مشاركة عبر

نظرة ثاقبة على المرسلين المجمعين في Exchange Online Protection

ملاحظة

الميزات الموضحة في هذه المقالة موجودة حاليا في المعاينة، وهي غير متوفرة في جميع المؤسسات، وتخضع للتغيير.

في مؤسسات Microsoft 365 التي تحتوي على علب بريد في Exchange Online أو مؤسسات Exchange Online Protection المستقلة (EOP) التي لا تحتوي على علب بريد Exchange Online، تسمح لك نتيجة تحليلات المرسلين المجمعين في مدخل Microsoft Defender برؤية مقدار البريد الإلكتروني الذي تم تحديده على أنه مجمع على مستوى الحد المجمع الحالي في نهج مكافحة البريد العشوائي، ومحاكاة البريد الإلكتروني المجمع المحدد مقابل البريد الإلكتروني المجمع المسموح به استنادا إلى التغييرات في حد المرسل المجمع وجودة المرسل المجمع.

يعين EOP قيمة مستوى الشكوى المجمعة (BCL) للرسائل الواردة من المرسلين المجمعين. تشير قيمة BCL الأعلى إلى أن الرسالة المجمعة من المرجح أن تكون بريدا عشوائيا. يستخدم حد البريد الإلكتروني المجمع في نهج مكافحة البريد العشوائي قيمة BCL محددة لتحديد الرسائل المجمعة واتخاذ إجراء بشأنها. لمزيد من المعلومات حول BCL، راجع مستوى الشكوى المجمعة (BCL) في EOP.

تحتوي نتيجة تحليلات المرسلين المجمعين على الإمكانات التالية:

  • عرض مقدار البريد الذي يتم تعريفه على أنه مجمع على كل مستوى BCL (من 1 إلى 9) لآخر 60 يوما.
  • محاكاة التغييرات على حد البريد الإلكتروني المجمع وعرض النتائج على عدد الرسائل التي سيتم تسليمها مقابل تحديدها على أنها مجمعة من خلال نهج مكافحة البريد العشوائي الافتراضية أو نهج مكافحة البريد العشوائي المخصصة حيث يمكنك تعيين حد BCL. لا يمكنك تعيين حد BCL في نهج الأمان القياسية أو الصارمة المحددة مسبقا.
  • عرض معلومات حول مرسلي الرسائل الذين تأثروا بحد البريد الإلكتروني المجمع، بما في ذلك التصفية استنادا إلى جودة المرسل.

توضح هذه المقالة كيفية استخدام نتيجة تحليلات المرسلين المجمعين في مدخل Microsoft Defender.

ما الذي تحتاج إلى معرفته قبل أن تبدأ؟

  • يمكنك فتح مدخل Microsoft Defender في https://security.microsoft.com. للانتقال مباشرة إلى صفحة نتائج تحليلات المرسلين المجمعين ، استخدم https://security.microsoft.com/senderinsights.

  • قد لا تعمل المحاكاة المجمعة والكشف بشكل صحيح إذا كان سجل MX لمجال Microsoft 365 يشير إلى خدمة أو جهاز تابع لجهة خارجية.

  • يجب تعيين أذونات لك قبل أن تتمكن من تنفيذ الإجراءات الواردة في هذه المقالة. لديك الخيارات التالية:

    • التحكم في الوصول الموحد المستند إلى الدور (RBAC) ل Microsoft Defender XDR (إذا كان البريد الإلكتروني & تعاون> أذوناتDefender ل Office 365نشطا. يؤثر على مدخل Defender فقط، وليس PowerShell): التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (إدارة) أو التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (قراءة).

    • أذونات Exchange Online:

      • إضافة النهج وتعديلها وحذفها: العضوية في مجموعات أدوار إدارة المؤسسة أو مسؤول الأمان .
      • الوصول للقراءة فقط إلى النهج: العضوية في مجموعات أدوار القارئ العمومي أو قارئ الأمان أو إدارة المؤسسة للعرض فقط .

    • أذونات Microsoft Entra: تمنح العضوية في الأدوار التالية المستخدمين الأذونات والأذونات المطلوبة للميزات الأخرى في Microsoft 365:

      • إضافة النهج وتعديلها وحذفها: العضوية في أدوار إدارة* المؤسسة أو مسؤول الأمان .
      • الوصول للقراءة فقط إلى النهج: العضوية في أدوار القارئ العام أو قارئ الأمان .

      هام

      * توصي Microsoft باستخدام الأدوار مع أقل الأذونات. يساعد استخدام الحسابات ذات الأذونات المنخفضة على تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

  • للحصول على الإعدادات الموصى بها لنهج مكافحة البريد العشوائي، راجع إعدادات نهج EOP لمكافحة البريد العشوائي.

تلميح

يتم تجاهل الإعدادات في النهج الافتراضية أو المخصصة لمكافحة البريد العشوائي إذا تم تضمين المستلم أيضا في نهج الأمان القياسية أو الصارمة المحددة مسبقا. لمزيد من المعلومات، راجع ترتيب حماية البريد الإلكتروني وأسبقيته.

تحدد قيمة الحد المجمع في نهج مكافحة البريد العشوائي حد BCL المستخدم لتحديد رسالة كرسالة مجمعة. على سبيل المثال، تعني قيمة الحد المجمع 7 أن الرسائل ذات قيمة BCL 7 أو 8 أو 9 يتم تعريفها على أنها مجمعة. يتم تحديد ما يحدث للرسائل المجمعة بواسطة المستوى المتوافق مع المجمع (BCL) الذي تم استيفاءه أو تجاوزه في نهج مكافحة البريد العشوائي (على سبيل المثال، نقل الرسالة إلى مجلد البريد الإلكتروني غير الهام أو العزل أو حذف الرسالة). للتبسيط، يسمى تحديد الرسالة على أنها مجمعة واتخاذ إجراء بشأنها محظورا في نتيجة تحليلات المرسلين المجمعين.

افتح نظرة المرسلين المجمعة في مدخل Microsoft Defender

تتوفر نتيجة تحليلات المرسلين المجمعين في المواقع التالية:

  • في خصائص نهج مكافحة البريد العشوائي الافتراضي أو نهج مكافحة البريد العشوائي المخصصة:

    1. في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Anti-spam في قسم Policies . أو، للانتقال مباشرة إلى صفحة نهج مكافحة البريد العشوائي ، استخدم https://security.microsoft.com/antispam.

    2. في صفحة نهج مكافحة البريد العشوائي ، حدد نهج مخصص لمكافحة البريد العشوائي (قيمة النوع هي نهج مخصص لمكافحة البريد العشوائي) أو نهج مكافحة البريد العشوائي الافتراضي المسمى نهج مكافحة البريد العشوائي الوارد (افتراضي) بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار بجوار العمود الأول.

    3. في القائمة المنبثقة التفاصيل التي تفتح، حدد تحرير حد البريد العشوائي والخصائص في أسفل حد البريد الإلكتروني المجمع & قسم خصائص البريد العشوائي .

    4. في عتبة البريد العشوائي والخصائص المنبثقة التي تفتح، تحتوي نتيجة تحليلات المرسلين المجمعين على المعلومات التالية حول جميع رسائل البريد الإلكتروني المجمعة التي تم اكتشافها بواسطة جميع نهج مكافحة البريد العشوائي في المؤسسة لآخر 60 يوما:

      • بشكل افتراضي، تظهر نتيجة التحليلات عدد الرسائل المجمعة التي تم حظرها والسماح بها عند حد BCL الحالي:

        يتعمق المرسلون المجمعون في خصائص نهج مكافحة البريد العشوائي الافتراضي بقيمة عتبة BCL الافتراضية.

      • إذا قمت بتقليص قيمة حد BCL لحظر المزيد من البريد الإلكتروني المجمع، تظهر نتيجة التحليلات عدد الرسائل المجمعة التي سيتم حظرها والسماح بها عند حد BCL الجديد:

        يتعمق المرسلون المجمعون في خصائص نهج مكافحة البريد العشوائي الافتراضي مع حد BCL أقل من القيمة الأصلية.

      • إذا قمت بزيادة قيمة حد BCL للسماح بمزيد من البريد الإلكتروني المجمع، تظهر نتيجة التحليلات عدد الرسائل المجمعة التي سيتم حظرها والسماح بها عند حد BCL الجديد:

        يتعمق المرسلون المجمعون في خصائص نهج مكافحة البريد العشوائي الافتراضي مع حد BCL أعلى من القيمة الأصلية.

  • في صفحة Email & collaboration reports and insights :

    1. في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى> قسم >تعاون البريد الإلكتروني & التقارير البريد الإلكتروني & تقارير التعاون ونتائج التحليلات. أو، للانتقال مباشرة إلى صفحة Email & collaboration reports and insights ، استخدم https://security.microsoft.com/emailandcollabreport.

    2. في صفحة Email & collaboration reports and insights ، انتقل إلى قسم Email & collaboration insights وابحث عن نتيجة تحليلات المرسلين المجمعين.

    نظرة ثاقبة للمرسلين المجمعين على صفحة تقارير التعاون & البريد الإلكتروني ونتائج التحليلات في مدخل Microsoft Defender.

لعرض معلومات مفصلة حول عمليات الكشف المجمعة والمرسلين، حدد عرض تفاصيل المرسلين المجمعين أو عرض التفاصيل لفتح صفحة نتائج تحليلات المرسلين المجمعين .

عرض صفحة نتائج تحليلات المرسلين المجمعين

تتوفر صفحة نتائج تحليلات المرسلين المجمعين باستخدام الطرق التالية:

  • مباشرة في https://security.microsoft.com/senderinsights.
  • عند تحديد عرض نظرة ثاقبة للمرسلين المجمعين من حد البريد العشوائي والخصائص المنبثقة في تفاصيل نهج مخصص لمكافحة البريد العشوائي أو نهج مكافحة البريد العشوائي الافتراضي من صفحة نهج مكافحة البريد العشوائي في https://security.microsoft.com/antispam.
  • عند تحديد View details من بطاقة Insight للمرسلين المجمعين في صفحة Email & collaboration reports and insights في https://security.microsoft.com/emailandcollabreport.

صفحة نتائج تحليلات المرسلين المجمعين في مدخل Microsoft Defender.

قبل تشغيل محاكاة، تشير القيم الموجودة في الجدول في منتصف الصفحة إلى القيم التالية:

  • مستوى الشكوى المجمعة (BCL):نطاق قيم BCL المحتملة (من 1 إلى 9).
  • كل البريد الإلكتروني: إجمالي عدد الرسائل التي تم تحديدها في كل قيمة BCL (قد يكون بعضها 0).
  • تم التسليم عند حد BCL الحالي: عدد الرسائل التي تم تسليمها (لم يتم تحديدها على أنها مجمعة) لكل قيمة BCL:
    • إذا كانت قيمة BCL أقل من قيمة حد البريد الإلكتروني المجمع الحالي ، فقد تم تسليم الرسالة (لم يتم تعريفها على أنها مجمعة):
      • يتم التسليم عند حد BCL الحالي وجميع قيم البريد الإلكتروني هي نفسها.
      • تتطابق قيمة التسليم عند حد BCL الحالي مع البريد الإلكتروني الذي تم تسليمه بقيمة التكوين الحالية .
    • إذا كانت قيمة BCL أكبر من قيمة حد البريد الإلكتروني المجمع الحالي أو مساوية لها، فقد تم تحديد الرسالة على أنها مجمعة وتم حظرها.
      • قيمة عتبة BCL الحالية لقيمة BCL هي 0.
      • تتطابق قيمة كل البريد الإلكتروني مع البريد الإلكتروني المحدد بقيمة حد BCL الحالي .
  • تم التسليم عند حد BCL جديد: عدد الرسائل التي لم يتم تعريفها على أنها بريد إلكتروني مجمع بعد تشغيل محاكاة. قبل تشغيل المحاكاة، تكون القيمة بلا معنى.

لتشغيل محاكاة، استخدم العناصر التالية على الصفحة:

  • يعرض شريط تمرير عتبة البريد الإلكتروني المجمع الحالي غير القابل للتعديل قيمة حد BCL الحالية استنادا إلى كيفية وصولك إلى صفحة نتائج تحليلات المرسلين المجمعين :
    • مباشرة: قيمة حد BCL هي 7.
    • من خصائص نهج مكافحة البريد العشوائي: قيمة حد BCL هي القيمة الحالية في نهج مكافحة البريد العشوائي.
  • يسمح لك شريط تمرير عتبة البريد الإلكتروني المجمع الجديد بمحاكاة تأثير زيادة حد BCL وتقليله على الرسائل التي تم تسليمها أو حظرها.
  • يحدد شريط تمرير حد جودة مرسل المحاكاة حدا موثوقا به للمرسل الجيد/السيئ لاستخدامه في محاكاة تحديث BCL. تشير القيمة الأعلى إلى نتائج حد BCL محاكاة استنادا إلى مرسلين أكثر موثوقية. تستند قيمة حد جودة مرسل المحاكاة للمرسلين إلى العوامل التالية:
    • التفاعلات السابقة مع المرسل.
    • تكرار الرسالة من المرسل.
    • ملاحظات المسؤول أو المستخدم على الرسائل الواردة من المرسل.

بعد تحديد حد البريد الإلكتروني المجمع الجديد وقيم حد جودة مرسل المحاكاة ، حدد Simulate:

  • يتم تحديث الصفحة بعدد الرسائل المحظورة مقابل المسموح بها لمستويات عتبة BCL المحاكية الحالية والجديدة.
  • يتم تحديث الجزء السفلي من الصفحة بمعلومات حول المرسلين الذين سيتم تعريفهم على أنهم مجمعون.

عرض معلومات حول المرسلين المجمعين في صفحة نتائج تحليلات المرسلين المجمعين

يحتوي جدول تفاصيل المرسل المجمع في أسفل الصفحة على بيانات حول المرسلين المجمعين الذين تم تحديد رسائلهم على أنها مجمعة.

قد يحتوي الجدول على بيانات المرسل عند فتح صفحة نتائج تحليلات المرسلين المجمعين لأول مرة إذا كانت قيم حد البريد الإلكتروني المجمع الحالي وقيم عتبة جودة مرسل المحاكاة قد أدت بالفعل إلى تعريف البريد الإلكتروني المجمع قبل تشغيل أي عمليات محاكاة.

وإلا، يتم تضمين المرسلين في جدول تفاصيل المرسل استنادا إلى حد البريد الإلكتروني المجمع الحالي وقيم حد جودة مرسل المحاكاة بعد تشغيل المحاكاة.

بالنسبة للإدخالات في جدول تفاصيل المرسل، تتوفر الأعمدة التالية دائما:

  • المرسل: عنوان البريد الإلكتروني للمرسل.
  • قائمة التحكم بالوصول
  • حد جودة مرسل المحاكاة

تعتمد الأعمدة المتبقية في جدول تفاصيل المرسل على العلاقة بين حد البريد الإلكتروني المجمع الحالي وقيم حد البريد الإلكتروني المجمع الجديد بعد تشغيل محاكاة:

  • يساوي حد البريد الإلكتروني المجمع الجديدحد البريد الإلكتروني المجمع الحالي:

    • إيجابية خاطئة محتملة
    • سلبية خاطئة محتملة

    لتصفية النتائج، حدد جميع المرسلين ثم حدد إحدى القيم التالية:

    • إيجابية خاطئة محتملة: يتم عرض المرسلين الذين تكون الإيجابيات الخاطئة المحتملةصحيحة فقط.
    • السلبية الخاطئة المحتملة: يتم عرض المرسلين الذين تكون السلبية الخاطئة المحتملةهي True فقط.

    صفحة نتائج تحليلات المرسلين المجمعين قبل تشغيل محاكاة أو بعد تشغيل محاكاة حيث يساوي حد BCL الجديد حد BCL الحالي.

  • حد البريد الإلكتروني المجمع الجديد أقل من حد البريد الإلكتروني المجمع الحالي:

    • تم حظر مرسل جديد
    • إيجابية خاطئة محتملة

    لتصفية النتائج، حدد جميع المرسلين ثم حدد إحدى القيم التالية:

    • تم حظر مرسل جديد: يتم عرض المرسلين الذين تم حظر مرسل جديد فقط.
    • إيجابية خاطئة محتملة: يتم عرض المرسلين الذين تكون الإيجابيات الخاطئة المحتملةصحيحة فقط.

    صفحة نتائج تحليلات المرسلين المجمعين بعد تشغيل محاكاة حيث يكون حد BCL الجديد أقل من حد BCL الحالي.

  • حد البريد الإلكتروني المجمع الجديد أكبر من حد البريد الإلكتروني المجمع الحالي:

    • مسموح بمرسل جديد
    • سلبية خاطئة محتملة

    لتصفية النتائج، حدد جميع المرسلين ثم حدد إحدى القيم التالية:

    • مرسل جديد مسموح به: يتم عرض المرسلين فقط حيث يسمح للمرسل الجديد هو True .
    • السلبية الخاطئة المحتملة: يتم عرض المرسلين الذين تكون السلبية الخاطئة المحتملةهي True فقط.

    صفحة نتائج تحليلات المرسلين المجمعين بعد تشغيل محاكاة حيث يكون حد BCL الجديد أكبر من حد BCL الحالي.

لتغيير قائمة الإدخالات من التباعد العادي إلى التباعد المضغوط، حدد تغيير تباعد القائمة إلى ضغط أو عادي، ثم حدد ضغط القائمة.

استخدم مربع البحث والقيمة المقابلة للعثور على مرسلين محددين في الجدول.

استخدم تصدير لحفظ قائمة المرسلين المعروضة حاليا إلى ملف CSV. اسم الملف الافتراضي هو نتائج تحليلات المرسل المجمع - Microsoft Defender.csv، والموقع الافتراضي هو مجلد التنزيلات المحلي. إذا كان الملف المصدر موجودا بالفعل في هذا الموقع، يتم زيادة اسم الملف (على سبيل المثال، نتائج تحليلات المرسل المجمع - Microsoft Defender(1).csv).

عرض معلومات مفصلة حول مرسل مجمع في صفحة نتائج تحليلات المرسلين المجمعين

لعرض تفاصيل حول مرسل معين من جدول تفاصيل المرسل في أسفل صفحة نتائج تحليلات المرسلين المجمعين ، انقر فوق أي مكان في الصف بخلاف خانة الاختيار بجوار العمود الأول. تحتوي القائمة المنبثقة تفاصيل المرسل التي يتم فتحها على المعلومات التالية حول المرسل:

  • المرسل: عنوان البريد الإلكتروني للمرسل.
  • الرسائل: عدد الرسائل من المرسل.
  • الرسائل في علبة الوارد: عدد الرسائل من المرسل التي تم تسليمها إلى علب وارد المستخدم.
  • الرسائل في العزل أو البريد الإلكتروني غير الهام: عدد الرسائل من المرسل التي تم تسليمها إلى مجلدات البريد الإلكتروني غير الهام للمستخدم أو المعزولة.
  • إعداد المسؤول: ما إذا كان المرسل مسموحا به أو محظورا بواسطة يسمح الإدارة والكتل الموجودة في القيم الصالحة للسماح/الحظر للمستأجر هي:
    • السماح: يوجد إدخال السماح لمرسل الرسالة.
    • الكتلة: يوجد إدخال كتلة لمرسل الرسالة.
  • الرسائل المسموح بها للمستخدم: عدد الرسائل من المرسل التي تمت إضافتها إلى قائمة المرسلين الآمنين في علب بريد المستخدم.
  • الرسائل المحظورة من قبل المستخدم: عدد الرسائل من المرسل التي تمت إضافتها إلى قائمة المرسلين المحظورين في علب بريد المستخدم.
  • عمليات الإرسال الإيجابية الخاطئة: عدد الرسائل الواردة من المرسل التي تم إرسالها كرسالة بريد جيدة تم حظرها عن طريق الخطأ.
  • عمليات الإرسال السلبية الخاطئة: عدد الرسائل الواردة من المرسل التي تم إرسالها كرسالة بريد غير صحيحة تم تسليمها عن طريق الخطأ.
  • نقل المستخدم من البريد الإلكتروني غير الهام إلى علبة الوارد
  • تم نقل المستخدم من علبة الوارد إلى البريد الإلكتروني غير الهام
  • الرسائل المحذوفة من قبل المستخدم
  • الرسائل المعزولة للمسؤول
  • نقل المسؤول رسائل البريد الإلكتروني من علبة الوارد إلى البريد الإلكتروني غير الهام
  • الرسائل المحذوفة من المسؤول

القائمة المنبثقة تفاصيل المرسل من جدول تفاصيل المرسل في صفحة نتائج تحليلات المرسلين المجمعين.