Freigeben über


Konfigurieren von Verbindungsfiltern

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

In Microsoft 365-Organisationen mit Exchange Online Postfächern oder EOP-Organisationen (Standalone Exchange Online Protection) ohne Exchange Online Postfächer identifizieren Verbindungsfilterung und die Standardverbindungsfilterrichtlinie gute oder schlechte Quell-E-Mail-Server anhand von IP-Adressen. Die Hauptkomponenten der Standardverbindungsfilter-Richtlinie sind:

  • Liste zugelassener IP-Adressen: Überspringen Sie die Spamfilterung für alle eingehenden Nachrichten aus den angegebenen Quell-IP-Adressen oder IP-Adressbereichen. Alle eingehenden Nachrichten werden auf Schadsoftware und Phishing mit hoher Zuverlässigkeit überprüft. Informationen zu anderen Szenarien, in denen spamfiltert weiterhin für Nachrichten von Servern in der LISTE zugelassener IP-Adressen erfolgt, finden Sie im Abschnitt Szenarien, in denen Nachrichten aus Quellen in der IP-Zulassungsliste weiterhin gefiltert werden weiter unten in diesem Artikel. Weitere Informationen dazu, wie die Liste zugelassener IP-Adressen in Ihre allgemeine Strategie für sichere Absender passen sollte, finden Sie unter Erstellen von Listen sicherer Absender in EOP.

  • IP-Sperrliste: Blockieren Sie alle eingehenden Nachrichten aus den angegebenen Quell-IP-Adressen oder IP-Adressbereichen. Die eingehenden Nachrichten werden abgelehnt, nicht als Spam gekennzeichnet, und es erfolgt keine andere Filterung. Weitere Informationen dazu, wie die IP-Sperrliste in Ihre allgemeine Strategie für blockierte Absender passen sollte, finden Sie unter Erstellen von Listen blockierter Absender in EOP.

  • Sichere Liste: Die sichere Liste in der Verbindungsfilterrichtlinie ist eine dynamische Zulassungsliste, die keine Kundenkonfiguration erfordert. Microsoft identifiziert diese vertrauenswürdigen E-Mail-Quellen aus Abonnements für verschiedene Drittanbieterlisten. Sie aktivieren oder deaktivieren die Verwendung der Sicheren Liste; Sie können die Server in der Liste nicht konfigurieren. Die Spamfilterung wird bei eingehenden Nachrichten von den E-Mail-Servern in der Liste der sicheren Nachrichten übersprungen.

In diesem Artikel wird beschrieben, wie Sie die Standardrichtlinie für Verbindungsfilter im Microsoft 365 Microsoft Defender-Portal oder in Exchange Online PowerShell konfigurieren. Weitere Informationen dazu, wie EOP die Verbindungsfilterung verwendet, ist Teil der allgemeinen Antispameinstellungen Ihrer organization, finden Sie unter Antispamschutz.

Hinweis

Die Liste zugelassener IP-Adressen, die sichere Liste und die IP-Sperrliste sind teil Ihrer allgemeinen Strategie, E-Mails in Ihrem organization zuzulassen oder zu blockieren. Weitere Informationen finden Sie unter Erstellen von Listen sicherer Absender und Erstellen von Listen blockierter Absender.

IPv6-Bereiche werden nicht unterstützt.

Nachrichten aus blockierten Quellen in der IP-Sperrliste sind in der Nachrichtenablaufverfolgung nicht verfügbar.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Wechseln Sie direkt zur Seite Antispamrichtlinien, verwenden Sie https://security.microsoft.com/antispam.

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.

  • Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

    • Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).

    • Exchange Online Berechtigungen:

      • Richtlinien ändern: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator .
      • Schreibgeschützter Zugriff auf Richtlinien: Mitgliedschaft in den Rollengruppen "Globaler Leser", "Sicherheitsleser" oder " Organisationsverwaltung anzeigen" .
    • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator*", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

      Wichtig

      * Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

  • Um die Quell-IP-Adressen der E-Mail-Server (Absender) zu finden, die Sie zulassen oder blockieren möchten, können Sie das Headerfeld für die Verbindungs-IP (CIP) im Nachrichtenheader überprüfen. Informationen zum Anzeigen einer Nachrichtenkopfzeile in verschiedenen E-Mail-Clients finden Sie unter Anzeigen von Internetnachrichtenkopfzeilen in Outlook.

  • Die Liste zugelassener IP-Adressen hat Vorrang vor der IP-Sperrliste (eine Adresse in beiden Listen ist nicht blockiert).

  • Die Liste zugelassener IP-Adressen und die Ip-Sperrliste unterstützen jeweils maximal 1273 Einträge, wobei ein Eintrag eine einzelne IP-Adresse, ein IP-Adressbereich oder eine CIDR-IP(Classless InterDomain Routing) ist.

Verwenden des Microsoft Defender-Portals zum Ändern der Standardrichtlinie für Verbindungsfilter

  1. Navigieren Sie im Microsoft Defender-Portal unter zu https://security.microsoft.comEmail & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Antispam im Abschnitt Richtlinien. Oder verwenden Sie , um direkt zur Seite Antispamrichtlinien zu wechseln https://security.microsoft.com/antispam.

  2. Wählen Sie auf der Seite Antispamrichtlinien die Option Verbindungsfilterrichtlinie (Standard) aus der Liste aus, indem Sie an einer beliebigen Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken.

  3. Verwenden Sie im daraufhin geöffneten Flyout für Richtliniendetails die Links Bearbeiten , um die Richtlinieneinstellungen zu ändern:

    • Abschnitt Beschreibung: Wählen Sie Beschreibung bearbeiten aus, um eine Beschreibung für die Richtlinie in das Feld Beschreibung des Flyouts Namen und Beschreibung bearbeiten einzugeben, das geöffnet wird. Sie können den Namen der Richtlinie nicht ändern.

      Wenn Sie mit dem Flyout Namen und Beschreibung bearbeiten fertig sind, wählen Sie Speichern aus.

    • Abschnitt "Verbindungsfilterung ": Wählen Sie Verbindungsfilterrichtlinie bearbeiten aus. Konfigurieren Sie im daraufhin geöffneten Flyout die folgenden Einstellungen:

      • Nachrichten aus den folgenden IP-Adressen oder Adressbereichen immer zulassen: Diese Einstellung ist die Liste zugelassener IP-Adressen. Klicken Sie in das Feld, geben Sie einen Wert ein, und drücken Sie dann die EINGABETASTE, oder wählen Sie den vollständigen Wert aus, der unter dem Feld angezeigt wird. Gültige Werte sind:

        Wiederholen Sie diesen Schritt so oft wie nötig. Um einen vorhandenen Eintrag zu entfernen, wählen Sie neben dem Eintrag aus.

    • Nachrichten aus den folgenden IP-Adressen oder Adressbereichen immer blockieren: Diese Einstellung ist die IP-Sperrliste. Geben Sie eine einzelne IP-Adresse, einen IP-Adressbereich oder eine CIDR-IP in das Feld ein, wie zuvor in der Einstellung Nachrichten von den folgenden IP-Adressen oder Adressbereichen immer zulassen beschrieben.

    • Sichere Liste aktivieren: Aktivieren oder deaktivieren Sie die Verwendung der sicheren Liste, um bekannte, gute Absender zu identifizieren, die die Spamfilterung überspringen. Um die Sichere Liste zu verwenden, aktivieren Sie das Kontrollkästchen.

    Wenn Sie mit dem Flyout fertig sind, wählen Sie Speichern aus.

  4. Wählen Sie im Flyout mit den Richtliniendetails die Option Schließen aus.

Verwenden des Microsoft Defender-Portals zum Anzeigen der Standardrichtlinie für Verbindungsfilter

Navigieren Sie im Microsoft Defender-Portal unter zu https://security.microsoft.comEmail & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Antispam im Abschnitt Richtlinien. Oder verwenden Sie , um direkt zur Seite Antispamrichtlinien zu wechseln https://security.microsoft.com/antispam.

Auf der Seite Antispamrichtlinien werden die folgenden Eigenschaften in der Liste der Richtlinien angezeigt:

  • Name: Die Standardverbindungsfilterrichtlinie heißt Verbindungsfilterrichtlinie (Standard).
  • Status: Der Wert ist Always On für die Standardverbindungsfilterrichtlinie.
  • Priorität: Der Wert ist für die Standardrichtlinie für verbindungsfilter.
  • Typ: Der Wert für die Standardverbindungsfilterrichtlinie ist leer.

Um die Liste der Richtlinien von normalem in kompakten Abstand zu ändern, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.

Verwenden Sie das Suchfeld und einen entsprechenden Wert, um nach bestimmten Richtlinien zu suchen.

Wählen Sie die Standardverbindungsfilterrichtlinie aus, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken, um das Details-Flyout für die Richtlinie zu öffnen.

Verwenden von Exchange Online PowerShell oder eigenständiger EOP PowerShell zum Ändern der Standardrichtlinie für Verbindungsfilter

Verwenden Sie die folgende Syntax:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
  • Gültige Werte für IP-Adressen oder Adressbereiche sind:
    • Einzelne IP-Adresse: Beispiel: 192.168.1.1.
    • IP-Bereich: Beispiel: 192.168.0.1-192.168.0.254.
    • CIDR-IP: Beispiel: 192.168.0.1/25. Gültige Netzwerkmaskenwerte sind /24 bis /32.
  • Um vorhandene Einträge mit den von Ihnen angegebenen Werten zu überschreiben , verwenden Sie die folgende Syntax: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
  • Verwenden Sie die folgende Syntax, um IP-Adressen oder Adressbereiche ohne Auswirkungen auf andere vorhandene Einträge hinzuzufügen oder zu entfernen : @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
  • Verwenden Sie den Wert $null, um die Liste zugelassener IP-Adressen oder blockierte IP-Adressen zu leeren.

In diesem Beispiel werden die Liste zugelassener IP-Adressen und die IP-Sperrliste mit den angegebenen IP-Adressen und Adressbereichen konfiguriert.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

In diesem Beispiel werden die angegebenen IP-Adressen und Adressbereiche der Liste zugelassener IP-Adressen hinzugefügt und daraus entfernt.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-HostedConnectionFilterPolicy.

Wie können Sie feststellen, dass diese Verfahren erfolgreich waren?

Führen Sie einen der folgenden Schritte aus, um zu überprüfen, ob Sie die Standardrichtlinie für verbindungsfilter erfolgreich geändert haben:

  • Wählen Sie auf der Seite Antispamrichtlinien im Microsoft Defender-Portal unter https://security.microsoft.com/antispamdie Option Verbindungsfilterrichtlinie (Standard) aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken, und überprüfen Sie die Richtlinieneinstellungen im daraufhin geöffneten Details-Flyout.

  • Führen Sie in Exchange Online PowerShell oder eigenständiger EOP PowerShell den folgenden Befehl aus, und überprüfen Sie die Einstellungen:

    Get-HostedConnectionFilterPolicy -Identity Default
    
  • Senden Sie eine Testnachricht aus einem Eintrag in der Liste zugelassener IP-Adressen.

Zusätzliche Überlegungen zur Liste zugelassener IP-Adressen

In den folgenden Abschnitten werden zusätzliche Elemente aufgeführt, die Sie beim Konfigurieren der Liste zugelassener IP-Adressen kennen müssen.

Hinweis

Alle eingehenden Nachrichten werden auf Schadsoftware und Phishing mit hoher Zuverlässigkeit überprüft, unabhängig davon, ob sich die Nachrichtenquelle in der Liste zugelassener IP-Adressen befindet.

Überspringen der Spamfilterung für eine CIDR-IP-Adresse außerhalb des verfügbaren Bereichs

Wie weiter oben in diesem Artikel beschrieben, können Sie nur eine CIDR-IP mit der Netzwerkmaske /24 bis /32 in der Liste zugelassener IP-Adressen verwenden. Um die Spamfilterung von Nachrichten von Quell-E-Mail-Servern im Bereich "/1" bis "/23" zu überspringen, müssen Sie Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwenden. Es wird jedoch davon abgeraten, die E-Mail-Flussregelmethode zu verwenden, da die Nachrichten blockiert werden, wenn eine IP-Adresse im CIDR-IP-Bereich "/1 bis /23" in einer der proprietären Oder Sperrlisten von Microsoft angezeigt wird.

Nachdem Sie sich der potenziellen Probleme vollständig bewusst sind, können Sie eine Nachrichtenflussregel mit den folgenden Einstellungen (mindestens) erstellen, um sicherzustellen, dass Nachrichten von diesen IP-Adressen die Spamfilterung überspringen:

  • Regelbedingung: Wenden Sie diese Regel an, wenn>sich dieIP-Adresse des Absenders in einem dieser Bereiche befindet oder genau übereinstimmt> (geben Sie Ihre CIDR-IP-Adresse mit einer Netzwerkmaske von /1 bis /23 ein).>
  • Regelaktion: Ändern der Nachrichteneigenschaften>Legen Sie die Spam-Konfidenzstufe (Spam Confidence Level, SCL)>Spamfilterung umgehen fest.

Sie können die Regel überwachen, die Regel testen, die Regel während eines bestimmten Zeitraums aktivieren und andere Auswahlmöglichkeiten vornehmen. Wir empfehlen, die Regel über eine bestimmte Zeit zu testen, bevor Sie sie erzwingen. Weitere Informationen finden Sie unter Verwalten von Nachrichtenflussregeln in Exchange Online.

Überspringen der Spamfilterung für selektive E-Mail-Domänen aus derselben Quelle

In der Regel bedeutet das Hinzufügen einer IP-Adresse oder eines Adressbereichs zur Liste zugelassener IP-Adressen, dass Sie allen eingehenden Nachrichten aus dieser E-Mail-Quelle vertrauen. Was geschieht, wenn diese Quelle E-Mails von mehreren Domänen sendet und Sie die Spamfilterung für einige dieser Domänen überspringen möchten, andere jedoch nicht? Sie können die Liste zugelassener IP-Adressen in Kombination mit einer Nachrichtenflussregel verwenden.

Der Quell-E-Mail-Server 192.168.1.25 sendet beispielsweise E-Mails von den Domänen contoso.com, fabrikam.com und tailspintoys.com. Sie möchten jedoch nur die Spamfilterung für Nachrichten von Absendern in fabrikam.com überspringen:

  1. Fügen Sie 192.168.1.25 zur Liste zugelassener IP-Adressen hinzu.

  2. Konfigurieren Sie eine Nachrichtenflussregel mit den folgenden Einstellungen (mindestens):

    • Regelbedingung: Wenden Sie diese Regel an, wenn>sich die IP-Adresse des Absenders>in einem dieser Bereiche befindet oder genau mit 192.168.1.25 übereinstimmt > (die gleiche IP-Adresse oder derselbe Adressbereich, die Sie im vorherigen Schritt zur Liste zugelassener IP-Adressen hinzugefügt haben).
    • Regelaktion: Ändern der Nachrichteneigenschaften>Legen Sie die Spam-Konfidenzstufe (Spam Confidence Level, SCL)>0 fest.
    • Regel-Ausnahme: Die Absenderdomäne>ist> fabrikam.com (nur die Domäne oder Domänen, für die Sie die Spamfilterung überspringen möchten).

Szenarien, in denen Nachrichten aus Quellen in der Liste zugelassener IP-Adressen weiterhin gefiltert werden

Nachrichten von einem E-Mail-Server in Ihrer IP-Zulassungsliste unterliegen in den folgenden Szenarien weiterhin der Spamfilterung:

  • Eine IP-Adresse in Ihrer Zulassungsliste für IP-Adressen wird auch in einem lokalen IP-basierten eingehenden Connector in jedem Mandanten in Microsoft 365 (nennen wir diesen Mandanten A) konfiguriert, und Mandant A und der EOP-Server, der die Nachricht zuerst findet, befinden sich in derselben Active Directory-Gesamtstruktur in den Microsoft-Rechenzentren. In diesem Szenario wirdIPV:CAL den Antispam-Nachrichtenheadern der Nachricht hinzugefügt (was darauf hinweist, dass die Nachricht die Spamfilterung umgangen hat), aber die Nachricht unterliegt weiterhin der Spamfilterung.

  • Ihr Mandant, der die Liste zugelassener IP-Adressen enthält, und der EOP-Server, auf dem die Nachricht zuerst angezeigt wird, befinden sich in verschiedenen Active Directory-Gesamtstrukturen in den Microsoft-Rechenzentren. In diesem Szenario wird IPV:CALnicht zu den Nachrichtenheadern hinzugefügt, sodass die Nachricht weiterhin der Spamfilterung unterliegt.

Wenn eines dieser Szenarien auftritt, können Sie eine Nachrichtenflussregel mit den folgenden Einstellungen (mindestens) erstellen, um sicherzustellen, dass Nachrichten von den problematischen IP-Adressen die Spamfilterung überspringen:

  • Regelbedingung: Wenden Sie diese Regel an, wenn>sich dieIP-Adresse des Absenders in einem dieser Bereiche befindet oder genau übereinstimmt> (Ihre IP-Adresse oder Adressen).>
  • Regelaktion: Ändern der Nachrichteneigenschaften>Legen Sie die Spam-Konfidenzstufe (Spam Confidence Level, SCL)>Spamfilterung umgehen fest.

Neu bei Microsoft 365?


Das kurze Symbol für LinkedIn Learning. Neu bei Microsoft 365? Entdecken Sie kostenlose Videokurse für Microsoft 365-Administratoren und IT-Experten, die Ihnen von LinkedIn Learning zur Verfügung gestellt werden.