Настройка фильтрации подключений
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
В организациях Microsoft 365 с Exchange Online почтовыми ящиками или автономными Exchange Online Protection организациями без Exchange Online почтовых ящиков фильтрация подключений и политика фильтра подключений по умолчанию определяют хорошие или плохие исходные почтовые серверы по IP-адресам. Ключевые компоненты политики фильтра подключений по умолчанию:
Список разрешенных IP-адресов. Пропустите фильтрацию спама для всех входящих сообщений из указанных исходных IP-адресов или диапазонов IP-адресов. Все входящие сообщения проверяются на наличие вредоносных программ и фишинга с высокой степенью достоверности. Другие сценарии, в которых фильтрация нежелательной почты по-прежнему выполняется для сообщений с серверов в списке разрешенных IP-адресов, см. в разделе Сценарии, в которых сообщения из источников в списке разрешенных IP-адресов по-прежнему фильтруются далее в этой статье. Дополнительные сведения о том, как список разрешенных IP-адресов должен соответствовать общей стратегии надежных отправителей, см. в статье Создание списков надежных отправителей в EOP.
Список блокировок IP-адресов. Блокировать все входящие сообщения из указанных исходных IP-адресов или диапазонов IP-адресов. Входящие сообщения отклоняются, не помечаются как нежелательные, и никакой другой фильтрации не происходит. Дополнительные сведения о том, как список заблокированных IP-адресов должен соответствовать общей стратегии заблокированных отправителей, см. в статье Создание списков отправителей блокировок в EOP.
Список безопасных. Список безопасных в политике фильтра подключений — это динамический список разрешений, который не требует настройки клиента. Корпорация Майкрософт определяет эти надежные источники электронной почты из подписок на различные сторонние списки. Вы включаете или отключаете использование безопасного списка; вы не можете настроить серверы в списке. Фильтрация нежелательной почты пропускается для входящих сообщений с серверов электронной почты в безопасном списке.
В этой статье описывается настройка политики фильтра подключений по умолчанию на портале microsoft 365 Microsoft Defender или в Exchange Online PowerShell. Дополнительные сведения о том, как EOP использует фильтрацию подключений, является частью общих параметров защиты от нежелательной почты в организации, см. в разделе Защита от нежелательной почты.
Примечание.
Список разрешенных IP-адресов, список безопасных и список заблокированных IP-адресов являются частью общей стратегии, позволяющей разрешать или блокировать электронную почту в организации. Дополнительные сведения см. в разделах Создание списков надежных отправителей и Создание списков заблокированных отправителей.
Диапазоны IPv6 не поддерживаются.
Сообщения из заблокированных источников в списке заблокированных IP-адресов недоступны в трассировке сообщений.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы сразу перейти к странице Политики защиты от нежелательной почты, используйте ссылку https://security.microsoft.com/antispam.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).
-
- Изменение политик: членство в группах ролей "Управление организацией" или "Администратор безопасности ".
- Доступ только для чтения к политикам: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
Microsoft Entra разрешения. Членство в ролях "Глобальный администратор*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.
Важно!
* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Чтобы найти исходные IP-адреса почтовых серверов (отправителей), которые необходимо разрешить или заблокировать, можно проверка поле заголовка подключающегося IP-адреса (CIP) в заголовке сообщения. Сведения о просмотре заголовков сообщений в различных почтовых клиентах см. в статье Просмотр заголовков сообщений в Интернете в Outlook.
Список разрешенных IP-адресов имеет приоритет над списком заблокированных IP-адресов (адрес в обоих списках не блокируется).
Список разрешенных IP-адресов и список блокировок IP-адресов поддерживают не более 1273 записей, где запись представляет собой один IP-адрес, диапазон IP-адресов или IP-адрес cidr(CIDR).
Изменение политики фильтра подключений по умолчанию с помощью портала Microsoft Defender
На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.
На странице Политики защиты от нежелательной почты выберите Политика фильтра подключений (по умолчанию) в списке, щелкнув в любом месте строки, кроме поля проверка рядом с именем.
В открывавшемся всплывающем окне сведений о политике используйте ссылки Изменить , чтобы изменить параметры политики:
Раздел описание . Выберите Изменить описание , чтобы ввести описание политики в поле Описание открывающегося всплывающего окна Изменение имени и описания . Вы не можете изменить имя политики.
По завершении во всплывающем окне Изменение имени и описания нажмите кнопку Сохранить.
Раздел "Фильтрация подключений": выберите Изменить политику фильтра подключений. В открывавшемся всплывающем меню настройте следующие параметры:
Всегда разрешать сообщения из следующих IP-адресов или диапазона адресов: этот параметр является списком разрешенных IP-адресов. Щелкните поле, введите значение, а затем нажмите клавишу ВВОД или выберите полное значение, которое отображается под полем. Допустимые значения:
- Один IP-адрес: например, 192.168.1.1.
- Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
- IP-адрес CIDR: например, 192.168.0.1/25. Допустимые значения маски подсети: от /24 до /32. Чтобы пропустить фильтрацию нежелательной почты для /1 до /23, см . раздел Пропустить фильтрацию нежелательной почты для IP-адреса CIDR за пределами доступного диапазона далее в этой статье.
Повторите этот шаг нужное количество раз. Чтобы удалить существующую запись, щелкните рядом с записью.
Всегда блокируйте сообщения из следующих IP-адресов или диапазона адресов: этот параметр является списком блокировок IP-адресов. Введите в поле один IP-адрес, диапазон IP-адресов или IP-адрес CIDR, как описано ранее в параметре Всегда разрешать сообщения из следующих IP-адресов или диапазона адресов .
Включить безопасный список. Включите или отключите использование списка безопасности для выявления известных, хороших отправителей, которые пропускают фильтрацию нежелательной почты. Чтобы использовать список безопасных, выберите поле проверка.
Завершив работу с всплывающей кнопкой, нажмите кнопку Сохранить.
Вернитесь во всплывающее окно сведений о политике и нажмите кнопку Закрыть.
Используйте портал Microsoft Defender для просмотра политики фильтра подключений по умолчанию.
На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.
На странице Политики защиты от нежелательной почты в списке политик отображаются следующие свойства:
- Имя: политика фильтра подключений по умолчанию называется политика фильтра подключений (по умолчанию).
- Состояние: значение Always on для политики фильтра подключений по умолчанию.
- Приоритет. Для политики фильтра подключений по умолчанию используется наименьшее значение.
- Тип: значение пусто для политики фильтра подключений по умолчанию.
Чтобы изменить список политик с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.
Используйте поле Поиск и соответствующее значение для поиска определенных политик.
Выберите политику фильтра подключений по умолчанию, щелкнув в любом месте строки, кроме поля проверка рядом с именем, чтобы открыть всплывающее окно сведений о политике.
Использование Exchange Online PowerShell или автономной EOP PowerShell для изменения политики фильтра подключений по умолчанию
Используйте следующий синтаксис.
Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
- Допустимые значения IP-адреса или диапазона адресов:
- Один IP-адрес: например, 192.168.1.1.
- Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.
- IP-адрес CIDR: например, 192.168.0.1/25. Допустимые значения маски сети: от /24 до /32.
- Чтобы перезаписать все существующие записи указанными значениями, используйте следующий синтаксис:
IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN
. - Чтобы добавить или удалить IP-адреса или диапазоны адресов, не затрагивая другие существующие записи, используйте следующий синтаксис:
@{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}
. - Чтобы очистить список разрешенных IP-адресов или список блокировок IP-адресов, используйте значение
$null
.
В этом примере в списке разрешенных IP-адресов и в списке заблокированных IP-адресов настраиваются указанные IP-адреса и диапазоны адресов.
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24
В этом примере указанные IP-адреса и диапазоны адресов добавляются из списка разрешенных IP-адресов и удаляются из него.
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}
Подробные сведения о синтаксисе и параметрах см. в разделе Set-HostedConnectionFilterPolicy.
Как проверить, что эти процедуры выполнены?
Чтобы убедиться, что вы успешно изменили политику фильтра подключений по умолчанию, выполните одно из следующих действий.
На странице Политики защиты от нежелательной почты на портале Microsoft Defender по адресу https://security.microsoft.com/antispamвыберите Политика фильтра подключений (по умолчанию) в списке, щелкнув в любом месте строки, кроме поля проверка рядом с именем, и проверьте параметры политики в открывающемся всплывающем окне сведений.
В Exchange Online PowerShell или автономном EOP PowerShell выполните следующую команду и проверьте параметры:
Get-HostedConnectionFilterPolicy -Identity Default
Отправка тестового сообщения из записи в списке разрешенных IP-адресов.
Дополнительные рекомендации по списку разрешенных IP-адресов
В следующих разделах указаны дополнительные элементы, о которые необходимо знать при настройке списка разрешенных IP-адресов.
Примечание.
Все входящие сообщения проверяются на наличие вредоносных программ и фишинга с высокой степенью достоверности независимо от того, находится ли источник сообщения в списке разрешенных IP-адресов.
Пропустить фильтрацию нежелательной почты для IP-адреса CIDR за пределами доступного диапазона
Как описано ранее в этой статье, вы можете использовать ТОЛЬКО IP-адрес CIDR с маской сети от /24 до /32 в списке разрешенных IP-адресов. Чтобы пропустить фильтрацию нежелательной почты на сообщениях с исходных почтовых серверов в диапазоне от /1 до /23, необходимо использовать правила потока обработки почты Exchange (также известные как правила транспорта). Но мы рекомендуем не использовать метод правила потока обработки почты, так как сообщения блокируются, если IP-адрес в диапазоне IP-адресов CIDR /1–/23 отображается в любом из списков заблокированных или сторонних поставщиков Майкрософт.
Теперь, когда вы в полной мере знаете о потенциальных проблемах, вы можете создать правило потока обработки почты со следующими параметрами (как минимум), чтобы сообщения с этих IP-адресов пропускали фильтрацию спама:
- Условие правила. Примените это правило, если>IP-адрес отправителя находится в любом из этих диапазонов или точно соответствует> (введите IP-адрес CIDR с маской сети /1–/23).>
- Действие правила. Изменение свойств> сообщенияЗадайте уровень достоверности нежелательной почты (SCL)>Обход фильтрации нежелательной почты.
Вы можете выполнить аудит правила, протестировать его, активировать правило в течение определенного периода времени и другие параметры. Мы рекомендуем протестировать правило в течение определенного времени перед его применением. Дополнительные сведения см. в статье Управление правилами потока обработки почты в Exchange Online.
Пропустить фильтрацию нежелательной почты в выборочных доменах электронной почты из одного источника
Как правило, добавление IP-адреса или диапазона адресов в список разрешенных IP-адресов означает, что вы доверяете всем входящим сообщениям из этого источника электронной почты. Что делать, если этот источник отправляет электронную почту из нескольких доменов, и вы хотите пропустить фильтрацию спама для некоторых из этих доменов, но не для других? Список разрешенных IP-адресов можно использовать в сочетании с правилом потока обработки почты.
Например, исходный почтовый сервер 192.168.1.25 отправляет электронную почту из доменов contoso.com, fabrikam.com и tailspintoys.com, но вы хотите пропустить фильтрацию спама только для сообщений от отправителей в fabrikam.com:
Добавьте 192.168.1.25 в список разрешенных IP-адресов.
Настройте правило потока обработки почты со следующими параметрами (как минимум):
- Условие правила. Примените это правило, если>IP-адрес отправителя находится в любом из этих диапазонов или точно соответствует> 192.168.1.25 (тот же IP-адрес или диапазон адресов, которые вы добавили в список разрешенных IP-адресов на предыдущем шаге).>
- Действие правила. Изменение свойств> сообщенияЗадайте уровень достоверности нежелательной почты (SCL)>0.
- Исключение правила. Домен отправителя>fabrikam.com> (только домен или домены, которые нужно пропустить фильтрацию нежелательной почты).
Сценарии, в которых сообщения из источников в списке разрешенных IP-адресов по-прежнему фильтруются
Сообщения с почтового сервера в списке разрешенных IP-адресов по-прежнему подвергаются фильтрации нежелательной почты в следующих сценариях:
IP-адрес в списке разрешенных IP-адресов также настраивается в локальном соединителе входящего трафика на основе IP-адресов в любом клиенте Microsoft 365 (назовем этот клиент A), а клиент A и сервер EOP, который впервые встречает сообщение, оказались в одном лесу Active Directory в центрах обработки данных Майкрософт. В этом сценарии IPV:CALдобавляется в заголовки сообщений защиты от нежелательной почты (что указывает, что сообщение обошло фильтрацию нежелательной почты), но сообщение по-прежнему подлежит фильтрации нежелательной почты.
Клиент, содержащий список разрешенных IP-адресов и сервер EOP, на котором впервые встречается сообщение, находится в разных лесах Active Directory в центрах обработки данных Майкрософт. В этом сценарии IPV:CALне добавляется в заголовки сообщений, поэтому сообщение по-прежнему подвергается фильтрации спама.
В любом из этих сценариев можно создать правило потока обработки почты со следующими параметрами (как минимум), чтобы сообщения с проблемных IP-адресов пропускали фильтрацию нежелательной почты:
- Условие правила. Примените это правило, если>IP-адрес отправителя находится в любом из этих диапазонов или точно соответствует> (ваш IP-адрес или адреса).>
- Действие правила. Изменение свойств> сообщенияЗадайте уровень достоверности нежелательной почты (SCL)>Обход фильтрации нежелательной почты.
Не знакомы с Microsoft 365?
Не знакомы с Microsoft 365? Ознакомьтесь с бесплатными видеокурсами для администраторов и ИТ-специалистов Microsoft 365, представленными LinkedIn Learning.