設定連線篩選
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在Microsoft 365 個組織中,Exchange Online 信箱或獨立 Exchange Online Protection (EOP) 組織沒有 Exchange Online 信箱、連線篩選和預設連線篩選原則,可依 IP 位址識別出良好或不正確的來源電子郵件伺服器。 預設連線篩選原則的主要元件如下:
IP 允許清單:略過來自指定來源 IP 位址或 IP 位址範圍之所有傳入訊息的垃圾郵件篩選。 所有傳入訊息都會掃描是否有惡意代碼和高信賴度網路釣魚。 如需在IP允許清單中伺服器的郵件上仍然發生垃圾郵件篩選的其他案例,請參閱本文稍後的 IP允許清單中來源的郵件仍然經過篩選 的案例一節。 如需IP允許清單如何納入整體安全發件者策略的詳細資訊,請參閱 在EOP中建立安全寄件人清單。
IP 封鎖清單:封鎖來自指定來源 IP 位址或 IP 位址範圍的所有傳入訊息。 傳入的郵件會遭到拒絕、未標示為垃圾郵件,而且不會進行其他篩選。 如需IP封鎖清單應如何納入整體封鎖發件者策略的詳細資訊,請參閱 在EOP中建立封鎖寄件人清單。
安全清單:連線篩選 原則中的安全清單 是不需要客戶設定的動態允許清單。 Microsoft識別來自訂用帳戶到各種第三方清單的這些受信任電子郵件來源。 您可以啟用或停用安全清單的使用;您無法在清單中設定伺服器。 垃圾郵件篩選會略過安全清單上來自電子郵件伺服器的內送郵件。
本文說明如何在 Microsoft 365 Microsoft Defender 入口網站或 Exchange Online PowerShell 中設定預設連線篩選原則。 如需 EOP 如何使用聯機篩選的詳細資訊,請參閱 反垃圾郵件保護。
注意事項
IP 允許清單、安全清單和IP封鎖清單是整體策略的一部分,可允許或封鎖組織中的電子郵件。 如需詳細資訊,請 參閱建立安全寄件人清單 和 建立封鎖的發件者清單。
不支援 IPv6 範圍。
來自IP封鎖清單中封鎖來源的訊息無法在 訊息追蹤中使用。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [反垃圾郵件原則] 頁面,請使用 https://security.microsoft.com/antispam。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) (如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) : (管理) 的授權和設定/安全性設定/核心安全性設定或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
-
- 修改原則: 組織管理 或 安全性系統管理員 角色群組中的成員資格。
- 原則的只讀存取權:全域 讀取者、 安全性讀取者或 僅限檢視組織管理 角色群組中的成員資格。
Microsoft Entra 權限:全域管理員、安全性系統管理員*、全域讀取者或安全性讀取者角色的成員資格,可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
若要尋找您想要允許或封鎖的電子郵件伺服器 (寄件者) 的來源 IP 位址,您可以在郵件標頭中檢查連線的 IP (CIP) 標頭字段。 若要在各種電子郵件用戶端中檢視郵件標頭,請參 閱在 Outlook 中檢視因特網郵件標頭。
IP 允許清單的優先順序高於IP封鎖清單 (不會封鎖兩個清單上的位址) 。
IP 允許清單和IP封鎖清單各支援最多1273個專案,其中專案是單一IP位址、IP位址範圍或無類別網域路由 (CIDR) IP。
使用 Microsoft Defender 入口網站修改預設連線篩選原則
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [原則] 區段中的 [Email &> 共同作業原則 & 規則>威脅原則>反垃圾郵件]。 或者,若要直接移至 [反垃圾郵件原則 ] 頁面,請使用 https://security.microsoft.com/antispam。
在 [ 反垃圾郵件 原則] 頁面上,按下名稱旁邊複選框以外的數據列中的任何位置,從清單中選取 [ 連線篩選原則 (預設 ) ]。
在開啟的原則詳細數據飛出視窗中,使用 [編輯 ] 連結來修改原則設定:
描述區段:選取 [編輯描述],在開啟的 [編輯名稱和描述] 飛出視窗的 [描述] 方塊中輸入原則的描述。 您無法修改原則的名稱。
當您在 [ 編輯名稱和描述 ] 飛出視窗中完成時,請選取 [ 儲存]。
線上篩選 區段:選取 [編輯連線篩選原則]。 開啟的飛出視窗中,設定下列設定:
一律允許來自下列IP位址或位址範圍的訊息:此設定為IP允許清單。 按兩下方塊,輸入值,然後按 ENTER 鍵,或選取方塊下方顯示的完整值。 有效值為:
- 單一IP:例如,192.168.1.1。
- IP 範圍:例如,192.168.0.1-192.168.0.254。
- CIDR IP:例如 192.168.0.1/25。 有效的子網掩碼值是 /24 到 /32。 若要略過 /1 到 /23 的垃圾郵件篩選,請參閱本文稍後在 可用範圍之外略過 CIDR IP 的垃圾郵件篩選一 節。
視需要重複此步驟多次。 若要移除現有的專案,請選擇 項目旁邊的 。
一律封鎖來自下列IP位址或位址範圍的訊息:此設定為IP封鎖清單。 在方塊中輸入單一IP、IP範圍或 CIDR IP,如先前在[ 一律允許來自下列IP位址或位址範圍的訊息 ] 設定中所述。
開啟安全清單:啟用或停用安全清單的使用,以識別略過垃圾郵件篩選的已知良好發件者。 若要使用安全清單,請選取複選框。
當您在飛出視窗中完成時,請選取 [ 儲存]。
回到原則詳細數據飛出視窗,選取 [ 關閉]。
使用 Microsoft Defender 入口網站來檢視默認連線篩選原則
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [原則] 區段中的 [Email &> 共同作業原則 & 規則>威脅原則>反垃圾郵件]。 或者,若要直接移至 [反垃圾郵件原則 ] 頁面,請使用 https://security.microsoft.com/antispam。
在 [ 反垃圾郵件原則 ] 頁面上,下列屬性會顯示在原則清單中:
- 名稱:預設連線篩選原則命名為 連線篩選原則 (預設) 。
- 狀態:默認連線篩選原則的值為 [永遠開啟 ]。
- 優先順序:預設連線篩選原則的值為 [最低 ]。
- 類型:預設連線篩選原則的值為空白。
若要將原則清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]。
使用 [ 搜尋] 方 塊和對應的值來尋找特定原則。
按兩下名稱旁邊複選框以外的任何位置,以開啟原則的詳細數據飛出視窗,以選取預設連線篩選原則。
使用 Exchange Online 或獨立 EOP PowerShell 來修改預設連線篩選原則
使用下列語法:
Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
- 有效的 IP 位址或位址範圍值為:
- 單一IP:例如,192.168.1.1。
- IP 範圍:例如,192.168.0.1-192.168.0.254。
- CIDR IP:例如 192.168.0.1/25。 有效的網路遮罩值為 /24 到 /32。
- 若要使用您指定的值 覆寫 任何現有的專案,請使用下列語法:
IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN
。 - 若 要新增或移除 IP位址或位址範圍,而不會影響其他現有的專案,請使用下列語法:
@{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}
。 - 若要清空 IP 允許清單或 IP 封鎖清單,請使用 值
$null
。
這個範例會使用指定的IP位址和位址範圍來設定IP允許清單和IP封鎖清單。
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24
本範例會從 [IP 允許清單] 新增和移除指定的IP位址和位址範圍。
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}
如需詳細的語法和參數資訊,請參閱 Set-HostedConnectionFilterPolicy。
如何知道這些程序是否正常運作?
若要確認您已成功修改預設連線篩選原則,請執行下列任何步驟:
在 Microsoft Defender https://security.microsoft.com/antispam入口網站的 [反垃圾郵件原則] 頁面上,按兩下名稱旁邊複選框以外的任何數據列,從清單中選取 [連線篩選原則 (默認) ],然後確認開啟之詳細數據飛出視窗中的原則設定。
在 Exchange Online PowerShell 或獨立 EOP PowerShell 中,執行下列命令並確認設定:
Get-HostedConnectionFilterPolicy -Identity Default
從IP允許清單上的專案傳送測試訊息。
IP 允許清單的其他考慮
下列各節會識別您在設定IP允許清單時需要知道的其他專案。
注意事項
不論訊息來源是否在IP允許清單中,所有傳入訊息都會掃描是否有惡意代碼和高信賴度網路釣魚。
略過可用範圍之外 CIDR IP 的垃圾郵件篩選
如本文稍早所述,您只能在IP允許清單中使用CIDR IP搭配網路遮罩 /24 到 /32。 若要略過從 /1 到 /23 範圍之來源電子郵件伺服器的郵件垃圾郵件篩選,您必須使用 Exchange 郵件流程規則 (也稱為傳輸規則) 。 但是,建議您不要使用郵件流程規則方法,因為如果 /1 到 /23 CIDR IP 範圍中的IP位址出現在任何Microsoft專屬或第三方封鎖清單上,則會封鎖郵件。
既然您已完全瞭解潛在的問題,您可以建立至少 (下列設定的郵件流程規則) ,以確保來自這些 IP 位址的郵件會略過垃圾郵件篩選:
- 規則條件: 如果>發件者>IP 位址位於上述任何範圍,或完全符合> , (使用 /1 到 /23 網路遮罩) 輸入您的 CIDR IP,則套用此規則。
- 規則動作: 修改郵件屬性>設定垃圾郵件信賴等級 (SCL) >略過垃圾郵件篩選。
您可以稽核規則、測試規則、在特定期間內啟動規則,以及其他選取專案。 施行規則之前,建議先測試規則一段時間。 如需詳細資訊,請參閱在 Exchange Online 中管理郵件流程規則。
略過來自相同來源之選擇性電子郵件網域的垃圾郵件篩選
一般而言,將IP位址或位址範圍新增至IP允許清單,表示您信任來自該電子郵件來源的所有傳入訊息。 如果該來源從多個網域傳送電子郵件,而您想要略過其中某些網域的垃圾郵件篩選,但不想略過其他網域,該怎麼辦? 您可以使用IP允許清單搭配郵件流程規則。
例如,來源電子郵件伺服器 192.168.1.25 會從網域 contoso.com、fabrikam.com 和 tailspintoys.com 傳送電子郵件,但您只想要略過來自 fabrikam.com 發件者郵件的垃圾郵件篩選:
將 192.168.1.25 新增至 IP 允許清單。
至少 (下列設定來設定郵件流程規則) :
- 規則條件: 如果>發件者>IP 位址位於上述任何範圍中,或完全符合> 192.168.1.25 (您在上一個步驟中新增至 IP 允許清單的相同 IP 位址或地址範圍) ,則套用此規則。
- 規則動作: 修改郵件屬性>將垃圾郵件信賴等級設定 (SCL) >0。
- 規則例外狀況: 發件者>網域> 僅 fabrikam.com (您想要略过垃圾邮件筛选) 的網域。
IP 允許清單中來自來源的訊息仍會進行篩選的案例
在下列案例中,來自IP允許清單中電子郵件伺服器的郵件仍受限於垃圾郵件篩選:
您的IP允許清單中的IP位址也會在內部部署的IP型輸入連接器中設定Microsoft 365 中 的任何 租使用者 (讓我們呼叫此租使用者 A ) ,而 第一次遇到訊息的租使用者 A 和 EOP 伺服器會發生在Microsoft數據中心的 相同 Active Directory 樹系中。 在此案例中, IPV:CAL會新增至 郵件的反 垃圾郵件郵件標頭 , (表示郵件略過垃圾郵件篩選) ,但郵件仍受限於垃圾郵件篩選。
您的租使用者,其中包含IP允許清單,以及第一次遇到訊息的EOP伺服器,會發生在Microsoft數據中心的 不同 Active Directory 樹系中。 在此案例中, IPV:CAL不會 新增至郵件標頭,因此郵件仍受限於垃圾郵件篩選。
如果您遇到上述其中一種情況,您可以建立至少 (下列設定的郵件流程規則) ,以確保來自有問題 IP 位址的郵件會略過垃圾郵件篩選:
- 規則條件: 如果>寄件者>IP 位址位於上述任何範圍,或完全符合> 您的IP位址或位址) (,請套用此規則。
- 規則動作: 修改郵件屬性>設定垃圾郵件信賴等級 (SCL) >略過垃圾郵件篩選。
365 Microsoft新功能嗎?
Microsoft 365 的新功能? 探索 Microsoft 365 系統管理員和 IT 專業人員的免費影片課程,LinkedIn Learning 為您帶來。