Kolejność i pierwszeństwo ochrony poczty e-mail
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych przychodzące wiadomości e-mail mogą być oflagowane przez wiele form ochrony. Na przykład ochrona przed fałszowaniem dostępna dla wszystkich klientów platformy Microsoft 365 oraz ochrona przed personifikacją dostępna tylko dla Ochrona usługi Office 365 w usłudze Microsoft Defender klientów. Komunikaty przechodzą również przez wiele skanów wykrywania złośliwego oprogramowania, spamu, wyłudzania informacji itp. Biorąc pod uwagę wszystkie te działania, może wystąpić pewne zamieszanie co do tego, które zasady są stosowane.
Ogólnie rzecz biorąc, zasady stosowane do komunikatu są identyfikowane w nagłówku X-Forefront-Antispam-Report we właściwości CAT (Kategoria ). Aby uzyskać więcej informacji, zobacz Nagłówki wiadomości antyspamowych.
Istnieją dwa główne czynniki, które określają, które zasady są stosowane do komunikatu:
Kolejność przetwarzania dla typu ochrony poczty e-mail: ta kolejność nie jest konfigurowalna i jest opisana w poniższej tabeli:
*Te funkcje są dostępne tylko w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender.
Kolejność priorytetów zasad: kolejność priorytetów zasad jest wyświetlana na następującej liście:
Zasady ochrony przed spamem, ochrony przed złośliwym oprogramowaniem, ochrony przed wyłudzaniem informacji, bezpiecznych linków* i bezpiecznych załączników w ścisłych zasadach* zabezpieczeń wstępnie ustawionych (po włączeniu).
Zasady ochrony przed spamem, ochrony przed złośliwym oprogramowaniem, ochrony przed wyłudzaniem informacji, bezpiecznych linków* i bezpiecznych załączników w standardowych zasadach* zabezpieczeń (po włączeniu).
Ochrona przed wyłudzaniem informacji, bezpieczne linki i bezpieczne załączniki w zasadach oceny Ochrona usługi Office 365 w usłudze Defender (po włączeniu).
Niestandardowe zasady ochrony przed spamem, ochrony przed złośliwym oprogramowaniem, ochrony przed wyłudzaniem informacji, bezpiecznych linków* i bezpiecznych załączników* (po utworzeniu).
Zasady niestandardowe są przypisywane domyślną wartość priorytetu podczas tworzenia zasad (nowsze równa się wyższa), ale można zmienić wartość priorytetu w dowolnym momencie. Ta wartość priorytetu ma wpływ na kolejność stosowania niestandardowych zasad tego typu (antyspamowych, chroniących przed złośliwym oprogramowaniem, chroniących przed wyłudzaniem informacji itp.), ale nie ma wpływu na to, gdzie zasady niestandardowe są stosowane w ogólnej kolejności.
O równej wartości:
- Zasady bezpiecznych linków i bezpiecznych załączników w wstępnie ustawionych zasad* zabezpieczeń wbudowanej ochrony.
- Domyślne zasady ochrony przed złośliwym oprogramowaniem, ochrony przed spamem i ochrony przed wyłudzaniem informacji.
Można skonfigurować wyjątki od wbudowanych zasad zabezpieczeń wstępnie ustawionych zabezpieczeń, ale nie można skonfigurować wyjątków od domyślnych zasad (dotyczą one wszystkich adresatów i nie można ich wyłączyć).
*tylko Ochrona usługi Office 365 w usłudze Defender.
Ważna
Kolejność priorytetów ma znaczenie, jeśli ten sam adresat jest celowo lub przypadkowo uwzględniony w wielu zasadach, ponieważ tylko pierwsze zasady tego typu (antyspamowe, chroniące przed złośliwym oprogramowaniem, chroniące przed wyłudzaniem informacji itp.) są stosowane do tego adresata, niezależnie od liczby innych zasad uwzględnionych przez odbiorcę. Nigdy nie ma scalania ani łączenia ustawień w wielu zasadach dla adresata. Adresat nie ma wpływu na ustawienia pozostałych zasad tego typu.
Na przykład grupa o nazwie "Contoso Executives" jest uwzględniona w następujących zasadach:
- Ścisłe wstępnie ustawione zasady zabezpieczeń
- Niestandardowe zasady ochrony przed spamem o wartości priorytetu 0 (najwyższy priorytet)
- Niestandardowe zasady ochrony przed spamem o wartości priorytetu 1.
Które ustawienia zasad ochrony przed spamem są stosowane do członków kierownictwa firmy Contoso? Ścisłe wstępnie ustawione zasady zabezpieczeń. Ustawienia niestandardowych zasad ochrony przed spamem są ignorowane dla członków kierownictwa firmy Contoso, ponieważ zasady zabezpieczeń Ścisłe ustawienia wstępne są zawsze stosowane jako pierwsze.
W innym przykładzie należy wziąć pod uwagę następujące niestandardowe zasady ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender, które mają zastosowanie do tych samych adresatów, oraz komunikat zawierający zarówno personifikację użytkownika, jak i fałszowanie:
Nazwa zasad | Priority (Priorytet) | Personifikacja użytkownika | Ochrona przed fałszowaniem |
---|---|---|---|
Zasady A | 1 | Włączone | Wyłączony |
Zasady B | 2 | Wyłączony | Włączone |
- Komunikat jest identyfikowany jako fałszowanie, ponieważ fałszowanie (5) jest oceniane przed personifikacją użytkownika (6) w kolejności przetwarzania dla typu ochrony poczty e-mail.
- Zasady A są stosowane jako pierwsze, ponieważ mają wyższy priorytet niż zasady B.
- Na podstawie ustawień w zasadach A nie jest podejmowana żadna akcja dotycząca komunikatu, ponieważ funkcja ochrony przed fałszowaniem jest wyłączona.
- Przetwarzanie zasad ochrony przed wyłudzaniem informacji zatrzymuje się dla wszystkich uwzględnionych adresatów, dlatego zasady B nigdy nie są stosowane do adresatów, którzy również znajdują się w zasadach A.
Aby upewnić się, że adresaci otrzymują żądane ustawienia ochrony, skorzystaj z następujących wytycznych dotyczących członkostwa w zasadach:
- Przypisz mniejszą liczbę użytkowników do zasad o wyższym priorytecie i większą liczbę użytkowników do zasad o niższym priorytecie. Pamiętaj, że zasady domyślne są zawsze stosowane jako ostatnie.
- Skonfiguruj zasady o wyższym priorytecie, aby miały bardziej rygorystyczne lub bardziej wyspecjalizowane ustawienia niż zasady o niższym priorytecie. Masz pełną kontrolę nad ustawieniami w zasadach niestandardowych i zasadach domyślnych, ale nie masz kontroli nad większością ustawień w wstępnie ustawionych zasadach zabezpieczeń.
- Rozważ użycie mniejszej liczby zasad niestandardowych (użyj zasad niestandardowych tylko dla użytkowników, którzy wymagają bardziej wyspecjalizowanych ustawień niż standardowe lub ścisłe wstępnie ustawione zasady zabezpieczeń lub zasady domyślne).
Dodatek
Ważne jest, aby zrozumieć, w jaki sposób użytkownik zezwala i blokuje, dzierżawcy zezwalają i blokują oraz filtrują werdykty stosu w ramach EOP i Ochrona usługi Office 365 w usłudze Defender wzajemnie się uzupełniają lub są ze sobą sprzeczne.
- Aby uzyskać informacje na temat filtrowania stosów i sposobu ich łączenia, zobacz Krok po kroku ochrona przed zagrożeniami w Ochrona usługi Office 365 w usłudze Microsoft Defender.
- Gdy stos filtrowania określi werdykt, dopiero wtedy zostaną ocenione zasady dzierżawy i ich skonfigurowane akcje.
- Jeśli ten sam adres e-mail lub domena istnieje na liście bezpiecznych nadawców użytkownika i na liście zablokowanych nadawców, pierwszeństwo ma lista Bezpiecznych nadawców.
- Jeśli ta sama jednostka (adres e-mail, domena, sfałszowana infrastruktura wysyłania, plik lub adres URL) istnieje w wpisie zezwalającym i wpisie bloku na liście dozwolonych/zablokowanych dzierżaw, pierwszeństwo ma wpis bloku.
Użytkownik zezwala i blokuje
Wpisy w kolekcji listy bezpiecznych użytkowników (lista Bezpiecznych nadawców, Lista bezpiecznych adresatów i Lista zablokowanych nadawców w każdej skrzynce pocztowej) mogą zastąpić niektóre werdykty stosu filtrowania zgodnie z opisem w poniższej tabeli:
Werdykt dotyczący filtrowania stosu | Lista bezpiecznych nadawców/adresatów użytkownika | Lista zablokowanych nadawców użytkownika |
---|---|---|
Złośliwe oprogramowanie | Wygrane filtrów: Email poddane kwarantannie | Wygrane filtrów: Email poddane kwarantannie |
Wyłudzanie informacji o dużej pewności | Wygrane filtrów: Email poddane kwarantannie | Wygrane filtrów: Email poddane kwarantannie |
Wyłudzanie informacji | Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika | Dzierżawa wygrywa: odpowiednie zasady ochrony przed spamem określają akcję |
Spam o wysokim poziomie ufności | Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika | Dzierżawa wygrywa: odpowiednie zasady ochrony przed spamem określają akcję |
Spam | Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika | Dzierżawa wygrywa: odpowiednie zasady ochrony przed spamem określają akcję |
Wielkość | Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
Nie spam | Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
- W Exchange Online domena dozwolona na liście bezpiecznego nadawcy może nie działać, jeśli komunikat zostanie poddany kwarantannie przez dowolne z następujących warunków:
- Komunikat jest identyfikowany jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania (złośliwe oprogramowanie i wiadomości wyłudzające informacje o wysokim poziomie zaufania są poddawane kwarantannie).
- Akcje w zasadach ochrony przed spamem są konfigurowane do kwarantanny zamiast przenoszenia poczty do folderu Junk Email.
- Adres e-mail, adres URL lub plik w wiadomości e-mail znajduje się również w wpisie bloku na liście dozwolonych/zablokowanych dzierżaw.
Aby uzyskać więcej informacji na temat ustawień zbierania bezpiecznych list i ochrony przed spamem w skrzynkach pocztowych użytkowników, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych.
Dzierżawa zezwala i blokuje
Dzierżawa zezwala, a bloki mogą zastąpić niektóre werdykty stosu filtrowania zgodnie z opisem w następujących tabelach:
Zaawansowane zasady dostarczania (pomijanie filtrowania dla wyznaczonych skrzynek pocztowych Usługi SecOps i adresów URL symulacji wyłudzania informacji):
Werdykt dotyczący filtrowania stosu Zezwalaj na zaawansowane zasady dostarczania Złośliwe oprogramowanie Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wyłudzanie informacji o dużej pewności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wielkość Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Reguły przepływu poczty programu Exchange (nazywane również regułami transportu):
Werdykt dotyczący filtrowania stosu Reguła przepływu poczty umożliwia* Bloki reguł przepływu poczty Złośliwe oprogramowanie Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie z wyjątkiem złożonego routingu Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: akcja wyłudzania informacji w odpowiednich zasadach ochrony przed spamem Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Wielkość Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika * Organizacje korzystające z usługi zabezpieczeń lub urządzenia innej firmy przed platformą Microsoft 365 powinny rozważyć użycie uwierzytelniania odebranego łańcucha (ARC) (skontaktuj się z inną firmą w celu uzyskania dostępności) i rozszerzonego filtrowania łączników (znanego również jako pomijanie listy) zamiast reguły przepływu poczty SCL=-1. Te ulepszone metody zmniejszają problemy z uwierzytelnianiem poczty e-mail i zachęcają do ochrony przed zabezpieczeniami poczty e-mail .
Lista dozwolonych adresów IP i lista zablokowanych adresów IP w zasadach filtrowania połączeń:
Werdykt dotyczący filtrowania stosu Lista dozwolonych adresów IP Lista bloków adresów IP Złośliwe oprogramowanie Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym Wielkość Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym Zezwalaj i blokuj ustawienia w zasadach ochrony przed spamem:
- Lista dozwolonych nadawców i domen.
- Zablokowany nadawca i lista domen.
- Blokuj komunikaty z określonych krajów/regionów lub w określonych językach.
- Blokuj wiadomości na podstawie ustawień zaawansowanego filtru spamu (ASF).
Werdykt dotyczący filtrowania stosu Zasady ochrony przed spamem umożliwiają Bloki zasad ochrony przed spamem Złośliwe oprogramowanie Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: akcja wyłudzania informacji w odpowiednich zasadach ochrony przed spamem Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Wielkość Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Zezwalaj na wpisy na liście dozwolonych/zablokowanych dzierżaw: istnieją dwa typy wpisów dozwolonych:
- Poziom komunikatu zezwala na działanie wpisów w całej wiadomości, niezależnie od jednostek w komunikacie. Zezwalaj na wpisy dla adresów e-mail i domen są wpisami dozwolonymi na poziomie wiadomości.
- Poziom jednostki zezwala na wpisy działają na podstawie werdyktu filtrowania jednostek. Zezwalaj na wpisy dla adresów URL, sfałszowanych nadawców i plików są wpisami dozwolonymi na poziomie jednostki. Aby zastąpić złośliwe oprogramowanie i werdykty dotyczące wyłudzania informacji o wysokim poziomie zaufania, musisz użyć pozycji dozwolonych na poziomie jednostki, które można utworzyć, przesyłając tylko z powodu domyślnego zabezpieczenia na platformie Microsoft 365.
Werdykt dotyczący filtrowania stosu adres/domena Email Złośliwe oprogramowanie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wielkość Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw:
Werdykt dotyczący filtrowania stosu adres/domena Email Naciąganie Plik URL Złośliwe oprogramowanie Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji o dużej pewności Dzierżawa wygrywa: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Wyłudzanie informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Spam o wysokim poziomie ufności Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Spam Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Wielkość Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Nie spam Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie
Konflikt ustawień użytkownika i dzierżawy
W poniższej tabeli opisano sposób rozwiązywania konfliktów, jeśli na wiadomość e-mail mają wpływ zarówno ustawienia zezwalania/blokowania użytkownika, jak i ustawienia zezwalania/blokowania dzierżawy:
Typ zezwalania/blokowania dzierżawy | Lista bezpiecznych nadawców/adresatów użytkownika | Lista zablokowanych nadawców użytkownika |
---|---|---|
Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw dla:
|
Dzierżawa wygrywa: Email poddane kwarantannie | Dzierżawa wygrywa: Email poddane kwarantannie |
Blokuj wpisy dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw | Dzierżawa wygrywa: sfałszowanie akcji wywiadowczej w odpowiednich zasadach ochrony przed wyłudzaniem informacji | Dzierżawa wygrywa: sfałszowanie akcji wywiadowczej w odpowiednich zasadach ochrony przed wyłudzaniem informacji |
Zaawansowane zasady dostarczania | Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej | Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej |
Blokuj ustawienia w zasadach ochrony przed spamem | Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
HonorUj zasady DMARC | Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
Bloki według reguł przepływu poczty | Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
Zezwala przez:
|
Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |