Delen via

Volgorde en prioriteit van e-mailbeveiliging

Tip

Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection (EOP)-organisaties zonder Exchange Online postvakken, kan binnenkomende e-mail worden gemarkeerd door meerdere vormen van beveiliging. Bijvoorbeeld anti-adresvervalsingsbeveiliging die beschikbaar is voor alle Microsoft 365-klanten en imitatiebeveiliging die alleen beschikbaar is voor Microsoft Defender voor Office 365-klanten. Berichten passeren ook meerdere detectiescans op malware, spam, phishing, enzovoort. Gezien al deze activiteiten kan er enige verwarring zijn over welk beleid wordt toegepast.

Over het algemeen wordt een beleid dat is toegepast op een bericht geïdentificeerd in de kop X-Forefront-Antispam-Report in de eigenschap CAT (Categorie). Zie Antispam berichtkoppen voor meer informatie.

Er zijn twee belangrijke factoren die bepalen welk beleid wordt toegepast op een bericht:

  • De volgorde van verwerking voor het type e-mailbeveiliging: Deze volgorde kan niet worden geconfigureerd en wordt beschreven in de volgende tabel:

    Bevelen Email-beveiliging Categorie Waar te beheren
    1 Malware CAT:MALW Antimalwarebeleid configureren in EOP
    2 Phishing met hoge waarschijnlijkheid CAT:HPHSH Antispambeleid configureren in EOP
    3 Phishing CAT:PHSH Antispambeleid configureren in EOP
    4 Spam met hoge betrouwbaarheid CAT:HSPM Antispambeleid configureren in EOP
    5 Spoofing CAT:SPOOF Inzicht in adresvervalsingsinformatie in EOP
    6* Gebruikersimitatie (beveiligde gebruikers) CAT:UIMP Antiphishingbeleid configureren in Microsoft Defender voor Office 365
    7* Domeinimitatie (beveiligde domeinen) CAT:DIMP Antiphishingbeleid configureren in Microsoft Defender voor Office 365
    8* Postvakinformatie (grafiek met contactpersonen) CAT:GIMP Antiphishingbeleid configureren in Microsoft Defender voor Office 365
    9 Spam CAT:SPM Antispambeleid configureren in EOP
    10 Bulk CAT:BULK Antispambeleid configureren in EOP

    *Deze functies zijn alleen beschikbaar in antiphishingbeleid in Microsoft Defender voor Office 365.

  • De prioriteitsvolgorde van beleidsregels: de prioriteitsvolgorde van het beleid wordt weergegeven in de volgende lijst:

    1. Het beleid voor antispam, antimalware, antiphishing, veilige koppelingen* en veilige bijlagen* in het vooraf ingestelde beveiligingsbeleid strikt (indien ingeschakeld).

    2. Het beleid voor antispam, antimalware, antiphishing, veilige koppelingen* en veilige bijlagen* in het vooraf ingestelde standaardbeveiligingsbeleid (indien ingeschakeld).

    3. Antiphishing, veilige koppelingen en veilige bijlagen in Defender voor Office 365 evaluatiebeleid (indien ingeschakeld).

    4. Aangepast beleid voor antispam, antimalware, antiphishing, veilige koppelingen* en veilige bijlagen* (indien gemaakt).

      Aangepaste beleidsregels krijgen een standaardprioriteitswaarde toegewezen wanneer u het beleid maakt (nieuwer is gelijk aan hoger), maar u kunt de prioriteitswaarde op elk gewenst moment wijzigen. Deze prioriteitswaarde is van invloed op de volgorde waarin aangepaste beleidsregels van dat type (antispam, antimalware, antiphishing, enzovoort) worden toegepast, maar heeft geen invloed op waar aangepast beleid in de algemene volgorde wordt toegepast.

    5. Van gelijke waarde:

      • Het beleid voor veilige koppelingen en veilige bijlagen in het vooraf ingestelde beveiligingsbeleid* voor ingebouwde beveiliging.
      • Het standaardbeleid voor antimalware, antispam en antiphishing.

      U kunt uitzonderingen configureren voor het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging, maar u kunt geen uitzonderingen configureren voor het standaardbeleid (ze zijn van toepassing op alle geadresseerden en u kunt ze niet uitschakelen).

    *alleen Defender voor Office 365.

    Belangrijk

    De prioriteitsvolgorde is van belang als u dezelfde geadresseerde opzettelijk of onbedoeld hebt opgenomen in meerdere beleidsregels, omdat alleen het eerste beleid van dat type (antispam, antimalware, antiphishing, enzovoort) wordt toegepast op die geadresseerde, ongeacht het aantal andere beleidsregels waarin de geadresseerde is opgenomen. Er is nooit een samenvoeging of combinatie van de instellingen in meerdere beleidsregels voor de ontvanger. De ontvanger wordt niet beïnvloed door de instellingen van het resterende beleid van dat type.

De groep met de naam Contoso Executives is bijvoorbeeld opgenomen in het volgende beleid:

  • Het vooraf ingestelde beveiligingsbeleid strikt
  • Een aangepast antispambeleid met de prioriteitswaarde 0 (hoogste prioriteit)
  • Een aangepast antispambeleid met de prioriteitswaarde 1.

Welke antispambeleidsinstellingen worden toegepast op de leden van Contoso Executives? Het vooraf ingestelde beveiligingsbeleid strikt. De instellingen in het aangepaste antispambeleid worden genegeerd voor de leden van Contoso Executives, omdat het vooraf ingestelde beveiligingsbeleid strikt wordt toegepast.

Een ander voorbeeld is het volgende aangepaste antiphishingbeleid in Microsoft Defender voor Office 365 dat van toepassing is op dezelfde geadresseerden en een bericht dat zowel gebruikersimitatie als adresvervalsing bevat:

Beleidsnaam Priority Gebruikersimitatie Anti-adresvervalsing
Beleid A 1 Aan Uit
Beleid B 2 Uit Aan
  1. Het bericht wordt geïdentificeerd als spoofing, omdat adresvervalsing (5) wordt geëvalueerd vóór imitatie van de gebruiker (6) in de volgorde van verwerking voor het e-mailbeveiligingstype.
  2. Beleid A wordt eerst toegepast, omdat het een hogere prioriteit heeft dan beleid B.
  3. Op basis van de instellingen in Beleid A wordt er geen actie ondernomen op het bericht omdat anti-adresvervalsing is uitgeschakeld.
  4. De verwerking van antiphishingbeleid wordt gestopt voor alle opgenomen geadresseerden, zodat beleid B nooit wordt toegepast op geadresseerden die zich ook in Beleid A bevinden.

Gebruik de volgende richtlijnen voor beleidslidmaatschappen om ervoor te zorgen dat ontvangers de gewenste beveiligingsinstellingen krijgen:

  • Wijs een kleiner aantal gebruikers toe aan beleid met een hogere prioriteit en een groter aantal gebruikers aan beleidsregels met lagere prioriteit. Vergeet niet dat standaardbeleid altijd als laatste wordt toegepast.
  • Configureer beleid met een hogere prioriteit om strengere of meer gespecialiseerde instellingen te hebben dan beleidsregels met een lagere prioriteit. U hebt volledige controle over de instellingen in aangepaste beleidsregels en het standaardbeleid, maar u hebt geen controle over de meeste instellingen in vooraf ingesteld beveiligingsbeleid.
  • Overweeg het gebruik van minder aangepaste beleidsregels (gebruik alleen aangepast beleid voor gebruikers die meer gespecialiseerde instellingen nodig hebben dan het standaard- of strikt vooraf ingestelde beveiligingsbeleid of het standaardbeleid).

Bijlage

Het is belangrijk om te begrijpen hoe gebruikers toestaan en blokken, tenants toestaan en blokken, en filteren stack-uitspraken in EOP en Defender voor Office 365 elkaar aanvullen of tegenspreken.

  • Zie Stapsgewijze bedreigingsbeveiliging in Microsoft Defender voor Office 365 voor meer informatie over het filteren van stacks en hoe ze worden gecombineerd.
  • Nadat de filterstack een oordeel heeft bepaald, worden tenantbeleid en de geconfigureerde acties geëvalueerd.
  • Als hetzelfde e-mailadres of domein voorkomt in de lijst Met veilige afzenders van een gebruiker en de lijst Geblokkeerde afzenders, heeft de lijst Veilige afzenders voorrang.
  • Als dezelfde entiteit (e-mailadres, domein, vervalste verzendinfrastructuur, bestand of URL) bestaat in een toegestane vermelding en een blokvermelding in de lijst Tenant toestaan/blokkeren, heeft de blokvermelding voorrang.

Gebruikers toestaan en blokkeren

Vermeldingen in de verzameling veilige lijsten van een gebruiker (de lijst met veilige afzenders, de lijst met veilige geadresseerden en de lijst geblokkeerde afzenders in elk postvak) kunnen sommige filterstackoorden overschrijven, zoals beschreven in de volgende tabel:

Stack-beoordeling filteren Lijst met veilige afzenders/geadresseerden van de gebruiker Lijst met geblokkeerde afzenders van gebruiker
Malware Filter wint: Email in quarantaine Filter wint: Email in quarantaine
Phishing met hoge waarschijnlijkheid Filter wint: Email in quarantaine Filter wint: Email in quarantaine
Phishing Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker Tenant wint: het toepasselijke antispambeleid bepaalt de actie
Spam met hoge betrouwbaarheid Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker Tenant wint: het toepasselijke antispambeleid bepaalt de actie
Spam Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker Tenant wint: het toepasselijke antispambeleid bepaalt de actie
Bulk Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Geen spam Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
  • In Exchange Online werkt het domein toestaan in de lijst met veilige afzenders mogelijk niet als het bericht in quarantaine is geplaatst volgens een van de volgende voorwaarden:
    • Het bericht wordt geïdentificeerd als malware of phishing met hoge betrouwbaarheid (malware en phishingberichten met hoge betrouwbaarheid worden in quarantaine geplaatst).
    • Acties in antispambeleid zijn geconfigureerd om e-mail in quarantaine te plaatsen in plaats van e-mail te verplaatsen naar de map Ongewenste e-mail Email.
    • Het e-mailadres, de URL of het bestand in het e-mailbericht bevindt zich ook in een blokvermelding in de lijst Tenant toestaan/blokkeren.

Zie Instellingen voor ongewenste e-mail configureren voor Exchange Online postvakken voor meer informatie over het verzamelen van veilige lijsten en antispaminstellingen voor postvakken van gebruikers.

Tenant staat toe en blokkeert

Tenant staat toe en blokken kunnen sommige filterstackbeoordelingen overschrijven, zoals beschreven in de volgende tabellen:

  • Geavanceerd leveringsbeleid (filteren op aangewezen SecOps-postvakken en phishingsimulatie-URL's overslaan):

    Stack-beoordeling filteren Geavanceerd leveringsbeleid toestaan
    Malware Tenant wint: Email bezorgd in postvak
    Phishing met hoge waarschijnlijkheid Tenant wint: Email bezorgd in postvak
    Phishing Tenant wint: Email bezorgd in postvak
    Spam met hoge betrouwbaarheid Tenant wint: Email bezorgd in postvak
    Spam Tenant wint: Email bezorgd in postvak
    Bulk Tenant wint: Email bezorgd in postvak
    Geen spam Tenant wint: Email bezorgd in postvak

  • Exchange-e-mailstroomregels (ook wel transportregels genoemd):

    Stack-beoordeling filteren E-mailstroomregel staat toe* E-mailstroomregelblokken
    Malware Filter wint: Email in quarantaine Filter wint: Email in quarantaine
    Phishing met hoge waarschijnlijkheid Filter wint: Email in quarantaine, behalve in complexe routering Filter wint: Email in quarantaine
    Phishing Tenant wint: Email bezorgd in postvak Tenant wint: phishingactie in het toepasselijke antispambeleid
    Spam met hoge betrouwbaarheid Tenant wint: Email bezorgd in postvak Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker
    Spam Tenant wint: Email bezorgd in postvak Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker
    Bulk Tenant wint: Email bezorgd in postvak Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker
    Geen spam Tenant wint: Email bezorgd in postvak Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker

    * Organisaties die gebruikmaken van een beveiligingsservice of apparaat van derden voor Microsoft 365, moeten overwegen om geverifieerde ontvangen keten (ARC) ( neem contact op met de derde partij voor beschikbaarheid) en verbeterde filtering voor connectors (ook wel bekend als vermelding overslaan) in plaats van een SCL=-1-e-mailstroomregel. Deze verbeterde methoden verminderen problemen met e-mailverificatie en stimuleren diepgaande beveiliging van e-mail .

  • Ip-acceptatielijst en IP-blokkeringslijst in verbindingsfilterbeleid:

    Stack-beoordeling filteren Lijst met toegestane IP-adressen IP-blokkeringslijst
    Malware Filter wint: Email in quarantaine Filter wint: Email in quarantaine
    Phishing met hoge waarschijnlijkheid Filter wint: Email in quarantaine Filter wint: Email in quarantaine
    Phishing Tenant wint: Email bezorgd in postvak Tenant wint: Email op de achtergrond verwijderd
    Spam met hoge betrouwbaarheid Tenant wint: Email bezorgd in postvak Tenant wint: Email op de achtergrond verwijderd
    Spam Tenant wint: Email bezorgd in postvak Tenant wint: Email op de achtergrond verwijderd
    Bulk Tenant wint: Email bezorgd in postvak Tenant wint: Email op de achtergrond verwijderd
    Geen spam Tenant wint: Email bezorgd in postvak Tenant wint: Email op de achtergrond verwijderd

  • Instellingen toestaan en blokkeren in antispambeleid:

    Stack-beoordeling filteren Antispambeleid staat toe Antispambeleidsblokken
    Malware Filter wint: Email in quarantaine Filter wint: Email in quarantaine
    Phishing met hoge waarschijnlijkheid Filter wint: Email in quarantaine Filter wint: Email in quarantaine
    Phishing Tenant wint: Email bezorgd in postvak Tenant wint: phishingactie in het toepasselijke antispambeleid
    Spam met hoge betrouwbaarheid Tenant wint: Email bezorgd in postvak Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker
    Spam Tenant wint: Email bezorgd in postvak Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker
    Bulk Tenant wint: Email bezorgd in postvak Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker
    Geen spam Tenant wint: Email bezorgd in postvak Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker

  • Vermeldingen toestaan in de lijst Tenant toestaan/blokkeren: er zijn twee typen toegestane vermeldingen:

    • Op berichtniveau kunnen vermeldingen op het hele bericht worden uitgevoerd, ongeacht de entiteiten in het bericht. Vermeldingen toestaan voor e-mailadressen en domeinen zijn berichtniveau toegestane vermeldingen.
    • Op entiteitsniveau kunnen vermeldingen reageren op het filteroordeel van entiteiten. Vermeldingen toestaan voor URL's, vervalste afzenders en bestanden zijn toegestane vermeldingen op entiteitsniveau. Als u malware en phishingbeoordelingen met een hoge betrouwbaarheid wilt overschrijven, moet u toegestane vermeldingen op entiteitsniveau gebruiken, die u alleen kunt maken door inzending vanwege standaard beveiligd in Microsoft 365.
    Stack-beoordeling filteren Email adres/domein
    Malware Filter wint: Email in quarantaine
    Phishing met hoge waarschijnlijkheid Filter wint: Email in quarantaine
    Phishing Tenant wint: Email bezorgd in postvak
    Spam met hoge betrouwbaarheid Tenant wint: Email bezorgd in postvak
    Spam Tenant wint: Email bezorgd in postvak
    Bulk Tenant wint: Email bezorgd in postvak
    Geen spam Tenant wint: Email bezorgd in postvak

  • Vermeldingen blokkeren in de lijst Tenant toestaan/blokkeren:

    Stack-beoordeling filteren Email adres/domein Spoof Bestand URL
    Malware Filter wint: Email in quarantaine Filter wint: Email in quarantaine Tenant wint: Email in quarantaine Filter wint: Email in quarantaine
    Phishing met hoge waarschijnlijkheid Tenant wint: Email in quarantaine Filter wint: Email in quarantaine Tenant wint: Email in quarantaine Tenant wint: Email in quarantaine
    Phishing Tenant wint: Email in quarantaine Tenant wint: Spoof-actie in het toepasselijke antiphishingbeleid Tenant wint: Email in quarantaine Tenant wint: Email in quarantaine
    Spam met hoge betrouwbaarheid Tenant wint: Email in quarantaine Tenant wint: Spoof-actie in het toepasselijke antiphishingbeleid Tenant wint: Email in quarantaine Tenant wint: Email in quarantaine
    Spam Tenant wint: Email in quarantaine Tenant wint: Spoof-actie in het toepasselijke antiphishingbeleid Tenant wint: Email in quarantaine Tenant wint: Email in quarantaine
    Bulk Tenant wint: Email in quarantaine Tenant wint: Spoof-actie in het toepasselijke antiphishingbeleid Tenant wint: Email in quarantaine Tenant wint: Email in quarantaine
    Geen spam Tenant wint: Email in quarantaine Tenant wint: Spoof-actie in het toepasselijke antiphishingbeleid Tenant wint: Email in quarantaine Tenant wint: Email in quarantaine

Conflict met gebruikers- en tenantinstellingen

In de volgende tabel wordt beschreven hoe conflicten worden opgelost als een e-mail wordt beïnvloed door zowel de instellingen voor toestaan/blokkeren van de gebruiker als de instellingen voor toestaan/blokkeren van tenants:

Type tenant toestaan/blokkeren Lijst met veilige afzenders/geadresseerden van de gebruiker Lijst met geblokkeerde afzenders van gebruiker
Blokkeer vermeldingen in de lijst Met toestaan/blokkeren van tenants voor:
  • Email adressen en domeinen
  • Bestanden
  • URL's
 Tenant wint: Email in quarantaine Tenant wint: Email in quarantaine
Vermeldingen blokkeren voor vervalste afzenders in de lijst Tenant toestaan/blokkeren Tenant wint: Spoof intelligence-actie in het toepasselijke antiphishingbeleid Tenant wint: Spoof intelligence-actie in het toepasselijke antiphishingbeleid
Geavanceerd leveringsbeleid Gebruiker wint: Email bezorgd in postvak Tenant wint: Email bezorgd in postvak
Instellingen blokkeren in antispambeleid Gebruiker wint: Email bezorgd in postvak Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
DMARC-beleid honoreert Gebruiker wint: Email bezorgd in postvak Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Blokken per e-mailstroomregels Gebruiker wint: Email bezorgd in postvak Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Staat toe door:
  • Regels voor e-mailstroom
  • Lijst met toegestane IP-adressen (verbindingsfilterbeleid)
  • Toegestane afzender en domeinlijst (antispambeleid)
  • Lijst met toegestane/geblokkeerde tenants
 Gebruiker wint: Email bezorgd in postvak Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker