Jaa


Määritä yhteyden suodatus

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Microsoft 365 -organisaatioissa, joissa on Exchange Online postilaatikoita tai erillisiä Exchange Online Protection (EOP) -organisaatioita ilman Exchange Online postilaatikoita, yhteyden suodattaminen ja oletusyhteyssuodatinkäytäntö tunnistavat hyvät tai huonot lähdesähköpostipalvelimet IP-osoitteiden mukaan. Yhteyden oletussuodatuskäytännön tärkeimmät osat ovat seuraavat:

  • SALLITTUJEN IP-osoitteiden luettelo: Ohita roskapostin suodatus kaikille saapuville viesteille määritetyistä IP-lähdeosoitteista tai IP-osoitealueista. Kaikki saapuvat viestit tarkistetaan haittaohjelmien ja erittäin luotettavan tietojenkalastelun vuoksi. Muissa tilanteissa, joissa roskapostin suodattaminen tapahtuu edelleen sallittujen IP-osoitteiden luettelon palvelimista viennissä, katso tämän artikkelin myöhemmässä osassa Skenaariot, joissa sallittujen IP-osoitteiden luettelon lähteistä peräisin olevia viestejä suodatetaan edelleen . Lisätietoja siitä, miten SALLITTUJEN IP-osoitteiden luettelon tulisi sopia yleiseen turvallisen lähettäjän strategiaan, on artikkelissa Turvallisen lähettäjän luetteloiden luominen EOP:ssa.

  • IP-estoluettelo: Estä kaikki saapuvat viestit määritetyistä IP-lähdeosoitteista tai IP-osoitealueista. Saapuvat viestit hylätään, niitä ei ole merkitty roskapostiksi eikä muita suodattimia tapahdu. Lisätietoja siitä, miten IP-estoluettelon tulisi sopia estettyjen lähettäjien yleiseen strategiaan, on artikkelissa EOP:n lohkojen lähettäjäluetteloiden luominen.

  • Turvallinen luettelo: Yhteyssuodatinkäytännön turvallinen luettelo on dynaaminen sallittujen luettelo, joka ei edellytä asiakkaiden määrityksiä. Microsoft tunnistaa nämä luotetut sähköpostilähteet tilauksista erilaisiin kolmannen osapuolen luetteloihin. Voit ottaa turvallisen luettelon käyttöön tai poistaa sen käytöstä. et voi määrittää luettelon palvelimia. Roskapostin suodatus ohitetaan turvallisten viestien luettelon sähköpostipalvelimista saapuvissa viesteissä.

Tässä artikkelissa kuvataan, miten voit määrittää oletusyhteyden suodatuskäytännön Microsoft 365 Microsoft Defender -portaalissa tai Exchange Online PowerShellissä. Lisätietoja siitä, miten EOP käyttää yhteyden suodatusta, on osa organisaatiosi yleistä roskapostin torjunta-asetusta, artikkelista Roskapostin torjunta.

Huomautus

Sallittujen ip-osoitteiden luettelo, turvallinen luettelo ja IP-estoluettelo ovat yksi osa yleistä strategiaasi, jonka avulla voit sallia tai estää sähköpostin käytön organisaatiossasi. Lisätietoja on ohjeaiheessa Turvallisten lähettäjäluetteloiden luominen ja Estettyjen lähettäjäluetteloiden luominen.

IPv6-alueita ei tueta.

Estettyjen lähteiden viestit IP-estoluettelossa eivät ole käytettävissä viestin jäljitystilassa.

Mitä on hyvä tietää ennen aloittamista?

  • Avaat Microsoft Defender -portaalin osoitteessa https://security.microsoft.com. Jos haluat siirtyä suoraan roskapostin torjuntakäytäntöjen sivulle, käytä -https://security.microsoft.com/antispam

  • Jos haluat muodostaa yhteyden Exchange Online PowerShelliin, katso kohta Yhteyden muodostaminen Exchange Online PowerShelliin. Jos haluat muodostaa yhteyden erilliseen EOP PowerShelliin, katso kohta Yhteyden muodostaminen Exchange Online Protection PowerShelliin.

  • Sinulla on oltava käyttöoikeudet, ennen kuin voit suorittaa tämän artikkelin menettelyt. Voit valita seuraavat vaihtoehdot:

    • Microsoft Defender XDR RBAC (Unified Role Based Access Control) (If Email & collaboration>Defender for Office 365 permissions is Active. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin: Valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (hallinta) tai Valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (lue).

    • Exchange Online käyttöoikeudet:

      • Muokkaa käytäntöjä: Organisaation hallinnan tai suojauksen järjestelmänvalvojan rooliryhmien jäsenyys.
      • Vain luku -oikeudet käytäntöihin: Yleisen lukijan, suojauksen lukijan tai vain tarkastelu -organisaation hallinta -rooliryhmien jäsenyys.
    • Microsoft Entra oikeudet: Yleisen järjestelmänvalvojan*, suojauksen järjestelmänvalvojan, yleisen lukijan tai suojauksen lukija -roolien jäsenyys antaa käyttäjille microsoft 365:n muiden ominaisuuksien vaaditut käyttöoikeudet.

      Tärkeää

      * Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

  • Voit tarkistaa niiden sähköpostipalvelimien (lähettäjien) IP-lähdeosoitteet, jotka haluat sallia tai estää, tarkistamalla viestin otsikossa olevan yhteyden muodostavan IP-osoitteen (CIP) otsikkokentän. Jos haluat tarkastella viestin otsikkoa eri sähköpostiohjelmissa, katso Internet-viestien otsikoiden tarkasteleminen Outlookissa.

  • Sallittujen IP-osoitteiden luettelo on etusijalla IP-lohkoluetteloon nähden (osoitetta ei ole estetty molemmissa luetteloissa).

  • Sallittujen IP-osoitteiden luettelo ja IP-estoluettelo tukevat enintään 1 273 merkintää, joissa merkintä on yksittäinen IP-osoite, IP-osoitealue tai Luokittainen InterDomain Routing (CIDR) -IP-osoite.

Microsoft Defender portaalin avulla voit muokata oletusarvoista yhteyden suodatuskäytäntöä

  1. Siirry Microsoft Defender-portaalissa osoitteeseen https://security.microsoft.comsähköpostin & yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Roskapostin torjuntakäytännöt -osiossa. Voit myös siirtyä suoraan roskapostin torjuntakäytäntöjen sivulle valitsemalla https://security.microsoft.com/antispam.

  2. Valitse roskapostikäytäntöjen vastaiselta sivulta Yhteyssuodatinkäytäntö (oletus) luettelosta napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä olevaa valintaruutua.

  3. Muokkaa käytäntöasetuksia näyttöön avautuvassa Käytäntötiedot-pikaikkunassa Muokkaa linkkejä -valikon avulla:

    • Kuvaus-osa: Valitse Muokkaa kuvausta, jos haluat kirjoittaa käytännön kuvauksen avautuvan Muokkaa nimeä ja kuvausta -pikaikkunan Kuvaus-ruutuun. Et voi muokata käytännön nimeä.

      Kun olet valmis Muokkaa nimeä ja kuvausta -pikaikkunassa, valitse Tallenna.

    • Yhteyden suodattaminen -osa: Valitse Muokkaa yhteyden suodatuskäytäntöä. Määritä avautuvassa pikaikkunassa seuraavat asetukset:

      • Salli aina viestit seuraavista IP-osoitteista tai osoitealueista: Tämä asetus on SALLITTUJEN IP-osoitteiden luettelo. Napsauta ruutua, kirjoita arvo ja paina ENTER-näppäintä tai valitse koko arvo, joka näkyy ruudun alla. Kelvolliset arvot ovat:

        Toista tämä vaihe niin monta kertaa kuin on tarpeen. Jos haluat poistaa olemassa olevan merkinnän, valitse merkinnän vieressä.

    • Estä aina seuraavista IP-osoitteista tai osoitealueista lähetetyt viestit: Tämä asetus on IP-estoluettelo. Kirjoita ruutuun yksittäinen IP-osoite, IP-alue tai CIDR-IP-osoite, joka on kuvattu kohdassa Salli aina seuraavat IP-osoitteet tai osoitealueen asetukset.

    • Ota käyttöön turvallinen luettelo: Ota käyttöön tai poista käytöstä turvallisten luetteloiden käyttö, jotta tunnistat tunnetut, hyvät lähettäjät, jotka ohittavat roskapostin suodatuksen. Jos haluat käyttää turvallista luetteloa, valitse valintaruutu.

    Kun olet suorittanut pikaikkunan, valitse Tallenna.

  4. Valitse käytäntötietojen pikaikkunassa Sulje.

Microsoft Defender portaalin avulla voit tarkastella yhteyden oletussuodatuskäytäntöä

Siirry Microsoft Defender-portaalissa osoitteeseen https://security.microsoft.comsähköpostin & yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Roskapostin torjuntakäytännöt -osiossa. Voit myös siirtyä suoraan roskapostin torjuntakäytäntöjen sivulle valitsemalla https://security.microsoft.com/antispam.

Roskapostin torjuntakäytännöt -sivulla käytäntöluettelossa näkyvät seuraavat ominaisuudet:

  • Nimi: Yhteyden oletussuodatuskäytännön nimi on Yhteyssuodatinkäytäntö (oletus).
  • Tila: Oletusyhteyden suodatuskäytännön arvo on aina käytössä .
  • Prioriteetti: Arvo on Pienin yhteyden oletussuodatuskäytännölle.
  • Tyyppi: Yhteyden oletussuodatuskäytännön arvo on tyhjä.

Jos haluat muuttaa käytäntöluettelon normaalista tiivistettyyn välistykseen, valitse Muuta luettelon välistys tiivistettyyn tai normaaliin ja valitse sitten Järjestä luettelo.

Etsi tietyt käytännöt hakuruudun ja sitä vastaavan arvon avulla.

Valitse yhteyden oletussuodatuskäytäntö napsauttamalla mitä tahansa muuta riviä kuin nimen vieressä olevaa valintaruutua, jolloin käytännön tiedot-pikaikkuna avautuu.

Käytä Exchange Online PowerShelliä tai itsenäistä EOP PowerShelliä oletusyhteyden suodatuskäytännön muokkaamiseen

Käytä seuraavaa syntaksia:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
  • Kelvolliset IP-osoitteen tai osoitealueen arvot ovat:
    • Yksittäinen IP-osoite: esimerkiksi 192.168.1.1.
    • IP-alue: Esimerkiksi 192.168.0.1-192.168.0.254.
    • CIDR IP: Esimerkiksi 192.168.0.1/25. Kelvolliset verkkopeitteen arvot ovat /24- /32.
  • Jos haluat korvata olemassa olevat merkinnät määrittämilläsi arvoilla, käytä seuraavaa syntaksia: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
  • Jos haluat lisätä tai poistaa IP-osoitteita tai osoitealueita vaikuttamatta muihin olemassa oleviin merkintöihin, käytä seuraavaa syntaksia: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
  • Jos haluat tyhjentää sallittujen IP-osoitteiden luettelon tai IP-lohkoluettelon, käytä arvoa $null.

Tässä esimerkissä ip-sallittujen luettelo ja IP-estoluettelo määritetään määritettyjen IP-osoitteiden ja osoitealueiden kanssa.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

Tämä esimerkki lisää ja poistaa määritetyt IP-osoitteet ja osoitealueet sallittujen IP-osoitteiden luettelosta.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Tarkat syntaksi- ja parametritiedot ovat kohdassa Set-HostedConnectionFilterPolicy.

Mistä tiedät, että nämä toimenpiteet toimivat?

Voit varmistaa, että olet muokannut yhteyden oletussuodatinkäytäntöä, toimimalla seuraavasti:

  • Valitse Microsoft Defender-portaalin https://security.microsoft.com/antispamroskapostikäytäntöjen vastaiselta sivulta luettelosta Yhteyssuodatinkäytäntö (oletus) napsauttamalla mitä tahansa muuta riviä kuin nimen vieressä olevaa valintaruutua ja tarkistamalla avautuvan tietoikkunan käytäntöasetukset.

  • Suorita seuraava komento Exchange Online PowerShellissä tai erillisessä EOP PowerShellissä ja tarkista asetukset:

    Get-HostedConnectionFilterPolicy -Identity Default
    
  • Lähetä testiviesti sallittujen IP-osoitteiden luettelon merkinnästä.

Muita huomioitavia seikkoja sallittujen IP-osoitteiden luettelossa

Seuraavissa osioissa on muita kohteita, jotka sinun on tiedettävä, kun määrität SALLITTUJEN IP-osoitteiden luettelon.

Huomautus

Kaikki saapuvat viestit tarkistetaan haittaohjelmien ja erittäin luotettavan tietojenkalastelun vuoksi riippumatta siitä, onko viestilähde sallittujen IP-osoitteiden luettelossa.

Ohita cidr-ip-osoitteen roskapostisuodatus käytettävissä olevan alueen ulkopuolella

Kuten aiemmin tässä artikkelissa kuvattiin, voit käyttää CIDR IP:ää vain sallitun IP-osoitteen verkkopeitteen /24-/32 kanssa. Jos haluat ohittaa viestien roskapostisuodattimet lähdesähköpostipalvelimista alueella /1– /23, sinun on käytettävä Exchange-postinkulun sääntöjä (kutsutaan myös siirtosäännöiksi). Suosittelemme kuitenkin, ettet käytä postinkulun sääntömenetelmää, koska viestit on estetty, jos IP-osoite on VÄLILLÄ /1 - /23 CIDR IP -alueella missä tahansa Microsoftin omistusoikeudessa tai kolmannen osapuolen estettyjen luettelossa.

Nyt kun olet täysin tietoinen mahdollisista ongelmista, voit luoda postinkulkusäännön seuraavilla asetuksilla (vähintäänkin) varmistaaksesi, että näiden IP-osoitteiden viestit ohittavat roskapostin suodatuksen:

  • Säännön ehto: Käytä tätä sääntöä, jos>lähettäjän IP-osoite on jollakin näistä alueista tai vastaa> täsmälleen (anna CIDR IP -osoite verkkopeitteellä /1 -/23).>
  • Sääntötoiminto: Muokkaa viestin ominaisuuksia>Määritä roskapostin luotettavuustaso (SCL)>Ohita roskapostin suodatus.

Voit valvoa sääntöä, testata sääntöä, aktivoida säännön tietyn ajanjakson aikana ja muita valintoja. Suosittelemme testaamaan säännön jonkin aikaa, ennen kuin pakotat sen käyttöön. Lisätietoja on artikkelissa Postinkulun sääntöjen hallinta Exchange Online.

Ohita roskapostisuodatus samasta lähteestä peräisin olevissa valikoivissa sähköpostitoimialueissa

Yleensä IP-osoitteen tai osoitealueen lisääminen SALLITTUJEN IP-osoitteiden luetteloon tarkoittaa, että luotat kaikkiin kyseisen sähköpostilähteen saapuviin viesteihin. Entä jos lähde lähettää sähköpostia useilta toimialueilta ja haluat ohittaa roskapostisuodattimen joillekin näistä toimialueista, mutta et toisille? Voit käyttää sallittujen IP-osoitteiden luetteloa yhdessä postinkulun säännön kanssa.

Esimerkiksi lähdesähköpostipalvelin 192.168.1.25 lähettää sähköpostia toimialueilta, contoso.com, fabrikam.com ja tailspintoys.com, mutta haluat ohittaa roskapostisuodattimen vain lähettäjien viesteille fabrikam.com:

  1. Lisää 192.168.1.25 SALLITTUJEN IP-osoitteiden luetteloon.

  2. Määritä postinkulun sääntö seuraavilla asetuksilla (vähintään):

    • Säännön ehto: Käytä tätä sääntöä, jos>lähettäjän IP-osoite on jollakin näistä alueista tai vastaa> tarkalleen 192.168.1.25:tä (sama IP-osoite tai osoitealue, jonka lisäsit IP-osoitteiden luetteloon edellisessä vaiheessa).>
    • Sääntötoiminto: Viestin ominaisuuksien> muokkaaminenMääritä roskapostin luotettavuustaso (SCL)>0.
    • Sääntöpoikkeus: Lähettäjän>toimialue on> fabrikam.com (vain ne toimialueet tai toimialueet, joiden roskapostisuodatus halutaan ohittaa).

Skenaariot, joissa sallittujen IP-osoitteiden luettelon lähteistä peräisin olevia viestejä suodatetaan edelleen

Sallittujen IP-osoitteiden luettelon sähköpostipalvelimen viestit ovat edelleen roskapostisuodatuksen alaisia seuraavissa tilanteissa:

  • Sallittujen IP-osoitteiden luettelossa oleva IP-osoite määritetään myös paikallisessa IP-pohjaisessa saapuvan liittimen liittimessä missä tahansa vuokraajassa Microsoft 365:ssä (kutsutaan tätä vuokraajaksi A) ja vuokraajassa A ja EOP-palvelimessa, jotka kohtaavat viestin ensimmäisen kerran, sattuu olemaan samassa Active Directory -toimialuepuuryhmässä Microsoft-palvelinkeskuksissa. Tässä skenaariossa IPV:CALlisätään viestin roskapostin torjuntaviestien otsikkoihin (mikä osoittaa, että viesti ohitti roskapostin suodatuksen), mutta viesti on edelleen roskapostisuodatuksen alainen.

  • Vuokraajasi, joka sisältää IP-osoitteiden sallittujen luettelon, ja EOP-palvelimen, joka havaitsee viestin ensimmäisen kerran, ovat microsoftin palvelinkeskusten active directory -toimialuepuuryhmässä. Tässä skenaariossa IPV:CAL-kenttää ei lisätä viestin otsikkoihin, joten viestiin sovelletaan edelleen roskapostin suodatusta.

Jos kohtaat jommankumman näistä skenaarioista, voit luoda postinkulkusäännön seuraavilla asetuksilla (vähintäänkin) varmistaaksesi, että ongelmallisten IP-osoitteiden viestit ohittavat roskapostin suodatuksen:

  • Säännön ehto: Käytä tätä sääntöä, jos>lähettäjän IP-osoite on jossakin näistä alueista tai vastaa> täsmälleen (IP-osoitteesi tai osoitteesi).>
  • Sääntötoiminto: Muokkaa viestin ominaisuuksia>Määritä roskapostin luotettavuustaso (SCL)>Ohita roskapostin suodatus.

Oletko uusi Microsoft 365 -käyttäjä?


LinkedIn Learningin lyhyt kuvake. Oletko uusi Microsoft 365 -käyttäjä? LinkedIn Learningin sinulle tuomat maksuttomat videokurssit Microsoft 365 -järjestelmänvalvojille ja IT-ammattilaisille.