Rekkefølgen og prioriteten til e-postbeskyttelse
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, kan innkommende e-post bli flagget av flere former for beskyttelse. Beskyttelse mot forfalskning som for eksempel er tilgjengelig for alle Microsoft 365-kunder, og representasjonsbeskyttelse som bare er tilgjengelig for Microsoft Defender for Office 365 kunder. Meldinger går også gjennom søk etter skadelig programvare, søppelpost, phishing osv. Gitt all denne aktiviteten, kan det være litt forvirring om hvilken policy som brukes.
Generelt identifiseres en policy som brukes på en melding, i toppteksten X-Forefront-Antispam-Report i CAT-egenskapen (kategori ). Hvis du vil ha mer informasjon, kan du se meldingshoder for søppelpost.
Det finnes to viktige faktorer som bestemmer hvilken policy som skal brukes på en melding:
Behandlingsrekkefølgen for beskyttelsestypen for e-post: Denne bestillingen kan ikke konfigureres, og er beskrevet i tabellen nedenfor:
Orden E-postbeskyttelse Kategori Hvor du administrerer 1 Skadelig programvare CAT:MALWKonfigurere policyer for skadelig programvare i EOP 2 Phishing med høy konfidens CAT:HPHSHKonfigurer policyer for søppelpost i EOP 3 Phishing CAT:PHSHKonfigurer policyer for søppelpost i EOP 4 Søppelpost med høy konfidens CAT:HSPMKonfigurer policyer for søppelpost i EOP 5 Etterligning CAT:SPOOFSpoof intelligence insight in EOP 6* Brukerrepresentasjon (beskyttede brukere) CAT:UIMPKonfigurer policyer for anti-phishing i Microsoft Defender for Office 365 7* Domenerepresentasjon (beskyttede domener) CAT:DIMPKonfigurer policyer for anti-phishing i Microsoft Defender for Office 365 8* Postboksintelligens (kontaktgraf) CAT:GIMPKonfigurer policyer for anti-phishing i Microsoft Defender for Office 365 9 Søppelpost CAT:SPMKonfigurer policyer for søppelpost i EOP 10 Masseutsendelse CAT:BULKKonfigurer policyer for søppelpost i EOP *Disse funksjonene er bare tilgjengelige i policyer for anti-phishing i Microsoft Defender for Office 365.
Prioritetsrekkefølgen for policyer: Policyprioritetsrekkefølgen vises i følgende liste:
Policyene for søppelpost, skadelig programvare, anti-phishing, klarerte koblinger* og klarerte* vedlegg i sikkerhetspolicyen Nøyaktig forhåndsinnstilt (når aktivert).
Policyer for søppelpost, skadelig programvare, anti-phishing, klarerte koblinger* og klarerte* vedlegg i den Standard forhåndsinnstilte sikkerhetspolicyen (når den er aktivert).
Anti-phishing, klarerte koblinger og klarerte vedlegg i evalueringspolicyer for Defender for Office 365 (når aktivert).
Egendefinerte policyer for søppelpost, skadelig programvare, anti-phishing, klarerte koblinger* og klarerte vedlegg (når de opprettes* ).
Egendefinerte policyer tilordnes en standard prioritetsverdi når du oppretter policyen (nyere er lik høyere), men du kan når som helst endre prioritetsverdien. Denne prioritetsverdien påvirker rekkefølgen som egendefinerte policyer av denne typen (søppelpost, skadelig programvare, anti-phishing osv.) brukes, men påvirker ikke hvor egendefinerte policyer brukes i den totale rekkefølgen.
Av lik verdi:
- Policyer for klarerte koblinger og klarerte vedlegg i den forhåndsinnstilte sikkerhetspolicyen* for beskyttelse for beskyttelse.
- Standardpolicyene for skadelig programvare, søppelpost og anti-phishing.
Du kan konfigurere unntak fra den forhåndsinnstilte sikkerhetspolicyen for innebygd beskyttelse, men du kan ikke konfigurere unntak for standardpolicyene (de gjelder for alle mottakere, og du kan ikke deaktivere dem).
*bare Defender for Office 365.
Viktig
Prioritetsrekkefølgen er viktig hvis du har samme mottaker med hensikt eller utilsiktet inkludert i flere policyer, fordi bare den første policyen av denne typen (søppelpost, skadelig programvare, anti-phishing osv.) brukes på denne mottakeren, uavhengig av hvor mange andre policyer mottakeren er inkludert i. Det finnes aldri en sammenslåing eller kombinasjon av innstillingene i flere policyer for mottakeren. Mottakeren påvirkes ikke av innstillingene for de gjenværende policyene av denne typen.
Gruppen «Contoso Executives» er for eksempel inkludert i følgende policyer:
- Den strenge forhåndsinnstilte sikkerhetspolicyen
- En egendefinert policy for søppelpost med prioritetsverdien 0 (høyeste prioritet)
- En egendefinert policy for søppelpost med prioritetsverdien 1.
Hvilke innstillinger for søppelpostpolicy brukes for medlemmene av Contoso-ledere? Den strenge forhåndsinnstilte sikkerhetspolicyen. Innstillingene i de egendefinerte policyene for søppelpost ignoreres for medlemmene av Contoso-ledere, fordi den strenge forhåndsinnstilte sikkerhetspolicyen alltid brukes først.
Som et annet eksempel bør du vurdere følgende egendefinerte policyer for anti-phishing i Microsoft Defender for Office 365 som gjelder for de samme mottakerne, og en melding som inneholder både brukerrepresentasjon og forfalskning:
| Policynavn | Priority | Brukerrepresentasjon | Anti-forfalskning |
|---|---|---|---|
| Policy A | 1 | På | Av |
| Policy B | 2 | Av | På |
- Meldingen identifiseres som forfalsking fordi forfalskning (5) evalueres før brukerrepresentasjon (6) i behandlingsrekkefølgen for e-postbeskyttelsestypen.
- Policy A brukes først, fordi den har høyere prioritet enn policy B.
- Basert på innstillingene i policy A, utføres ingen handling på meldingen fordi anti-forfalskning er slått av.
- Behandlingen av anti-phishing-policyer stopper for alle inkluderte mottakere, slik at policy B aldri brukes på mottakere som også er i policy A.
Bruk følgende retningslinjer for policymedlemskap for å sikre at mottakerne får beskyttelsesinnstillingene du ønsker:
- Tilordne et mindre antall brukere til policyer med høyere prioritet, og et større antall brukere for å redusere prioritetspolicyer. Husk at standardpolicyer alltid brukes sist.
- Konfigurer policyer med høyere prioritet til å ha strengere eller mer spesialiserte innstillinger enn policyer med lavere prioritet. Du har full kontroll over innstillingene i egendefinerte policyer og standardpolicyer, men ingen kontroll over de fleste innstillingene i forhåndsinnstilte sikkerhetspolicyer.
- Vurder å bruke færre egendefinerte policyer (bruk bare egendefinerte policyer for brukere som krever mer spesialiserte innstillinger enn Standard, strenge forhåndsinnstilte sikkerhetspolicyer eller standardpolicyer).
Tillegg
Det er viktig å forstå hvordan brukeren tillater og blokkerer, leier tillater og blokkerer og filtrerer stakkvurderinger i EOP og Defender for Office 365 komplementere eller motsi hverandre.
- Hvis du vil ha informasjon om filtrering av stabler og hvordan de kombineres, kan du se trinnvis trusselbeskyttelse i Microsoft Defender for Office 365.
- Når filtreringsstakken bestemmer en dom, blir leierpolicyer og deres konfigurerte handlinger evaluert.
- Hvis den samme e-postadressen eller domenet finnes i en brukers liste over klarerte avsendere og listen over blokkerte avsendere, har listen over klarerte avsendere forrang.
- Hvis den samme enheten (e-postadresse, domene, falsk sending av infrastruktur, fil eller URL-adresse) finnes i en tillatelsesoppføring og en blokkoppføring i tillat/blokkeringslisten for tenanten, har blokkoppføringen forrang.
Bruker tillater og blokkerer
Oppføringer i en brukers samling av klarerte lister (listen over klarerte avsendere, listen over klarerte mottakere og listen over blokkerte avsendere i hver postboks) kan overstyre noen filtreringsstakkvurderinger som beskrevet i tabellen nedenfor:
| Dom for filtreringsstakk | Brukerens liste over klarerte avsendere/mottakere | Brukerens liste over blokkerte avsendere |
|---|---|---|
| Skadelig programvare | Filter vinner: E-post i karantene | Filter vinner: E-post i karantene |
| Phishing med høy konfidens | Filter vinner: E-post i karantene | Filter vinner: E-post i karantene |
| Phishing | Bruker vinner: E-post levert til brukerens innboks | Leier vinner: Gjeldende policy for søppelpost bestemmer handlingen |
| Søppelpost med høy konfidens | Bruker vinner: E-post levert til brukerens innboks | Leier vinner: Gjeldende policy for søppelpost bestemmer handlingen |
| Søppelpost | Bruker vinner: E-post levert til brukerens innboks | Leier vinner: Gjeldende policy for søppelpost bestemmer handlingen |
| Masseutsendelse | Bruker vinner: E-post levert til brukerens innboks | Bruker vinner: E-post levert til brukerens Søppelpost-mappe |
| Ikke søppelpost | Bruker vinner: E-post levert til brukerens innboks | Bruker vinner: E-post levert til brukerens Søppelpost-mappe |
- I Exchange Online kan det hende at domenet som tillates i listen over klarerte avsendere, ikke fungerer hvis meldingen er satt i karantene av noen av følgende betingelser:
- Meldingen identifiseres som skadelig programvare eller phishing med høy visshet (skadelig programvare og phishing-meldinger med høy visshet er satt i karantene).
- Handlinger i policyer for søppelpost konfigureres til karantene i stedet for å flytte e-post til Søppelpost-mappen.
- E-postadressen, nettadressen eller filen i e-postmeldingen er også i en blokkoppføring i leierens tillatelses-/blokkeringsliste.
Hvis du vil ha mer informasjon om samlingen av klarerte lister og søppelpostinnstillinger i brukerpostbokser, kan du se Konfigurere innstillinger for søppelpost på Exchange Online postbokser.
Leier tillater og blokkerer
Leier tillater og blokker kan overstyre noen filtreringsstakkvurderinger som beskrevet i følgende tabeller:
Avansert leveringspolicy (hopp over filtrering for angitte SecOps-postbokser og nettadresser for phishing-simulering):
Dom for filtreringsstakk Avansert leveringspolicy tillater Skadelig programvare Leier vinner: E-post levert til postboksen Phishing med høy konfidens Leier vinner: E-post levert til postboksen Phishing Leier vinner: E-post levert til postboksen Søppelpost med høy konfidens Leier vinner: E-post levert til postboksen Søppelpost Leier vinner: E-post levert til postboksen Masseutsendelse Leier vinner: E-post levert til postboksen Ikke søppelpost Leier vinner: E-post levert til postboksen Regler for Exchange-e-postflyt (også kjent som transportregler):
Dom for filtreringsstakk E-postflytregel tillater* Regelblokker for e-postflyt Skadelig programvare Filter vinner: E-post i karantene Filter vinner: E-post i karantene Phishing med høy konfidens Filter vinner: E-post i karantene unntatt i kompleks ruting Filter vinner: E-post i karantene Phishing Leier vinner: E-post levert til postboksen Leier vinner: Phishing-handling i gjeldende policy for søppelpost Søppelpost med høy konfidens Leier vinner: E-post levert til postboksen Leier vinner: E-post levert til brukerens søppelpostmappe Søppelpost Leier vinner: E-post levert til postboksen Leier vinner: E-post levert til brukerens søppelpostmappe Masseutsendelse Leier vinner: E-post levert til postboksen Leier vinner: E-post levert til brukerens søppelpostmappe Ikke søppelpost Leier vinner: E-post levert til postboksen Leier vinner: E-post levert til brukerens søppelpostmappe * Organisasjoner som bruker en tredjeparts sikkerhetstjeneste eller enhet foran Microsoft 365, bør vurdere å bruke arc (Authenticated Received Chain) ( kontakt tredjeparten for tilgjengelighet) og utvidet filtrering for koblinger (også kjent som hopp over oppføring) i stedet for en SCL=-1-regel for e-postflyt. Disse forbedrede metodene reduserer problemer med e-postgodkjenning og oppmuntrer til dyptgående e-postsikkerhet .
Ip-tillatelsesliste og IP-blokkeringsliste i policyer for tilkoblingsfilter:
Dom for filtreringsstakk Ip-tillatelsesliste IP-blokkeringsliste Skadelig programvare Filter vinner: E-post i karantene Filter vinner: E-post i karantene Phishing med høy konfidens Filter vinner: E-post i karantene Filter vinner: E-post i karantene Phishing Leier vinner: E-post levert til postboksen Leier vinner: E-post droppet stille Søppelpost med høy konfidens Leier vinner: E-post levert til postboksen Leier vinner: E-post droppet stille Søppelpost Leier vinner: E-post levert til postboksen Leier vinner: E-post droppet stille Masseutsendelse Leier vinner: E-post levert til postboksen Leier vinner: E-post droppet stille Ikke søppelpost Leier vinner: E-post levert til postboksen Leier vinner: E-post droppet stille Tillat og blokker innstillinger i policyer for søppelpost:
- Tillatt avsender- og domeneliste.
- Blokkert avsender og domeneliste.
- Blokkere meldinger fra bestemte land/områder eller på bestemte språk.
- Blokkere meldinger basert på avanserte innstillinger for søppelpostfilter (ASF).
Dom for filtreringsstakk Policy for søppelpost tillater Søppelpostpolicyblokker Skadelig programvare Filter vinner: E-post i karantene Filter vinner: E-post i karantene Phishing med høy konfidens Filter vinner: E-post i karantene Filter vinner: E-post i karantene Phishing Leier vinner: E-post levert til postboksen Leier vinner: Phishing-handling i gjeldende policy for søppelpost Søppelpost med høy konfidens Leier vinner: E-post levert til postboksen Leier vinner: E-post levert til brukerens søppelpostmappe Søppelpost Leier vinner: E-post levert til postboksen Leier vinner: E-post levert til brukerens søppelpostmappe Masseutsendelse Leier vinner: E-post levert til postboksen Leier vinner: E-post levert til brukerens søppelpostmappe Ikke søppelpost Leier vinner: E-post levert til postboksen Leier vinner: E-post levert til brukerens søppelpostmappe Tillat oppføringer i leierens tillatelses-/blokkeringsliste: Det finnes to typer tillatte oppføringer:
- Meldingsnivå tillater at oppføringer utføres på hele meldingen, uavhengig av enhetene i meldingen. Tillat oppføringer for e-postadresse og domener er oppføringer på meldingsnivå. Disse tillater at oppføringer overstyrer masse- og søppelpostvurderinger, og phishing-dommer med høy visshet fra maskinlæringsmodeller.
- Enhetsnivå tillater oppføringer å handle på filtreringsvurderingen av enheter. Tillat oppføringer for nettadresser, falske avsendere og filer er tillatelsesoppføringer på enhetsnivå. Hvis du vil overstyre skadelig programvare og phishing-dommer med høy visshet, må du bruke tillatelsesoppføringer på enhetsnivå, som du kan opprette ved innsending bare på grunn av Sikker som standard i Microsoft 365.
Dom for filtreringsstakk E-postadresse/domene Skadelig programvare Filter vinner: E-post i karantene Phishing med høy konfidens Filter vinner: E-post i karantene Phishing Leier vinner: E-post levert til postboksen Søppelpost med høy konfidens Leier vinner: E-post levert til postboksen Søppelpost Leier vinner: E-post levert til postboksen Masseutsendelse Leier vinner: E-post levert til postboksen Ikke søppelpost Leier vinner: E-post levert til postboksen Blokkere oppføringer i leierens tillatelses-/blokkeringsliste:
Dom for filtreringsstakk E-postadresse/domene Spole Fil URL-adresse Skadelig programvare Filter vinner: E-post i karantene Filter vinner: E-post i karantene Leier vinner: E-post i karantene Filter vinner: E-post i karantene Phishing med høy konfidens Leier vinner: E-post i karantene Filter vinner: E-post i karantene Leier vinner: E-post i karantene Leier vinner: E-post i karantene Phishing Leier vinner: E-post i karantene Leier vinner: Forfalskningshandling i gjeldende policy for anti-phishing Leier vinner: E-post i karantene Leier vinner: E-post i karantene Søppelpost med høy konfidens Leier vinner: E-post i karantene Leier vinner: Forfalskningshandling i gjeldende policy for anti-phishing Leier vinner: E-post i karantene Leier vinner: E-post i karantene Søppelpost Leier vinner: E-post i karantene Leier vinner: Forfalskningshandling i gjeldende policy for anti-phishing Leier vinner: E-post i karantene Leier vinner: E-post i karantene Masseutsendelse Leier vinner: E-post i karantene Leier vinner: Forfalskningshandling i gjeldende policy for anti-phishing Leier vinner: E-post i karantene Leier vinner: E-post i karantene Ikke søppelpost Leier vinner: E-post i karantene Leier vinner: Forfalskningshandling i gjeldende policy for anti-phishing Leier vinner: E-post i karantene Leier vinner: E-post i karantene
Konflikt med bruker- og leierinnstillinger
Tabellen nedenfor beskriver hvordan konflikter løses hvis en e-postmelding påvirkes av både brukerinnstillinger for tillatelse/blokkering og tillatelses-/blokkeringsinnstillinger for leier:
| Type leier-tillatelse/-blokk | Brukerens liste over klarerte avsendere/mottakere | Brukerens liste over blokkerte avsendere |
|---|---|---|
Blokker oppføringer i leierens tillatelses-/blokkeringsliste for:
|
Leier vinner: E-post i karantene | Leier vinner: E-post i karantene |
| Blokkere oppføringer for falske avsendere i leierens tillatelses-/blokkeringsliste | Leier vinner: Forfalskningsintelligenshandling i gjeldende policy for anti-phishing | Leier vinner: Forfalskningsintelligenshandling i gjeldende policy for anti-phishing |
| Avansert leveringspolicy | Brukeren vinner: E-post levert til postboksen | Leier vinner: E-post levert til postboksen |
| Blokkere innstillinger i søppelpostpolicyer | Brukeren vinner: E-post levert til postboksen | Bruker vinner: E-post levert til brukerens Søppelpost-mappe |
| Overtred DMARC-policy | Brukeren vinner: E-post levert til postboksen | Bruker vinner: E-post levert til brukerens Søppelpost-mappe |
| Blokker etter regler for e-postflyt | Brukeren vinner: E-post levert til postboksen | Bruker vinner: E-post levert til brukerens Søppelpost-mappe |
Tillater av:
|
Brukeren vinner: E-post levert til postboksen | Bruker vinner: E-post levert til brukerens Søppelpost-mappe |