将 Office 365 中的域列入白名单的步骤

在本指南中，我将逐步引导您了解如何将 Office 365 中的域列入白名单

在将任何域（包括您自己的域）列入白名单之前，您必须仔细考虑绕过垃圾邮件过滤的安全风险。有时，无论您采取什么故障排除措施，重要的电子邮件仍然会被隔离。您可以通过多种不同方式将 Office 365 中的域列入白名单。我将详细介绍每种方式并解释相关的安全风险。

反垃圾邮件政策（最少推荐）

• 使用反垃圾邮件策略将 Office 365 中的域列入白名单
• 使用 PowerShell 将域列入反垃圾邮件策略白名单
• 按 IP 地址将域列入白名单
• 使用 PowerShell 按 IP 地址将域列入白名单

运输规则（最安全且推荐）

• 使用传输规则将域列入白名单

  • 添加额外的传输规则条件
• 添加 SPF、DMARC 和 DKIM 条件规则

使用反垃圾邮件策略将 Office 365 中的域列入白名单

让我们从最不推荐的两个选项开始。 Exchange Online 启用了默认的反垃圾邮件策略。该策略的名称是“默认”。不建议使用这些方法，因为它们会使您的组织容易受到来自该域或发件人的欺骗性电子邮件的攻击。

1. 打开安全门户

   转至 https://security.microsoft.com 登录安全门户。选择左侧导航菜单上的策略和规则。

   

2. 点击威胁策略

   接下来，单击威胁策略。

   

3. 点击反垃圾邮件政策

   注意： 您可以通过此 URL https://security.microsoft.com/antispam 直接访问反垃圾邮件策略

   

4. 点击反垃圾邮件入站策略（默认）。

   单击策略列表中的入站策略。

   

   该政策将在页面右侧打开。使用滚动条并一直向下滚动到底部。您将看到编辑允许和阻止的发件人及域。点击它。

   

5. 点击“允许域”

   您现在将看到以下屏幕。要添加域，请单击“允许”部分下的“域”。

   

   要添加域，请单击“添加域”。

   

   输入域的完全限定名称，然后单击您在下面键入的域，然后单击屏幕底部的“添加域”。

   

   您现在将在管理允许的域列表中看到该域。单击“完成”。

   

   请参阅 Microsoft 文章在 EOP 中配置反垃圾邮件策略，了解有关 Exchange 在线垃圾邮件策略的更多信息。

使用 PowerShell 将域列入反垃圾邮件策略白名单

1. 使用 PowerShell 连接到 Exchange Online

如果您需要分步说明，请参阅文章使用 PowerShell 连接到在线交换。

2. 我们将使用 cmdlet Get-HostedContentFilterPolicy 列出垃圾邮件策略。

此示例显示默认启用的反垃圾邮件策略。反垃圾邮件策略的名称为“默认”。

Get-HostedContentFilterPolicy

3. 要修改此策略，我们将使用 cmdlet Set-HostedContentFilterPolicy。以下示例将域 trustthisdomain.com 添加到默认反垃圾邮件策略的允许域列表中。

Set-HostedContentFilterPolicy -Identity 'Default' -AllowedSenderDomains 'trustthisdomain.com

为了验证它是否有效，我们将使用 cmdlet Get-HostedContentFilterPolicy。下面的示例列出了名为“默认”的反垃圾邮件策略允许的域。

Get-HostedContentFilterPolicy -Identity 'Default' | Format-List AllowedSenderDomains

使用 IP 地址将域列入白名单

注意：不建议将 IP 地址添加到连接过滤器策略中，因为从该 IP 地址发送的任何电子邮件（无论域名如何）都会绕过垃圾邮件过滤。此外，您还面临源服务器 IP 地址发生更改的风险，这会导致此列表过时。

1. 登录 https://security.microsoft.com。

2. 转至政策与规则。然后是威胁政策

3. 转至反垃圾邮件政策。

4.点击连接过滤策略（默认）

5. 单击编辑连接过滤器

6. 输入您想要列入白名单的域的公共 IP 地址，其中显示“始终允许来自以下 IP 地址或地址范围的邮件”。单击底部的“保存”。

使用 PowerShell 按 IP 地址将域列入白名单

1. 使用 PowerShell 连接到 Exchange Online

如果您需要分步说明，请参阅文章使用 PowerShell 连接到在线交换。

2. 我们将使用 cmdlet Get-HostedConnectionFilterPolicy 列出连接筛选器策略。

此示例显示默认启用的连接筛选器策略。连接过滤策略的名称为“默认”。

3. 要修改此策略，我们将使用 cmdlet Set-HostedConnectionFilterPolicy。以下示例将 IP 地址 177.77.96.80 添加到默认连接筛选器策略中。

Set-HostedConnectionFilterPolicy "Default" -IPAllowList 177.77.96.80

注意：这将覆盖您在策略中已有的任何 IP 地址

4. 为了验证其是否有效，我们将使用 cmdlet Get-HostedConnectionFilterPolicy。下面的示例列出了名为“默认”的连接筛选策略允许的 IP 地址。您可以在 IPAllowList 字段中查看允许的 IP 地址。

5. 要添加到现有的允许 IP 地址列表，我们使用 Set-HostedConnectionFilterPolicy cmdlet。下面的示例将其他 IP 地址添加到名为“默认”的允许 IP 列表连接过滤策略。

Set-HostedConnectionFilterPolicy "Default" -IPAllowList @{Add="177.77.96.81"}

6. 为了验证其是否有效，我们使用 Get-HostedConnectionFilterPolicy cmdlet。下面的示例列出了名为“默认”的连接过滤策略允许的 IP 地址。您可以看到 IP 地址已添加到 IPAllowList 中。

使用传输规则将域列入白名单

创建传输规则将域列入白名单是绕过垃圾邮件过滤的最安全且推荐的方法。我什至将其纳入我的 Microsoft 365 安全最佳实践列表中。通过创建传输规则，您可以添加一些额外的安全检查，以 100% 确定电子邮件来自该域。我将在下面解释其中一些额外的安全步骤。

1. 转至 https://admin.exchange.microsoft.com 登录 Exchange 门户。单击“邮件流”，然后单击“规则”。

2. 单击添加规则

然后点击创建新规则

3. 输入规则的名称，以便您可以轻松识别它。其中显示应用此规则如果*，请选择发件人。然后从右侧的下拉列表中选择域。

点击“输入单词”

4. 当您单击“输入单词”时，将弹出另一个窗口来指定域。输入完全限定的域名。我输入 trustthisdomain.com，然后单击“添加”。

单击“添加”后，该域将显示在列表中。然后单击屏幕底部的“保存”。

5. 向下移动至执行以下操作*，然后选择修改消息属性。然后选择设置垃圾邮件置信度 (SCL)。

选择“设置垃圾邮件置信度（SCL）”后，会弹出一个窗口，选择“绕过垃圾邮件过滤”。然后单击屏幕底部的“保存”。

绕过垃圾邮件过滤后，它将显示在垃圾邮件置信度 (SCL) 下方，垃圾邮件置信度 (SCL) 为“-1”。

6. 选择要添加的条件后，单击屏幕底部的下一步以设置规则设置。

你想要强制执行。您可以选择在特定日期和时间激活规则或在特定日期和时间停用规则。另外，在根据传输规则在传输规则列表中的放置位置选择“停止处理更多规则”之前，请仔细考虑。当您选择停止处理更多规则时，它将停止在该规则处，而不会继续处理下一条规则。

您现在将有机会回顾并完成。单击屏幕底部的“完成”以完成规则。

添加额外的传输规则条件

我们可以使其更安全的方法之一是添加另一个条件。假设我们知道要列入白名单的域的公共 IP 地址。这将增加我所说的额外安全性，以确保它确实是您列入白名单的域。

1. 单击应用此规则 if* 右侧的 + 号以添加另一个条件。现在将出现一个“与”。选择发件人，然后选择 IP 地址是这些范围中的任何一个或完全匹配。

2. 输入要列入白名单的域的公共 IP 地址，然后单击“添加”。

IP 地址现在将显示在列表中。单击屏幕底部的“保存”。

规则现在看起来像这样。因此，我们不仅将域列入白名单，而且还通过添加域的公共 IP 地址来确保它来自该域，从而增加了额外的安全性。

添加 SPF、DMARC 和 DKIM 条件规则

您可以添加一些其他条件来验证发件人。您可以检查 SPF、DMARC 和 DKIM 是否通过。下面是消息头 Authentication-Results 的示例。

如果要添加基于 Authentication-Results 消息标头中的值的传输规则，您可以基于消息标头添加条件。

1. 选择邮件标题，然后包含以下任意单词。

2. 要添加传输规则以查看 SPF 是否通过，在显示“输入文本”的地方，您将输入“身份验证结果”。然后在显示“输入单词”的地方输入 spf=pass。传输规则将如下所示。

3. 要添加传输规则以查看 DKIM 是否通过，传输规则将如下所示。

4. 要添加传输规则以查看 DMARC 是否通过，传输规则将如下所示。

我希望您喜欢这篇文章。如果您有任何疑问，请在下面的评论中发表。