将 Exchange Server 和 Microsoft 365 上的域和电子邮件地址列入白名单

在 Exchange Server 和 Microsoft 365 (Exchange Online) 中，您可以创建受信任的电子邮件地址、域和发件人 IP 地址的白名单，无论电子邮件内容如何，都必须接受来自该白名单的邮件，从而绕过反垃圾邮件检查。来自白名单（单个或整个域）中的安全发件人的电子邮件被视为可信并传送到用户的邮箱，即使它们属于反垃圾邮件过滤规则。

将 Exchange Server 中的域和电子邮件地址列入白名单

本地 Exchange Server 中的发件人白名单只能通过 PowerShell 命令提示符（Exchange 命令行管理程序）进行管理。运行 EMS 控制台或通过 PowerShell 远程连接到 Exchange 服务器。

某些管理员将允许列表与 Exchange 管理中心中的接受域混淆。接受域指定 Exchange 将处理入站和出站邮件流的域。

在所有版本的 Exchange Server（2019、2016、2013 和 2010）中配置发件人白名单类似，但在 CAS/Edge/Mailbox 角色的体系结构方面存在细微差别。例如，在 Exchange Server 2013 中，您需要在安装了 Exchange 反垃圾邮件保护的邮箱或边缘传输角色的服务器上配置白名单。

对白名单地址的检查是在执行内容过滤的垃圾邮件过滤器中执行的。首先，检查您是否在 Exchange 中启用了内容过滤器：

Get-ContentFilterConfig | Format-List Enabled, ExternalMailEnabled, InternalMailEnabled

您可以使用以下命令在 Exchange 中启用内容过滤：

Set-ContentFilterConfig -Enabled $true

默认情况下，内容过滤对外部发件人启用，对内部发件人禁用。如果您需要为外部发件人启用内容过滤，请运行：

Set-ContentFilterConfig -ExternalMailEnabled $true

要编辑地址白名单，请使用 cmdlet Set-ContentFilterConfig。该命令具有以下语法：

Set-ContentFilterConfig -BypassedSenderDomains microsoft.com

此命令会将 Microsoft.com 域列入白名单。来自此域中的发件人的所有电子邮件都将传递给组织中的 Exchange 用户，无论其内容或附件如何（内容筛选器不会执行进一步的检查）。

您可以使用以下命令查看当前域白名单条目：

get-ContentFilterConfig

或者 ：

Get-ContentFilterConfig | Format-List Bypassed*

如果您必须一次将多个域添加到绕过发件人列表中，则命令将如下所示：

Set-ContentFilterConfig -BypassedSenderDomains microsoft.com,a-d.site,gmail.com

要将特定电子邮件地址添加到内容过滤器白名单，请使用 BypassedSenders 参数：

Set-ContentFilterConfig -BypassedSenders [email protected]

使用 Set-ContentFilterConfig cmdlet 的主要问题是，每次运行时，它都会完全覆盖（清除）安全发件人的当前白名单。为了避免这种情况，每次您必须向此列表添加新的地址/域时，请获取当前的地址白名单，向其中添加一个新条目并将其上传回 Exchange。

要将多个域添加到 Exchange 受信任列表（不覆盖当前列表条目），您可以使用以下 PowerShell 脚本：

$list = (Get-ContentFilterConfig).BypassedSenderDomains
$list.add("domain1.com")
$list.add("domain2.com")
$list.add("domain3.com")
Set-ContentFilterConfig -BypassedSenderDomains $list

如果您要添加个人电子邮件地址：

$list = (Get-ContentFilterConfig).BypassedSenders
$list.add("[email protected]")
$list.add("[email protected]")
Set-ContentFilterConfig -BypassedSenders $list

要从发件人白名单中删除一项，请运行以下命令：

Set-ContentFilterConfig -BypassedSenderDomains @{Remove="gmail.com"}

或者：

Set-ContentFilterConfig -BypassedSenders @{Remove="[email protected]"}

同样，您可以阻止 Exchange 中的特定地址和发件人域。将新电子邮件地址添加到黑名单：

Set-SenderFilterConfig -BlockedSenders @{Add="[email protected]"}

将多个域添加到 Exchange 黑名单：

Set-SenderFilterConfig -BlockedDomainsAndSubdomains @{Add="sample.net","spammest.com”,"fishing.com"}

列出被阻止的发件人和域：

Get-SenderFilterConfig | Format-List BlockedSenders,BlockedDomains,BlockedDomainsAndSubdomains

如果收件人被 Exchange 列入黑名单，他们将收到以下 NDR 邮件：

550 5.7.1. Message rejected as spam by Content Filtering

要将特定 SMTP 服务器的 IP 地址添加到可信服务器，请使用以下命令：

IPAllowListEntry -IPAddress 123.45.67.89

要阻止 IP 子网：

Add-IPBlockListEntry -IPAddress 123.45.67.0

有关此命令的详细信息，请查看文章在 Exchange 中使用 DNS RBL 筛选器。

如何将 Office 365 (Exchange Online) 中的域或电子邮件地址列入白名单？

您还可以在基于云的 Microsoft 365 (Exchange Online) 中创建发件人允许列表。有多种方法可以将安全发件人列表添加到 Exchange Online。 Microsoft 建议为此使用邮件流规则。

1. 打开 Exchange Online 的 Exchange 管理中心控制面板 (https://outlook.office365.com/ecp)；

2. 在 EAC 中，转到邮件流 -> 规则；

3. 创建新规则绕过垃圾邮件过滤；

   

4. 指定规则名称垃圾邮件白名单；

5. 在如果...应用此规则字段中，选择发件人 -> 域是。添加您想要绕过垃圾邮件检查的受信任域列表；

   如果您需要将特定电子邮件添加到受信任的发件人，请在规则中选择发件人 -> 是此人并指定电子邮件地址。

6. 点击按钮添加条件并选择发件人 -> 外部/内部 -> 组织外部；

7. 为了保护您的用户免受欺骗和网络钓鱼攻击，请务必启用外部发件人的电子邮件身份验证（应通过 SPF、DKIM 和 DMARC 检查）。添加规则邮件标头包括：标头名称 =

   Authentication-Results

   , 标头值：

   dmarc=pass

   或者

   dmarc=bestguesspass

   ;

8. 在执行以下操作中选择设置垃圾邮件置信度(SCL) -> 绕过垃圾邮件过滤；

   

9. 向下滚动并启用选项停止处理更多规则。

   

因此，来自添加到允许列表的域和电子邮件地址的传入电子邮件不会通过 Exchange Online Protection (EOP) 垃圾邮件筛选器，而是直接发送到用户邮箱。

要通过 PowerShell 创建传输规则，您需要使用

New-TransportRule

cmdlet。使用 Exchange Online PowerShell v2 模块 (EXO V2) 连接到 Exchange Online。

您还可以使用 Office 365 安全与合规中心 (https://protection.office.com/antispam) 将受信任的地址和域添加到反垃圾邮件过滤器。可以在此处添加允许的发件人和域。

但是，Microsoft 不建议以这种方式添加允许的发件人，因为来自这些发件人的邮件不会被垃圾邮件、欺骗和网络钓鱼 EOP 规则处理，并且不会执行发件人身份验证检查（SPF、DKIM、DMARC）。任何外部发件人都可以在 SMTP 发件人 字段中指定受信任的域，并且 Exchange Protection Online 不会扫描此类电子邮件。这些选项仅用于测试目的。