Configurar a filtragem de conexão

Dica

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Nas organizações do Microsoft 365 com Exchange Online caixas de correio ou organizações autónomas de Proteção do Exchange Online (EOP) sem Exchange Online caixas de correio, filtragem de ligações e a política de filtro de ligação predefinida identificam servidores de e-mail de origem corretos ou incorretos por endereços IP. Os principais componentes da política de filtro de conexão padrão são:

  • Lista de Permissões de IP: ignore a filtragem de spam para todas as mensagens recebidas dos endereços IP de origem especificados ou dos intervalos de endereços IP. Todas as mensagens recebidas são analisadas quanto a software maligno e phishing de alta confiança. Para outros cenários em que a filtragem de spam ainda ocorre em mensagens de servidores na Lista de Permissões de IP, veja a secção Cenários em que as mensagens de origens na Lista de Permissões de IP ainda são filtradas mais à frente neste artigo. Para obter mais informações sobre como a Lista de Permissões de IP deve caber na sua estratégia geral de remetentes seguros, veja Criar listas de remetentes seguros na EOP.

  • Lista de Blocos IP: bloqueie todas as mensagens recebidas dos endereços IP de origem especificados ou dos intervalos de endereços IP. As mensagens recebidas são rejeitadas, não são marcadas como spam e não ocorre qualquer outra filtragem. Para obter mais informações sobre como a Lista de Bloqueios de IP deve caber na sua estratégia geral de remetentes bloqueados, veja Criar listas de remetentes de blocos na EOP.

  • Lista de segurança: a lista de segurança na política de filtro de ligação é uma lista de permissões dinâmica que não requer qualquer configuração do cliente. A Microsoft identifica estas origens de e-mail fidedignas de subscrições para várias listas de terceiros. Ativar ou desativar a utilização da lista de segurança; não pode configurar os servidores na lista. A filtragem de spam é ignorada nas mensagens recebidas dos servidores de e-mail na lista de segurança.

Este artigo descreve como configurar a política de filtro de ligação predefinida no portal do Microsoft 365 Microsoft Defender ou no Exchange Online PowerShell. Para obter mais informações sobre como a EOP utiliza a filtragem de ligações faz parte das definições globais de antiss spam da sua organização, consulte Proteção antiss spam.

Observação

A Lista de Permissões de IP, a lista de segurança e a Lista de Bloqueios de IP são uma parte da sua estratégia geral para permitir ou bloquear e-mails na sua organização. Para obter mais informações, consulte Criar listas de remetentes seguros e Criar listas de remetentes bloqueados.

Os intervalos IPv6 não são suportados.

As mensagens de origens bloqueadas na Lista de Bloqueios de IP não estão disponíveis no rastreio de mensagens.

Do que você precisa saber para começar?

  • Abra o portal Microsoft Defender em https://security.microsoft.com. Para ir diretamente à página de Políticas antispam, use https://security.microsoft.com/antispam.

  • Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar ao EOP PowerShell autônomo, consulte Conectar-se ao PowerShell do Exchange Online Protection..

  • Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Você tem as seguintes opções:

    • Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender, não o PowerShell): Autorização e definições/Definições de segurança/Definições de Segurança Principal (gerir) ou Autorização e definições/Definições de segurança/Definições de Segurança Principal (leitura).

    • permissões de Exchange Online:

      • Modificar políticas: associação nos grupos de funções Gestão da Organização ou Administrador de Segurança .
      • Acesso só de leitura a políticas: associação nos grupos de funções Leitor Global, Leitor de Segurança ou Gestão de Organização Só de Visualização .
    • permissões de Microsoft Entra: a associação nas funções Administrador* Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.

      Importante

      * A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

  • Para localizar os endereços IP de origem dos servidores de e-mail (remetentes) que pretende permitir ou bloquear, pode marcar o campo de cabeçalho ip (CIP) de ligação no cabeçalho da mensagem. Para ver um cabeçalho de mensagem em vários clientes de e-mail, consulte Ver cabeçalhos de mensagens da Internet no Outlook.

  • A Lista de Permissões de IP tem precedência sobre a Lista de Blocos IP (um endereço em ambas as listas não está bloqueado).

  • A Lista de Permissões de IP e a Lista de Blocos IP suportam um máximo de 1273 entradas, em que uma entrada é um único endereço IP, um intervalo de endereços IP ou um IP CIDR (Classless InterDomain Routing).

Utilizar o portal Microsoft Defender para modificar a política de filtro de ligação predefinida

  1. No portal de Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração Email &políticas de colaboração >& políticas> deameaças políticas>de ameaças na secção Políticas. Em alternativa, para aceder diretamente à página Políticas antisspam , utilize https://security.microsoft.com/antispam.

  2. Na página Políticas antisspam, selecione Política de filtro de ligação (Predefinição) na lista ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao nome.

  3. Na lista de opções de detalhes da política que é aberta, utilize as ligações Editar para modificar as definições de política:

    • Secção Descrição: selecione Editar descrição para introduzir uma descrição para a política na caixa Descrição da lista de opções Editar nome e descrição que é aberta. Não pode modificar o nome da política.

      Quando tiver terminado a lista de opções Editar nome e descrição , selecione Guardar.

    • Secção de filtragem de ligações : selecione Editar política de filtro de ligação. Na lista de opções que é aberta, configure as seguintes definições:

      • Permitir sempre mensagens dos seguintes endereços IP ou intervalo de endereços: esta definição é a Lista de Permissões de IP. Clique na caixa, introduza um valor e, em seguida, prima a tecla ENTER ou selecione o valor completo apresentado abaixo da caixa. Os valores válidos são:

        Repita essa etapa quantas vezes forem necessárias. Para remover uma entrada existente, selecione junto à entrada.

    • Bloquear sempre mensagens dos seguintes endereços IP ou intervalo de endereços: esta definição é a Lista de Blocos IP. Introduza um único IP, intervalo de IP ou IP CIDR na caixa, conforme descrito anteriormente na definição Permitir sempre mensagens dos seguintes endereços IP ou intervalo de endereços .

    • Ativar a lista de segurança: ative ou desative a utilização da lista segura para identificar remetentes conhecidos e bons que ignoram a filtragem de spam. Para utilizar a lista de segurança, selecione a caixa de marcar.

    Quando terminar a lista de opções, selecione Guardar.

  4. Novamente na lista de opções de detalhes da política, selecione Fechar.

Utilizar o portal Microsoft Defender para ver a política de filtro de ligação predefinida

No portal de Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração Email &políticas de colaboração >& políticas> deameaças políticas>de ameaças na secção Políticas. Em alternativa, para aceder diretamente à página Políticas antisspam , utilize https://security.microsoft.com/antispam.

Na página Políticas antisspam , as seguintes propriedades são apresentadas na lista de políticas:

  • Nome: a política de filtro de ligação predefinida chama-se Política de filtro de ligação (Predefinição).
  • Estado: o valor está Sempre Ativado para a política de filtro de ligação predefinida.
  • Prioridade: o valor é Mais Baixo para a política de filtro de ligação predefinida.
  • Tipo: o valor está em branco para a política de filtro de ligação predefinida.

Para alterar a lista de políticas de espaçamento normal para compacto, selecione Alterar o espaçamento entre listas para compacto ou normal e, em seguida, selecione Compactar lista.

Utilize a caixa Procurar e um valor correspondente para localizar políticas específicas.

Selecione a política de filtro de ligação predefinida ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao nome para abrir a lista de opções de detalhes da política.

Utilizar Exchange Online PowerShell ou eOP autónomo do PowerShell para modificar a política de filtro de ligação predefinida

Use a seguinte sintaxe:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
  • Os valores válidos do intervalo de endereços ou endereços IP são:
    • IP único: por exemplo, 192.168.1.1.
    • Intervalo de IP: por exemplo, 192.168.0.1-192.168.0.254.
    • IP CIDR: por exemplo, 192.168.0.1/25. Os valores de máscara de rede válidos são /24 a /32.
  • Para substituir todas as entradas existentes pelos valores que especificar, utilize a seguinte sintaxe: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
  • Para adicionar ou remover endereços IP ou intervalos de endereços sem afetar outras entradas existentes, utilize a seguinte sintaxe: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
  • Para esvaziar a Lista de Permissões de IP ou a Lista de Blocos IP, utilize o valor $null.

Este exemplo configura a Lista de Permissões de IP e a Lista de Blocos IP com os endereços IP e intervalos de endereços especificados.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

Este exemplo adiciona e remove os endereços IP e intervalos de endereços especificados da Lista de Permissões de IP.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-HostedConnectionFilterPolicy.

Como saber se esses procedimentos funcionaram?

Para verificar se modificou com êxito a política de filtro de ligação predefinida, siga um dos seguintes passos:

  • Na página Políticas antisspam no portal do Microsoft Defender em https://security.microsoft.com/antispam, selecione Política de filtro de ligação (Predefinição) na lista ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao nome e verifique as definições de política na lista de opções de detalhes que é aberta.

  • No Exchange Online PowerShell ou EOP autónomo do PowerShell, execute o seguinte comando e verifique as definições:

    Get-HostedConnectionFilterPolicy -Identity Default
    
  • Enviar uma mensagem de teste a partir de uma entrada na Lista de Permissões de IP.

Considerações adicionais para a Lista de Permissões de IP

As secções seguintes identificam itens adicionais que precisa de saber quando configura a Lista de Permissões de IP.

Observação

Todas as mensagens recebidas são analisadas quanto a software maligno e phishing de alta confiança, independentemente de a origem da mensagem estar na Lista de Permissões de IP.

Ignorar a filtragem de spam para um IP CIDR fora do intervalo disponível

Conforme descrito anteriormente neste artigo, só pode utilizar um IP CIDR com a máscara de rede /24 a /32 na Lista de Permissões de IP. Para ignorar a filtragem de spam nas mensagens dos servidores de e-mail de origem no intervalo /1 a /23, tem de utilizar as regras de fluxo de correio do Exchange (também conhecidas como regras de transporte). No entanto, recomendamos que não utilize o método de regra de fluxo de correio, uma vez que as mensagens são bloqueadas se um endereço IP no intervalo de IP CIDR /1 a /23 for apresentado em qualquer uma das listas de bloqueios proprietários ou de terceiros da Microsoft.

Agora que está totalmente ciente dos potenciais problemas, pode criar uma regra de fluxo de correio com as seguintes definições (no mínimo) para garantir que as mensagens destes endereços IP ignoram a filtragem de spam:

  • Condição da regra: aplique esta regra se> o endereço IP doremetente>estiver em qualquer um destes intervalos ou corresponder exatamente> (introduza o IP CIDR com uma máscara de rede /1 a /23).
  • Ação da regra: modifique as propriedades> da mensagemDefinir o nível de confiança de spam (SCL)>Ignorar a filtragem de spam.

Pode auditar a regra, testar a regra, ativar a regra durante um período de tempo específico e outras seleções. Recomendamos testar a regra por um período antes de aplicá-la. Para obter mais informações, consulte Gerir regras de fluxo de correio no Exchange Online.

Ignorar a filtragem de spam em domínios de e-mail seletivos da mesma origem

Normalmente, adicionar um endereço IP ou intervalo de endereços à Lista de Permissões de IP significa que confia em todas as mensagens recebidas dessa origem de e-mail. E se essa origem enviar e-mails de vários domínios e quiser ignorar a filtragem de spam para alguns desses domínios, mas não para outros? Pode utilizar a Lista de Permissões de IP em combinação com uma regra de fluxo de correio.

Por exemplo, o servidor de e-mail de origem 192.168.1.25 envia e-mails dos domínios contoso.com, fabrikam.com e tailspintoys.com, mas apenas pretende ignorar a filtragem de spam para mensagens de remetentes no fabrikam.com:

  1. Adicione 192.168.1.25 à Lista de Permissões de IP.

  2. Configure uma regra de fluxo de correio com as seguintes definições (no mínimo):

    • Condição da regra: aplique esta regra se> o endereço IP doremetente>estiver num destes intervalos ou corresponder exatamente> a 192.168.1.25 (o mesmo endereço IP ou intervalo de endereços que adicionou à Lista de Permissões de IP no passo anterior).
    • Ação de regra: modifique as propriedades> da mensagemDefinir o nível de confiança de spam (SCL)>0.
    • Exceção de regra: o domínio do remetente>é> fabrikam.com (apenas o domínio ou domínios que pretende ignorar a filtragem de spam).

Cenários em que as mensagens de origens na Lista de Permissões de IP ainda estão filtradas

As mensagens de um servidor de e-mail na sua Lista de Permissões de IP continuam sujeitas a filtragem de spam nos seguintes cenários:

  • Um endereço IP na sua Lista de Permissões de IP também está configurado num conector de entrada no local baseado em IP em qualquer inquilino no Microsoft 365 (vamos chamar este Inquilino A) e o Inquilino A e o servidor EOP que encontra primeiro a mensagem estão na mesma floresta do Active Directory nos datacenters da Microsoft. Neste cenário, IPV:CALé adicionado aos cabeçalhos de mensagens antisspam da mensagem (indicando que a mensagem ignorou a filtragem de spam), mas a mensagem ainda está sujeita à filtragem de spam.

  • O inquilino que contém a Lista de Permissões de IP e o servidor EOP que se depara pela primeira vez com a mensagem estão em diferentes florestas do Active Directory nos datacenters da Microsoft. Neste cenário, IPV:CALnão é adicionado aos cabeçalhos da mensagem, pelo que a mensagem ainda está sujeita à filtragem de spam.

Se encontrar qualquer um destes cenários, pode criar uma regra de fluxo de correio com as seguintes definições (no mínimo) para garantir que as mensagens dos endereços IP problemáticos ignoram a filtragem de spam:

  • Condição da regra: aplique esta regra se> o endereço IP doremetente>estiver num destes intervalos ou corresponder exatamente> (o seu endereço IP ou endereços).
  • Ação da regra: modifique as propriedades> da mensagemDefinir o nível de confiança de spam (SCL)>Ignorar a filtragem de spam.

É novo no Microsoft 365?


O ícone abreviado do LinkedIn Learning. É novo no Microsoft 365? Descubra cursos de vídeo gratuitos para administradores do Microsoft 365 e profissionais de TI, disponibilizados pelo LinkedIn Learning.