配置连接筛选

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在Microsoft具有Exchange Online邮箱或独立Exchange Online Protection (EOP 的 365 个组织中,) 组织没有Exchange Online邮箱,连接筛选和默认连接筛选器策略按 IP 地址标识好或坏源电子邮件服务器。 默认连接筛选器策略的关键组件包括:

  • IP 允许列表:跳过来自指定源 IP 地址或 IP 地址范围的所有传入邮件的垃圾邮件筛选。 所有传入邮件都会扫描恶意软件和高置信度钓鱼。 对于来自 IP 允许列表中的服务器的邮件仍进行垃圾邮件筛选的其他方案,请参阅本文后面的来自 IP 允许列表中的源的邮件仍被筛选的方案 部分。 有关 IP 允许列表如何适应整体安全发件人策略的详细信息,请参阅 在 EOP 中创建安全发件人列表

  • IP 阻止列表:阻止来自指定源 IP 地址或 IP 地址范围的所有传入消息。 传入邮件将被拒绝,不会标记为垃圾邮件,并且不会进行其他筛选。 有关 IP 阻止列表应如何适应整体阻止发件人策略的详细信息,请参阅 在 EOP 中创建阻止发件人列表

  • 安全列表:连接筛选器策略中的 安全列表 是不需要客户配置的动态允许列表。 Microsoft从各种第三方列表的订阅中标识这些受信任的电子邮件源。 启用或禁用安全列表的使用;无法配置列表中的服务器。 从安全列表上的电子邮件服务器中跳过垃圾邮件筛选。

本文介绍如何在 Microsoft 365 Microsoft Defender 门户或 PowerShell Exchange Online 中配置默认连接筛选器策略。 有关 EOP 如何使用连接筛选是组织整体反垃圾邮件设置的一部分的详细信息,请参阅 反垃圾邮件保护

注意

IP 允许列表、安全列表和 IP 阻止列表是允许或阻止组织中电子邮件的总体策略的一部分。 有关详细信息,请参阅 创建安全发件人列表创建阻止的发件人列表

不支持 IPv6 范围。

来自 IP 阻止列表中被阻止源 的消息在消息跟踪中不可用。

开始前,有必要了解什么?

  • 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到“反垃圾邮件策略”页面,请使用 https://security.microsoft.com/antispam

  • 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。 若要连接到独立 EOP PowerShell,请参阅连接到 Exchange Online Protection PowerShell

  • 需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:

    • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 授权和设置/安全设置/核心安全设置 (读取)

    • Exchange Online权限

      • 修改策略组织管理安全管理员 角色组中的成员身份。
      • 策略的只读访问权限全局读取者安全读取者仅查看组织管理角色组中的成员身份。
    • Microsoft Entra权限全局管理员*安全管理员全局读取者安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限权限。

      重要

      * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

  • 若要查找要允许或阻止的电子邮件服务器 (发件人) 的源 IP 地址,可以在邮件头中检查连接的 IP (CIP) 标头字段。 若要查看各种电子邮件客户端中的邮件头,请参阅 在 Outlook 中查看 Internet 邮件头

  • IP 允许列表优先于 IP 阻止列表, (两个列表中的地址不会) 阻止。

  • IP 允许列表和 IP 阻止列表分别支持最多 1273 个条目,其中一个条目是单个 IP 地址、一个 IP 地址范围或无类域间路由 (CIDR) IP。

使用Microsoft Defender门户修改默认连接筛选器策略

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略”部分中的“Email &协作>策略 & 规则>威胁策略>反垃圾邮件”。 或者,若要直接转到 “反垃圾邮件策略 ”页,请使用 https://security.microsoft.com/antispam

  2. “反垃圾邮件策略”页上,单击名称旁边的检查框以外的任何位置,从列表中选择“连接筛选器策略 (默认 ) ”。

  3. 在打开的策略详细信息浮出控件中,使用 “编辑” 链接修改策略设置:

    • “说明”部分:选择“编辑说明”,在打开的“编辑名称和说明”浮出控件的“说明”框中输入策略的说明。 无法修改策略的名称。

      完成 “编辑名称和说明 ”浮出控件后,选择“ 保存”。

    • “连接筛选 ”部分:选择“ 编辑连接筛选器策略”。 在打开的浮出控件中,配置以下设置:

      • 始终允许来自以下 IP 地址或地址范围的消息:此设置是 IP 允许列表。 单击框中,输入一个值,然后按 Enter 键或选择框下方显示的完整值。 有效值包含:

        • 单个 IP:例如 192.168.1.1。
        • IP 范围:例如 192.168.0.1-192.168.0.254。
        • CIDR IP:例如 192.168.0.1/25。 有效的子网掩码值为 /24 到 /32。 若要跳过 /1 到 /23 的垃圾邮件筛选,请参阅本文后面的 跳过 CIDR IP 超出可用范围的垃圾邮件筛选 部分。

        根据需要重复执行此步骤(次数不限)。 若要删除现有条目,请选择 该条目旁边的项。

    • 始终阻止来自以下 IP 地址或地址范围的消息:此设置是 IP 阻止列表。 在框中输入单个 IP、IP 范围或 CIDR IP,如前面“ 始终允许来自以下 IP 地址或地址范围” 设置中所述。

    • 启用安全列表:启用或禁用使用安全列表来识别跳过垃圾邮件筛选的已知良好发件人。 若要使用安全列表,请选择“检查”框。

    完成浮出控件后,选择“ 保存”。

  4. 返回策略详细信息浮出控件,选择“ 关闭”。

使用Microsoft Defender门户查看默认连接筛选器策略

在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略”部分中的“Email &协作>策略 & 规则>威胁策略>反垃圾邮件”。 或者,若要直接转到 “反垃圾邮件策略 ”页,请使用 https://security.microsoft.com/antispam

“反垃圾邮件策略 ”页上,策略列表中显示了以下属性:

  • 名称:默认连接筛选器策略名为 “连接筛选器策略 (默认)
  • 状态:默认连接筛选器策略的值为 “始终打开 ”。
  • 优先级:默认连接筛选器策略的值为 “最低 ”。
  • 类型:默认连接筛选器策略的值为空。

若要将策略列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。

使用“ 搜索 ”框和相应的值查找特定策略。

单击名称旁边的“检查”框旁边的行以外的任意位置,选择默认连接筛选器策略,打开策略的详细信息浮出控件。

使用 Exchange Online PowerShell 或独立 EOP PowerShell 修改默认连接筛选器策略

使用以下语法:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
  • 有效的 IP 地址或地址范围值为:
    • 单个 IP:例如 192.168.1.1。
    • IP 范围:例如 192.168.0.1-192.168.0.254。
    • CIDR IP:例如 192.168.0.1/25。 有效的网络掩码值为 /24 到 /32。
  • 若要 使用 指定的值覆盖任何现有条目,请使用以下语法: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN
  • 若要 不影响其他现有条目的情况下添加或删除 IP 地址或地址范围,请使用以下语法: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}
  • 若要清空 IP 允许列表或 IP 阻止列表,请使用值 $null

此示例使用指定的 IP 地址和地址范围配置 IP 允许列表和 IP 阻止列表。

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

本示例从 IP 允许列表中添加和删除指定的 IP 地址和地址范围。

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

有关详细语法和参数信息,请参阅 Set-HostedConnectionFilterPolicy

如何判断这些过程生效了?

若要验证是否已成功修改默认连接筛选器策略,请执行以下步骤:

  • 在 Microsoft Defender 门户中https://security.microsoft.com/antispam“反垃圾邮件策略”页上,单击名称旁边的检查框以外的任何位置,从列表中选择“连接筛选器策略 (默认) ”,并在打开的详细信息浮出控件中验证策略设置。

  • 在 Exchange Online PowerShell 或独立 EOP PowerShell 中,运行以下命令并验证设置:

    Get-HostedConnectionFilterPolicy -Identity Default
    
  • 从 IP 允许列表上的条目发送测试消息。

IP 允许列表的其他注意事项

以下部分介绍了配置 IP 允许列表时需要了解的其他项目。

注意

无论邮件源是否在 IP 允许列表中,都会扫描所有传入邮件的恶意软件和高置信度钓鱼。

跳过超出可用范围的 CIDR IP 的垃圾邮件筛选

如本文前面所述,只能在 IP 允许列表中将 CIDR IP 与网络掩码 /24 到 /32 配合使用。 若要跳过从 /1 到 /23 范围内的源电子邮件服务器的邮件的垃圾邮件筛选,需要使用 Exchange 邮件流规则 (也称为传输规则) 。 但是,建议不要使用邮件流规则方法,因为如果 /1 到 /23 CIDR IP 范围内的 IP 地址出现在Microsoft的专有或第三方阻止列表中,邮件将被阻止。

现在你已完全了解潜在问题,可以创建具有以下设置的邮件流规则, (至少) ,以确保来自这些 IP 地址的邮件跳过垃圾邮件筛选:

  • 规则条件:如果>发件人>IP 地址位于这些范围中的任何一个或完全匹配>, (使用 /1 到 /23 网络掩码) 输入 CIDR IP,则应用此规则
  • 规则操作: 修改邮件属性>设置垃圾邮件置信度级别 (SCL) >绕过垃圾邮件筛选

可以审核规则、测试规则、在特定时间段内激活规则和其他选择。 我们建议首先在一段时间内测试规则,然后再强制应用。 有关详细信息,请参阅在 Exchange Online 中管理邮件流规则

跳过对来自同一源的选择性电子邮件域的垃圾邮件筛选

通常,将 IP 地址或地址范围添加到 IP 允许列表意味着你信任来自该电子邮件源的所有传入邮件。 如果该源从多个域发送电子邮件,而你希望跳过其中一些域的垃圾邮件筛选,而不是其他域,该怎么办? 可以将 IP 允许列表与邮件流规则结合使用。

例如,源电子邮件服务器 192.168.1.25 从域 contoso.com、fabrikam.com 和 tailspintoys.com 发送电子邮件,但你只想跳过 fabrikam.com 中发件人的邮件的垃圾邮件筛选:

  1. 将 192.168.1.25 添加到 IP 允许列表。

  2. 使用以下设置配置邮件流规则, (最低) :

    • 规则条件:如果>发件人>IP 地址位于这些范围中的任何一个或完全匹配> 192.168.1.25 (上一步添加到 IP 允许列表) 的相同 IP 地址或地址范围,则应用此规则
    • 规则操作: 修改邮件属性>设置垃圾邮件置信度 (SCL) >0
    • 规则例外: 发件人>> 仅 fabrikam.com (要跳过垃圾邮件筛选) 的域。

仍筛选来自 IP 允许列表中的源的消息的方案

在以下情况下,来自 IP 允许列表中的电子邮件服务器的邮件仍会受到垃圾邮件筛选的约束:

  • IP 允许列表中的 IP 地址也在 Microsoft 365 (的任何 租户中基于 IP 的本地入站连接器中配置,让我们将此租户 A) 调用, 而首次遇到 消息的租户 A 和 EOP 服务器恰好位于Microsoft数据中心 的同一 Active Directory 林中。 在此方案中, IPV:CAL添加到邮件反垃圾邮件标头 (指示邮件已绕过垃圾邮件筛选) ,但邮件仍受垃圾邮件筛选的约束。

  • 包含 IP 允许列表的租户和首次遇到消息的 EOP 服务器恰好位于Microsoft数据中心 的不同 Active Directory 林中。 在此方案中, IPV:CAL不会 添加到邮件头,因此邮件仍受垃圾邮件筛选的约束。

如果遇到上述任一情况,可以创建具有以下设置的邮件流规则, (最低) ,以确保来自有问题的 IP 地址的邮件跳过垃圾邮件筛选:

  • 规则条件:如果>发件人>IP 地址位于这些范围中的任何一个或完全匹配 > (您的 IP 地址) ,则应用此规则
  • 规则操作: 修改邮件属性>设置垃圾邮件置信度级别 (SCL) >绕过垃圾邮件筛选

不熟悉 Microsoft 365?


LinkedIn学习的简短图标。 不熟悉 Microsoft 365? 通过 LinkedIn Learning 为你介绍 面向 Microsoft 365 名管理员和 IT 专业人员的免费视频课程。