Ensure the connection filter IP allow list is not used
De ce este important
Atunci când lista de permisiuni IP a filtrului de conexiune este populată, mesajele de la acele adrese IP ocolesc filtrarea spamului și verificările de autentificare a expeditorului, cum ar fi SPF, DKIM și DMARC. Aceasta creează o breșă semnificativă de securitate, deoarece atacatorii pot falsifica IP-urile permise pentru a livra e-mailuri malițioase direct în căsuțele poștale ale utilizatorilor. Fără o verificare suplimentară prin reguli de flux de corespondență, această practică încalcă principiul zero trust conform căruia toate mesajele primite ar trebui scanate, indiferent de origine.
Ce verifică Aether365
Aether365 verifică dacă Lista de permisiuni IP din politica implicită a filtrului de conexiune pentru Exchange Online Protection este goală sau nedefinită. Această verificare apare în tabloul de bord Aether365 sub secțiunea de verificări de securitate Microsoft 365 și identifică orice adrese IP configurate pentru a ocoli filtrarea e-mailurilor.
Cum se remediază
- Conectați-vă la portalul Microsoft 365 Defender la adresa https://security.microsoft.com.
- Extindeți secțiunea Email & collaboration, apoi selectați Policies & rules și faceți clic pe Threat policies.
- Sub Policies, alegeți Anti-spam și localizați Connection filter policy (Default).
- Faceți clic pe Edit connection filter policy pentru a deschide setările politicii.
- În câmpul Always allow messages from the following IP addresses or address range, eliminați toate intrările IP listate.
- Faceți clic pe Save pentru a aplica modificările.
Conformitate
- CIS Microsoft 365 Foundations Benchmark 4.0.0 2.1.12 (E3 Level 1)
- Cele mai bune practici de filtrare a conexiunilor Microsoft 365 Defender
- Ghid de securitate Zero trust pentru protecția e-mailurilor
Resurse conexe
- Configure connection filtering in Microsoft 365 Defender
- Create safe sender lists in Office 365
- How policies and protections combine in Microsoft 365