Настройка белого списка отправителей и доменов в Exchange Server и Microsft 365

В Exchange Server и Microsoft 365 (Exchange Online) вы можете создать “белый» список надежных email, доменов или IP адресов отправителей, почту от которых необходимо принимать не зависимо от содержимого письма, минуя антиспам проверки.

🎓 Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и "под микроскопом" изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Почта от доверенных отправителей (индивидуальных или целых доменов) из «белого» списка (Whitelist) считается надёжной и доставляется в ящик конечных пользователей, даже если попадает под правила антиспам фильтрации.

Добавление белых списков отправителей в on-prem Exchange Server

Управление белым списком отправителей в Exchange Server возможно только через командную строку Powershell (Exchange Management Shell). Запустите консоль EMS или подключитесь к серверу Exchange через PowerShell удаленно.

Некоторые иногда путают списки разрешенных адресов с разделом Mail Flow -> Accepted Domain в Exchange Admin Center. В Accepted Domain указываются обслуживаемые домены, для которых Exchange будет обрабатывать входящий и исходящий поток почты. exchange как добавить accepted domains, не путать с разрешенными доменами

Например, в Exchange Server 2013 нужно настраивать белый список на сервере с ролью Mailbox или Edge Transport с установленными функционалом анти-спам защиты Exchange.

Примечание. Настройка белого списка отправителей во всех версиях Exchange Server (2019, 2016, 2013 и 2010) выполняется аналогично, с небольшими отличиями, касающихся отличий в архитектуре CAS/Edge/Mailbox ролей.

Проверка на наличие адресов в белом списке выполняется в спам-фильтре, выполняющем фильтрацию на основании содержимого (content filter). Сначала проверьте, что у вас в Exchange включен фильтр содержимого:

Get-ContentFilterConfig | Format-List Enabled, ExternalMailEnabled, InternalMailEnabled

Если он отключен, включите:

Set-ContentFilterConfig -Enabled $true

По умолчанию фильтрация контента включена для внешних отправители и отключена для внутренних. Если нужно включить фильтрацию для внешних адресатов, выполните:

Set-ContentFilterConfig -ExternalMailEnabled $true

Get-ContentFilterConfig

Для редактирования «белого» списка адресов используется командлет Set-ContentFilterConfig. Формат команды такой:

Set-ContentFilterConfig -BypassedSenderDomains microsoft.com

Данная команда добавит домен Microsoft.com в белый список. Все письма от отправителей в этом домене будут доставляться пользователям Exchange в вашей организации независимости от их содержимого или вложений (дальнейшие проверки фильтром Content Filter не выполняются).

Set-ContentFilterConfig -BypassedSenderDomains Вывести текущее содержимого белого списка доменов можно командой:

get-ContentFilterConfig

Или

Get-ContentFilterConfig | Format-List Bypassed*

get-ContentFilterConfig

Если нужно одновременно добавить несколько доменов в «белый» список, команда будет выглядеть так:

Set-ContentFilterConfig -BypassedSenderDomains microsoft.com,*.winitpro.ru,mail.ru

Чтобы добавить в белый список контентного фильтра конкретный email адрес, нужно воспользоваться параметром BypassedSenders:

Set-ContentFilterConfig -BypassedSenders [email protected]

Главная проблема при использовании командлета Set-ContentFilterConfig – при каждом выполнении он целиком перезаписывает (очищает) текущий белый список доверенных отправителей. Чтобы этого не происходило, нужно получить текущее список «белых» адресов при каждом добавлении в список нового адреса/домена, добавить в него новый адрес и загрузить его обратно в Exchange.

Для добавления нескольких доменов в whitelist Exchange (без перезатирания текущих записей списка) можно воспользоваться такой PowerShell конструкцией:

$list = (Get-ContentFilterConfig).BypassedSenderDomains
$list.add("1domain.com")
$list.add("2domain.com")
$list.add("3domain.com")
Set-ContentFilterConfig -BypassedSenderDomains $list

В случае добавления индивидуальных email адресов:

$list = (Get-ContentFilterConfig).BypassedSenders
$list.add("[email protected]")
$list.add("[email protected]")
Set-ContentFilterConfig -BypassedSenders $list

Чтобы удалить одну запись из «белого» списка отправителей, выполните такую команду:

Set-ContentFilterConfig -BypassedSenderDomains @{Remove="mail.ru"}

Или

Set-ContentFilterConfig -BypassedSenders @{Remove="[email protected]"}

По аналогии можно заблокировать определенные адреса и домены отправителей в Exchange. Добавить новые email адрес в список заблокированных:

Set-SenderFilterConfig -BlockedSenders @{Add="[email protected]"}

Добавить в черный список несколько доменов:

Set-SenderFilterConfig -BlockedDomainsAndSubdomains @{Add="sample.ru","spammer.com”,"fb.ru"}

Вывести список заблокированных отправителей и доменов:

Get-SenderFilterConfig | Format-List BlockedSenders,BlockedDomains,BlockedDomainsAndSubdomains

Если получатель находится в черном списке Exchange, он будет получить такие NDR отбойники:

550 5.7.1. Message rejected as spam by Content Filtering

Для добавления IP адреса определенного SMTP сервера в доверенные, воспользуйтесь командой:

IPAllowListEntry -IPAddress x.x.x.x

Для блокировки IP подсети:

Add-IPBlockListEntry -IPAddress 98.76.54.0

Подробнее об этой команде рассказано в статье о использовании DNS RBL фильтров в Exchange.

Настройка белых списков отправителей в Office 365 (Exchange Online)

Вы можете создать белые списки отправителей и в облачном Office 365 (Exchange Online). Есть несколько способов добавить список безопасных отправителей в Exchange Online. Microsoft рекомендует использовать для этого транспортных правил обработки потока почты (mail flow rules).

  1. Отройте панель управления Exchange Admin Center для Exchange Online ( https://outlook.office365.com/ecp);
  2. В EAC перейдите в раздел Mail flow -> Rules;
  3. Создайте новое правило типа Bypass spam filtering;microsoft 365 exchange online добавить транспортное правило bypass spam filter
  4. Укажите имя правило Spam Whitelist;
  5. В поле Apply this rule if… выберите The sender -> domain is. Добавьте список доверенных доменов, от которых вы хотите получать почту без проверки на спам;
    Если нужно в доверенных отправителей конкретные email, в правиле выберите The sender -> is this person и добавьте email адреса;
  6. Нажмите кнопку Add condition и выберите The sender -> is external/internal -> Outside the organization;
  7. Чтобы не получать письма через спуфинг или подмену доменов, убедитесь, что входящее письмо прошло email аутентификацию (SPF, DKIM и DMARC). Для этого добавьте правило A message header includes: Header name = Authentication-Results, Header value: dmarc=pass или dmarc=bestguesspass;
  8. В поле Do the following выберите Set the spam confidence level (SCL) -> Bypass spam filtering;exchange online транспортное правило для добавления доверенных доменов
  9. Промотайте вниз и включите опцию Stop processing more rules.не обрабатывать дальнейшие транспортные правила

В результате письма от доменов и email адресов, добавленных в белый список, не будут проходить через спам фильтры Exchange Online Protection (EOP).

Для создания транспортного правила через PowerShell нужно использовать комнадлет New-TransportRule . Для подключения к Exchange Online воспользуйтесь модулем Exchange Online PowerShell v2 (EXO V2).

Также вы можете добавить доверенные адреса и домены в антиспам фильтры с помощью Office 365 Security and Compliance Center (https://protection.office.com/antispam). Здесь можно добавить Allowed senders и domains.

office365 security center добавить разрешенные allowed домены

Но Microsoft не рекомендует добавлять белые списки таким образом, т.к. письма от данных отправителей не будут обрабатываться спам, спуфинг и фишинг проверками, и также не будет выполняться проверка аутентификации отправителя (SPF, DKIM, DMARC). Любой отправитель может подставить в качестве отправителя доверенный домен и такое письмо не будет проверено защитой Exchange Protection Online. Используйте эти опции только для тестирования.

🎓 Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и "под микроскопом" изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Предыдущая статья Следующая статья


Комментариев: 8 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)