設定連線篩選
提示
您知道您可以免費試用 Office 365 方案 2 Microsoft Defender 全面偵測回應 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。
在具有 Exchange Online 信箱或獨立 Exchange Online Protection (EOP 的 Microsoft 365 組織中,) 沒有 Exchange Online 信箱、連線篩選和默認連線篩選原則的組織,會依 IP 位址識別出良好或不正確的來源電子郵件伺服器。 預設連線篩選原則的主要元件如下:
IP 允許清單:略過來自指定來源 IP 位址或 IP 位址範圍之所有傳入訊息的垃圾郵件篩選。 所有傳入訊息都會掃描是否有惡意代碼和高信賴度網路釣魚。 如需在IP允許清單中伺服器的郵件上仍然發生垃圾郵件篩選的其他案例,請參閱本文稍後的 IP允許清單中來源的郵件仍然經過篩選 的案例一節。 如需IP允許清單如何納入整體安全寄件者策略的詳細資訊,請參閱在EOP中 Create安全發件人清單。
IP 封鎖清單:封鎖來自指定來源 IP 位址或 IP 位址範圍的所有傳入訊息。 傳入的郵件會遭到拒絕、未標示為垃圾郵件,而且不會進行其他篩選。 如需IP封鎖清單如何納入整體封鎖寄件者策略的詳細資訊,請參閱在EOP中 Create 封鎖發件人清單。
安全清單:連線篩選 原則中的安全清單 是不需要客戶設定的動態允許清單。 Microsoft 會從各種第三方清單的訂用帳戶識別這些受信任的電子郵件來源。 您可以啟用或停用安全清單的使用;您無法在清單中設定伺服器。 垃圾郵件篩選會略過安全清單上來自電子郵件伺服器的內送郵件。
本文說明如何在 Microsoft 365 Microsoft Defender 入口網站或 Exchange Online PowerShell 中設定預設連線篩選原則。 如需 EOP 如何使用聯機篩選的詳細資訊,請參閱 反垃圾郵件保護。
注意事項
IP 允許清單、安全清單和IP封鎖清單是整體策略的一部分,可允許或封鎖組織中的電子郵件。 如需詳細資訊,請參閱 Create 安全發件人清單和 Create 封鎖的寄件者清單。
不支援 IPv6 範圍。
來自IP封鎖清單中封鎖來源的訊息無法在 訊息追蹤中使用。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [反垃圾郵件原則] 頁面,請使用 https://security.microsoft.com/antispam。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
- Microsoft Defender 全面偵測回應 統一角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) : (管理) 的授權和設定/安全性設定/核心安全性設定或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
- Exchange Online 權限:
- 修改原則: 組織管理 或 安全性系統管理員 角色群組中的成員資格。
- 原則的只讀存取權:全域 讀取者、 安全性讀取者或 僅限檢視組織管理 角色群組中的成員資格。
- Microsoft Entra 權限:全域管理員、安全性系統管理員、全域讀取者或安全性讀取者角色的成員資格,會為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。
若要尋找您想要允許或封鎖的電子郵件伺服器 (寄件者) 的來源 IP 位址,您可以在郵件標頭中檢查連線的 IP (CIP) 標頭字段。 若要在各種電子郵件用戶端中檢視郵件標頭,請參 閱在 Outlook 中檢視因特網郵件標頭。
IP 允許清單的優先順序高於IP封鎖清單 (不會封鎖兩個清單上的位址) 。
IP 允許清單和IP封鎖清單各支援最多1273個專案,其中專案是單一IP位址、IP位址範圍或無類別網域路由 (CIDR) IP。
使用 Microsoft Defender 入口網站修改預設連線篩選原則
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [原則>] 區段中的 [Email & 共同作業原則 & 規則>威脅原則>反垃圾郵件]。 或者,若要直接移至 [反垃圾郵件原則 ] 頁面,請使用 https://security.microsoft.com/antispam。
在 [ 反垃圾郵件 原則] 頁面上,按下名稱旁邊複選框以外的數據列中的任何位置,從清單中選取 [ 連線篩選原則 (預設 ) ]。
在開啟的原則詳細數據飛出視窗中,使用 [編輯 ] 連結來修改原則設定:
描述區段:選取 [編輯描述],在開啟的 [編輯名稱和描述] 飛出視窗的 [描述] 方塊中輸入原則的描述。 您無法修改原則的名稱。
當您在 [ 編輯名稱和描述 ] 飛出視窗中完成時,請選取 [ 儲存]。
線上篩選 區段:選取 [編輯連線篩選原則]。 開啟的飛出視窗中,設定下列設定:
一律允許來自下列IP位址或位址範圍的訊息:此設定為IP允許清單。 按兩下方塊,輸入值,然後按 ENTER 鍵,或選取方塊下方顯示的完整值。 有效值為:
- 單一IP:例如,192.168.1.1。
- IP 範圍:例如,192.168.0.1-192.168.0.254。
- CIDR IP:例如 192.168.0.1/25。 有效的子網掩碼值是 /24 到 /32。 若要略過 /1 到 /23 的垃圾郵件篩選,請參閱本文稍後在 可用範圍之外略過 CIDR IP 的垃圾郵件篩選一 節。
視需要重複此步驟多次。 若要移除現有的專案,請選擇 項目旁邊的 。
一律封鎖來自下列IP位址或位址範圍的訊息:此設定為IP封鎖清單。 在方塊中輸入單一IP、IP範圍或 CIDR IP,如先前在[ 一律允許來自下列IP位址或位址範圍的訊息 ] 設定中所述。
開啟安全清單:啟用或停用安全清單的使用,以識別略過垃圾郵件篩選的已知良好發件者。 若要使用安全清單,請選取複選框。
當您在飛出視窗中完成時,請選取 [ 儲存]。
回到原則詳細數據飛出視窗,選取 [ 關閉]。
使用 Microsoft Defender 入口網站來檢視默認連線篩選原則
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [原則>] 區段中的 [Email & 共同作業原則 & 規則>威脅原則>反垃圾郵件]。 或者,若要直接移至 [反垃圾郵件原則 ] 頁面,請使用 https://security.microsoft.com/antispam。
在 [ 反垃圾郵件原則 ] 頁面上,下列屬性會顯示在原則清單中:
- 名稱:預設連線篩選原則命名為 連線篩選原則 (預設) 。
- 狀態:默認連線篩選原則的值為 [永遠開啟 ]。
- 優先順序:預設連線篩選原則的值為 [最低 ]。
- 類型:預設連線篩選原則的值為空白。
若要將原則清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]。
使用 [搜尋] 方塊和對應的值來尋找特定原則。
按兩下名稱旁邊複選框以外的任何位置,以開啟原則的詳細數據飛出視窗,以選取預設連線篩選原則。
使用 Exchange Online PowerShell 或獨立 EOP PowerShell 來修改預設連線篩選原則
使用下列語法:
Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
- 有效的 IP 位址或位址範圍值為:
- 單一IP:例如,192.168.1.1。
- IP 範圍:例如,192.168.0.1-192.168.0.254。
- CIDR IP:例如 192.168.0.1/25。 有效的網路遮罩值為 /24 到 /32。
- 若要使用您指定的值 覆寫 任何現有的專案,請使用下列語法:
IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN
。 - 若 要新增或移除 IP位址或位址範圍,而不會影響其他現有的專案,請使用下列語法:
@{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}
。 - 若要清空 IP 允許清單或 IP 封鎖清單,請使用 值
$null
。
這個範例會使用指定的IP位址和位址範圍來設定IP允許清單和IP封鎖清單。
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24
本範例會從 [IP 允許清單] 新增和移除指定的IP位址和位址範圍。
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}
如需詳細的語法和參數資訊,請參閱 Set-HostedConnectionFilterPolicy。
如何知道這些程序是否正常運作?
若要確認您已成功修改預設連線篩選原則,請執行下列任何步驟:
在 Microsoft Defender https://security.microsoft.com/antispam入口網站的 [反垃圾郵件原則] 頁面上,按兩下名稱旁邊複選框以外的任何數據列,以從清單中選取 [連線篩選原則 (默認) ],然後確認開啟之詳細數據飛出視窗中的原則設定。
在 Exchange Online PowerShell 或獨立 EOP PowerShell 中,執行下列命令並確認設定:
Get-HostedConnectionFilterPolicy -Identity Default
從IP允許清單上的專案傳送測試訊息。
IP 允許清單的其他考慮
下列各節會識別您在設定IP允許清單時需要知道的其他專案。
注意事項
不論訊息來源是否在IP允許清單中,所有傳入訊息都會掃描是否有惡意代碼和高信賴度網路釣魚。
略過可用範圍之外 CIDR IP 的垃圾郵件篩選
如本文稍早所述,您只能在IP允許清單中使用CIDR IP搭配網路遮罩 /24 到 /32。 若要略過從 /1 到 /23 範圍之來源電子郵件伺服器的郵件垃圾郵件篩選,您必須使用 Exchange 郵件流程規則 (也稱為傳輸規則) 。 但是,建議您不要使用郵件流程規則方法,因為如果 /1 到 /23 CIDR IP 範圍中的IP位址出現在 Microsoft 的任何專屬或第三方封鎖清單上,訊息就會遭到封鎖。
既然您已完全瞭解潛在的問題,您可以建立至少 (下列設定的郵件流程規則) ,以確保來自這些 IP 位址的郵件會略過垃圾郵件篩選:
- 規則條件: 如果>發件者>IP 位址位於上述任何範圍,或完全符合> , (使用 /1 到 /23 網路遮罩) 輸入您的 CIDR IP,則套用此規則。
- 規則動作: 修改郵件屬性>設定垃圾郵件信賴等級 (SCL) >略過垃圾郵件篩選。
您可以稽核規則、測試規則、在特定期間內啟動規則,以及其他選取專案。 施行規則之前,建議先測試規則一段時間。 如需詳細資訊,請參閱在 Exchange Online 中管理郵件流程規則。
略過來自相同來源之選擇性電子郵件網域的垃圾郵件篩選
一般而言,將IP位址或位址範圍新增至IP允許清單,表示您信任來自該電子郵件來源的所有傳入訊息。 如果該來源從多個網域傳送電子郵件,而您想要略過其中某些網域的垃圾郵件篩選,但不想略過其他網域,該怎麼辦? 您可以使用IP允許清單搭配郵件流程規則。
例如,來源電子郵件伺服器 192.168.1.25 會從網域 contoso.com、fabrikam.com 和 tailspintoys.com 傳送電子郵件,但您只想要略過來自 fabrikam.com 發件者郵件的垃圾郵件篩選:
將 192.168.1.25 新增至 IP 允許清單。
至少 (下列設定來設定郵件流程規則) :
- 規則條件: 如果>發件者>IP 位址位於上述任何範圍中,或完全符合> 192.168.1.25 (您在上一個步驟中新增至 IP 允許清單的相同 IP 位址或地址範圍) ,則套用此規則。
- 規則動作: 修改郵件屬性>將垃圾郵件信賴等級設定 (SCL) >0。
- 規則例外狀況: 發件者>網域> 僅 fabrikam.com (您想要略过垃圾邮件筛选) 的網域。
IP 允許清單中來自來源的訊息仍會進行篩選的案例
在下列案例中,來自IP允許清單中電子郵件伺服器的郵件仍受限於垃圾郵件篩選:
您的IP允許清單中的IP位址也會在 Microsoft 365 中 任何 租使用者的內部部署IP型輸入連接器中設定 (讓我們呼叫此租使用者 A ) ,而 第一次遇到訊息的租使用者 A 和 EOP 伺服器會發生在 Microsoft 數據中心的 相同 Active Directory 樹系中。 在此案例中, IPV:CAL會新增至 郵件的反 垃圾郵件郵件標頭 , (表示郵件略過垃圾郵件篩選) ,但郵件仍受限於垃圾郵件篩選。
您的租使用者,其中包含IP允許清單,以及第一次遇到訊息的EOP伺服器,會發生在 Microsoft 數據中心的 不同 Active Directory 樹系中。 在此案例中, IPV:CAL不會 新增至郵件標頭,因此郵件仍受限於垃圾郵件篩選。
如果您遇到上述其中一種情況,您可以建立至少 (下列設定的郵件流程規則) ,以確保來自有問題 IP 位址的郵件會略過垃圾郵件篩選:
- 規則條件: 如果>寄件者>IP 位址位於上述任何範圍,或完全符合> 您的IP位址或位址) (,請套用此規則。
- 規則動作: 修改郵件屬性>設定垃圾郵件信賴等級 (SCL) >略過垃圾郵件篩選。
不熟悉 Microsoft 365 嗎?
不熟悉 Microsoft 365 嗎? 探索 Microsoft 365 系統管理員和 IT 專業人員的免費影片課程,LinkedIn Learning 為您帶來。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應