Konfigurieren von Verbindungsfiltern

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.

Gilt für

Wenn Sie ein Microsoft 365 Kunde mit Postfächern in Exchange Online oder ein eigenständiger Exchange Online Protection (EOP)-Kunde ohne Exchange Online Postfächer verwenden Sie die Verbindungsfilterung in EOP (insbesondere die Standardverbindungsfilterrichtlinie), um gute oder schlechte Quell-E-Mail-Server anhand ihrer IP-Adressen zu identifizieren. Die Hauptkomponenten der Standardverbindungsfilter-Richtlinie sind:

  • IP-Zulassungsliste: Überspringen Sie die Spamfilterung für alle eingehenden Nachrichten von den Quell-E-Mail-Servern, die Sie nach IP-Adresse oder IP-Adressbereich angeben. Szenarien, in denen die Spamfilterung für Nachrichten aus diesen Quellen weiterhin auftreten kann, finden Sie in den Szenarien, in denen Nachrichten aus Quellen in der Liste zugelassener IP-Adressen weiter unten in diesem Artikel gefiltert werden. Weitere Informationen dazu, wie die IP-Zulassungsliste in Ihre allgemeine Strategie für sichere Absender passen sollte, finden Sie unter Erstellen von Listen sicherer Absender in EOP.

  • IP-Sperrliste: Blockieren Sie alle eingehenden Nachrichten von den Quell-E-Mail-Servern, die Sie nach IP-Adresse oder IP-Adressbereich angeben. Die eingehenden Nachrichten werden abgelehnt, nicht als Spam gekennzeichnet, und es erfolgt keine zusätzliche Filterung. Weitere Informationen dazu, wie die Blockierte IP-Liste in Ihre allgemeine Strategie für blockierte Absender passen sollte, finden Sie unter Erstellen von Listen blockierter Absender in EOP.

  • Tresor Liste: Die Liste der sicheren Benutzer ist eine dynamische Zulassungsliste im Microsoft-Rechenzentrum, für die keine Kundenkonfiguration erforderlich ist. Microsoft identifiziert diese vertrauenswürdigen E-Mail-Quellen aus Abonnements in verschiedenen Drittanbieterlisten. Sie aktivieren oder deaktivieren die Verwendung der Sicheren Liste; Sie können die Quell-E-Mail-Server nicht in der Sicheren Liste konfigurieren. Die Spamfilterung wird für eingehende Nachrichten von den E-Mail-Servern in der Sicheren Liste übersprungen.

In diesem Artikel wird beschrieben, wie Sie die Standardverbindungsfilterrichtlinie im Microsoft 365 Microsoft 365 Defender-Portal oder in PowerShell konfigurieren (Exchange Online PowerShell für Microsoft 365 Organisationen mit Postfächern in Exchange Online ; eigenständige EOP PowerShell für Organisationen ohne Exchange Online Postfächer). Weitere Informationen dazu, wie EOP verbindungsfiltert, ist Teil der allgemeinen Antispameinstellungen Ihrer Organisation, finden Sie unter Antispamschutz.For more information about how EOP uses connection filtering is part of your organization's overall anti-spam settings, see Anti-spam protection.

Hinweis

Die LISTE zugelassener IP-Adressen, die Liste der sicheren Adressen und die Liste blockierter IP-Adressen sind ein Teil Ihrer allgemeinen Strategie zum Zulassen oder Blockieren von E-Mails in Ihrer Organisation. Weitere Informationen finden Sie unter Erstellen von Listen sicherer Absender und Erstellen von Listen blockierter Absender.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft 365 Defender-Portal unter https://security.microsoft.com. Wechseln Sie direkt zur Seite Antispamrichtlinien, verwenden Sie https://security.microsoft.com/antispam.

  • Informationen zum Herstellen einer Verbindung zu Exchange Online PowerShell finden Sie unter Herstellen einer Verbindung zu Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung zu einer eigenständigen EOP-PowerShell finden Sie unter Herstellen einer Verbindung zu Exchange Online Protection-PowerShell.

  • Sie müssen in Exchange Online Berechtigungen erhalten, bevor Sie die in diesem Artikel beschriebenen Schritte ausführen können:

    • Um die Standardverbindungsfilterrichtlinie zu ändern, müssen Sie Mitglied der Rollengruppen "Organisationsverwaltung " oder " Sicherheitsadministrator " sein.
    • Für den schreibgeschützten Zugriff auf die Standardverbindungsfilterrichtlinie müssen Sie Mitglied der Rollengruppen "Globaler Leser " oder " Sicherheitsleser " sein.

    Weitere Informationen finden Sie unter Berechtigungen in Exchange Online.

    Hinweise:

    • Durch Hinzufügen von Benutzern zur entsprechenden Azure Active Directory-Rolle im Microsoft 365 Admin Center erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365. Weitere Informationen finden Sie unter Informationen zu Administratorrollen.
    • Die Rollengruppe Organisationsverwaltung mit Leserechten in Exchange Online ermöglicht auch einen schreibgeschützten Zugriff auf das Feature.
  • Um die Quell-IP-Adressen der E-Mail-Server (Absender) zu finden, die Sie zulassen oder blockieren möchten, können Sie das CIP-Kopfzeilenfeld (Connecting IP) im Nachrichtenkopf überprüfen. Informationen zum Anzeigen einer Nachrichtenkopfzeile in verschiedenen E-Mail-Clients finden Sie unter Anzeigen von Internetnachrichtenkopfzeilen in Outlook.

  • Die Liste zugelassener IP-Adressen hat Vorrang vor der IP-Sperrliste (eine Adresse in beiden Listen wird nicht blockiert).

  • Die IP-Zulassungsliste und die IP-Sperrliste unterstützen jeweils maximal 1273 Einträge, wobei ein Eintrag eine einzelne IP-Adresse, ein IP-Adressbereich oder eine CIDR-IP (Classless InterDomain Routing) ist.

Verwenden des Microsoft 365 Defender Portals zum Ändern der Standardverbindungsfilterrichtlinie

  1. Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.com zu E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien > Antispam im Abschnitt Richtlinien. Wechseln Sie direkt zur Seite Antispamrichtlinien, verwenden Sie https://security.microsoft.com/antispam.

  2. Wählen Sie auf der Seite "Antispamrichtlinien " die Option "Verbindungsfilterrichtlinie (Standard)" aus der Liste aus, indem Sie auf den Namen der Richtlinie klicken.

  3. Konfigurieren Sie im angezeigten Flyout für Richtliniendetails eine der folgenden Einstellungen:

    • Beschreibungsabschnitt : Klicken Sie auf "Name und Beschreibung bearbeiten". Geben Sie im angezeigten Flyout " Name und Beschreibung bearbeiten " optionalen beschreibenden Text in das Feld "Beschreibung " ein.

      Klicken Sie nach Abschluss des Vorgangs auf Speichern.

    • Abschnitt "Verbindungsfilterung": Klicken Sie auf "Verbindungsfilterrichtlinie bearbeiten". Konfigurieren Sie im angezeigten Flyout die folgenden Einstellungen:

      • Nachrichten aus den folgenden IP-Adressen oder Adressbereichen immer zulassen: Dies ist die Liste zugelassener IP-Adressen. Klicken Sie in das Feld, geben Sie einen Wert ein, und drücken Sie dann die EINGABETASTE, oder wählen Sie den vollständigen Wert aus, der unterhalb des Felds angezeigt wird. Gültige Werte sind:

        Wiederholen Sie diesen Schritt so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie auf das Symbol „Entfernen“. neben dem Wert.

      Wenn Sie die IP-Adresse oder den Adressbereich hinzufügen möchten, klicken Sie in das Feld, und geben Sie itclick Add Icon ein. Um einen Eintrag zu entfernen, wählen Sie den Eintrag in der zugelassenen IP-Adresse aus, und klicken Sie dann auf Entfernen. Klicken Sie nach Abschluss des Vorgangs auf Speichern.

    • Nachrichten aus den folgenden IP-Adressen oder Adressbereichen immer blockieren: Dies ist die IP-Sperrliste. Geben Sie eine einzelne IP-Adresse, einen IP-Bereich oder eine CIDR-IP in das Feld ein, wie zuvor in der Einstellung " Nachrichten von den folgenden IP-Adressen oder Adressbereich immer zulassen " beschrieben.

    • Sichere Liste aktivieren oder deaktivieren: Aktivieren oder deaktivieren Sie die Verwendung der sicheren Liste, um bekannte, gute Absender zu identifizieren, die die Spamfilterung überspringen. Um die sichere Liste zu verwenden, aktivieren Sie das Kontrollkästchen.

    Klicken Sie nach Abschluss des Vorgangs auf Speichern.

  4. Zurück auf dem Flyout der Richtliniendetails klicken Sie auf Schließen.

Verwenden des Microsoft 365 Defender Portals zum Anzeigen der Standardverbindungsfilterrichtlinie

  1. Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.com zu E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien > Antispam im Abschnitt Richtlinien. Wechseln Sie direkt zur Seite Antispamrichtlinien, verwenden Sie https://security.microsoft.com/antispam.

  2. Auf der Seite "Antispamrichtlinien " werden die folgenden Eigenschaften in der Liste der Richtlinien angezeigt:

    • Name: Dieser Wert ist die Verbindungsfilterrichtlinie (Standard) für die Standardverbindungsfilterrichtlinie.
    • Status: Dieser Wert ist für die Standardverbindungsfilterrichtlinie immer aktiviert .
    • Priorität: Dieser Wert ist für die Standardverbindungsfilterrichtlinie am niedrigsten .
    • Typ: Dieser Wert ist für die Standardverbindungsfilterrichtlinie leer.
  3. Wenn Sie die Standardverbindungsfilterrichtlinie auswählen, werden die Richtlinieneinstellungen in einem Flyout angezeigt.

Verwenden von Exchange Online PowerShell oder eigenständiger EOP PowerShell zum Ändern der Standardverbindungsfilterrichtlinie

Verwenden Sie die folgende Syntax:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]

Hinweise:

  • Gültige IP-Adress- oder Adressbereichswerte sind:
    • Einzelne IP-Adresse: Beispielsweise 192.168.1.1.
    • IP-Bereich: Beispielsweise 192.168.0.1-192.168.0.254.
    • CIDR-IP: Beispielsweise 192.168.0.1/25. Gültige Netzwerkformatwerte sind /24 bis /32.
  • Verwenden Sie die folgende Syntax, um vorhandene Einträge mit den von Ihnen angegebenen Werten zu überschreiben : IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
  • Verwenden Sie die folgende Syntax, um IP-Adressen oder Adressbereiche hinzuzufügen oder zu entfernen , ohne dass sich dies auf andere einträge auswirkt: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
  • Verwenden Sie den Wert $null, um die IP-Zulassungsliste oder die IP-Sperrliste zu leeren.

In diesem Beispiel werden die IP-Zulassungsliste und die IP-Sperrliste mit den angegebenen IP-Adressen und Adressbereichen konfiguriert.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

In diesem Beispiel werden die angegebenen IP-Adressen und Adressbereiche aus der Liste zugelassener IP-Adressen hinzugefügt und entfernt.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-HostedConnectionFilterPolicy.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Führen Sie einen der folgenden Schritte aus, um zu überprüfen, ob Sie die Standardverbindungsfilterrichtlinie erfolgreich geändert haben:

  • Wählen Sie auf der Seite "Antispam" im Microsoft 365 Defender Portal unter https://security.microsoft.com/antispamdie Option "Verbindungsfilterrichtlinie (Standard)" aus der Liste aus, indem Sie auf den Namen der Richtlinie klicken und die Einstellungen überprüfen.

  • Führen Sie in Exchange Online PowerShell oder der eigenständigen EOP PowerShell den folgenden Befehl aus, und überprüfen Sie die Einstellungen:

    Get-HostedConnectionFilterPolicy -Identity Default
    
  • Senden sie eine Testnachricht aus einem Eintrag in der IP-Zulassungsliste.

Zusätzliche Überlegungen zur Liste zugelassener IP-Adressen

In den folgenden Abschnitten werden zusätzliche Elemente aufgeführt, die Sie kennen müssen, wenn Sie die IP-Zulassungsliste konfigurieren.

Überspringen der Spamfilterung für eine CIDR-IP außerhalb des verfügbaren Bereichs

Wie weiter oben in diesem Artikel beschrieben, können Sie nur eine CIDR-IP mit der Netzwerkmaske /24 bis /32 in der IP-Zulassungsliste verwenden. Um die Spamfilterung für Nachrichten von Quell-E-Mail-Servern im Bereich /1 bis /23 zu überspringen, müssen Sie Exchange Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwenden. Es wird jedoch empfohlen, dies möglichst nicht zu tun, da die Nachrichten blockiert werden, wenn eine IP-Adresse im /1 bis /23 CIDR-IP-Bereich in einer der proprietären Oder Drittanbieter-Sperrlisten von Microsoft angezeigt wird.

Nachdem Sie sich der potenziellen Probleme vollständig bewusst sind, können Sie eine Nachrichtenflussregel mit den folgenden Einstellungen (mindestens) erstellen, um sicherzustellen, dass Nachrichten von diesen IP-Adressen die Spamfilterung überspringen:

  • Regelbedingung: Wenden Sie diese Regel an, wenn > sich die Absender-IP-Adresse > in einem dieser Bereiche befindet oder genau übereinstimmt > (geben Sie Ihre CIDR-IP mit einer Netzwerkmaske von /1 bis /23 ein).
  • Regelaktion: Ändern der Nachrichteneigenschaften > Festlegen des Spam-Konfidenzniveaus (SCL) > Umgehen der Spamfilterung.

Sie können die Regel überwachen, die Regel testen, die Regel während eines bestimmten Zeitraums aktivieren und andere Auswahlmöglichkeiten treffen. Wir empfehlen, die Regel über eine bestimmte Zeit zu testen, bevor Sie sie erzwingen. Weitere Informationen finden Sie unter Verwalten von Nachrichtenflussregeln in Exchange Online.

Überspringen der Spamfilterung für selektive E-Mail-Domänen aus derselben Quelle

In der Regel bedeutet das Hinzufügen einer IP-Adresse oder eines Adressbereichs zur IP-Zulassungsliste, dass Sie allen eingehenden Nachrichten aus dieser E-Mail-Quelle vertrauen. Was aber, wenn diese Quelle E-Mails von mehreren Domänen sendet und Sie die Spamfilterung für einige dieser Domänen überspringen möchten, aber nicht für andere? Dazu können Sie nicht nur die IP-Zulassungsliste verwenden, sondern die IP-Zulassungsliste in Kombination mit einer Nachrichtenflussregel.

Beispielsweise sendet der Quell-E-Mail-Server 192.168.1.25 E-Mails aus den Domänen contoso.com, fabrikam.com und tailspintoys.com, Sie möchten jedoch nur die Spamfilterung für Nachrichten von Absendern in fabrikam.com überspringen. Führen Sie dazu die folgenden Schritte aus:

  1. Fügen Sie 192.168.1.25 zur Liste zugelassener IP-Adressen hinzu.

  2. Konfigurieren Sie eine Nachrichtenflussregel mit den folgenden Einstellungen (mindestens):

    • Regelbedingung: Wenden Sie diese Regel an, wenn > sich die Absender-IP-Adresse > in einem dieser Bereiche befindet oder genau mit 192.168.1.25 übereinstimmt > (dieselbe IP-Adresse oder der gleiche Adressbereich, den Sie der IP-Zulassungsliste im vorherigen Schritt hinzugefügt haben).
    • Regelaktion: Ändern der Nachrichteneigenschaften > Festlegen des Spam-Konfidenzniveaus (SCL) > 0.
    • Regelfehler: Die Absenderdomäne > ist > fabrikam.com (nur die Domäne oder Domänen, die Sie die Spamfilterung überspringen möchten).

Szenarien, in denen Nachrichten von Quellen in der IP-Zulassungsliste weiterhin gefiltert werden

Nachrichten von einem E-Mail-Server in Ihrer IP-Zulassungsliste unterliegen in den folgenden Szenarien weiterhin der Spamfilterung:

  • Eine IP-Adresse in Ihrer IP-Zulassungsliste ist auch in einem lokalen, IP-basierten eingehenden Connector in einem beliebigen Mandanten in Microsoft 365 konfiguriert (nennen wir diesen Mandanten A), und Mandant A und der EOP-Server, auf dem die Nachricht zuerst auftritt, befinden sich beide in derselben Active Directory-Gesamtstruktur in den Microsoft-Rechenzentren. In diesem Szenario wird IPV:CAL den Antispam-Nachrichtenkopfzeilen der Nachricht hinzugefügt (was darauf hinweist, dass die Nachricht die Spamfilterung umgangen hat), aber die Nachricht unterliegt weiterhin der Spamfilterung.

  • Ihr Mandant, der die IP-Zulassungsliste und den EOP-Server enthält, auf dem die Nachricht zuerst auftritt, befindet sich in verschiedenen Active Directory-Gesamtstrukturen in den Microsoft-Rechenzentren. In diesem Szenario wird IPV:CAL den Nachrichtenkopfzeilen nicht hinzugefügt, sodass die Nachricht weiterhin der Spamfilterung unterliegt.

Wenn eines dieser Szenarien auftritt, können Sie eine Nachrichtenflussregel mit den folgenden Einstellungen (mindestens) erstellen, um sicherzustellen, dass Nachrichten von den problematischen IP-Adressen die Spamfilterung überspringen:

  • Regelbedingung: Wenden Sie diese Regel an, wenn > sich die ABSENDER-IP-Adresse > in einem dieser Bereiche befindet oder genau übereinstimmt > (Ihre IP-Adresse oder Adressen).
  • Regelaktion: Ändern der Nachrichteneigenschaften > Festlegen des Spam-Konfidenzniveaus (SCL) > Umgehen der Spamfilterung.

Neu bei Microsoft 365?


Das Kurzsymbol für LinkedIn Learning. Neu bei Microsoft 365? Entdecken Sie kostenlose Videokurse für Microsoft 365 Administratoren und IT-Experten, die Ihnen von LinkedIn Learning angeboten werden.