設定連線篩選

在具有 Exchange Online 信箱或獨立 Exchange Online Protection (EOP 的 Microsoft 365 組織中，) 沒有 Exchange Online 信箱、連線篩選和預設連線篩選原則的組織，會依 IP 地址識別良好或不正確的來源電子郵件伺服器。 預設連線篩選原則的主要元件如下：

• IP 允許清單：略過來自指定來源 IP 位址或 IP 位址範圍之所有傳入訊息的垃圾郵件篩選。 所有傳入訊息都會掃描是否有惡意代碼和高信賴度網路釣魚。 如需在IP允許清單中伺服器的郵件上仍然發生垃圾郵件篩選的其他案例，請參閱本文稍後的 IP允許清單中來源的郵件仍然經過篩選 的案例一節。 如需IP允許清單如何納入整體安全發件者策略的詳細資訊，請參閱 在EOP中建立安全寄件人清單。

• IP 封鎖清單：封鎖來自指定來源 IP 位址或 IP 位址範圍的所有傳入訊息。 傳入的郵件會遭到拒絕、未標示為垃圾郵件，而且不會進行其他篩選。 如需IP封鎖清單應如何納入整體封鎖發件者策略的詳細資訊，請參閱 在EOP中建立封鎖寄件人清單。

• 安全清單：連線篩選 原則中的安全清單 是不需要客戶設定的動態允許清單。 Microsoft 會從各種第三方清單的訂用帳戶識別這些受信任的電子郵件來源。 您可以啟用或停用安全清單的使用;您無法在清單中設定伺服器。 垃圾郵件篩選會略過安全清單上來自電子郵件伺服器的內送郵件。

本文說明如何在 Microsoft 365 Microsoft Defender 入口網站或 Exchange Online PowerShell 中設定預設連線篩選原則。 如需 EOP 如何使用聯機篩選的詳細資訊，請參閱 反垃圾郵件保護。

開始之前有哪些須知？

• 您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [反垃圾郵件原則] 頁面，請使用 https://security.microsoft.com/antispam。

• 若要連線至 Exchange Online PowerShell，請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell，請參閱連線到 Exchange Online Protection PowerShell。

• 您必須獲得指派許可權，才能執行本文中的程式。 您有下列選項：

  • Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) (只會影響 Defender 入口網站，而不會影響 PowerShell) ： (管理) 的授權和設定/安全性設定/核心安全性設定，或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
  • Exchange Online 權限：
    • 修改原則： 組織管理 或 安全性系統管理員 角色群組中的成員資格。
    • 原則的只讀存取權：全域 讀取者、 安全性讀取者或 僅限檢視組織管理 角色群組中的成員資格。
  • Microsoft Entra 權限：全域管理員、安全性系統管理員、全域讀取者或安全性讀取者角色的成員資格，會為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。

• 若要尋找您想要允許或封鎖的電子郵件伺服器 (寄件者) 的來源 IP 位址，您可以在郵件標頭中檢查連線的 IP (CIP) 標頭字段。 若要在各種電子郵件用戶端中檢視郵件標頭，請參 閱在 Outlook 中檢視因特網郵件標頭。

• IP 允許清單的優先順序高於IP封鎖清單 (不會封鎖兩個清單上的位址) 。

• IP 允許清單和IP封鎖清單各支援最多1273個專案，其中專案是單一IP位址、IP位址範圍或無類別網域路由 (CIDR) IP。

使用 Microsoft Defender 入口網站來修改預設連線篩選原則

1. 在 Microsoft Defender 入口網站https://security.microsoft.com中，移至 [原則>] 區段中的 [Email & 共同作業原則 & 規則>威脅原則>反垃圾郵件]。 或者，若要直接移至 [反垃圾郵件原則 ] 頁面，請使用 https://security.microsoft.com/antispam。

2. 在 [ 反垃圾郵件 原則] 頁面上，按下名稱旁邊複選框以外的數據列中的任何位置，從清單中選取 [ 連線篩選原則 (預設 ) ]。

3. 在開啟的原則詳細數據飛出視窗中，使用 [編輯 ] 連結來修改原則設定：

   • 描述區段：選取 [編輯描述]，在開啟的 [編輯名稱和描述] 飛出視窗的 [描述] 方塊中輸入原則的描述。 您無法修改原則的名稱。

     當您在 [ 編輯名稱和描述 ] 飛出視窗中完成時，請選取 [ 儲存]。

   • 線上篩選 區段：選取 [編輯連線篩選原則]。 開啟的飛出視窗中，設定下列設定：

     • 一律允許來自下列IP位址或位址範圍的訊息：此設定為IP允許清單。 按兩下方塊，輸入值，然後按 ENTER 鍵，或選取方塊下方顯示的完整值。 有效值為：

       • 單一IP：例如，192.168.1.1。
       • IP 範圍：例如，192.168.0.1-192.168.0.254。
       • CIDR IP：例如 192.168.0.1/25。 有效的子網掩碼值是 /24 到 /32。 若要略過 /1 到 /23 的垃圾郵件篩選，請參閱本文稍後在 可用範圍之外略過 CIDR IP 的垃圾郵件篩選一 節。

       視需要重複此步驟多次。 若要移除現有的專案，請選擇 項目旁邊的 。

   • 一律封鎖來自下列IP位址或位址範圍的訊息：此設定為IP封鎖清單。 在方塊中輸入單一IP、IP範圍或 CIDR IP，如先前在[ 一律允許來自下列IP位址或位址範圍的訊息 ] 設定中所述。

   • 開啟安全清單：啟用或停用安全清單的使用，以識別略過垃圾郵件篩選的已知良好發件者。 若要使用安全清單，請選取複選框。

   當您在飛出視窗中完成時，請選取 [ 儲存]。

4. 回到原則詳細數據飛出視窗，選取 [ 關閉]。

使用 Microsoft Defender 入口網站來檢視默認連線篩選原則

在 Microsoft Defender 入口網站https://security.microsoft.com中，移至 [原則>] 區段中的 [Email & 共同作業原則 & 規則>威脅原則>反垃圾郵件]。 或者，若要直接移至 [反垃圾郵件原則 ] 頁面，請使用 https://security.microsoft.com/antispam。

在 [ 反垃圾郵件原則 ] 頁面上，下列屬性會顯示在原則清單中：

• 名稱：預設連線篩選原則命名為 連線篩選原則 (預設) 。
• 狀態：默認連線篩選原則的值為 [永遠開啟 ]。
• 優先順序：預設連線篩選原則的值為 [最低 ]。
• 類型：預設連線篩選原則的值為空白。

若要將原則清單從一般變更為精簡間距，請選取 [將列表間距變更為精簡或正常]，然後選取 [壓縮清單]。

使用 [搜尋] 方塊和對應的值來尋找特定原則。

按兩下名稱旁邊複選框以外的任何位置，以開啟原則的詳細數據飛出視窗，以選取預設連線篩選原則。

使用 Exchange Online 或獨立 EOP PowerShell 來修改預設連線篩選原則

使用下列語法：

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]

• 有效的 IP 位址或位址範圍值為：
  • 單一IP：例如，192.168.1.1。
  • IP 範圍：例如，192.168.0.1-192.168.0.254。
  • CIDR IP：例如 192.168.0.1/25。 有效的網路遮罩值為 /24 到 /32。
• 若要使用您指定的值 覆寫 任何現有的專案，請使用下列語法： IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN。
• 若 要新增或移除 IP位址或位址範圍，而不會影響其他現有的專案，請使用下列語法： @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}。
• 若要清空 IP 允許清單或 IP 封鎖清單，請使用 值 $null。

這個範例會使用指定的IP位址和位址範圍來設定IP允許清單和IP封鎖清單。

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

本範例會從 [IP 允許清單] 新增和移除指定的IP位址和位址範圍。

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

如需詳細的語法和參數資訊，請參閱 Set-HostedConnectionFilterPolicy。

如何知道這些程序是否正常運作？

若要確認您已成功修改預設連線篩選原則，請執行下列任何步驟：

• 在 Microsoft Defender https://security.microsoft.com/antispam入口網站的 [反垃圾郵件原則] 頁面上，按兩下名稱旁邊複選框以外的任何數據列，從清單中選取 [連線篩選原則 (默認) ]，然後確認開啟之詳細數據飛出視窗中的原則設定。

• 在 Exchange Online PowerShell 或獨立 EOP PowerShell 中，執行下列命令並確認設定：

  Get-HostedConnectionFilterPolicy -Identity Default
  

• 從IP允許清單上的專案傳送測試訊息。

IP 允許清單的其他考慮

下列各節會識別您在設定IP允許清單時需要知道的其他專案。

略過可用範圍之外 CIDR IP 的垃圾郵件篩選

如本文稍早所述，您只能在IP允許清單中使用CIDR IP搭配網路遮罩 /24 到 /32。 若要略過從 /1 到 /23 範圍之來源電子郵件伺服器的郵件垃圾郵件篩選，您必須使用 Exchange 郵件流程規則 (也稱為傳輸規則) 。 但是，建議您不要使用郵件流程規則方法，因為如果 /1 到 /23 CIDR IP 範圍中的IP位址出現在 Microsoft 的任何專屬或第三方封鎖清單上，訊息就會遭到封鎖。

既然您已完全瞭解潛在的問題，您可以建立至少 (下列設定的郵件流程規則) ，以確保來自這些 IP 位址的郵件會略過垃圾郵件篩選：

• 規則條件： 如果>發件者>IP 位址位於上述任何範圍，或完全符合> ， (使用 /1 到 /23 網路遮罩) 輸入您的 CIDR IP，則套用此規則。
• 規則動作： 修改郵件屬性>設定垃圾郵件信賴等級 (SCL) >略過垃圾郵件篩選。

您可以稽核規則、測試規則、在特定期間內啟動規則，以及其他選取專案。 施行規則之前，建議先測試規則一段時間。 如需詳細資訊，請參閱在 Exchange Online 中管理郵件流程規則。

略過來自相同來源之選擇性電子郵件網域的垃圾郵件篩選

一般而言，將IP位址或位址範圍新增至IP允許清單，表示您信任來自該電子郵件來源的所有傳入訊息。 如果該來源從多個網域傳送電子郵件，而您想要略過其中某些網域的垃圾郵件篩選，但不想略過其他網域，該怎麼辦？ 您可以使用IP允許清單搭配郵件流程規則。

例如，來源電子郵件伺服器 192.168.1.25 會從網域 contoso.com、fabrikam.com 和 tailspintoys.com 傳送電子郵件，但您只想要略過來自 fabrikam.com 發件者郵件的垃圾郵件篩選：

1. 將 192.168.1.25 新增至 IP 允許清單。

2. 至少 (下列設定來設定郵件流程規則) ：

   • 規則條件： 如果>發件者>IP 位址位於上述任何範圍中，或完全符合> 192.168.1.25 (您在上一個步驟中新增至 IP 允許清單的相同 IP 位址或地址範圍) ，則套用此規則。
   • 規則動作： 修改郵件屬性>將垃圾郵件信賴等級設定 (SCL) >0。
   • 規則例外狀況： 發件者>網域> 僅 fabrikam.com (您想要略过垃圾邮件筛选) 的網域。

IP 允許清單中來自來源的訊息仍會進行篩選的案例

在下列案例中，來自IP允許清單中電子郵件伺服器的郵件仍受限於垃圾郵件篩選：

• 您的IP允許清單中的IP位址也會在 Microsoft 365 中 任何 租使用者的內部部署IP型輸入連接器中設定 (讓我們呼叫此租使用者 A ) ，而 第一次遇到訊息的租使用者 A 和 EOP 伺服器會發生在 Microsoft 數據中心的 相同 Active Directory 樹系中。 在此案例中， IPV：CAL會新增至 郵件的反 垃圾郵件郵件標頭 ， (表示郵件略過垃圾郵件篩選) ，但郵件仍受限於垃圾郵件篩選。

• 您的租使用者，其中包含IP允許清單，以及第一次遇到訊息的EOP伺服器，會發生在 Microsoft 數據中心的 不同 Active Directory 樹系中。 在此案例中， IPV：CAL不會 新增至郵件標頭，因此郵件仍受限於垃圾郵件篩選。

如果您遇到上述其中一種情況，您可以建立至少 (下列設定的郵件流程規則) ，以確保來自有問題 IP 位址的郵件會略過垃圾郵件篩選：

• 規則條件： 如果>寄件者>IP 位址位於上述任何範圍，或完全符合> 您的IP位址或位址) (，請套用此規則。
• 規則動作： 修改郵件屬性>設定垃圾郵件信賴等級 (SCL) >略過垃圾郵件篩選。

不熟悉 Microsoft 365 嗎？

不熟悉 Microsoft 365 嗎？ 探索 Microsoft 365 系統管理員和 IT 專業人員的免費影片課程，LinkedIn Learning 為您帶來。