圍加入 IP 允許清單,代表你信任該郵件來源的所有來信。 如果該來源從多個網域發送郵件,而你想跳過部分網域的垃圾郵件過濾,但其他則不行呢? 你可以將 IP 允許清單與郵件流程規則結合使用。

例如,來源郵件伺服器 192.168.1.25 會從網域 contoso.com、fabrikam.com 和 tailspintoys.com 發送郵件,但你只想跳過來自 fabrikam.com 的寄件人郵件的垃圾郵件過濾:

  1. 將 192.168.1.25 加入 IP 允許清單。

  2. 請設定郵件流規則,並 (至少) :

    • 規則條件:如果>寄件者的>IP 位址位於上述任一範圍內,或>與你在前一步加入 IP 允許清單的相同 IP 位址或地址範圍 192.168.1.25 (,則套用此規則) 。
    • 規則動作:修改訊息屬性>,將垃圾郵件信心等級設為 SCL () >0
    • 規則例外: 寄件>者網域只> fabrikam.com (你想跳過垃圾郵件過濾) 的網域。

來自 IP 允許清單來源訊息仍被過濾的情況

注意事項

這些情境適用於所有環境:獨立、混合、多地理及跨森林。 過濾行為是基於安全檢查 (例如惡意軟體偵測、釣魚攻擊防護或郵件流程規則,而非部署模型。

來自您 IP 允許清單中的電子郵件伺服器的郵件,在以下情況下仍會受到垃圾郵件過濾的限制:

  • 你的 IP 允許清單中的 IP 位址也會被設定 在任何 Microsoft 365 組織的本地 IP 入站連接器中, 該 Microsoft 365 組織與第一台遇到該訊息的 Microsoft 365 伺服器,都恰巧位於 Microsoft 資料中心的 一個 forest。 在此情境中, IPV:CAL 被加入訊息的 反垃圾郵件標頭 , (表示訊息已通過垃圾郵件過濾) ,但郵件仍受垃圾郵件過濾影響。

  • 包含 IP 允許清單的組織,以及最先遇到該訊息的 Microsoft 365 伺服器,兩者都恰巧位於 Microsoft 資料中心 的不同 森林中。 在此情境中,訊息標頭中不會新增 IPV:CAL ,因此訊息仍會受到垃圾郵件過濾的影響。

如果你遇到上述任一情況,可以建立包含以下設定的郵件流規則, (至少有) ,以確保來自有問題 IP 位址的郵件能跳過垃圾郵件過濾:

  • 規則條件:如果>寄件者的>IP 位址在這些範圍內任一,或與你的 IP 位址 () 完全一致>,則應套用此規則
  • 規則操作: 修改訊息屬性>設定垃圾信賴等級 (SCL) >繞過垃圾郵件過濾

剛接觸 Microsoft 365 嗎?

LinkedIn Learning 的簡短圖示。剛接觸 Microsoft 365 嗎?發掘由 LinkedIn Learning 提供給 Microsoft 365 管理員與 IT 專業人士的免費影片課程。

  • Last updated on