Ordning och prioritet för e-postskydd
Tips
Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor kan inkommande e-post flaggas av flera former av skydd. Till exempel skydd mot förfalskning som är tillgängligt för alla Microsoft 365-kunder och personifieringsskydd som endast är tillgängligt för Microsoft Defender för Office 365 kunder. Meddelanden passerar också genom flera identifieringsgenomsökningar efter skadlig kod, skräppost, nätfiske osv. Med tanke på all denna aktivitet kan det uppstå viss förvirring om vilken princip som tillämpas.
I allmänhet identifieras en princip som tillämpas på ett meddelande i rubriken X-Forefront-Antispam-Report i egenskapen CAT (Kategori). Mer information finns i Meddelandehuvuden för skräppostskydd.
Det finns två viktiga faktorer som avgör vilken princip som tillämpas på ett meddelande:
Bearbetningsordningen för e-postskyddstypen: Den här ordningen kan inte konfigureras och beskrivs i följande tabell:
Ordning Email skydd Kategori Var du ska hantera 1 Skadlig kod CAT:MALWKonfigurera principer för skydd mot skadlig kod i EOP 2 Nätfiske med hög konfidens CAT:HPHSHKonfigurera principer för skräppostskydd i EOP 3 Fiske CAT:PHSHKonfigurera principer för skräppostskydd i EOP 4 Skräppost med hög konfidens CAT:HSPMKonfigurera principer för skräppostskydd i EOP 5 Kapning CAT:SPOOFInsikter om förfalskningsinformation i EOP 6* Personifiering av användare (skyddade användare) CAT:UIMPKonfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365 7* Domänpersonifiering (skyddade domäner) CAT:DIMPKonfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365 8* Postlådeinformation (kontaktdiagram) CAT:GIMPKonfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365 9 Skräppost CAT:SPMKonfigurera principer för skräppostskydd i EOP 10 Massutskick CAT:BULKKonfigurera principer för skräppostskydd i EOP *Dessa funktioner är endast tillgängliga i principer för skydd mot nätfiske i Microsoft Defender för Office 365.
Prioritetsordningen för principer: Prioritetsordningen för principen visas i följande lista:
Principerna för skräppostskydd, skadlig kod, skydd mot nätfiske, säkra länkar* och säkra bifogade filer* i den strikta förinställda säkerhetsprincipen (när den är aktiverad).
Principerna för skräppostskydd, skadlig kod, skydd mot nätfiske, säkra länkar* och säkra bifogade filer* i standardprincipen för förinställd säkerhet (när den är aktiverad).
Skydd mot nätfiske, säkra länkar och säkra bifogade filer i Defender för Office 365 utvärderingsprinciper (när det är aktiverat).
Anpassade principer för skräppostskydd, skadlig kod, skydd mot nätfiske, säkra länkar* och säkra bifogade filer* (när de skapas).
Anpassade principer tilldelas ett standardprioritetsvärde när du skapar principen (nyare är lika med högre), men du kan ändra prioritetsvärdet när som helst. Det här prioritetsvärdet påverkar ordningen som anpassade principer av den typen (skräppostskydd, skadlig kod, skydd mot nätfiske osv.) tillämpas, men påverkar inte var anpassade principer tillämpas i den övergripande ordningen.
Av samma värde:
- Principerna säkra länkar och säkra bifogade filer i den förinställda säkerhetsprincipen* för inbyggt skydd.
- Standardprinciperna för skydd mot skadlig kod, skräppost och skydd mot nätfiske.
Du kan konfigurera undantag till den förinställda säkerhetsprincipen för inbyggt skydd, men du kan inte konfigurera undantag till standardprinciperna (de gäller för alla mottagare och du kan inte inaktivera dem).
*Defender för Office 365 bara.
Viktigt
Prioritetsordningen är viktig om du avsiktligt eller oavsiktligt har inkluderat samma mottagare i flera principer, eftersom endast den första principen av den typen (skräppostskydd, skadlig kod, skydd mot nätfiske osv.) tillämpas på mottagaren, oavsett hur många andra principer som mottagaren ingår i. Det går aldrig att slå samman eller kombinera inställningarna i flera principer för mottagaren. Mottagaren påverkas inte av inställningarna för återstående principer av den typen.
Gruppen med namnet "Contoso Executives" ingår till exempel i följande principer:
- Den strikta förinställda säkerhetsprincipen
- En anpassad princip för skräppostskydd med prioritetsvärdet 0 (högsta prioritet)
- En anpassad princip för skräppostskydd med prioritetsvärdet 1.
Vilka principinställningar för skräppostskydd tillämpas på medlemmarna i Contosos chefer? Den strikta förinställda säkerhetsprincipen. Inställningarna i de anpassade principerna för skräppostskydd ignoreras för medlemmarna i Contosos chefer, eftersom den strikta förinställda säkerhetsprincipen alltid tillämpas först.
Som ett annat exempel bör du överväga följande anpassade principer för skydd mot nätfiske i Microsoft Defender för Office 365 som gäller för samma mottagare och ett meddelande som innehåller både användarpersonifiering och förfalskning:
| Principnamn | Prioritet | Personifiering av användare | Skydd mot förfalskning |
|---|---|---|---|
| Princip A | 1 | På | Av |
| Princip B | 2 | Av | På |
- Meddelandet identifieras som förfalskning eftersom förfalskning (5) utvärderas före användarpersonifiering (6) i bearbetningsordningen för e-postskyddstypen.
- Princip A tillämpas först eftersom den har högre prioritet än princip B.
- Baserat på inställningarna i Princip A vidtas ingen åtgärd för meddelandet eftersom förfalskningsskydd är inaktiverat.
- Bearbetningen av principer för skydd mot nätfiske stoppas för alla inkluderade mottagare, så princip B tillämpas aldrig på mottagare som också finns i princip A.
Använd följande riktlinjer för principmedlemskap för att se till att mottagarna får de skyddsinställningar som du vill ha:
- Tilldela ett mindre antal användare till principer med högre prioritet och ett större antal användare till principer med lägre prioritet. Kom ihåg att standardprinciper alltid tillämpas sist.
- Konfigurera principer med högre prioritet så att de har striktare eller mer specialiserade inställningar än principer med lägre prioritet. Du har fullständig kontroll över inställningarna i anpassade principer och standardprinciper, men ingen kontroll över de flesta inställningar i förinställda säkerhetsprinciper.
- Överväg att använda färre anpassade principer (använd endast anpassade principer för användare som kräver mer specialiserade inställningar än standard- eller strikt förinställda säkerhetsprinciper eller standardprinciper).
Bilaga
Det är viktigt att förstå hur användare tillåter och blockerar, tillåter och blockerar klientorganisationer samt filtrerar stackutslag i EOP och Defender för Office 365 komplettera eller motsäga varandra.
- Information om filtreringsstackar och hur de kombineras finns i Stegvisa hotskydd i Microsoft Defender för Office 365.
- När filtreringsstacken har fastställt en bedömning utvärderas endast klientorganisationsprinciper och deras konfigurerade åtgärder.
- Om samma e-postadress eller domän finns i en användares lista över betrodda avsändare och listan Blockerade avsändare har listan Betrodda avsändare företräde.
- Om samma entitet (e-postadress, domän, falsk avsändarinfrastruktur, fil eller URL) finns i en tillåten post och en blockpost i listan Tillåt/blockera för klientorganisation prioriteras blockposten.
Användare tillåter och blockerar
Poster i en användares safelist-samling (listan Betrodda avsändare, listan Betrodda mottagare och listan Blockerade avsändare i varje postlåda) kan åsidosätta vissa filtreringsstackutlåtanden enligt beskrivningen i följande tabell:
| Bedömning av filtreringsstack | Användarens lista över betrodda avsändare/mottagare | Användarens lista över blockerade avsändare |
|---|---|---|
| Skadlig kod | Filtret vinner: Email i karantän | Filtret vinner: Email i karantän |
| Nätfiske med hög konfidens | Filtret vinner: Email i karantän | Filtret vinner: Email i karantän |
| Fiske | Användaren vinner: Email levereras till användarens inkorg | Klientorganisationen vinner: Den tillämpliga principen för skräppostskydd avgör åtgärden |
| Skräppost med hög konfidens | Användaren vinner: Email levereras till användarens inkorg | Klientorganisationen vinner: Den tillämpliga principen för skräppostskydd avgör åtgärden |
| Skräppost | Användaren vinner: Email levereras till användarens inkorg | Klientorganisationen vinner: Den tillämpliga principen för skräppostskydd avgör åtgärden |
| Massutskick | Användaren vinner: Email levereras till användarens inkorg | Användaren vinner: Email levereras till användarens skräppostmapp Email |
| Inte skräppost | Användaren vinner: Email levereras till användarens inkorg | Användaren vinner: Email levereras till användarens skräppostmapp Email |
- I Exchange Online kanske domänen som tillåts i listan över betrodda avsändare inte fungerar om meddelandet sätts i karantän på något av följande villkor:
- Meddelandet identifieras som skadlig kod eller nätfiske med hög konfidens (skadlig kod och nätfiskemeddelanden med hög konfidens sätts i karantän).
- Åtgärder i principer för skräppostskydd konfigureras för karantän i stället för att flytta e-post till mappen Skräppost Email.
- E-postadressen, URL:en eller filen i e-postmeddelandet finns också i en blockpost i listan Tillåt/blockera klientorganisation.
Mer information om insamling av säkra listor och inställningar för skräppostskydd i användarpostlådor finns i Konfigurera inställningar för skräppost på Exchange Online postlådor.
Klientorganisation tillåter och blockerar
Klientorganisationen tillåter och block kan åsidosätta vissa filtreringsstackutlåtanden enligt beskrivningen i följande tabeller:
Avancerad leveransprincip (hoppa över filtrering för avsedda SecOps-postlådor och URL:er för nätfiskesimulering):
Bedömning av filtreringsstack Tillåt avancerad leveransprincip Skadlig kod Klientorganisationen vinner: Email levereras till postlådan Nätfiske med hög konfidens Klientorganisationen vinner: Email levereras till postlådan Fiske Klientorganisationen vinner: Email levereras till postlådan Skräppost med hög konfidens Klientorganisationen vinner: Email levereras till postlådan Skräppost Klientorganisationen vinner: Email levereras till postlådan Massutskick Klientorganisationen vinner: Email levereras till postlådan Inte skräppost Klientorganisationen vinner: Email levereras till postlådan Flödesregler för Exchange-e-post (kallas även transportregler):
Bedömning av filtreringsstack E-postflödesregeln tillåter* Regelblock för e-postflöde Skadlig kod Filtret vinner: Email i karantän Filtret vinner: Email i karantän Nätfiske med hög konfidens Filtret vinner: Email i karantän förutom vid komplex routning Filtret vinner: Email i karantän Fiske Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Nätfiskeåtgärd i tillämplig princip för skräppostskydd Skräppost med hög konfidens Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email Skräppost Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email Massutskick Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email Inte skräppost Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email * Organisationer som använder en säkerhetstjänst eller enhet från tredje part framför Microsoft 365 bör överväga att använda autentiserad mottagen kedja (ARC) ( kontakta tredje part för tillgänglighet) och Utökad filtrering för anslutningsappar (kallas även hoppa över lista) i stället för en SCL=-1 e-postflödesregel. Dessa förbättrade metoder minskar problem med e-postautentisering och uppmuntrar skydd av djup e-postsäkerhet .
Lista över tillåtna IP-adresser och IP-blockeringslistor i principer för anslutningsfilter:
Bedömning av filtreringsstack Lista över tillåtna IP-adresser LISTA över IP-blockering Skadlig kod Filtret vinner: Email i karantän Filtret vinner: Email i karantän Nätfiske med hög konfidens Filtret vinner: Email i karantän Filtret vinner: Email i karantän Fiske Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email tyst borttagen Skräppost med hög konfidens Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email tyst borttagen Skräppost Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email tyst borttagen Massutskick Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email tyst borttagen Inte skräppost Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email tyst borttagen Tillåt och blockera inställningar i principer för skräppostskydd:
- Tillåten avsändare och domänlista.
- Spärrad avsändare och domänlista.
- Blockera meddelanden från specifika länder/regioner eller på specifika språk.
- Blockera meddelanden baserat på INSTÄLLNINGAR för avancerat skräppostfilter (ASF).
Bedömning av filtreringsstack Principen för skräppostskydd tillåter Principblock för skräppostskydd Skadlig kod Filtret vinner: Email i karantän Filtret vinner: Email i karantän Nätfiske med hög konfidens Filtret vinner: Email i karantän Filtret vinner: Email i karantän Fiske Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Nätfiskeåtgärd i tillämplig princip för skräppostskydd Skräppost med hög konfidens Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email Skräppost Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email Massutskick Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email Inte skräppost Klientorganisationen vinner: Email levereras till postlådan Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email Tillåt poster i listan Tillåt/blockera klientorganisation: Det finns två typer av tillåtna poster:
- Meddelandenivå tillåter att poster agerar på hela meddelandet, oavsett entiteterna i meddelandet. Tillåt poster för e-postadress och domäner är tillåtna poster på meddelandenivå.
- Entitetsnivå tillåter att poster agerar på filtreringsutfallet för entiteter. Tillåt poster för URL:er, falska avsändare och filer är tillåtna poster på entitetsnivå. Om du vill åsidosätta skadlig kod och nätfiskebedömningar med hög konfidens måste du använda tillåtna poster på entitetsnivå, som du kan skapa genom att skicka endast på grund av Säker som standard i Microsoft 365.
Bedömning av filtreringsstack Email adress/domän Skadlig kod Filtret vinner: Email i karantän Nätfiske med hög konfidens Filtret vinner: Email i karantän Fiske Klientorganisationen vinner: Email levereras till postlådan Skräppost med hög konfidens Klientorganisationen vinner: Email levereras till postlådan Skräppost Klientorganisationen vinner: Email levereras till postlådan Massutskick Klientorganisationen vinner: Email levereras till postlådan Inte skräppost Klientorganisationen vinner: Email levereras till postlådan Blockera poster i listan Tillåt/blockera klientorganisation:
Bedömning av filtreringsstack Email adress/domän Spolat Fil URL Skadlig kod Filtret vinner: Email i karantän Filtret vinner: Email i karantän Klientorganisationen vinner: Email i karantän Filtret vinner: Email i karantän Nätfiske med hög konfidens Klientorganisationen vinner: Email i karantän Filtret vinner: Email i karantän Klientorganisationen vinner: Email i karantän Klientorganisationen vinner: Email i karantän Fiske Klientorganisationen vinner: Email i karantän Klientorganisation vinner: Förfalskningsåtgärd i tillämplig princip för skydd mot nätfiske Klientorganisationen vinner: Email i karantän Klientorganisationen vinner: Email i karantän Skräppost med hög konfidens Klientorganisationen vinner: Email i karantän Klientorganisation vinner: Förfalskningsåtgärd i tillämplig princip för skydd mot nätfiske Klientorganisationen vinner: Email i karantän Klientorganisationen vinner: Email i karantän Skräppost Klientorganisationen vinner: Email i karantän Klientorganisation vinner: Förfalskningsåtgärd i tillämplig princip för skydd mot nätfiske Klientorganisationen vinner: Email i karantän Klientorganisationen vinner: Email i karantän Massutskick Klientorganisationen vinner: Email i karantän Klientorganisation vinner: Förfalskningsåtgärd i tillämplig princip för skydd mot nätfiske Klientorganisationen vinner: Email i karantän Klientorganisationen vinner: Email i karantän Inte skräppost Klientorganisationen vinner: Email i karantän Klientorganisation vinner: Förfalskningsåtgärd i tillämplig princip för skydd mot nätfiske Klientorganisationen vinner: Email i karantän Klientorganisationen vinner: Email i karantän
Konflikt mellan användar- och klientinställningar
I följande tabell beskrivs hur konflikter löses om ett e-postmeddelande påverkas av både inställningar för att tillåta/blockera användare och inställningar för tillåt/blockera klientorganisation:
| Typ av tillåten/blockerad klientorganisation | Användarens lista över betrodda avsändare/mottagare | Användarens lista över blockerade avsändare |
|---|---|---|
Blockera poster i listan Tillåt/blockera klientorganisation för:
|
Klientorganisationen vinner: Email i karantän | Klientorganisationen vinner: Email i karantän |
| Blockera poster för falska avsändare i listan Tillåt/blockera klientorganisation | Klientorganisation vinner: Förfalskningsinformationsåtgärd i tillämplig princip för skydd mot nätfiske | Klientorganisation vinner: Förfalskningsinformationsåtgärd i tillämplig princip för skydd mot nätfiske |
| Avancerad leveransprincip | Användaren vinner: Email levereras till postlådan | Klientorganisationen vinner: Email levereras till postlådan |
| Blockera inställningar i principer för skräppostskydd | Användaren vinner: Email levereras till postlådan | Användaren vinner: Email levereras till användarens skräppostmapp Email |
| Respektera DMARC-princip | Användaren vinner: Email levereras till postlådan | Användaren vinner: Email levereras till användarens skräppostmapp Email |
| Block efter e-postflödesregler | Användaren vinner: Email levereras till postlådan | Användaren vinner: Email levereras till användarens skräppostmapp Email |
Tillåter genom att:
|
Användaren vinner: Email levereras till postlådan | Användaren vinner: Email levereras till användarens skräppostmapp Email |