Настройка фильтрации подключений

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения

Если вы являетесь клиентом Microsoft 365 с почтовыми ящиками в Exchange Online или автономным клиентом Exchange Online Protection (EOP) без Exchange Online почтовые ящики используют фильтрацию подключений в EOP (в частности, политику фильтра подключений по умолчанию), чтобы определить хорошие или неправильные исходные почтовые серверы по их IP-адресам. Ключевые компоненты политики фильтра подключений по умолчанию:

  • Список разрешенных IP-адресов: пропустите фильтрацию нежелательной почты для всех входящих сообщений с исходных серверов электронной почты, указанных по IP-адресу или диапазону IP-адресов. Сценарии, в которых фильтрация нежелательной почты может по-прежнему выполняться для сообщений из этих источников, см. в разделе "Сценарии, в которых сообщения из источников в списке разрешенных IP-адресов по-прежнему фильтруются" далее в этой статье. Дополнительные сведения о том, как список разрешенных IP-адресов должен соответствовать общей стратегии надежных отправителей, см. в статье "Создание списков надежных отправителей в EOP".

  • Список заблокированных IP-адресов: блокировать все входящие сообщения с исходных почтовых серверов, указанных по IP-адресу или диапазону IP-адресов. Входящие сообщения отклоняются, не помечаются как спам, и дополнительная фильтрация не выполняется. Дополнительные сведения о том, как список заблокированных IP-адресов должен соответствовать общей стратегии заблокированных отправителей, см. в статье "Создание списков отправителей блоков в EOP".

  • Сейф: список надежных разрешений — это динамический список разрешений в центре обработки данных Майкрософт, который не требует настройки клиента. Корпорация Майкрософт определяет эти надежные источники электронной почты из подписок в различные списки сторонних разработчиков. Вы включаете или отключаете использование безопасного списка. Вы не можете настроить исходные почтовые серверы в безопасном списке. Фильтрация нежелательной почты пропускается для входящих сообщений с почтовых серверов в безопасном списке.

В этой статье описывается настройка политики фильтра подключений по умолчанию на портале Microsoft 365 Microsoft 365 Defender или в PowerShell (Exchange Online PowerShell для Microsoft 365 организаций с почтовыми ящиками в Exchange Online ; Автономный EOP PowerShell для организаций без Exchange Online почтовых ящиков). Дополнительные сведения о том, как EOP использует фильтрацию подключений, являются частью общих параметров защиты от нежелательной почты в вашей организации, см. в разделе "Защита от нежелательной почты".

Примечание

Список разрешенных IP-адресов, список надежных и заблокированных IP-адресов являются частью общей стратегии разрешения или блокировки электронной почты в организации. Дополнительные сведения см. в статьях "Создание списков надежных отправителей " и "Создание списков заблокированных отправителей".

Что нужно знать перед началом работы

  • Чтобы открыть портал Microsoft 365 Defender, перейдите на сайт https://security.microsoft.com. Чтобы сразу перейти к странице Политики защиты от нежелательной почты, используйте ссылку https://security.microsoft.com/antispam.

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

  • Для выполнения процедур, описанных в этой статье, вам должны быть назначены разрешения в Exchange Online:

    • Чтобы изменить политику фильтра подключений по умолчанию, необходимо быть членом групп ролей "Управление организацией" или "Администратор безопасности".
    • Для доступа только для чтения к политике фильтра подключений по умолчанию необходимо быть членом групп ролей глобального читателя или читателя сведений о безопасности .

    Дополнительные сведения см. в статье Разрешения в Exchange Online.

    Примечания.

    • Добавление пользователей в соответствующую роль Azure Active Directory в Центре безопасности Microsoft 365 предоставляет пользователям необходимые разрешения и разрешения для других функций в Microsoft 365. Подробнее см. в разделе О ролях администратора.
    • Группа ролей Управление организацией с правами только на просмотр в Exchange Online также предоставляет доступ только для чтения к этой функции.
  • Чтобы найти исходные IP-адреса серверов электронной почты (отправителей), которые вы хотите разрешить или заблокировать, можно проверить поле заголовка подключаемого IP-адреса (CIP) в заголовке сообщения. Чтобы просмотреть заголовок сообщения в различных клиентах электронной почты, просмотрите заголовки сообщений Интернета в Outlook.

  • Список разрешенных IP-адресов имеет приоритет над списком заблокированных IP-адресов (адрес в обоих списках не блокируется).

  • Список разрешенных IP-адресов и список блокировок IP-адресов поддерживают не более 1273 записей, где запись представляет собой один IP-адрес, диапазон IP-адресов или IP-адрес маршрутизации без класса interDomain (CIDR).

Изменение политики фильтра подключений по умолчанию с помощью портала Microsoft 365 Defender подключения

  1. На портале Microsoft 365 Defender на странице https://security.microsoft.com выберите Сообщения электронной почты и совместная работа > Политики и правила > Политики в отношении угроз>Защита от спама в разделе Политики. Чтобы сразу перейти к странице Политики защиты от нежелательной почты, используйте ссылку https://security.microsoft.com/antispam.

  2. На странице "Политики защиты от нежелательной почты " выберите в списке политику фильтра подключений (по умолчанию), щелкнув имя политики.

  3. Во всплывающем окне сведений о политике настройте любой из следующих параметров:

    • Раздел описания : щелкните "Изменить имя и описание". Во всплывающем окне " Изменить имя и описание" введите необязательный описательный текст в поле "Описание ".

      По завершении нажмите кнопку Сохранить.

    • Раздел фильтрации подключений. Нажмите кнопку "Изменить политику фильтра подключений". Во всплывающем окне настройте следующие параметры:

      • Всегда разрешать сообщения со следующих IP-адресов или диапазона адресов: это список разрешенных IP-адресов. Щелкните поле, введите значение, а затем нажмите клавишу ВВОД или выберите полное значение, отображаемое под полем. Допустимыми значениями являются:

        • Один IP-адрес: например, 192.168.1.1.
        • Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
        • IP-адрес CIDR: например, 192.168.0.1/25. Допустимые значения маски подсети : /24–/32. Чтобы пропустить фильтрацию нежелательной почты для /1–/23, см. раздел "Пропустить фильтрацию нежелательной почты для IP-адреса CIDR за пределами доступного диапазона" далее в этой статье.

        Повторите этот шаг нужное количество раз. Чтобы удалить существующее значение, нажмите "Удалить". Значок "Удалить". рядом со значением.

      Чтобы добавить IP-адрес или диапазон адресов, щелкните поле и введите значок добавления itclick. Чтобы удалить запись, выберите запись в списке разрешенных IP-адресов и нажмите кнопку "Удалить". По завершении нажмите кнопку Сохранить.

    • Всегда блокируйте сообщения со следующих IP-адресов или диапазона адресов: это список заблокированных IP-адресов. Введите один IP-адрес, диапазон IP-адресов или IP-адрес CIDR в поле, как описано выше в разделе "Всегда разрешать сообщения со следующих IP-адресов или диапазона адресов ".

    • Включите безопасный список: включите или отключите использование безопасного списка для идентификации известных и надежных отправителей, которые пропускают фильтрацию нежелательной почты. Чтобы использовать безопасный список, установите флажок.

    Выполнив необходимые действия, нажмите кнопку Сохранить.

  4. Вернувшись во всплывающее окно сведений о политике, нажмите Закрыть.

Использование портала Microsoft 365 Defender для просмотра политики фильтра подключений по умолчанию

  1. На портале Microsoft 365 Defender на странице https://security.microsoft.com выберите Сообщения электронной почты и совместная работа > Политики и правила > Политики в отношении угроз>Защита от спама в разделе Политики. Чтобы сразу перейти к странице Политики защиты от нежелательной почты, используйте ссылку https://security.microsoft.com/antispam.

  2. На странице "Политики защиты от нежелательной почты" в списке политик отображаются следующие свойства:

    • Имя: это значение — политика фильтра подключений (по умолчанию) для политики фильтра подключений по умолчанию.
    • Состояние: это значение всегда включено для политики фильтра подключений по умолчанию.
    • Приоритет: это значение является наименьшим для политики фильтра подключений по умолчанию.
    • Тип: это значение пусто для политики фильтра подключений по умолчанию.
  3. При выборе политики фильтра подключений по умолчанию параметры политики отображаются во всплывающем окне.

Использование Exchange Online PowerShell или автономной службы EOP PowerShell для изменения политики фильтра подключений по умолчанию

Используйте следующий синтаксис.

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]

Примечания:

  • Допустимые значения IP-адреса или диапазона адресов:
    • Один IP-адрес: например, 192.168.1.1.
    • Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
    • IP-адрес CIDR: например, 192.168.0.1/25. Допустимые значения сетевой маски: от /24 до /32.
  • Чтобы перезаписать существующие записи указанными значениями, используйте следующий синтаксис: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN
  • Чтобы добавить или удалить IP-адреса или диапазоны адресов, не влияя на другие существующие записи, используйте следующий синтаксис: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}
  • Чтобы очистить список разрешенных IP-адресов или список заблокированных IP-адресов, используйте это значение $null.

В этом примере настраивается список разрешенных IP-адресов и список заблокированных IP-адресов с указанными IP-адресами и диапазонами адресов.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

В этом примере указанные IP-адреса и диапазоны адресов удаляются из списка разрешенных IP-адресов.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Подробные сведения о синтаксисе и параметрах см. в разделе Set-HostedConnectionFilterPolicy.

Как убедиться, что все получилось?

Чтобы убедиться, что вы успешно изменили политику фильтра подключений по умолчанию, выполните одно из следующих действий:

  • На странице защиты от нежелательной почты на портале Microsoft 365 Defender https://security.microsoft.com/antispamвыберите в списке политику фильтра подключений ( по умолчанию), щелкнув имя политики, и проверьте параметры.

  • В Exchange Online PowerShell или автономной версии EOP PowerShell выполните следующую команду и проверьте параметры:

    Get-HostedConnectionFilterPolicy -Identity Default
    
  • Отправка тестового сообщения из записи в списке разрешенных IP-адресов.

Дополнительные рекомендации по списку разрешенных IP-адресов

В следующих разделах описаны дополнительные элементы, которые необходимо знать при настройке списка разрешенных IP-адресов.

Пропуск фильтрации нежелательной почты для IP-адреса CIDR за пределами доступного диапазона

Как описано ранее в этой статье, в списке разрешенных IP-адресов можно использовать только IP-адрес CIDR с маской сети /24–/32. Чтобы пропустить фильтрацию нежелательной почты для сообщений с исходных почтовых серверов в диапазоне /1–/23, необходимо использовать Exchange потока обработки почты (также называемые правилами транспорта). Но мы не рекомендуем делать это, если это возможно, так как сообщения будут заблокированы, если IP-адрес в диапазоне IP-адресов /1–/23 CIDR отображается в любом из частных или сторонних списков блокировок Майкрософт.

Теперь, когда вы полностью знаете о потенциальных проблемах, можно создать правило потока обработки почты со следующими параметрами (как минимум), чтобы сообщения с этих IP-адресов пропускали фильтрацию нежелательной почты:

  • Условие правила: > > примените это правило, если IP-адрес > отправителя находится в любом из этих диапазонов или точно соответствует (введите IP-адрес CIDR с маской сети /1–/23).
  • Действие правила. Измените свойства сообщения > , задав уровень достоверности нежелательной почты (SCL) > Обход фильтрации нежелательной почты.

Вы можете выполнить аудит правила, протестировать правило, активировать правило в течение определенного периода времени и другие параметры. Мы рекомендуем протестировать правило в течение определенного времени перед его применением. Дополнительные сведения см. в статье "Управление правилами потока обработки почты в Exchange Online".

Пропуск фильтрации нежелательной почты в выборочных доменах электронной почты из одного источника

Как правило, добавление IP-адреса или диапазона адресов в список разрешенных IP-адресов означает, что вы доверяете всем входящие сообщения из этого источника электронной почты. Но что делать, если этот источник отправляет электронную почту из нескольких доменов и вы хотите пропустить фильтрацию нежелательной почты для некоторых из этих доменов, но не для других? Для этого нельзя использовать только список разрешенных IP-адресов, но можно использовать список разрешенных IP-адресов в сочетании с правилом потока обработки почты.

Например, исходный почтовый сервер 192.168.1.25 отправляет электронную почту из доменов contoso.com, fabrikam.com и tailspintoys.com, но вы хотите пропустить фильтрацию спама только для сообщений от отправителей в fabrikam.com. Для этого выполните следующие действия.

  1. Добавьте 192.168.1.25 в список разрешенных IP-адресов.

  2. Настройте правило потока обработки почты со следующими параметрами (как минимум):

    • Условие правила: > > примените это правило, если IP-адрес отправителя находится в любом из этих диапазонов или точно соответствует 192.168.1.25 (тот же IP-адрес или диапазон адресов, который вы добавили в список разрешенных IP-адресов > на предыдущем шаге).
    • Действие правила. Измените свойства сообщения > , задав уровень достоверности нежелательной почты (SCL) > 0.
    • Исключение правила: домен отправителя > > fabrikam.com (только домен или домены, которые вы хотите пропустить фильтрацию нежелательной почты).

Сценарии, в которых сообщения из источников в списке разрешенных IP-адресов по-прежнему фильтруются

Сообщения с почтового сервера в списке разрешенных IP-адресов по-прежнему подлежат фильтрации нежелательной почты в следующих сценариях:

  • IP-адрес в списке разрешенных IP-адресов также настраивается в локальном входящем соединителе на основе IP-адресов в любом клиенте в Microsoft 365 (назовем этот клиент A), а клиент A и сервер EOP, который впервые обнаруживает сообщение, могут быть в одном лесу Active Directory в центрах обработки данных Майкрософт. В этом сценарии IPV:CAL добавляется в заголовки сообщений для защиты от нежелательной почты (указывает, что сообщение обойдует фильтрацию нежелательной почты), но оно по-прежнему подлежит фильтрации нежелательной почты.

  • Клиент, содержащий список разрешенных IP-адресов и сервер EOP, который впервые обнаруживает сообщение, может быть в разных лесах Active Directory в центрах обработки данных Майкрософт. В этом сценарии IPV:CAL не добавляется в заголовки сообщений, поэтому на сообщение по-прежнему распространяется фильтрация нежелательной почты.

При возникновении любого из этих сценариев можно создать правило потока обработки почты со следующими параметрами (как минимум), чтобы сообщения с проблемных IP-адресов пропускали фильтрацию нежелательной почты:

  • Условие правила: примените это правило, > > если IP-адрес > отправителя находится в любом из этих диапазонов или точно соответствует (ваш IP-адрес или адреса).
  • Действие правила. Измените свойства сообщения > , задав уровень достоверности нежелательной почты (SCL) > Обход фильтрации нежелательной почты.

Не Microsoft 365?


Значок ярлыка LinkedIn Learning. Не Microsoft 365? Ознакомьтесь с бесплатными видеокурсами для Microsoft 365 и ИТ-специалистов, которые вам предоставляет LinkedIn Обучение.