Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I connettori in ingresso configurati correttamente sono un'origine attendibile della posta in arrivo a Microsoft 365 o Office 365. Tuttavia, in scenari di routing complessi in cui la posta elettronica per il dominio di Microsoft 365 o Office 365 viene instradata in un'altra posizione, l'origine del connettore in ingresso in genere non è il vero indicatore della provenienza del messaggio. Gli scenari di routing complessi includono:
- Servizi di filtro cloud di terze parti
- Appliance di filtro gestito
- Ambienti ibridi (ad esempio, con Exchange locale)
Il routing della posta in scenari complessi è simile al seguente:
Come si può vedere, il messaggio adotta l'IP di origine del servizio, dell'appliance o dell'organizzazione di Exchange locale che si trova davanti a Microsoft 365. Il messaggio arriva in Microsoft 365 con un indirizzo IP di origine diverso. Questo comportamento non è una limitazione di Microsoft 365; è semplicemente il funzionamento di SMTP.
In questi scenari è comunque possibile sfruttare al meglio Exchange Online Protection (EOP) e Microsoft Defender per Office 365 usando il filtro avanzato per i connettori (noto anche come skip list).
Dopo aver abilitato il filtro avanzato per i connettori, il routing della posta in scenari di routing complessi è simile al seguente:
Come si può vedere, il filtro avanzato per i connettori consente di mantenere le informazioni sull'indirizzo IP e sul mittente.
In questi scenari di routing viene in genere usato un sigillo ARC per mantenere le informazioni di origine e l'integrità dei messaggi usando DKIM. Tuttavia, DKIM ha spesso esito negativo perché molti servizi che modificano il messaggio non supportano ARC. Per facilitare queste situazioni, il filtro avanzato per i connettori non solo mantiene l'indirizzo IP dell'hop precedente, ma recupera anche in modo intelligente da errori di firma DKIM. Questo comportamento consente ai messaggi di passare l'autenticazione attraverso i filtri di intelligence per lo spoofing.
Il filtro avanzato per i connettori offre i vantaggi seguenti:
- Accuratezza migliorata per lo stack di filtri Microsoft e i modelli di Machine Learning, tra cui:
- Falsi positivi ridotti in DMARC a partire dalla modifica del contenuto e dalla mancanza di un sigillo ARC.
- Clustering euristico
- Anti-spoofing
- Anti-phishing
- Migliori funzionalità post-violazione in Analisi automatizzata e risposta (AIR)
- Possibilità di usare l'autenticazione esplicita tramite posta elettronica (SPF, DKIM e DMARC) per verificare la reputazione del dominio di invio per il rilevamento della rappresentazione e dello spoofing. Per altre informazioni sull'autenticazione esplicita e implicita della posta elettronica, vedere autenticazione Email in Microsoft 365.
Per altre informazioni, vedere la sezione Cosa accade quando si abilita il filtro avanzato per i connettori? più avanti in questo articolo.
Usare le procedure descritte in questo articolo per abilitare il filtro avanzato per i connettori nei singoli connettori. Per altre informazioni sui connettori in Exchange Online, vedere Configurare il flusso di posta usando i connettori.
Nota
- Il filtro avanzato per i connettori è destinato agli scenari in cui il record MX per il dominio non punta a Microsoft 365. Ad esempio:
- Ambienti ibridi in cui la posta Internet viene instradata attraverso l'ambiente Exchange locale prima di essere recapitata a Microsoft 365. La posta inviata ai destinatari locali non viene analizzata da Microsoft 365.
- La posta Internet viene instradata attraverso un servizio o un dispositivo non Microsoft prima del recapito ai destinatari di Microsoft 365, come descritto in MX record points to third-party spam filtering (Punti record MX per il filtro della posta indesiderata di terze parti).
- Il filtro avanzato per i connettori non è destinato ai servizi non Microsoft o ai dispositivi che analizzano la posta dopo Microsoft 365. Dopo che Microsoft 365 analizza un messaggio, prestare attenzione a non interrompere la catena di attendibilità instradando la posta elettronica attraverso qualsiasi server non Exchange che non fa parte del cloud o dell'organizzazione locale. Quando il messaggio arriva alla cassetta postale di destinazione, le intestazioni del primo verdetto di analisi potrebbero non essere più accurate.
- Negli scenari di routing in ingresso non lineare nel trasporto posta centralizzato, l'aggiunta di server ibridi locali al filtro avanzato per i connettori non è supportata. Questa configurazione può causare l'analisi della posta elettronica restituita dall'ambiente locale in Microsoft 365, che aggiunge un valore di intestazione compauth ai messaggi e potrebbe comportare l'identificazione del messaggio come posta indesiderata. Negli scenari di routing in ingresso lineare nel trasporto posta centralizzato è supportata l'aggiunta di server ibridi locali al filtro avanzato per i connettori.
- Esempi di routing in ingresso non lineare (l'aggiunta di server ibridi locali al filtro avanzato per i connettori non è supportata):
- Internet > Microsoft 365 > Locale > Microsoft 365
- Servizio > Internet > non Microsoft Microsoft 365 > Locale > Microsoft 365
- Esempi di routing in ingresso lineare (è supportata l'aggiunta di server ibridi locali al filtro avanzato per i connettori):
- Internet > locale > Microsoft 365
- Servizio > Internet > non Microsoft locale > Microsoft 365
- Esempi di routing in ingresso non lineare (l'aggiunta di server ibridi locali al filtro avanzato per i connettori non è supportata):
Configurare il filtro avanzato per i connettori
Nota
Attualmente, gli indirizzi IPv6 sono supportati solo in PowerShell. Per usare PowerShell per configurare il filtro avanzato per i connettori, vedere la sezione Usare Exchange Online PowerShell o Exchange Online Protection PowerShell per configurare il filtro avanzato per i connettori in un connettore in ingresso più avanti in questo articolo.
Che cosa è necessario sapere prima di iniziare?
Includere tutti gli indirizzi IP attendibili associati agli host locali o ai filtri di terze parti che inviano messaggi di posta elettronica all'organizzazione microsoft 365 o Office 365, inclusi gli hop intermedi con indirizzi IP pubblici. Per ottenere questi indirizzi IP, consultare la documentazione o il supporto fornito con il servizio.
Se sono presenti regole del flusso di posta (note anche come regole di trasporto) che impostano l'SCL su -1 per i messaggi che passano attraverso questo connettore, è necessario disabilitare tali regole del flusso di posta dopo aver abilitato il filtro avanzato per i connettori.
Per aprire il portale di Microsoft Defender, passare a https://security.microsoft.com. Per passare direttamente alla pagina Filtro avanzato per i connettori , usare https://security.microsoft.com/skiplisting.
Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a Exchange Online Protection PowerShell, vedere Connettersi a Exchange Online Protection PowerShell.
Per configurare il filtro avanzato per i connettori, è necessario essere membri di uno dei gruppi di ruoli seguenti:
- Amministratore della gestione dell'organizzazione o della sicurezza nel portale di Microsoft Defender.
- Gestione dell'organizzazione in Exchange Online.
Usare il portale di Microsoft Defender per configurare il filtro avanzato per i connettori in un connettore in ingresso
Nel portale di Microsoft Defender passare a Email & criteri di collaborazione>& regole Pagina Regole>criteri di minaccia>Sezione>Filtri avanzati.
Nella pagina Filtro avanzato per i connettori selezionare il connettore in ingresso da configurare facendo clic sul nome.
Nel riquadro a comparsa dei dettagli del connettore visualizzato configurare le impostazioni seguenti:
Indirizzi IP da ignorare: scegliere uno dei valori seguenti:
Disabilitare il filtro avanzato per i connettori: disattiva filtro avanzato per i connettori nel connettore.
Rilevare e ignorare automaticamente l'ultimo indirizzo IP: è consigliabile questo valore se è necessario ignorare solo l'ultima origine del messaggio.
Ignorare questi indirizzi IP associati al connettore: selezionare questo valore per configurare un elenco di indirizzi IP da ignorare.
Importante
- L'immissione degli indirizzi IP di Microsoft 365 o Office 365 non è supportata. Non usare questa funzionalità per compensare i problemi introdotti dai percorsi di routing della posta elettronica non supportati. Prestare attenzione e limitare gli intervalli IP solo ai sistemi di posta elettronica che gestiranno i messaggi dell'organizzazione prima di Microsoft 365 o Office 365.
- L'immissione di qualsiasi indirizzo loopback (127.0.0.0/8) o indirizzo IP privato definito da RFC 1918 (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) non è supportata. Il filtro avanzato rileva e ignora automaticamente gli indirizzi loopback e gli indirizzi IP privati. Se l'hop precedente è un server di posta elettronica dietro un dispositivo NAT (Network Address Translation) che assegna indirizzi IP privati, è consigliabile configurare NAT per assegnare un indirizzo IP pubblico al server di posta elettronica.
- Attualmente, gli indirizzi IPv6 sono supportati solo in PowerShell.
Se è stata selezionata l'opzione Rileva e ignora automaticamente l'ultimo indirizzo IP o Ignora gli indirizzi IP associati al connettore, verrà visualizzata la sezione Applica a questi utenti :
Applica a un'intera organizzazione: è consigliabile questo valore dopo aver testato prima la funzionalità su alcuni destinatari.
Applica a un piccolo set di utenti: selezionare questo valore per configurare un elenco di indirizzi di posta elettronica dei destinatari a cui si applica il filtro avanzato per i connettori. È consigliabile usare questo valore come test iniziale della funzionalità.
Nota
- Questo valore è valido solo per gli indirizzi di posta elettronica effettivi specificati. Ad esempio, se un utente ha cinque indirizzi di posta elettronica associati alla propria cassetta postale (noti anche come indirizzi proxy), è necessario specificare tutti e cinque gli indirizzi di posta elettronica qui. In caso contrario, i messaggi inviati agli altri quattro indirizzi di posta elettronica verranno filtrati normalmente.
- Negli ambienti ibridi in cui la posta in ingresso scorre attraverso Exchange locale, è necessario specificare targetAddress dell'oggetto MailUser . Ad esempio,
[email protected]. - Questo valore è valido solo nei messaggi in cui tutti i destinatari sono specificati qui. Se un messaggio contiene tutti i destinatari non specificati qui, il filtro normale viene applicato a tutti i destinatari del messaggio.
Applica a un'intera organizzazione: è consigliabile questo valore dopo aver testato prima la funzionalità su alcuni destinatari.
Al termine, scegli Salva.
Usare Exchange Online PowerShell o Exchange Online Protection PowerShell per configurare il filtro avanzato per i connettori in un connettore in ingresso
Per configurare il filtro avanzato per i connettori in un connettore in ingresso, usare la sintassi seguente:
Set-InboundConnector -Identity <ConnectorIdentity> [-EFSkipLastIP <$true | $false>] [-EFSkipIPs <IPAddresses>] [-EFUsers "emailaddress1","emailaddress2",..."emailaddressN"]
EFSkipLastIP: i valori validi sono:
-
$true: viene ignorata solo l'ultima origine del messaggio. -
$false: ignorare gli indirizzi IP specificati dal parametro EFSkipIPs . Se non sono specificati indirizzi IP, il filtro avanzato per i connettori viene disabilitato nel connettore in ingresso. Il valore predefinito è$false.
-
EFSkipIPs: indirizzi IPv4 o IPv6 specifici da ignorare quando il valore del parametro EFSkipLastIP è
$false. I valori validi sono:-
Un singolo indirizzo IP: ad esempio,
192.168.1.1. -
Intervallo di indirizzi IP: ad esempio,
192.168.1.0-192.168.1.31. -
IP cidr (Classless Inter-Domain Routing): ad esempio.
192.168.1.0/25
Per limitazioni sugli indirizzi IP, vedere ignorare gli indirizzi IP associati alla descrizione del connettore nella sezione precedente.
-
Un singolo indirizzo IP: ad esempio,
EFUsers: indirizzo di posta elettronica delimitato da virgole degli indirizzi di posta elettronica dei destinatari a cui si vuole applicare il filtro avanzato per i connettori. Vedere la descrizione Applica a un piccolo set di utenti nella sezione precedente per informazioni sulle limitazioni relative ai singoli destinatari. Il valore predefinito è vuoto (
$null), il che significa che il filtro avanzato per i connettori viene applicato a tutti i destinatari.
In questo esempio viene configurato il connettore in ingresso denominato From Anti-Spam Service con le impostazioni seguenti:
- Il filtro avanzato per i connettori è abilitato nel connettore e l'indirizzo IP dell'ultima origine messaggio viene ignorato.
- Il filtro avanzato per i connettori si applica solo agli indirizzi
[email protected]di posta elettronica del destinatario ,[email protected]e[email protected].
Set-InboundConnector -Identity "From Anti-Spam Service" -EFSkipLastIP $true -EFUsers "[email protected]","[email protected]","[email protected]"
Per disabilitare il filtro avanzato per i connettori, usare il valore $false per il parametro EFSkipLastIP .
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-InboundConnector.
Cosa accade quando si abilita il filtro avanzato per i connettori?
La tabella seguente descrive l'aspetto delle connessioni prima e dopo l'abilitazione del filtro avanzato per i connettori:
| Funzionalità | Prima dell'abilitazione del filtro avanzato | Dopo l'abilitazione del filtro avanzato |
|---|---|---|
| Email autenticazione del dominio | Implicito usando la tecnologia di protezione anti-spoof. | Esplicito, basato sui record SPF, DKIM e DMARC del dominio di origine in DNS. |
| X-MS-Exchange-ExternalOriginalInternetSender | Non disponibile | Questa intestazione viene contrassegnata se l'elenco ignora è riuscito, abilitato nel connettore e si verifica la corrispondenza del destinatario. Il valore di questo campo contiene informazioni sull'indirizzo di origine vero. |
| X-MS-Exchange-SkipListedInternetSender | Non disponibile | Questa intestazione viene contrassegnata se l'opzione skip listing è stata abilitata nel connettore, indipendentemente dalle corrispondenze dei destinatari. Il valore di questo campo contiene informazioni sull'indirizzo di origine vero. Questa intestazione viene usata principalmente a scopo di creazione di report e per comprendere gli scenari WhatIf. |
È possibile visualizzare i miglioramenti apportati al filtro e alla creazione di report usando il report sullo stato della protezione dalle minacce nel portale di Microsoft Defender. Per altre informazioni, vedere Rapporto sullo stato della protezione dalle minacce.
Vedere anche
Configurare il flusso di posta elettronica usando i connettori