Настройка политики фильтров подключений

Exchange Online
 

Применимо к:Exchange Online, Exchange Online Protection

Последнее изменение раздела:2016-12-09

У большинства из нас есть друзья и деловые партнеры, которым мы доверяем. Будет неприятно, если сообщения от них окажутся в папке нежелательной почты или даже будут полностью заблокированы фильтром нежелательной почты. Чтобы убедиться, что сообщения от пользователей, которым вы доверяете, не блокируются, можно использовать политику фильтра подключений для создания списка разрешенных IP-адресов, также называемого списком безопасных отправителей. Кроме того, вы можете создать список блокированных отправителей, т. е. список IP-адресов, обычно от известных злоумышленников, рассылающих нежелательную почту, от которых вы никогда не хотите получать сообщения.

Подробные сведения о параметрах защиты от спама, которые применяются ко всей организации, см. в статье Как сделать так, чтобы сообщение не помечалось как спам или Блокирование нежелательной электронной почты с помощью фильтра Office 365, помогающего избавиться от ложноотрицательных срабатываний. Эти статьи пригодятся вам, если у вас есть права администратора и вы хотите предотвратить ложные положительные и отрицательные срабатывания.

В следующем видеоролике показана настройка политики фильтров подключения:

Ваш браузер не поддерживает воспроизведение видео. Установите Microsoft Silverlight, Adobe Flash Player или Internet Explorer 9.

  • Понадобится примерно 15 минут

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Раздел "Защита от нежелательной почты" статьи Разрешения компонентов в Exchange Online.

  • Чтобы узнать IP-адрес отправителя, получение сообщений которого необходимо разрешить или заблокировать, взгляните на заголовок интернет-сообщения. Найдите CIP-заголовок, как описано в статье Заголовки сообщений по защите от нежелательной почты. Сведения о том, как просматривать заголовки сообщений в различных почтовых клиентах, см. в статье Приложение Message Header Analyzer.

  • Сообщения электронной почты, отправленные с IP-адреса в списке заблокированных IP-адресов, не отмечаются как нежелательные, при этом дополнительная фильтрация не применяется.

  • Приведенную ниже процедуру фильтрации подключений можно также выполнить через удаленную оболочку PowerShell. Используйте командлет Get-HostedConnectionFilterPolicy, чтобы просматривать параметры, а Set-HostedConnectionFilterPolicy — чтобы изменять параметры политики фильтрации подключений. Сведения о том, как с помощью Оболочка Windows PowerShell подключаться к Exchange Online Protection, см. в статье Подключение к PowerShell для Exchange Online Protection.Сведения о том, как с помощью Оболочка Windows PowerShell подключаться к Exchange Online, см. в статье Подключение к PowerShell для Exchange Online.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Вы создаете список разрешенных или блокированных IP-адресов, изменяя политику фильтров подключения в Центре администрирования Exchange (EAC). Параметры политики фильтров подключений применяются только ко входящим сообщениям.

  1. В Центре администрирования Exchange перейдите выберите элементы Защита > Фильтр подключений и дважды нажмите политику по умолчанию.

  2. Выберите пункт меню Фильтрация подключений и создайте нужные вам списки: список разрешенных IP-адресов, список блокированных IP-адресов или оба списка.

    Чтобы создать эти списки, нажмите Значок добавления. В следующем диалоговом окне укажите IP-адрес или диапазон адресов, а затем нажмите кнопку ОК. Повторите эти действия, чтобы добавить дополнительные адреса. (IP-адреса можно также изменять и удалять после добавления.)

    ПримечаниеПримечание.
    • Если добавить IP-адрес в оба списка, сообщения от этого адреса будут разрешены.

    • IPV4-адреса необходимо задать в формате nnn.nnn.nnn.nnn, где nnn — это число от 0 до 255. Вы также можете указать диапазоны CIDR в формате nnn.nnn.nnn.nnn/rr, где rr — это число от 24 до 32. Сведения о том, как задать значения за пределами диапазона от 24 до 32, см. в статье Дополнительные рекомендации по настройке списков разрешенных IP-адресов.

    • Вы можете указать не более 1273 записей, каждая из которых — отдельный IP-адрес или диапазон CIDR IP-адресов от /24 до /32.

    • При отправке сообщений, зашифрованных с использованием TLS, не поддерживаются диапазоны адресов и адреса IPv6.

  3. При необходимости установите флажок Включить список надежных отправителей, чтобы не блокировать сообщения от известных отправителей. Как это сделать? Корпорация Майкрософт использует сторонние источники надежных отправителей. Этот список позволяет гарантировать, что надежные отправители не будут по ошибке отмечены как нежелательные. Мы рекомендуем выбрать этот параметр, так как он позволит уменьшить число получаемых ложных срабатываний (хорошей почты, которая классифицируется как нежелательная)

  4. Нажмите кнопку Сохранить. Сводка параметров политики по умолчанию отображается на правой панели.

Ниже приведены дополнительные рекомендации, которые следует учитывать при настройке списка разрешенных IP-адресов.

Чтобы указать диапазон IP-адресов в формате CIDR от /1 до /23, необходимо создать правило транспорта, действующее для диапазона IP-адресов, которое устанавливает для уровня вероятности нежелательной почты (SCL) значение Обойти фильтр нежелательной почты (это значит, что из этого диапазона IP-адресов не приходят нежелательные сообщения, и служба не выполняет дополнительную фильтрацию). Однако если любые из этих IP-адресов внесены в списки заблокированных адресов, принадлежащие корпорации Майкрософт или любому сотрудничающему с ней третьему лицу, эти сообщения все равно будут блокироваться. Поэтому настоятельно рекомендуется использовать диапазон IP-адресов от /32 до /24.

Чтобы создать это правило транспорта, выполните следующие действия.

  1. В Центре администрирования Exchange последовательно выберите пункты Поток обработки почты > Правила.

  2. Щелкните Значок добавления и выберите Создать новое правило.

  3. Присвойте правилу имя и нажмите Дополнительные параметры.

  4. В разделе Применить это правило, если последовательно выберите пункты Отправитель и Имеет IP-адрес, который находится в одном из этих диапазонов или точно совпадает.

  5. В поле Указать IP-адреса явным образом укажите диапазон IP-адресов, а затем последовательно нажмите кнопки ДобавитьЗначок добавления и ОК.

  6. В разделе Выполните следующие действия укажите действие, последовательно выбрав пункты Изменить свойства сообщения и Установить вероятность нежелательной почты (SCL). В поле Укажите вероятность нежелательной почты выберите пункт Обход фильтрации нежелательной почты и нажмите кнопку ОК.

  7. При необходимости можно выбрать нужные параметры для аудита и проверки правила, его активации в течение определенного периода, а также выбрать другие настройки. Мы рекомендуем протестировать правило в течение определенного времени перед его применением. Управление правилами потока обработки почты содержит дополнительные сведения о выбранных элементах.

  8. Нажмите кнопку Сохранить, чтобы сохранить правило. Оно отобразится в вашем списке правил.

После создания и применения правила будет выполняться обход фильтрации нежелательной почты для указанного диапазона IP-адресов.

Как правило, в список разрешенных IP-адресов рекомендуется добавлять IP-адреса (или их диапазоны) для всех доменов, которые вы считаете надежными. Однако если вы не хотите применять список разрешенных IP-адресов ко всем своим доменам, можете создать правило транспорта, которое исключает определенные домены.

Например, предположим, что имеется три домена: ContosoA.com, ContosoB.com и ContosoC.com. Вы хотите добавить IP-адрес (для простоты используем 1.2.3.4) и пропускать фильтрацию только для домена ContosoB.com. Вы создаете список разрешенных IP-адресов для адреса 1.2.3.4, который задает уровень вероятности нежелательной почты (SCL) -1 (т. е. сообщения от этого адреса не являются нежелательными) для всех доменов. После этого можно создать правило транспорта, задающее для всех доменов, кроме ContosoB.com, уровень SCL 0. После этого сообщения будут проверяться для всех доменов, связанных с этим IP-адресом, кроме домена ContosoB.com, который указан в правиле как исключение. У ContosoB.com вероятность нежелательной почты по-прежнему на уровне -1, поэтому фильтрация не выполняется, в то время как у доменов ContosoA.com и ContosoC.com данное значение равно 0, и они будут повторно просканированы фильтром содержимого.

Для этого выполните описанные ниже действия.

  1. В Центре администрирования Exchange последовательно выберите пункты Поток обработки почты > Правила.

  2. Щелкните Значок добавления и выберите Создать новое правило.

  3. Присвойте правилу имя и нажмите Дополнительные параметры.

  4. В разделе Применить это правило, если последовательно выберите пункты Отправитель и Имеет IP-адрес, который находится в одном из этих диапазонов или точно совпадает.

  5. В поле Указать IP-адреса явным образом укажите IP-адрес или диапазон IP-адресов, внесенный в список разрешенных IP-адресов, а затем последовательно нажмите кнопки ДобавитьЗначок добавления и ОК.

  6. В разделе Выполните следующие действия укажите действие, последовательно выбрав пункты Изменить свойства сообщения и Установить вероятность нежелательной почты (SCL). В поле Укажите вероятность нежелательной почты выберите значение 0 и нажмите кнопку ОК.

  7. Нажмите Добавить исключение и в разделе Кроме случаев, когда последовательно выберите пункты Отправитель и домен является.

  8. В поле Указание домена введите домен, к которому требуется применить обход фильтрации нежелательной почты, например contosob.com. Нажмите кнопку ДобавитьЗначок добавления, чтобы переместить домен в список фраз. Повторите это действие, чтобы добавить дополнительные домены в качестве исключений. Завершив настройку, нажмите кнопку ОК.

  9. При необходимости можно выбрать нужные параметры для аудита и проверки правила, его активации в течение определенного периода, а также выбрать другие настройки. Мы рекомендуем протестировать правило в течение определенного времени перед его применением. Управление правилами потока обработки почты содержит дополнительные сведения о выбранных элементах.

  10. Нажмите кнопку Сохранить, чтобы сохранить правило. Оно отобразится в вашем списке правил.

После создания и применения правила фильтрация нежелательной почты для указанного IP-адреса или диапазона IP-адресов отменяется только для домена, заданного вами в качестве исключения.

 
Показ: