MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

EOP IP Allow/Block-Liste

Als Exchange Administrator können Sie in ihrem Tenant an mehreren Stellen eine Liste der "erlaubten" und "blockierten" IP-Adressen pflegen. Hier beschreibe ich, wie diese Einträge ihr Mailrouting und die Spamfilterung verändern.

AntiSpam Connection Filter

Die Konfiguration der IP Allow/Block-Listen konnten Sie Anfang noch im Exchange Admin Center vornehmen. Mittlerweile wurde diese Funktion aber komplett ins Microsoft 365 Defender Portal migriert, so dass sie im Exchange Admin Portal nur  noch die Umleitung sehen:

Auf https://security.microsoft.com/antispam geht es dann weiter:

Normalerweise ist die Liste leer. Über "Edit connection filter policy" können Sie dann die Einträge bei "Allow" und "Block" vornehmen.

Die Eingabe prüft die Werte. Sie können nur IP-Adressen oder Subnetze mit bis 256 (Subnetz /24) eingeben. Größere Netzwerke sind nicht möglich. Sie können auch keine DNS-Namen eingeben. Die Checkbox "Turn on safe list" aktiviert eine von Microsoft gepflegte zentrale Liste von erlaubten und geblockten IP-Adressen. Welche IP-Adressen dort und wiso addiert werden, ist wohl nicht öffentlicht.

Eine Verwaltung ihrer eigenen Allow/Block-Einträge ist natürlich auch per PowerShell möglich.

Set-HostedConnectionFilterPolicy `
   -Identity Default `
   -AdminDisplayName <"Optional Comment"> `
   -EnableSafeList <$true | $false> `
   -IPAllowList <IPAddressOrRange1,IPAddressOrRange2...> `
   -IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>

Mit "Get-HostedConnectionFilterPolicy" können Sie die aktuellen Einstellungen auslesen

 

Die Allow/Block-Listen beziehen sich natürlich nur auf ihren Tenant. Eine geblockte IP-Adresse wird nur geblockt, wenn die SMTP-Domain des Empfängers zu ihrem Tenant gehört. Beachten Sie dazu auch die Artikel zur Tenant Attribution", d.h. wie Exchange Online bestimmt, zu welchem Tenant eine Mail zugeordnet wird.

Das bedeutet aber auch, dass  eine eingehende Verbindung auch von einer geblockten IP-Adressen erst einmal angenommen wird und erst nach dem TLS-Handshake, dem "MAIL FROM" und "RCPT TO" die Entscheidung fällt. Allerdings ist auch dann noch nicht sichergestellt, dass Exchange Online die Verbindung direkt abbricht. Die Allow/Block-Liste geht in die Spambewertung ein und überstimmt die ansonsten von Defender für Office 365 angewendeten Erkennungen: Folgende Tabelle beschreibt dies sehr passend: 


Quelle: https://learn.microsoft.com/en-us/defender-office-365/how-policies-and-protections-are-combined?view=o365-worldwide#organization-allows-and-blocks

Sie sehen hier gut, dass hinsichtlich "Malware" und "Hoch confidence Phiishing" die Allow/Block-Listen auf Basis der IP-Adresslisten nicht weiter berücksichtig werden aber bei allen anderen Klassifizierungen diese Listen alles andere überstimmen,

Tenantweite Allow/BLock-Adressen

Eine weitere Stelle zur Pflege finden Sie auf https://security.microsoft.com/tenantAllowBlockList. Hier können Sie dem Spamfilter ebenfalls konfigurieren, wie er mit Mails von bestimmten IP-Adressen umgehen soll

Hinweis:
Für diese Funktion brauchen sie mindestens eine Microsoft Defender for Office 365 Plan 1 oder Plan 2 als Lizenz. Die ConnectionFilter weiter oben sind Bestandteil von Exchange Online.


Quelle: https://security.microsoft.com/tenantAllowBlockList

Die Funktion beschreibt Microsoft wie folgt:

IP Addresses: You can proactively create an an allow entry for an IP address on the IP addresses tab in the Tenant Allow/Block List to override the IP filters for incoming messages. An IP address allow entry bypasses IP-based filtering checks (for example, connection filtering or IP reputation checks).
Quelle: Manage allows and blocks in the Tenant Allow/Block List - Microsoft Defender for Office 365 https://learn.microsoft.com/en-us/defender-office-365/tenant-allow-block-list-about#allow-entries-in-the-tenant-allowblock-list

Auch diese Liste kann per PowerShell verwaltet werden

Ich muss zugeben, dass ich diese Stelle bislang nicht genutzt habe. Über entsprechende Inbound Partner Connectoren für den Versand von NoSpamProxy oder die Authentifizierung interner Absender über Zertifikate hatte ich bislang auch keine Notwendigkeit hier einzelne IP-Adressen oder Subnetze zu blocken oder zu erlauben

Perimeter Konfiguration (obsolet?)

Die letzte Stelle ist die "Perimeter Konfiguration". Microsoft beschreibt die Funktion beim Commandlet "Set-PermimeterConfig" wie folgt:

Use the Set-PerimeterConfig cmdlet to modify the list of gateway server IP addresses that have been added to the cloud-based safelists.
Quelle: Get-PerimeterConfig https://learn.microsoft.com/en-us/powershell/module/exchangepowershell/get-perimeterconfig 

Das sagt nun natürlich nicht gerade viel über die Funktion aus, zumal ein Get-PerimeterConfig noch viele weitere Werte liefert, die aber nur zum Teil auch mit Set-PerimeterConfig zu setzen sind:

PS C:\Users\fcarius> Get-PerimeterConfig | fl *

Name                               : Tenant Perimeter Settings
PerimeterOrgId                     :
SyncToHotmailEnabled               : False
RouteOutboundViaEhfEnabled         : False
IPSkiplistingEnabled               : False
EhfConfigSyncEnabled               : True
EhfAdminAccountSyncEnabled         : True
IPSafelistingSyncEnabled           : False
MigrationInProgress                : False
RouteOutboundViaFfoFrontendEnabled : True
EheEnabled                         : False
RMSOFwdSyncEnabled                 : True
EheDecryptEnabled                  : False
MSIPCDisabled                      : False
GatewayIPAddresses                 : {}
InternalServerIPAddresses          : {}
PartnerRoutingDomain               :
PartnerConnectorDomain             :
MailFlowPartner                    :
SafelistingUIMode                  : EhfAC
BookingsNamingPolicyPrefix         :
BookingsNamingPolicySuffix         :
OtherWellKnownObjects              : {}
AdminDisplayName                   :

Lange Zeit kannte ich den Begriff "Perimeter" nur OnPremises in Verbindung mit Exchange Edge Servern. Von allen Parametern kann ich per Set-PerimeterConfig im Sep 2025 nur den Wert "GatewayIPAddresses" setzen. Alle anderen Werte sind zur ReadOnly". Die Informationen, welche Funktion dann eine IP-Adresse in "GatewayIPAddresses" bewirkt, sind dünn gesät. Ich weiß noch nicht, wie diese Einstellungen meinen Tenant verändern würden.

Laut Copilot soll ich damit bei einer Hybrid-Bereitstellung meine OnPremises-Server aus dem Spamfilter ausnehmen können.

Q: Was steuert set-perimeterconfig in Exchange Online
Copilot: Das Cmdlet Set-PerimeterConfig in Exchange Online dient dazu, die Liste von Gateway-IP-Adressen zu konfigurieren, die in die cloudbasierten Safelists (Whitelists) aufgenommen werden sollen.
Wenn du eine hybride Exchange-Umgebung betreibst – also eine Kombination aus On-Premises Exchange und Exchange Online – kannst du mit diesem Cmdlet sicherstellen, dass E-Mails, die über deine lokalen Gatewayserver gesendet werden, nicht fälschlicherweise als Spam eingestuft werden.

Allerdings habe in keinen Tenant gesehen, dass der HCW hier einen Eintrag vorgenommen hätte.

Recherchiert man aber zum Begriff "EHS" weiter, der sehr oft erscheint, dann bezeichnet Wikipedia (https://en.wikipedia.org/wiki/Exchange_Online_Protection) dies als “EHS  = Microsoft Exchange Hosted Services” was nach der Übernahmen von "Frontbridge" (2005)  hervorgegangen ist und nach weiteren Umbenennungen über "Forefront Online Security for Exchange (FOSE) (2009) und "Forefront Online Protection for Exchange (FOPE)" zu "Exchange Online Protection (EOP) (2013)"  wurde.

Ich habe noch keine Anforderung gesehen, die ich nicht auch mit eingehenden Partner Connectoren oder OnPremises-Connectoren und EXO Enhanced Filtering lösen konnte.

Weitere Links