Udostępnij za pośrednictwem


Kolejność i pierwszeństwo ochrony poczty e-mail

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych przychodzące wiadomości e-mail mogą być oflagowane przez wiele form ochrony. Na przykład ochrona przed fałszowaniem dostępna dla wszystkich klientów platformy Microsoft 365 oraz ochrona przed personifikacją dostępna tylko dla Ochrona usługi Office 365 w usłudze Microsoft Defender klientów. Komunikaty przechodzą również przez wiele skanów wykrywania złośliwego oprogramowania, spamu, wyłudzania informacji itp. Biorąc pod uwagę wszystkie te działania, może wystąpić pewne zamieszanie co do tego, które zasady są stosowane.

Ogólnie rzecz biorąc, zasady stosowane do komunikatu są identyfikowane w nagłówku X-Forefront-Antispam-Report we właściwości CAT (Kategoria ). Aby uzyskać więcej informacji, zobacz Nagłówki wiadomości antyspamowych.

Istnieją dwa główne czynniki, które określają, które zasady są stosowane do komunikatu:

Na przykład grupa o nazwie "Contoso Executives" jest uwzględniona w następujących zasadach:

  • Ścisłe wstępnie ustawione zasady zabezpieczeń
  • Niestandardowe zasady ochrony przed spamem o wartości priorytetu 0 (najwyższy priorytet)
  • Niestandardowe zasady ochrony przed spamem o wartości priorytetu 1.

Które ustawienia zasad ochrony przed spamem są stosowane do członków kierownictwa firmy Contoso? Ścisłe wstępnie ustawione zasady zabezpieczeń. Ustawienia niestandardowych zasad ochrony przed spamem są ignorowane dla członków kierownictwa firmy Contoso, ponieważ zasady zabezpieczeń Ścisłe ustawienia wstępne są zawsze stosowane jako pierwsze.

W innym przykładzie należy wziąć pod uwagę następujące niestandardowe zasady ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender, które mają zastosowanie do tych samych adresatów, oraz komunikat zawierający zarówno personifikację użytkownika, jak i fałszowanie:

Nazwa zasad Priority (Priorytet) Personifikacja użytkownika Ochrona przed fałszowaniem
Zasady A 1 Włączone Wyłączony
Zasady B 2 Wyłączony Włączone
  1. Komunikat jest identyfikowany jako fałszowanie, ponieważ fałszowanie (5) jest oceniane przed personifikacją użytkownika (6) w kolejności przetwarzania dla typu ochrony poczty e-mail.
  2. Zasady A są stosowane jako pierwsze, ponieważ mają wyższy priorytet niż zasady B.
  3. Na podstawie ustawień w zasadach A nie jest podejmowana żadna akcja dotycząca komunikatu, ponieważ funkcja ochrony przed fałszowaniem jest wyłączona.
  4. Przetwarzanie zasad ochrony przed wyłudzaniem informacji zatrzymuje się dla wszystkich uwzględnionych adresatów, dlatego zasady B nigdy nie są stosowane do adresatów, którzy również znajdują się w zasadach A.

Aby upewnić się, że adresaci otrzymują żądane ustawienia ochrony, skorzystaj z następujących wytycznych dotyczących członkostwa w zasadach:

  • Przypisz mniejszą liczbę użytkowników do zasad o wyższym priorytecie i większą liczbę użytkowników do zasad o niższym priorytecie. Pamiętaj, że zasady domyślne są zawsze stosowane jako ostatnie.
  • Skonfiguruj zasady o wyższym priorytecie, aby miały bardziej rygorystyczne lub bardziej wyspecjalizowane ustawienia niż zasady o niższym priorytecie. Masz pełną kontrolę nad ustawieniami w zasadach niestandardowych i zasadach domyślnych, ale nie masz kontroli nad większością ustawień w wstępnie ustawionych zasadach zabezpieczeń.
  • Rozważ użycie mniejszej liczby zasad niestandardowych (użyj zasad niestandardowych tylko dla użytkowników, którzy wymagają bardziej wyspecjalizowanych ustawień niż standardowe lub ścisłe wstępnie ustawione zasady zabezpieczeń lub zasady domyślne).

Dodatek

Ważne jest, aby zrozumieć, w jaki sposób użytkownik zezwala i blokuje, dzierżawcy zezwalają i blokują oraz filtrują werdykty stosu w ramach EOP i Ochrona usługi Office 365 w usłudze Defender wzajemnie się uzupełniają lub są ze sobą sprzeczne.

  • Aby uzyskać informacje na temat filtrowania stosów i sposobu ich łączenia, zobacz Krok po kroku ochrona przed zagrożeniami w Ochrona usługi Office 365 w usłudze Microsoft Defender.
  • Gdy stos filtrowania określi werdykt, dopiero wtedy zostaną ocenione zasady dzierżawy i ich skonfigurowane akcje.
  • Jeśli ten sam adres e-mail lub domena istnieje na liście bezpiecznych nadawców użytkownika i na liście zablokowanych nadawców, pierwszeństwo ma lista Bezpiecznych nadawców.
  • Jeśli ta sama jednostka (adres e-mail, domena, sfałszowana infrastruktura wysyłania, plik lub adres URL) istnieje w wpisie zezwalającym i wpisie bloku na liście dozwolonych/zablokowanych dzierżaw, pierwszeństwo ma wpis bloku.

Użytkownik zezwala i blokuje

Wpisy w kolekcji listy bezpiecznych użytkowników (lista Bezpiecznych nadawców, Lista bezpiecznych adresatów i Lista zablokowanych nadawców w każdej skrzynce pocztowej) mogą zastąpić niektóre werdykty stosu filtrowania zgodnie z opisem w poniższej tabeli:

Werdykt dotyczący filtrowania stosu Lista bezpiecznych nadawców/adresatów użytkownika Lista zablokowanych nadawców użytkownika
Złośliwe oprogramowanie Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika Dzierżawa wygrywa: odpowiednie zasady ochrony przed spamem określają akcję
Spam o wysokim poziomie ufności Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika Dzierżawa wygrywa: odpowiednie zasady ochrony przed spamem określają akcję
Spam Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika Dzierżawa wygrywa: odpowiednie zasady ochrony przed spamem określają akcję
Wielkość Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Nie spam Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
  • W Exchange Online domena dozwolona na liście bezpiecznego nadawcy może nie działać, jeśli komunikat zostanie poddany kwarantannie przez dowolne z następujących warunków:
    • Komunikat jest identyfikowany jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania (złośliwe oprogramowanie i wiadomości wyłudzające informacje o wysokim poziomie zaufania są poddawane kwarantannie).
    • Akcje w zasadach ochrony przed spamem są konfigurowane do kwarantanny zamiast przenoszenia poczty do folderu Junk Email.
    • Adres e-mail, adres URL lub plik w wiadomości e-mail znajduje się również w wpisie bloku na liście dozwolonych/zablokowanych dzierżaw.

Aby uzyskać więcej informacji na temat ustawień zbierania bezpiecznych list i ochrony przed spamem w skrzynkach pocztowych użytkowników, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych.

Dzierżawa zezwala i blokuje

Dzierżawa zezwala, a bloki mogą zastąpić niektóre werdykty stosu filtrowania zgodnie z opisem w następujących tabelach:

  • Zaawansowane zasady dostarczania (pomijanie filtrowania dla wyznaczonych skrzynek pocztowych Usługi SecOps i adresów URL symulacji wyłudzania informacji):

    Werdykt dotyczący filtrowania stosu Zezwalaj na zaawansowane zasady dostarczania
    Złośliwe oprogramowanie Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
    Wyłudzanie informacji o dużej pewności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
    Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
    Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
    Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
    Wielkość Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
    Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
  • Reguły przepływu poczty programu Exchange (nazywane również regułami transportu):

    Werdykt dotyczący filtrowania stosu Reguła przepływu poczty umożliwia* Bloki reguł przepływu poczty
    Złośliwe oprogramowanie Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie
    Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie z wyjątkiem złożonego routingu Wygrane filtrów: Email poddane kwarantannie
    Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: akcja wyłudzania informacji w odpowiednich zasadach ochrony przed spamem
    Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
    Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
    Wielkość Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
    Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika

    * Organizacje korzystające z usługi zabezpieczeń lub urządzenia innej firmy przed platformą Microsoft 365 powinny rozważyć użycie uwierzytelniania odebranego łańcucha (ARC) (skontaktuj się z inną firmą w celu uzyskania dostępności) i rozszerzonego filtrowania łączników (znanego również jako pomijanie listy) zamiast reguły przepływu poczty SCL=-1. Te ulepszone metody zmniejszają problemy z uwierzytelnianiem poczty e-mail i zachęcają do ochrony przed zabezpieczeniami poczty e-mail .

  • Lista dozwolonych adresów IP i lista zablokowanych adresów IP w zasadach filtrowania połączeń:

    Werdykt dotyczący filtrowania stosu Lista dozwolonych adresów IP Lista bloków adresów IP
    Złośliwe oprogramowanie Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie
    Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie
    Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym
    Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym
    Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym
    Wielkość Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym
    Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym
  • Zezwalaj i blokuj ustawienia w zasadach ochrony przed spamem:

    • Lista dozwolonych nadawców i domen.
    • Zablokowany nadawca i lista domen.
    • Blokuj komunikaty z określonych krajów/regionów lub w określonych językach.
    • Blokuj wiadomości na podstawie ustawień zaawansowanego filtru spamu (ASF).
    Werdykt dotyczący filtrowania stosu Zasady ochrony przed spamem umożliwiają Bloki zasad ochrony przed spamem
    Złośliwe oprogramowanie Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie
    Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie
    Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: akcja wyłudzania informacji w odpowiednich zasadach ochrony przed spamem
    Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
    Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
    Wielkość Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
    Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
  • Zezwalaj na wpisy na liście dozwolonych/zablokowanych dzierżaw: istnieją dwa typy wpisów dozwolonych:

    • Poziom komunikatu zezwala na działanie wpisów w całej wiadomości, niezależnie od jednostek w komunikacie. Zezwalaj na wpisy dla adresów e-mail i domen są wpisami dozwolonymi na poziomie wiadomości.
    • Poziom jednostki zezwala na wpisy działają na podstawie werdyktu filtrowania jednostek. Zezwalaj na wpisy dla adresów URL, sfałszowanych nadawców i plików są wpisami dozwolonymi na poziomie jednostki. Aby zastąpić złośliwe oprogramowanie i werdykty dotyczące wyłudzania informacji o wysokim poziomie zaufania, musisz użyć pozycji dozwolonych na poziomie jednostki, które można utworzyć, przesyłając tylko z powodu domyślnego zabezpieczenia na platformie Microsoft 365.
    Werdykt dotyczący filtrowania stosu adres/domena Email
    Złośliwe oprogramowanie Wygrane filtrów: Email poddane kwarantannie
    Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie
    Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
    Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
    Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
    Wielkość Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
    Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
  • Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw:

    Werdykt dotyczący filtrowania stosu adres/domena Email Naciąganie Plik URL
    Złośliwe oprogramowanie Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie
    Wyłudzanie informacji o dużej pewności Dzierżawa wygrywa: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie
    Wyłudzanie informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie
    Spam o wysokim poziomie ufności Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie
    Spam Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie
    Wielkość Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie
    Nie spam Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie

Konflikt ustawień użytkownika i dzierżawy

W poniższej tabeli opisano sposób rozwiązywania konfliktów, jeśli na wiadomość e-mail mają wpływ zarówno ustawienia zezwalania/blokowania użytkownika, jak i ustawienia zezwalania/blokowania dzierżawy:

Typ zezwalania/blokowania dzierżawy Lista bezpiecznych nadawców/adresatów użytkownika Lista zablokowanych nadawców użytkownika
Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw dla:
  • adresy i domeny Email
  • Pliki
  • Adresy URL
Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie
Blokuj wpisy dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw Dzierżawa wygrywa: sfałszowanie akcji wywiadowczej w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: sfałszowanie akcji wywiadowczej w odpowiednich zasadach ochrony przed wyłudzaniem informacji
Zaawansowane zasady dostarczania Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
Blokuj ustawienia w zasadach ochrony przed spamem Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
HonorUj zasady DMARC Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Bloki według reguł przepływu poczty Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Zezwala przez:
  • Reguły przepływu poczty
  • Lista dozwolonych adresów IP (zasady filtrowania połączeń)
  • Lista dozwolonych nadawców i domen (zasady ochrony przed spamem)
  • Lista dozwolonych/zablokowanych dzierżaw
Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika