Настройка фильтрации подключений в облачных организациях

Во всех организациях с облачными почтовыми ящиками доступна фильтрация подключений с помощью политики фильтрации подключений по умолчанию, чтобы разрешить или заблокировать входящие ПОДКЛЮЧЕНИЯ SMTP (доставка электронной почты) с указанных IP-адресов. Ключевые компоненты политики фильтра подключений по умолчанию:

• Список разрешенных IP-адресов. Пропустите фильтрацию спама для всех входящих сообщений из указанных исходных IP-адресов или диапазонов IP-адресов. Все входящие сообщения по-прежнему проверяются на наличие вредоносных программ и фишинга с высокой степенью достоверности. Другие сценарии, в которых фильтрация нежелательной почты по-прежнему выполняется, см. в разделе Сценарии, в которых сообщения из источников в списке разрешенных IP-адресов по-прежнему фильтруются далее в этой статье. Дополнительные сведения о том, как список разрешенных IP-адресов должен соответствовать общей стратегии списка разрешений, см. в статье Создание списков разрешенных отправителей.

• Список блокировок IP-адресов. Блокировать все входящие сообщения из указанных исходных IP-адресов или диапазонов IP-адресов. Входящие сообщения отклоняются, не помечаются как нежелательные, и никакой другой фильтрации не происходит. Дополнительные сведения о том, как список заблокированных IP-адресов должен соответствовать общей стратегии заблокированных отправителей, см. в статье Создание списков блокировок отправителей.

• Безопасный список. Список безопасных в политике фильтра подключений по умолчанию является динамическим списком разрешений, который не требует настройки клиента. Корпорация Майкрософт определяет эти надежные источники электронной почты из подписок на различные списки сторонних поставщиков. Вы включаете или отключаете использование безопасного списка; вы не можете настроить серверы в списке. Фильтрация нежелательной почты пропускается для входящих сообщений с серверов электронной почты в безопасном списке.

В этой статье описывается настройка политики фильтра подключений по умолчанию на портале microsoft 365 Microsoft Defender или в Exchange Online PowerShell. Дополнительные сведения о том, как Microsoft 365 использует фильтрацию подключений, является частью общих параметров защиты от нежелательной почты в вашей организации, см. в разделе Защита от нежелательной почты.

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы сразу перейти к странице Политики защиты от нежелательной почты, используйте ссылку https://security.microsoft.com/antispam.

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & разрешения для совместной работы>Defender для Office 365активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

  • разрешения Exchange Online:

    • Изменение политик: членство в группах ролей "Управление организацией" или "Администратор безопасности ".
    • Доступ только для чтения к политикам: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".

  • Microsoft Entra разрешения. Членство в ролях "Глобальный администратор^*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

    Важно!

    ^* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

• Чтобы найти исходные IP-адреса почтовых серверов (отправителей), которые необходимо разрешить или заблокировать, можно проверка поле заголовка подключающегося IP-адреса (CIP) в заголовке сообщения. Сведения о просмотре заголовков сообщений в различных почтовых клиентах см. в статье Просмотр заголовков сообщений в Интернете в Outlook.

• Список разрешенных IP-адресов имеет приоритет над списком заблокированных IP-адресов (адрес в обоих списках не блокируется).

• Список разрешенных IP-адресов и список блокировок IP-адресов поддерживают не более 1273 записей, где запись — это один IP-адрес, диапазон IP-адресов или IP-адрес CIDR.

Изменение политики фильтра подключений по умолчанию с помощью портала Microsoft Defender

1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & политики совместной работы>& правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.

2. На странице Политики защиты от нежелательной почты выберите Политика фильтра подключений (по умолчанию) в списке, щелкнув в любом месте строки, кроме поля проверка рядом с именем.

3. В открывавшемся всплывающем окне сведений о политике используйте ссылки Изменить , чтобы изменить параметры политики:

   • Раздел описание . Выберите Изменить описание , чтобы ввести описание политики в поле Описание открывающегося всплывающего окна Изменение имени и описания . Вы не можете изменить имя политики.

     По завершении во всплывающем окне Изменение имени и описания нажмите кнопку Сохранить.

   • Раздел "Фильтрация подключений": выберите Изменить политику фильтра подключений. В открывавшемся всплывающем меню настройте следующие параметры:

     • Всегда разрешать сообщения из следующих IP-адресов или диапазона адресов: этот параметр является списком разрешенных IP-адресов. Щелкните поле, введите значение, а затем нажмите клавишу ВВОД или выберите полное значение, отображаемое под полем. Допустимые значения:

       • Один IP-адрес: например, 192.168.1.1.
       • Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
       • IP-адрес CIDR: например, 192.168.0.1/25. Допустимые значения маски подсети: от /24 до /32. Чтобы пропустить фильтрацию нежелательной почты для /1 до /23, см . раздел Пропустить фильтрацию нежелательной почты для IP-адреса CIDR за пределами доступного диапазона далее в этой статье.

       Повторите этот шаг нужное количество раз. Чтобы удалить существующую запись, щелкните рядом с записью.

   • Всегда блокируйте сообщения из следующих IP-адресов или диапазона адресов: этот параметр является списком блокировок IP-адресов. Введите в поле один IP-адрес, диапазон IP-адресов или IP-адрес CIDR, как описано ранее в параметре Всегда разрешать сообщения из следующих IP-адресов или диапазона адресов .

   • Включить безопасный список. Включите или отключите использование списка безопасности, указывающего известных и хороших отправителей, чтобы пропустить фильтрацию нежелательной почты. Чтобы использовать список безопасных, выберите поле проверка.

   Завершив работу с всплывающей кнопкой, нажмите кнопку Сохранить.

4. Вернитесь во всплывающее окно сведений о политике и нажмите кнопку Закрыть.

Используйте портал Microsoft Defender для просмотра политики фильтра подключений по умолчанию.

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & политики совместной работы>& правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.

На странице Политики защиты от нежелательной почты в списке политик отображаются следующие свойства:

• Имя: политика фильтра подключений по умолчанию называется политика фильтра подключений (по умолчанию).
• Состояние: значение Always on для политики фильтра подключений по умолчанию.
• Приоритет. Для политики фильтра подключений по умолчанию используется наименьшее значение.
• Тип: значение пусто для политики фильтра подключений по умолчанию.

Чтобы изменить список политик с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Используйте поле Поиск и соответствующее значение для поиска определенных политик.

Выберите политику фильтра подключений по умолчанию, щелкнув в любом месте строки, кроме поля проверка рядом с именем, чтобы открыть всплывающее окно сведений о политике.

Изменение политики фильтра подключений по умолчанию с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]

• Допустимые значения IP-адреса или диапазона адресов:
  • Один IP-адрес: например, 192.168.1.1.
  • Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
  • IP-адрес CIDR: например, 192.168.0.1/25. Допустимые значения маски сети: от /24 до /32.
• Чтобы перезаписать все существующие записи указанными значениями, используйте следующий синтаксис: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
• Чтобы добавить или удалить IP-адреса или диапазоны адресов, не затрагивая другие существующие записи, используйте следующий синтаксис: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
• Чтобы очистить список разрешенных IP-адресов или список блокировок IP-адресов, используйте значение $null.

В этом примере в списке разрешенных IP-адресов и в списке заблокированных IP-адресов настраиваются указанные IP-адреса и диапазоны адресов.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

В этом примере указанные IP-адреса и диапазоны адресов добавляются из списка разрешенных IP-адресов и удаляются из него.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Подробные сведения о синтаксисе и параметрах см. в разделе Set-HostedConnectionFilterPolicy.

Как проверить, что эти процедуры выполнены?

Чтобы убедиться, что политика фильтра подключений по умолчанию успешно изменена, выполните одно из следующих действий.

• На странице Политики защиты от нежелательной почты на портале Microsoft Defender по адресу https://security.microsoft.com/antispamвыберите Политика фильтра подключений (по умолчанию) в списке, щелкнув в любом месте строки, кроме поля проверка рядом с именем, и проверьте параметры политики в открывающемся всплывающем окне сведений.

• В Exchange Online PowerShell выполните следующую команду и проверьте параметры:

  Get-HostedConnectionFilterPolicy -Identity Default
  

• Отправка тестового сообщения из записи в списке разрешенных IP-адресов.

Другие рекомендации по списку разрешенных IP-адресов

В следующих разделах указаны другие элементы, о которые необходимо знать при настройке списка разрешенных IP-адресов.

Пропустить фильтрацию нежелательной почты для IP-адреса CIDR за пределами доступного диапазона

Как описано ранее в этой статье, вы можете использовать ТОЛЬКО IP-адрес CIDR с маской сети от /24 до /32 в списке разрешенных IP-адресов.

Чтобы пропустить фильтрацию нежелательной почты на сообщениях с исходных почтовых серверов в диапазоне /1–/23, можно использовать правила потока обработки почты Exchange (также известные как правила транспорта). Однако мы не рекомендуем использовать правила потока обработки почты. Сообщения блокируются, если IP-адрес в диапазоне IP-адресов CIDR /1–/23 отображается в любом из собственных списков блокировок Майкрософт или сторонних списков.

Теперь, когда вы в полной мере знаете о потенциальных проблемах, вы можете создать правило потока обработки почты со следующими параметрами (как минимум), чтобы сообщения с этих IP-адресов пропускали фильтрацию спама:

• Условие правила. Примените это правило, если>IP-адрес отправителя находится в любом из этих диапазонов или точно соответствует> (введите IP-адрес CIDR с маской сети /1–/23).>
• Действие правила. Изменение свойств> сообщенияЗадайте уровень достоверности нежелательной почты (SCL)>Обход фильтрации нежелательной почты.

Вы можете выполнить аудит правила, протестировать его, активировать правило в течение определенного периода времени и другие параметры. Мы рекомендуем протестировать правило в течение определенного времени перед его применением. Дополнительные сведения см. в статье Управление правилами потока обработки почты в Exchange Online.

Пропустить фильтрацию нежелательной почты в выборочных доменах электронной почты из одного источника

Как правило, добавление IP-адреса или диапазона адресов в список разрешенных IP-адресов означает, что вы доверяете всем входящим сообщениям из этого источника электронной почты. Что делать, если этот источник отправляет электронную почту из нескольких доменов, и вы хотите пропустить фильтрацию спама для некоторых из этих доменов, но не для других? Список разрешенных IP-адресов можно использовать в сочетании с правилом потока обработки почты.

Например, исходный почтовый сервер 192.168.1.25 отправляет электронную почту из доменов contoso.com, fabrikam.com и tailspintoys.com, но вы хотите пропустить фильтрацию спама только для сообщений от отправителей в fabrikam.com:

1. Добавьте 192.168.1.25 в список разрешенных IP-адресов.

2. Настройте правило потока обработки почты со следующими параметрами (как минимум):

   • Условие правила. Примените это правило, если>IP-адрес отправителя находится в любом из этих диапазонов или точно соответствует> 192.168.1.25 (тот же IP-адрес или диапазон адресов, которые вы добавили в список разрешенных IP-адресов на предыдущем шаге).>
   • Действие правила. Изменение свойств> сообщенияЗадайте уровень достоверности нежелательной почты (SCL)>0.
   • Исключение правила. Домен отправителя>fabrikam.com> (только домен или домены, которые нужно пропустить фильтрацию нежелательной почты).

Сценарии, в которых сообщения из источников в списке разрешенных IP-адресов по-прежнему фильтруются

Сообщения с почтового сервера в списке разрешенных IP-адресов по-прежнему подвергаются фильтрации нежелательной почты в следующих сценариях:

• IP-адрес в списке разрешенных IP-адресов также настраивается в локальном соединителе входящего трафика на основе IP-адресов в любой организации Microsoft 365, и что организация Microsoft 365 и первый сервер Microsoft 365, на который приходит сообщение, будут находиться в одном лесу в центрах обработки данных Майкрософт. В этом сценарии IPV:CALдобавляется в заголовки сообщений защиты от нежелательной почты (что указывает, что сообщение обошло фильтрацию нежелательной почты), но сообщение по-прежнему подлежит фильтрации нежелательной почты.

• Ваша организация, содержащая список разрешенных IP-адресов и сервер Microsoft 365, на котором впервые встречается сообщение, оказались в разных лесах в центрах обработки данных Майкрософт. В этом сценарии IPV:CALне добавляется в заголовки сообщений, поэтому сообщение по-прежнему подвергается фильтрации спама.

В любом из этих сценариев можно создать правило потока обработки почты со следующими параметрами (как минимум), чтобы сообщения с проблемных IP-адресов пропускали фильтрацию нежелательной почты:

• Условие правила. Примените это правило, если>IP-адрес отправителя находится в любом из этих диапазонов или точно соответствует> (ваш IP-адрес или адреса).>
• Действие правила. Изменение свойств> сообщенияЗадайте уровень достоверности нежелательной почты (SCL)>Обход фильтрации нежелательной почты.

Не знакомы с Microsoft 365?

Не знакомы с Microsoft 365? Ознакомьтесь с бесплатными видеокурсами для администраторов и ИТ-специалистов Microsoft 365, представленными LinkedIn Learning.