Freigeben über


Erweiterte Filterung für Connectors in Exchange Online

Ordnungsgemäß konfigurierte eingehende Connectors sind eine vertrauenswürdige Quelle für eingehende E-Mails an Microsoft 365 oder Office 365. Aber in komplexen Routingszenarien, in denen E-Mails für Ihre Microsoft 365- oder Office 365 Domäne zuerst an eine andere Stelle weitergeleitet werden, ist die Quelle des eingehenden Connectors in der Regel nicht der wahre Indikator dafür, woher die Nachricht stammt. Zu den komplexen Routingszenarien gehören:

  • Cloudfilterdienste von Drittanbietern
  • Verwaltete Filterappliances
  • Hybridumgebungen (z. B. lokales Exchange)

Das E-Mail-Routing sieht in komplexen Szenarien wie folgt aus:

Nachrichtenflussdiagramm für komplexe Routingszenarien.

Wie Sie sehen können, übernimmt die Nachricht die Quell-IP des Diensts, Anwendung oder lokalen Exchange-organization, das sich vor Microsoft 365 befindet. Die Nachricht geht in Microsoft 365 mit einer anderen Quell-IP-Adresse ein. Dieses Verhalten ist keine Einschränkung von Microsoft 365. Es ist einfach, wie SMTP funktioniert.

In diesen Szenarien können Sie Exchange Online Protection (EOP) und Microsoft Defender for Office 365 weiterhin optimal nutzen, indem Sie die erweiterte Filterung für Connectors (auch als Skip Listing bezeichnet) verwenden.

Nachdem Sie die erweiterte Filterung für Connectors aktiviert haben, sieht das E-Mail-Routing in komplexen Routingszenarien wie folgt aus:

Nachrichtenflussdiagramm für komplexe Routingszenarien, nachdem Die Filterung für Connectors verbessern aktiviert ist.

Wie Sie sehen können, ermöglicht die erweiterte Filterung für Connectors die Beibehaltung von IP-Adressen und Absenderinformationen.

In diesen Routingszenarien wird in der Regel ein ARC-Siegel verwendet, um die Quellinformationen und die Nachrichtenintegrität mithilfe von DKIM aufrechtzuerhalten. DkIM schlägt jedoch häufig fehl, da viele Dienste, die die Nachricht ändern, ARC nicht unterstützen. Um in diesen Situationen zu helfen, behält die erweiterte Filterung für Connectors nicht nur die IP-Adresse des vorherigen Hops bei, sondern stellt auch eine intelligente Wiederherstellung nach DKIM-Signaturfehlern her. Dieses Verhalten hilft den Nachrichten, die Authentifizierung über die Spoofintelligenzfilter zu übergeben.

Das Aktivieren der Filterung verbessern für Connectors hat die folgenden Vorteile:

  • Verbesserte Genauigkeit für den Microsoft-Filterstapel und Machine Learning-Modelle, einschließlich:
    • Reduzierte falsch positive Ergebnisse in DMARC durch Inhaltsänderung und das Fehlen eines ARC-Siegels.
    • Heuristisches Clustering
    • Antispoofing
    • Antiphishing
  • Bessere Funktionen nach Sicherheitsverletzungen in automatisierter Untersuchung und Reaktion (AIR)
  • In der Lage, die explizite E-Mail-Authentifizierung (SPF, DKIM und DMARC) zu verwenden, um den Ruf der sendenden Domäne für Identitätswechsel und Spooferkennung zu überprüfen. Weitere Informationen zur expliziten und impliziten E-Mail-Authentifizierung finden Sie unter Email-Authentifizierung in EOP.

Weitere Informationen finden Sie im Abschnitt Was geschieht, wenn Sie die erweiterte Filterung für Connectors aktivieren? weiter unten in diesem Artikel.

Verwenden Sie die Verfahren in diesem Artikel, um die erweiterte Filterung für Connectors für einzelne Connectors zu aktivieren. Weitere Informationen zu Connectors in Exchange Online finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors.

Hinweis

  • Es wird immer empfohlen, ihren MX-Eintrag auf Microsoft 365 oder Office 365 zu verweisen, um die Komplexität zu reduzieren. Beispielsweise können einige Hosts DKIM-Signaturen ungültig werden, was zu falsch positiven Ergebnissen führt. Wenn zwei Systeme für den E-Mail-Schutz zuständig sind, ist es komplizierter zu bestimmen, welches System auf die Nachricht reagiert hat.
  • Die häufigsten Szenarien, für die erweiterte Filterung entwickelt wurde, sind Hybridumgebungen. Die E-Mails, die für lokale Postfächer bestimmt sind (ausgehende E-Mails), werden jedoch weiterhin nicht nach EOP gefiltert. Die einzige Möglichkeit, eine vollständige EOP-Überprüfung für alle Postfächer zu erhalten, besteht darin, Ihren MX-Eintrag auf Microsoft 365 oder Office 365 zu verschieben.
  • Mit Ausnahme von Szenarien mit linearem eingehendem Routing, in denen MX auf lokale Server verweist, wird das Hinzufügen Ihrer lokalen Hybridserver-IP-Adressen zur Erweiterten Filter skip-Liste in einem szenario mit zentralisiertem Nachrichtenfluss nicht unterstützt. Dies kann dazu führen, dass EOP Die E-Mails Ihres lokalen Hybridservers überprüft und einen Compauth-Headerwert hinzufügt und dazu führen kann, dass EOP die Nachricht als Spam kennzeichnet. In einer konfigurierten Hybridumgebung ist es nicht erforderlich, sie der Skip-Liste hinzuzufügen. Die Überspringen-Liste dient in erster Linie dazu, Szenarien zu behandeln, in denen vor Ihrem Microsoft 365-Mandanten ein Gerät/Filter eines Drittanbieters vorhanden ist. Weitere Informationen finden Sie unter MX-Eintrag verweist auf Spamfilterung von Drittanbietern.
  • Platzieren Sie nach EOP keinen weiteren Überprüfungsdienst oder Host. Nachdem EOP eine Nachricht überprüft hat, sollten Sie darauf achten, die Vertrauenskette nicht zu unterbrechen, indem Sie E-Mails über einen Nicht-Exchange-Server weiterleiten, der nicht Teil Ihrer Cloud oder lokalen organization ist. Wenn die Nachricht schließlich im Zielpostfach eingeht, sind die Header aus der ersten Überprüfungsbewertung möglicherweise nicht mehr korrekt. Der zentralisierte E-Mail-Transport sollte nicht verwendet werden, um Nicht-Exchange-Server in den Nachrichtenflusspfad einzuführen.

Konfigurieren der erweiterten Filterung für Connectors

Hinweis

Derzeit werden IPv6-Adressen nur in PowerShell unterstützt. Informationen zur Verwendung von PowerShell zum Konfigurieren der erweiterten Filterung für Connectors finden Sie im Abschnitt Verwenden Exchange Online PowerShell oder Exchange Online Protection PowerShell zum Konfigurieren der erweiterten Filterung für Connectors für einen eingehenden Connector weiter unten in diesem Artikel.

Was sollten Sie wissen, bevor Sie beginnen?

Verwenden des Microsoft Defender-Portals zum Konfigurieren der erweiterten Filterung für Connectors für einen eingehenden Connector

  1. Navigieren Sie im Microsoft Defender-Portal zu Email & Richtlinien für zusammenarbeit>& Regeln> Seite >BedrohungsrichtlinienAbschnitt>Erweiterte Filterung.

  2. Wählen Sie auf der Seite Erweiterte Filterung für Connectors den eingehenden Connector aus, den Sie konfigurieren möchten, indem Sie auf den Namen klicken.

  3. Konfigurieren Sie im angezeigten Flyout mit den Connectordetails die folgenden Einstellungen:

    • Zu überspringende IP-Adressen: Wählen Sie einen der folgenden Werte aus:

      • Erweiterte Filterung für Connectors deaktivieren: Deaktivieren Sie die erweiterte Filterung für Connectors auf dem Connector.

      • Automatisches Erkennen und Überspringen der letzten IP-Adresse: Dieser Wert wird empfohlen, wenn Sie nur die letzte Nachrichtenquelle überspringen müssen.

      • Überspringen Sie diese IP-Adressen, die dem Connector zugeordnet sind: Wählen Sie diesen Wert aus, um eine Liste der zu überspringenden IP-Adressen zu konfigurieren.

        Wichtig

        • Die Eingabe der IP-Adressen von Microsoft 365 oder Office 365 wird nicht unterstützt. Verwenden Sie dieses Feature nicht, um Probleme zu kompensieren, die durch nicht unterstützte E-Mail-Routingpfade verursacht werden. Seien Sie vorsichtig, und beschränken Sie die IP-Adressbereiche auf die E-Mail-Systeme, die die Nachrichten Ihrer eigenen organization vor Microsoft 365 oder Office 365 verarbeiten.
        • Die Eingabe einer Beliebigen Loopbackadresse (127.0.0.0/8) oder einer privaten IP-Adresse, die von RFC 1918 (10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16) definiert wird, wird nicht unterstützt. Durch die erweiterte Filterung werden Loopbackadressen und private IP-Adressen automatisch erkannt und übersprungen. Wenn der vorherige Hop ein E-Mail-Server ist, der sich hinter einem NAT-Gerät (Network Address Translation) befindet, das private IP-Adressen zuweist, empfiehlt es sich, NAT so zu konfigurieren, dass dem E-Mail-Server eine öffentliche IP-Adresse zugewiesen wird.
        • Derzeit werden IPv6-Adressen nur in PowerShell unterstützt.
    • Wenn Sie Die letzte IP-Adresse automatisch erkennen und überspringen oder Diese dem Connector zugeordneten IP-Adressen überspringen ausgewählt haben, wird der Abschnitt Auf diese Benutzer anwenden angezeigt:

      • Auf die gesamte organization anwenden: Wir empfehlen diesen Wert, nachdem Sie das Feature zuerst bei einigen Empfängern getestet haben.

      • Auf eine kleine Gruppe von Benutzern anwenden: Wählen Sie diesen Wert aus, um eine Liste der Empfänger-E-Mail-Adressen zu konfigurieren, für die die erweiterte Filterung für Connectors gilt. Wir empfehlen diesen Wert als ersten Test des Features.

        Hinweis

        • Dieser Wert gilt nur für die tatsächlichen E-Mail-Adressen, die Sie angeben. Wenn einem Benutzer beispielsweise fünf E-Mail-Adressen zugeordnet sind (auch als Proxyadressen bezeichnet), müssen Sie hier alle fünf E-Mail-Adressen angeben. Andernfalls werden Nachrichten, die an die vier anderen E-Mail-Adressen gesendet werden, normal gefiltert.
        • In Hybridumgebungen, in denen eingehende E-Mails über das lokale Exchange übertragen werden, müssen Sie die targetAddress des MailUser-Objekts angeben. Beispiel: michelle@contoso.mail.onmicrosoft.com.
        • Dieser Wert gilt nur für Nachrichten, bei denen hier alle Empfänger angegeben sind. Wenn eine Nachricht Empfänger enthält , die hier nicht angegeben sind, wird die normale Filterung auf alle Empfänger der Nachricht angewendet.
      • Auf die gesamte organization anwenden: Wir empfehlen diesen Wert, nachdem Sie das Feature zuerst bei einigen Empfängern getestet haben.

  4. Wenn Sie fertig sind, wählen Sie Speichern aus.

Verwenden sie Exchange Online PowerShell oder Exchange Online Protection PowerShell, um die erweiterte Filterung für Connectors für einen eingehenden Connector zu konfigurieren.

Verwenden Sie die folgende Syntax, um die erweiterte Filterung für Connectors für einen eingehenden Connector zu konfigurieren:

Set-InboundConnector -Identity <ConnectorIdentity> [-EFSkipLastIP <$true | $false>] [-EFSkipIPs <IPAddresses>] [-EFUsers "emailaddress1","emailaddress2",..."emailaddressN"]
  • EFSkipLastIP: Gültige Werte sind:

    • $true: Nur die letzte Nachrichtenquelle wird übersprungen.
    • $false: Überspringen Sie die durch den EFSkipIPs-Parameter angegebenen IP-Adressen. Wenn dort keine IP-Adressen angegeben sind, ist die erweiterte Filterung für Connectors für den eingehenden Connector deaktiviert. Der Standardwert ist $false.
  • EFSkipIPs: Die spezifischen IPv4- oder IPv6-Adressen, die übersprungen werden sollen, wenn der EFSkipLastIP-Parameterwert ist $false. Gültige Werte sind:

    • Eine einzelne IP-Adresse: Beispiel: 192.168.1.1.
    • Ein IP-Adressbereich: Beispiel: 192.168.1.0-192.168.1.31.
    • Classless Inter-Domain Routing(CIDR)-IP-Adresse: Beispiel 192.168.1.0/25: .

    Einschränkungen für IP-Adressen finden Sie im vorherigen Abschnitt Überspringen dieser IP-Adressen, die der Connectorbeschreibung zugeordnet sind .

  • EFUsers: Die durch Trennzeichen getrennte E-Mail-Adresse der Empfänger-E-Mail-Adressen, auf die Sie die erweiterte Filterung für Connectors anwenden möchten. Informationen zu Einschränkungen für einzelne Empfänger finden Sie unter Anwenden auf eine kleine Gruppe von Benutzern im vorherigen Abschnitt. Der Standardwert ist leer ($null), was bedeutet, dass die erweiterte Filterung für Connectors auf alle Empfänger angewendet wird.

In diesem Beispiel wird der eingehende Connector mit dem Namen Vom Antispamdienst mit den folgenden Einstellungen konfiguriert:

  • Die erweiterte Filterung für Connectors ist für den Connector aktiviert, und die IP-Adresse der letzten Nachrichtenquelle wird übersprungen.
  • Die erweiterte Filterung für Connectors gilt nur für die E-Mail-Adressen michelle@contoso.comdes Empfängers , laura@contoso.comund julia@contoso.com.
Set-InboundConnector -Identity "From Anti-Spam Service" -EFSkipLastIP $true -EFUsers "michelle@contoso.com","laura@contoso.com","julia@contoso.com"

Um die erweiterte Filterung für Connectors zu deaktivieren, verwenden Sie den Wert $false für den EFSkipLastIP-Parameter .

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-InboundConnector.

Was geschieht, wenn Sie die erweiterte Filterung für Connectors aktivieren?

In der folgenden Tabelle wird beschrieben, wie Verbindungen vor und nach dem Aktivieren der erweiterten Filterung für Connectors aussehen:

Feature Bevor die erweiterte Filterung aktiviert wird Nachdem die erweiterte Filterung aktiviert wurde
Email Domänenauthentifizierung Implizite Verwendung von Anti-Spoof-Schutztechnologie. Explizit, basierend auf den SPF-, DKIM- und DMARC-Einträgen der Quelldomäne im DNS.
X-MS-Exchange-ExternalOriginalInternetSender Nicht verfügbar Dieser Header wird gestempelt, wenn der Eintrag überspringen erfolgreich war, für den Connector aktiviert wurde und eine Empfängerüberstimmung erfolgt. Der Wert dieses Felds enthält Informationen zur tatsächlichen Quelladresse.
X-MS-Exchange-SkipListedInternetSender Nicht verfügbar Dieser Header wird gestempelt, wenn listen überspringen für den Connector aktiviert war, unabhängig von Empfängerüberstimmungen. Der Wert dieses Felds enthält Informationen zur tatsächlichen Quelladresse. Dieser Header wird hauptsächlich zu Berichterstellungszwecken und zum Verstehen von WhatIf-Szenarien verwendet.

Sie können die Verbesserungen bei der Filterung und Berichterstellung anzeigen, indem Sie den Bericht Threat Protection status im Microsoft Defender-Portal verwenden. Weitere Informationen finden Sie unter Threat Protection status Bericht.

Siehe auch

Bewährte Methoden für den Nachrichtenfluss für Exchange Online, Microsoft 365 und Office 365 (Übersicht)

Konfigurieren des Nachrichtenflusses mit Connectors