Настройка белого списка отправителей и доменов в Exchange Server и Microsft 365

В Exchange Server и Microsoft 365 (Exchange Online) вы можете создать “белый» список надежных email, доменов или IP адресов отправителей, почту от которых необходимо принимать не зависимо от содержимого письма, минуя антиспам проверки.

Почта от доверенных отправителей (индивидуальных или целых доменов) из «белого» списка (Whitelist) считается надёжной и доставляется в ящик конечных пользователей, даже если попадает под правила антиспам фильтрации.

Добавление белых списков отправителей в on-prem Exchange Server

Управление белым списком отправителей в Exchange Server возможно только через командную строку Powershell (Exchange Management Shell). Запустите консоль EMS или подключитесь к серверу Exchange через PowerShell удаленно.

Некоторые иногда путают списки разрешенных адресов с разделом Mail Flow -> Accepted Domain в Exchange Admin Center. В Accepted Domain указываются обслуживаемые домены, для которых Exchange будет обрабатывать входящий и исходящий поток почты.

Например, в Exchange Server 2013 нужно настраивать белый список на сервере с ролью Mailbox или Edge Transport с установленными функционалом анти-спам защиты Exchange.

Проверка на наличие адресов в белом списке выполняется в спам-фильтре, выполняющем фильтрацию на основании содержимого (content filter). Сначала проверьте, что у вас в Exchange включен фильтр содержимого:

Get-ContentFilterConfig | Format-List Enabled, ExternalMailEnabled, InternalMailEnabled

Если он отключен, включите:

Set-ContentFilterConfig -Enabled $true

По умолчанию фильтрация контента включена для внешних отправители и отключена для внутренних. Если нужно включить фильтрацию для внешних адресатов, выполните:

Set-ContentFilterConfig -ExternalMailEnabled $true

Для редактирования «белого» списка адресов используется командлет Set-ContentFilterConfig. Формат команды такой:

Set-ContentFilterConfig -BypassedSenderDomains microsoft.com

Данная команда добавит домен Microsoft.com в белый список. Все письма от отправителей в этом домене будут доставляться пользователям Exchange в вашей организации независимости от их содержимого или вложений (дальнейшие проверки фильтром Content Filter не выполняются).

Вывести текущее содержимого белого списка доменов можно командой:

get-ContentFilterConfig

Или

Get-ContentFilterConfig | Format-List Bypassed*

Если нужно одновременно добавить несколько доменов в «белый» список, команда будет выглядеть так:

Set-ContentFilterConfig -BypassedSenderDomains microsoft.com,*.winitpro.ru,mail.ru

Чтобы добавить в белый список контентного фильтра конкретный email адрес, нужно воспользоваться параметром BypassedSenders:

Set-ContentFilterConfig -BypassedSenders [email protected]

Главная проблема при использовании командлета Set-ContentFilterConfig – при каждом выполнении он целиком перезаписывает (очищает) текущий белый список доверенных отправителей. Чтобы этого не происходило, нужно получить текущее список «белых» адресов при каждом добавлении в список нового адреса/домена, добавить в него новый адрес и загрузить его обратно в Exchange.

Для добавления нескольких доменов в whitelist Exchange (без перезатирания текущих записей списка) можно воспользоваться такой PowerShell конструкцией:

$list = (Get-ContentFilterConfig).BypassedSenderDomains
$list.add("1domain.com")
$list.add("2domain.com")
$list.add("3domain.com")
Set-ContentFilterConfig -BypassedSenderDomains $list

В случае добавления индивидуальных email адресов:

$list = (Get-ContentFilterConfig).BypassedSenders
$list.add("[email protected]")
$list.add("[email protected]")
Set-ContentFilterConfig -BypassedSenders $list

Чтобы удалить одну запись из «белого» списка отправителей, выполните такую команду:

Set-ContentFilterConfig -BypassedSenderDomains @{Remove="mail.ru"}

Или

Set-ContentFilterConfig -BypassedSenders @{Remove="[email protected]"}

По аналогии можно заблокировать определенные адреса и домены отправителей в Exchange. Добавить новые email адрес в список заблокированных:

Set-SenderFilterConfig -BlockedSenders @{Add="[email protected]"}

Добавить в черный список несколько доменов:

Set-SenderFilterConfig -BlockedDomainsAndSubdomains @{Add="sample.ru","spammer.com”,"fb.ru"}

Вывести список заблокированных отправителей и доменов:

Get-SenderFilterConfig | Format-List BlockedSenders,BlockedDomains,BlockedDomainsAndSubdomains

Если получатель находится в черном списке Exchange, он будет получить такие NDR отбойники:

550 5.7.1. Message rejected as spam by Content Filtering

Для добавления IP адреса определенного SMTP сервера в доверенные, воспользуйтесь командой:

IPAllowListEntry -IPAddress x.x.x.x

Для блокировки IP подсети:

Add-IPBlockListEntry -IPAddress 98.76.54.0

Настройка белых списков отправителей в Office 365 (Exchange Online)

Вы можете создать белые списки отправителей и в облачном Office 365 (Exchange Online). Есть несколько способов добавить список безопасных отправителей в Exchange Online. Microsoft рекомендует использовать для этого транспортных правил обработки потока почты (mail flow rules).

1. Отройте панель управления Exchange Admin Center для Exchange Online ( https://outlook.office365.com/ecp);
2. В EAC перейдите в раздел Mail flow -> Rules;
3. Создайте новое правило типа Bypass spam filtering;
4. Укажите имя правило Spam Whitelist;
5. В поле Apply this rule if… выберите The sender -> domain is. Добавьте список доверенных доменов, от которых вы хотите получать почту без проверки на спам;
   Если нужно в доверенных отправителей конкретные email, в правиле выберите The sender -> is this person и добавьте email адреса;
6. Нажмите кнопку Add condition и выберите The sender -> is external/internal -> Outside the organization;
7. Чтобы не получать письма через спуфинг или подмену доменов, убедитесь, что входящее письмо прошло email аутентификацию (SPF, DKIM и DMARC). Для этого добавьте правило A message header includes: Header name = Authentication-Results, Header value: dmarc=pass или dmarc=bestguesspass;
8. В поле Do the following выберите Set the spam confidence level (SCL) -> Bypass spam filtering;
9. Промотайте вниз и включите опцию Stop processing more rules.

В результате письма от доменов и email адресов, добавленных в белый список, не будут проходить через спам фильтры Exchange Online Protection (EOP).

Также вы можете добавить доверенные адреса и домены в антиспам фильтры с помощью Office 365 Security and Compliance Center (https://protection.office.com/antispam). Здесь можно добавить Allowed senders и domains.

Но Microsoft не рекомендует добавлять белые списки таким образом, т.к. письма от данных отправителей не будут обрабатываться спам, спуфинг и фишинг проверками, и также не будет выполняться проверка аутентификации отправителя (SPF, DKIM, DMARC). Любой отправитель может подставить в качестве отправителя доверенный домен и такое письмо не будет проверено защитой Exchange Protection Online. Используйте эти опции только для тестирования.