Ensure the connection filter IP allow list is not used
Dlaczego to jest ważne
Gdy lista dozwolonych adresów IP w filtrze połączeń jest wypełniona, wiadomości z tych adresów IP omijają filtrowanie spamu oraz sprawdzenia autentyczności nadawcy, takie jak SPF, DKIM i DMARC. Tworzy to znaczącą lukę w zabezpieczeniach, ponieważ atakujący mogą podszyć się pod dozwolone adresy IP, aby dostarczać złośliwe wiadomości e-mail bezpośrednio do skrzynek odbiorczych użytkowników. Bez dodatkowej weryfikacji za pomocą reguł przepływu poczty praktyka ta narusza zasadę zero trust, która zakłada, że wszystkie przychodzące wiadomości powinny być skanowane niezależnie od ich pochodzenia.
Co sprawdza Aether365
Aether365 weryfikuje, czy lista dozwolonych adresów IP w domyślnej zasadzie filtru połączeń dla Exchange Online Protection jest pusta lub niezdefiniowana. To sprawdzenie pojawia się w panelu Aether365 w sekcji Microsoft 365 security checks i identyfikuje wszystkie adresy IP skonfigurowane do pomijania filtrowania poczty.
Jak naprawić
- Zaloguj się do portalu Microsoft 365 Defender pod adresem https://security.microsoft.com.
- Rozwiń sekcję Email & collaboration, następnie wybierz Policies & rules i kliknij Threat policies.
- W obszarze Policies wybierz Anti-spam i znajdź zasadę Connection filter policy (Default).
- Kliknij Edit connection filter policy, aby otworzyć ustawienia zasad.
- W polu Always allow messages from the following IP addresses or address range usuń wszystkie wymienione wpisy adresów IP.
- Kliknij Save, aby zastosować zmiany.
Zgodność
- CIS Microsoft 365 Foundations Benchmark 4.0.0 2.1.12 (E3 Level 1)
- Microsoft 365 Defender connection filtering best practices
- Zero trust security guidance for email protection
Powiązane zasoby
- Configure connection filtering in Microsoft 365 Defender
- Create safe sender lists in Office 365
- How policies and protections combine in Microsoft 365