Vai al contenuto principale

Microsoft - Come implementare la Whitelist per IP in Microsoft Exchange 2013 e 2016

  • Aggiornato

Questo articolo descrive come configurare la Whitelist in Microsoft Exchange 2013 e 2016 on-premise utilizzando gli IP di SMARTFENSE. Copre la lista degli IP consentiti, le quattro regole di trasporto che bypassano Clutter, la posta indesiderata e la protezione ATP, e la configurazione complementare per evitare la riscrittura dei link quando ATP/Links è attivo.

Se le simulazioni arrivano alla vostra organizzazione da IP diversi da quelli di SMARTFENSE (perché c'è un antispam intermedio), configurate la Whitelist per Header invece che per IP. Consultate l'articolo Microsoft - Come implementare la Whitelist tramite Header in Microsoft Exchange 2013 e 2016.

IP di SMARTFENSE

IP da consentire: 160.153.250.248, 190.210.135.44, 50.6.200.66 52.16.33.192

Le quattro regole di trasporto di questo articolo utilizzano esattamente la stessa condizione su questi IP. Per mantenere aggiornata la fonte di verità, consultate Configurazione > Sicurezza > Whitelist nella vostra istanza di SMARTFENSE.

Prerequisiti

  • Accesso amministrativo al portale del vostro server di posta Exchange.
  • Permessi per modificare il filtro di connessione e creare regole di flusso di posta.
  • Accesso alla console di amministrazione (PowerShell) se decidete di configurare la lista IP tramite linea di comando.

Riepilogo delle regole da creare

# Nome della regola Header da impostare Valore
1 Bypassare Clutter e il filtro della posta indesiderata per indirizzo IP X-MS-Exchange-Organization-BypassClutter true
2 SMARTFENSE - Bypassare il filtro della posta indesiderata X-Forefront-Antispam-Report SFV:SKI;
3 Bypassare ATP Links X-MS-Exchange-Organization-SkipSafeLinksProcessing 1
4 Bypassare ATP Attachments X-MS-Exchange-Organization-SkipSafeAttachmentProcessing 1

Sia i nomi degli header che i loro valori distinguono tra maiuscole e minuscole.

Configurare la lista degli IP consentiti

Avete due metodi disponibili per aggiungere gli IP di SMARTFENSE alla lista degli IP consentiti.

Opzione A — Tramite linea di comando (Exchange 2013)

Usate il cmdlet PowerShell Add-IPAllowListEntry. Consultate la documentazione ufficiale Microsoft: https://docs.microsoft.com/en-us/powershell/module/exchange/antispam-antimalware/Add-IPAllowListEntry.

Opzione B — Tramite portale

  1. Accedete al portale di amministrazione del vostro server di posta.
  2. Andate su Admin.
  3. Accedete al menu Exchange.
  4. Andate su Filtro di connessione (all'interno di Protezione).
  5. Premete l'icona della matita per modificare la policy predefinita.
  6. In Indirizzo IP consentito, premete + e aggiungete i tre IP di SMARTFENSE, uno per uno.
  7. Premete OK e poi Salva.

Accesso per creare le regole di flusso di posta

  1. Andate su Admin > Posta > Flusso di posta.
  2. Premete (+) Crea nuova regola.
  3. Premete Altre opzioni.

Importante: se non vedete tutte le opzioni di configurazione, premete il link Altre opzioni nella schermata Nuova regola. Senza questa opzione, non potete applicare molte delle azioni richieste dalle regole seguenti.

Ripetete il processo per ciascuna delle quattro regole elencate di seguito.

Regola 1 — Bypassare Clutter e il filtro della posta indesiderata

  1. Assegnate il nome Bypassare Clutter e il filtro della posta indesiderata per indirizzo IP.
  2. In Applica questa regola se…, selezionate Il mittente > ha un indirizzo IP che è in uno di questi intervalli o corrisponde a.
  3. Aggiungete i tre IP di SMARTFENSE.
  4. In Fai quanto segue…, selezionate Modifica le proprietà del messaggio > Imposta un'intestazione del messaggio.
  5. Configurate l'intestazione X-MS-Exchange-Organization-BypassClutter con valore true.
  6. Aggiungete una seconda azione: Imposta il livello di fiducia della posta indesiderata (SCL) > Bypassare il filtro della posta indesiderata.
  7. Premete Salva.

Regola 2 — Bypassare la cartella della posta indesiderata

  1. Assegnate il nome SMARTFENSE - Bypassare il filtro della posta indesiderata.
  2. Usate la stessa condizione degli IP.
  3. Nell'azione, configurate l'intestazione X-Forefront-Antispam-Report con valore SFV:SKI;.
  4. Nelle proprietà della regola, assegnate la priorità immediatamente successiva alla regola precedente.
  5. Premete Salva.

Regole per bypassare la protezione Advanced Threat Protection

Vi consigliamo di attendere almeno due ore affinché le regole si propaghino a tutti gli utenti. Testate l'efficacia con un gruppo ristretto prima di lanciare campagne massive.

Regola 3 — Bypassare ATP Links

  1. Assegnate il nome Bypassare ATP Links.
  2. Usate la stessa condizione degli IP.
  3. Configurate l'intestazione X-MS-Exchange-Organization-SkipSafeLinksProcessing con valore 1.
  4. Premete Salva.

Regola 4 — Bypassare ATP Attachments

  1. Assegnate il nome Bypassare ATP Attachments.
  2. Usate la stessa condizione degli IP.
  3. Configurate l'intestazione X-MS-Exchange-Organization-SkipSafeAttachmentProcessing con valore 1.
  4. Premete Salva.

Bypassare la riscrittura dei link quando si utilizza ATP/Links

Quando ATP/Links è attivo, il servizio riscrive i link nelle email. Per evitare che ciò accada con i domini delle simulazioni, configurate la seguente eccezione.

  1. Accedete a https://security.microsoft.com.
  2. Andate su Gestione minacce > Policy > Link sicuri.
  3. Modificate la policy esistente (ad esempio, ATP Link Policy) premendo Modifica policy, oppure create una nuova con Crea.
  4. Premete Impostazioni.
  5. Nella sezione Non riscrivere i seguenti URL, aggiungete i domini di simulazione di SMARTFENSE nel formato *.dominio.com/*.
  6. Salvate la policy.

I domini di simulazione sono mantenuti aggiornati nella vostra istanza di SMARTFENSE, in Configurazione > Sicurezza > Whitelist. Consultate sempre questa lista al momento di configurare l'eccezione per assicurarvi di includere i domini correnti.

💡 Best practice

  • Configurate prima la lista degli IP consentiti e solo dopo le regole di trasporto.
  • Assicuratevi di premere Altre opzioni durante la creazione di ogni regola: senza questo passaggio, molte azioni rimangono nascoste e la regola risulta incompleta.
  • Attendete almeno due ore dopo aver creato le quattro regole prima di testare le simulazioni.
  • Lanciate una campagna di prova con un gruppo ristretto che includa voi come amministratore.
  • Mantenete i valori predefiniti per le altre opzioni di ogni regola, salvo indicazione esplicita.
  • Se la vostra organizzazione utilizza ATP/Links, non omettete la configurazione della sezione Non riscrivere i seguenti URL: senza questa eccezione i link delle simulazioni vengono riscritti e le statistiche si alterano.

Correlato a

Articoli correlati