Configurar a filtragem de ligações em organizações na cloud

Em todas as organizações com caixas de correio na nuvem, a filtragem de ligação através da política de filtro de ligação predefinida está disponível para permitir ou bloquear ligações de e-mail SMTP de entrada (entrega de e-mail) de endereços IP especificados. Os componentes principais da política de filtro de ligação predefinida são:

• Lista de Permissões de IP: ignore a filtragem de spam para todas as mensagens recebidas dos endereços IP de origem especificados ou dos intervalos de endereços IP. Todas as mensagens recebidas continuam a ser analisadas quanto a software maligno e phishing de alta confiança. Para outros cenários em que a filtragem de spam ainda ocorre, veja a secção Cenários em que as mensagens de origens na Lista de Permissões de IP ainda são filtradas mais à frente neste artigo. Para obter mais informações sobre como a Lista de Permissões de IP deve caber na sua estratégia de lista de permissões geral, veja Criar listas de permissões de remetentes.

• Lista de Blocos IP: bloqueie todas as mensagens recebidas dos endereços IP de origem especificados ou dos intervalos de endereços IP. As mensagens recebidas são rejeitadas, não são marcadas como spam e não ocorre qualquer outra filtragem. Para obter mais informações sobre como a Lista de Bloqueios de IP deve caber na sua estratégia geral de remetentes bloqueados, veja Criar listas de bloqueio de remetentes.

• Lista de segurança: a lista de segurança na política de filtro de ligação predefinida é uma lista de permissões dinâmica que não requer configuração do cliente. A Microsoft identifica estas origens de e-mail fidedignas de subscrições para várias listas que não são da Microsoft. Ativar ou desativar a utilização da lista de segurança; não pode configurar os servidores na lista. A filtragem de spam é ignorada nas mensagens recebidas dos servidores de e-mail na lista de segurança.

Este artigo descreve como configurar a política de filtro de ligação predefinida no portal do Microsoft 365 Microsoft Defender ou no Exchange Online PowerShell. Para obter mais informações sobre como o Microsoft 365 utiliza a filtragem de ligações faz parte das definições globais de antiss spam da sua organização, consulte Proteção antisssamual.

O que precisa de saber antes de começar?

• Abra o portal Microsoft Defender em https://security.microsoft.com. Para aceder diretamente à página Políticas antisspam , utilize https://security.microsoft.com/antispam.

• Para ligar ao Exchange Online PowerShell, veja Ligar ao Exchange Online PowerShell.

• Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Tem as seguintes opções:

  • Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender, não o PowerShell): Autorização e definições/Definições de segurança/Definições de Segurança Principal (gerir) ou Autorização e definições/Definições de segurança/Definições de Segurança Principal (leitura).

  • permissões de Exchange Online:

    • Modificar políticas: associação nos grupos de funções Gestão da Organização ou Administrador de Segurança .
    • Acesso só de leitura a políticas: associação nos grupos de funções Leitor Global, Leitor de Segurança ou Gestão de Organização Só de Visualização .

  • permissões de Microsoft Entra: a associação nas funções Administrador^* Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.

    Importante

    ^* A Microsoft defende fortemente o princípio do menor privilégio. Atribuir apenas as permissões mínimas necessárias para realizar as respetivas tarefas ajuda a reduzir os riscos de segurança e reforça a proteção geral da sua organização. O Administrador Global é uma função altamente privilegiada que deve limitar a cenários de emergência ou quando não pode utilizar uma função diferente.

• Para localizar os endereços IP de origem dos servidores de e-mail (remetentes) que pretende permitir ou bloquear, pode verificar o campo de cabeçalho ip (CIP) de ligação no cabeçalho da mensagem. Para ver um cabeçalho de mensagem em vários clientes de e-mail, consulte Ver cabeçalhos de mensagens da Internet no Outlook.

• A Lista de Permissões de IP tem precedência sobre a Lista de Blocos IP (um endereço em ambas as listas não está bloqueado).

• A Lista de Permissões de IP e a Lista de Blocos IP suportam um máximo de 1.273 entradas, em que uma entrada é um único endereço IP, um intervalo de endereços IP ou um IP CIDR (Classless InterDomain Routing).

Utilizar o portal Microsoft Defender para modificar a política de filtro de ligação predefinida

1. No portal de Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração Email &políticas de colaboração >& políticas> deameaças políticas>de ameaças na secção Políticas. Em alternativa, para aceder diretamente à página Políticas antisspam , utilize https://security.microsoft.com/antispam.

2. Na página Políticas antisspam , selecione Política de filtro de ligação (Predefinição) na lista ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome.

3. Na lista de opções de detalhes da política que é aberta, utilize as ligações Editar para modificar as definições de política:

   • Secção Descrição: selecione Editar descrição para introduzir uma descrição para a política na caixa Descrição da lista de opções Editar nome e descrição que é aberta. Não pode modificar o nome da política.

     Quando tiver terminado a lista de opções Editar nome e descrição , selecione Guardar.

   • Secção de filtragem de ligações : selecione Editar política de filtro de ligação. Na lista de opções que é aberta, configure as seguintes definições:

     • Permitir sempre mensagens dos seguintes endereços IP ou intervalo de endereços: esta definição é a Lista de Permissões de IP. Clique na caixa, introduza um valor e, em seguida, prima a tecla ENTER ou selecione o valor completo apresentado abaixo da caixa. Os valores válidos são:

       • IP único: por exemplo, 192.168.1.1.
       • Intervalo de IP: por exemplo, 192.168.0.1-192.168.0.254.
       • IP CIDR: por exemplo, 192.168.0.1/25. Os valores válidos da máscara de sub-rede são /24 a /32. Para ignorar a filtragem de spam de /1 a /23, consulte a secção Ignorar a filtragem de spam para um IP CIDR fora do intervalo disponível mais à frente neste artigo.

       Repita este passo quantas vezes for necessário. Para remover uma entrada existente, selecione junto à entrada.

   • Bloquear sempre mensagens dos seguintes endereços IP ou intervalo de endereços: esta definição é a Lista de Blocos IP. Introduza um único IP, intervalo de IP ou IP CIDR na caixa, conforme descrito anteriormente na definição Permitir sempre mensagens dos seguintes endereços IP ou intervalo de endereços .

   • Ativar a lista de segurança: ative ou desative a utilização da lista segura que especifica remetentes válidos e conhecidos para ignorar a filtragem de spam. Para utilizar a lista de segurança, selecione a caixa de verificação.

   Quando terminar a lista de opções, selecione Guardar.

4. Novamente na lista de opções de detalhes da política, selecione Fechar.

Utilizar o portal Microsoft Defender para ver a política de filtro de ligação predefinida

No portal de Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração Email &políticas de colaboração >& políticas> deameaças políticas>de ameaças na secção Políticas. Em alternativa, para aceder diretamente à página Políticas antisspam , utilize https://security.microsoft.com/antispam.

Na página Políticas antisspam , as seguintes propriedades são apresentadas na lista de políticas:

• Nome: a política de filtro de ligação predefinida chama-se Política de filtro de ligação (Predefinição).
• Estado: o valor está Sempre Ativado para a política de filtro de ligação predefinida.
• Prioridade: o valor é Mais Baixo para a política de filtro de ligação predefinida.
• Tipo: o valor está em branco para a política de filtro de ligação predefinida.

Para alterar a lista de políticas de espaçamento normal para compacto, selecione Alterar o espaçamento entre listas para compacto ou normal e, em seguida, selecione Compactar lista.

Utilize a caixa Procurar e um valor correspondente para localizar políticas específicas.

Selecione a política de filtro de ligação predefinida ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome para abrir a lista de opções de detalhes da política.

Utilizar o PowerShell para modificar a política de filtro de ligação predefinida

No Exchange Online PowerShell, utilize a seguinte sintaxe:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]

• Os valores válidos do intervalo de endereços ou endereços IP são:
  • IP único: por exemplo, 192.168.1.1.
  • Intervalo de IP: por exemplo, 192.168.0.1-192.168.0.254.
  • IP CIDR: por exemplo, 192.168.0.1/25. Os valores de máscara de rede válidos são /24 a /32.
• Para substituir todas as entradas existentes pelos valores que especificar, utilize a seguinte sintaxe: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
• Para adicionar ou remover endereços IP ou intervalos de endereços sem afetar outras entradas existentes, utilize a seguinte sintaxe: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
• Para esvaziar a Lista de Permissões de IP ou a Lista de Blocos IP, utilize o valor $null.

Este exemplo configura a Lista de Permissões de IP e a Lista de Blocos IP com os endereços IP e intervalos de endereços especificados.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

Este exemplo adiciona e remove os endereços IP e intervalos de endereços especificados da Lista de Permissões de IP.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-HostedConnectionFilterPolicy.

Como sabe que estes procedimentos funcionaram?

Para verificar se modificou com êxito a política de filtro de ligação predefinida, siga um dos seguintes passos:

• Na página Políticas antisspam no portal do Microsoft Defender em https://security.microsoft.com/antispam, selecione Política de filtro de ligação (Predefinição) na lista ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome e verifique as definições de política na lista de opções de detalhes que é aberta.

• No Exchange Online PowerShell, execute o seguinte comando e verifique as definições:

  Get-HostedConnectionFilterPolicy -Identity Default
  

• Enviar uma mensagem de teste a partir de uma entrada na Lista de Permissões de IP.

Outras considerações para a Lista de Permissões de IP

As secções seguintes identificam outros itens que precisa de saber quando configura a Lista de Permissões de IP.

Ignorar a filtragem de spam para um IP CIDR fora do intervalo disponível

Conforme descrito anteriormente neste artigo, só pode utilizar um IP CIDR com a máscara de rede /24 a /32 na Lista de Permissões de IP.

Para ignorar a filtragem de spam nas mensagens dos servidores de e-mail de origem no intervalo /1 a /23, pode utilizar regras de fluxo de correio do Exchange (também conhecidas como regras de transporte). No entanto, não recomendamos a utilização de regras de fluxo de correio. As mensagens são bloqueadas se um endereço IP no intervalo de IP CIDR /1 a /23 for apresentado em qualquer uma das listas de bloqueios proprietárias da Microsoft ou listas de bloqueio não Microsoft.

Agora que está totalmente ciente dos potenciais problemas, pode criar uma regra de fluxo de correio com as seguintes definições (no mínimo) para garantir que as mensagens destes endereços IP ignoram a filtragem de spam:

• Condição da regra: aplique esta regra se> o endereço IP doremetente>estiver em qualquer um destes intervalos ou corresponder exatamente> (introduza o IP CIDR com uma máscara de rede /1 a /23).
• Ação da regra: modifique as propriedades> da mensagemDefinir o nível de confiança de spam (SCL)>Ignorar a filtragem de spam.

Pode auditar a regra, testar a regra, ativar a regra durante um período de tempo específico e outras seleções. Recomendamos que teste a regra durante um período antes de a impor. Para obter mais informações, consulte Gerir regras de fluxo de correio no Exchange Online.

Ignorar a filtragem de spam em domínios de e-mail seletivos da mesma origem

Normalmente, adicionar um endereço IP ou intervalo de endereços à Lista de Permissões de IP significa que confia em todas as mensagens recebidas dessa origem de e-mail. E se essa origem enviar e-mails de vários domínios e quiser ignorar a filtragem de spam para alguns desses domínios, mas não para outros? Pode utilizar a Lista de Permissões de IP em combinação com uma regra de fluxo de correio.

Por exemplo, o servidor de e-mail de origem 192.168.1.25 envia e-mails dos domínios contoso.com, fabrikam.com e tailspintoys.com, mas apenas pretende ignorar a filtragem de spam para mensagens de remetentes no fabrikam.com:

1. Adicione 192.168.1.25 à Lista de Permissões de IP.

2. Configure uma regra de fluxo de correio com as seguintes definições (no mínimo):

   • Condição da regra: aplique esta regra se> o endereço IP doremetente>estiver num destes intervalos ou corresponder exatamente> a 192.168.1.25 (o mesmo endereço IP ou intervalo de endereços que adicionou à Lista de Permissões de IP no passo anterior).
   • Ação de regra: modifique as propriedades> da mensagemDefinir o nível de confiança de spam (SCL)>0.
   • Exceção de regra: o domínio do remetente>é> fabrikam.com (apenas o domínio ou domínios que pretende ignorar a filtragem de spam).

Cenários em que as mensagens de origens na Lista de Permissões de IP ainda estão filtradas

As mensagens de um servidor de e-mail na sua Lista de Permissões de IP continuam sujeitas a filtragem de spam nos seguintes cenários:

• Um endereço IP na sua Lista de Permissões de IP também está configurado num conector de entrada no local baseado em IP em qualquer organização do Microsoft 365 e que a organização do Microsoft 365 e o primeiro servidor do Microsoft 365 que encontra a mensagem estão ambos na mesma floresta nos datacenters da Microsoft. Neste cenário, IPV:CALé adicionado aos cabeçalhos de mensagens antisspam da mensagem (indicando que a mensagem ignorou a filtragem de spam), mas a mensagem ainda está sujeita à filtragem de spam.

• A sua organização que contém a Lista de Permissões de IP e o servidor do Microsoft 365 que se depara pela primeira vez com a mensagem estão em florestas diferentes nos datacenters da Microsoft. Neste cenário, IPV:CALnão é adicionado aos cabeçalhos da mensagem, pelo que a mensagem ainda está sujeita à filtragem de spam.

Se encontrar qualquer um destes cenários, pode criar uma regra de fluxo de correio com as seguintes definições (no mínimo) para garantir que as mensagens dos endereços IP problemáticos ignoram a filtragem de spam:

• Condição da regra: aplique esta regra se> o endereço IP doremetente>estiver num destes intervalos ou corresponder exatamente> (o seu endereço IP ou endereços).
• Ação da regra: modifique as propriedades> da mensagemDefinir o nível de confiança de spam (SCL)>Ignorar a filtragem de spam.

É novo no Microsoft 365?

É novo no Microsoft 365? Descubra cursos de vídeo gratuitos para administradores do Microsoft 365 e profissionais de TI, disponibilizados pelo LinkedIn Learning.