إنشاء قوائم مرسلين آمنة في EOP

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

إذا كنت عميل Microsoft 365 مع علب بريد في Exchange Online أو عميل Exchange Online Protection مستقل (EOP) دون Exchange Online علب البريد، فإن EOP يقدم طرقا متعددة لضمان تلقي المستخدمين للبريد الإلكتروني من المرسلين الموثوق بهم. بشكل جماعي، يمكنك التفكير في هذه الخيارات كقوائم مرسلين آمنة.

تحتوي القائمة التالية على الطرق المتوفرة للسماح للمرسلين في EOP من الأكثر موصى به إلى الأقل موصى به:

1. السماح بإدخالات المجالات وعناوين البريد الإلكتروني (بما في ذلك المرسلون الذين تم تزييف هوياتهم) في قائمة السماح/الحظر للمستأجر.
2. قواعد تدفق بريد Exchange (المعروفة أيضا باسم قواعد النقل).
3. المرسلون الموثوقون في Outlook (قائمة المرسلين الموثوقين في كل علبة بريد تؤثر على علبة البريد هذه فقط).
4. قائمة السماح ب IP (تصفية الاتصال)
5. قوائم المرسلين المسموح بها أو قوائم المجال المسموح بها (نهج مكافحة البريد العشوائي)

تحتوي بقية هذه المقالة على تفاصيل حول كل أسلوب.

هام

يتم دائما عزل الرسائل التي يتم تعريفها على أنها برامج ضارة^* أو تصيد احتيالي عالي الثقة، بغض النظر عن خيار قائمة المرسل الآمن الذي تستخدمه. لمزيد من المعلومات، راجع تأمين بشكل افتراضي في Office 365.

^* يتم تخطي تصفية البرامج الضارة على علب بريد SecOps التي تم تحديدها في نهج التسليم المتقدم. لمزيد من المعلومات، راجع تكوين نهج التسليم المتقدم لمحاكاة التصيد الاحتيالي من جهة خارجية وتسليم البريد الإلكتروني إلى علب بريد SecOps.

كن حذرا لمراقبة أي استثناءات تجريها عن كثب لتصفية البريد العشوائي باستخدام قوائم المرسلين الآمنة.

أرسل دائما الرسائل في قوائم المرسلين الآمنة إلى Microsoft للتحليل. للحصول على الإرشادات، راجع الإبلاغ عن بريد إلكتروني جيد إلى Microsoft. إذا تم تحديد أن الرسائل أو مصادر الرسائل حميدة، فيمكن ل Microsoft السماح بالرسائل تلقائيا، ولن تحتاج إلى الاحتفاظ بالإدخال يدويا في قوائم المرسلين الآمنة.

بدلا من السماح بالبريد الإلكتروني، لديك أيضا العديد من الخيارات لحظر البريد الإلكتروني من مصادر معينة باستخدام قوائم المرسلين المحظورة. لمزيد من المعلومات، راجع إنشاء قوائم مرسلي الحظر في EOP.

استخدام إدخالات السماح في قائمة السماح/الحظر للمستأجر

الخيار رقم واحد الموصى به للسماح بالبريد من المرسلين أو المجالات هو قائمة السماح/الحظر للمستأجر. للحصول على الإرشادات، راجع إنشاء إدخالات السماح للمجالات وعناوين البريد الإلكترونيوإنشاء إدخالات السماح للمرسلين الذين تم تزييف هوياتهم.

فقط إذا لم تتمكن من استخدام قائمة السماح/الحظر للمستأجر لسبب ما، يجب أن تفكر في استخدام طريقة مختلفة للسماح للمرسلين.

استخدام قواعد تدفق البريد

ملاحظة

لا يمكنك استخدام رؤوس الرسائل وقواعد تدفق البريد لتعيين مرسل داخلي كمرسل آمن. تعمل الإجراءات الواردة في هذا القسم مع المرسلين الخارجيين فقط.

تستخدم قواعد تدفق البريد في Exchange Online وEOP المستقل الشروط والاستثناءات لتحديد الرسائل والإجراءات لتحديد ما يجب القيام به لتلك الرسائل. لمزيد من المعلومات، راجع قواعد تدفق البريد (قواعد النقل) في Exchange Online.

يفترض المثال التالي أنك بحاجة إلى بريد إلكتروني من contoso.com لتخطي تصفية البريد العشوائي. تكوين الإعدادات التالية:

1. تطبيق هذه القاعدة إذا (شرط):مجال>المرسل> contoso.com.

2. تكوين أي من الإعدادات التالية:

   • تطبيق هذه القاعدة إذا ( شرط إضافي): تتضمن رؤوس الرسائل>أيا من هذه الكلمات:

     • أدخل نصا (اسم الرأس): Authentication-Results
     • أدخل الكلمات (قيمة الرأس): dmarc=pass أو dmarc=bestguesspass (أضف كلتا القيمتين).

     يتحقق هذا الشرط من حالة مصادقة البريد الإلكتروني لمجال إرسال البريد الإلكتروني للتأكد من عدم تزييف مجال الإرسال. لمزيد من المعلومات حول مصادقة البريد الإلكتروني، راجع مصادقة البريد الإلكتروني في Microsoft 365.

   • قائمة السماح ب IP: حدد عنوان IP المصدر أو نطاق العنوان في نهج عامل تصفية الاتصال. للحصول على الإرشادات، راجع تكوين تصفية الاتصال.

     استخدم هذا الإعداد إذا لم يستخدم مجال الإرسال مصادقة البريد الإلكتروني. كن مقيدا قدر الإمكان عندما يتعلق الأمر بعناوين IP المصدر في قائمة السماح ب IP. نوصي نطاق عنوان IP من /24 أو أقل (أقل هو الأفضل). لا تستخدم نطاقات عناوين IP التي تنتمي إلى خدمات المستهلك (على سبيل المثال، outlook.com) أو البنى الأساسية المشتركة.

   هام

   • لا تقم أبدا بتكوين قواعد تدفق البريد مع مجال المرسل فقط كشرط لتخطي تصفية البريد العشوائي. سيؤدي القيام بذلك إلى زيادة احتمالية أن يتمكن المهاجمون من انتحال مجال الإرسال (أو انتحال هوية عنوان البريد الإلكتروني الكامل)، وتخطي جميع تصفية البريد العشوائي، وتخطي عمليات التحقق من مصادقة المرسل حتى تصل الرسالة إلى علبة الوارد الخاصة بالمستلم.

   • لا تستخدم المجالات التي تملكها (المعروفة أيضا باسم المجالات المقبولة) أو المجالات الشائعة (على سبيل المثال، microsoft.com) كشروط في قواعد تدفق البريد لأنها تخلق فرصا للمهاجمين لإرسال البريد الإلكتروني الذي سيتم تصفيته بخلاف ذلك.

   • إذا سمحت بعنوان IP خلف بوابة ترجمة عنوان الشبكة (NAT)، فستحتاج إلى معرفة الخوادم المشاركة في تجمع NAT. يمكن تغيير عناوين IP والمشاركين في NAT. تحتاج إلى التحقق بشكل دوري من إدخالات قائمة السماح ب IP كجزء من إجراءات الصيانة القياسية.

3. الشروط الاختيارية:

   • المرسل>داخلي/خارجي>خارج المؤسسة: هذا الشرط ضمني، ولكن لا بأس من استخدامه لحساب خوادم البريد الإلكتروني المحلية التي قد لا يتم تكوينها بشكل صحيح.
   • الموضوع أو النص الأساسي>يتضمن الموضوع أو النص أي من هذه الكلمات><>الكلمات الأساسية: إذا كان بإمكانك تقييد الرسائل بشكل أكبر حسب الكلمات الأساسية أو العبارات في سطر الموضوع أو نص الرسالة، يمكنك استخدام هذه الكلمات كشرط.

4. قم بما يلي (الإجراءات): تكوين كلا الإجراءين التاليين في القاعدة:

   1. تعديل خصائص> الرسالةتعيين مستوى ثقة البريد العشوائي (SCL)>تجاوز تصفية البريد العشوائي.

   2. تعديل خصائص> الرسالةتعيين رأس رسالة:

      • أدخل نصا (اسم العنوان): على سبيل المثال، X-ETR.
      • أدخل الكلمات (قيمة العنوان): على سبيل المثال، Bypass spam filtering for authenticated sender 'contoso.com'.

      بالنسبة لأكثر من مجال واحد في القاعدة، يمكنك تخصيص نص الرأس حسب الاقتضاء.

عندما تتخطى رسالة تصفية البريد العشوائي بسبب قاعدة تدفق البريد، يتم ختم قيمة القيمة SFV:SKN في رأس X-Forefront-Antispam-Report . إذا كانت الرسالة من مصدر موجود في قائمة السماح ب IP، تتم إضافة القيمة IPV:CAL أيضا. يمكن أن تساعدك هذه القيم في استكشاف الأخطاء وإصلاحها.

استخدام مرسلي Outlook الآمنين

أنذر

ينشئ هذا الأسلوب خطرا كبيرا من قيام المهاجمين بتسليم البريد الإلكتروني بنجاح إلى علبة الوارد التي سيتم تصفيتها بخلاف ذلك. تتم تصفية الرسائل التي يتم تحديد أنها برامج ضارة أو تصيد احتيالي عالي الثقة. لمزيد من المعلومات، راجع تعارض إعدادات المستخدم والمستأجر.

بدلا من إعداد المؤسسة، يمكن للمستخدمين أو المسؤولين إضافة عناوين البريد الإلكتروني للمرسل إلى قائمة المرسلين الآمنين في علبة البريد. تؤثر إدخالات قائمة المرسلين الآمنة في علبة البريد على علبة البريد هذه فقط. للحصول على الإرشادات، راجع المقالات التالية:

• المستخدمون: إضافة مستلمي رسائل البريد الإلكتروني إلى قائمة المرسلين الموثوقين.
• المسؤولون: تكوين إعدادات البريد الإلكتروني غير الهام على علب بريد Exchange Online في Microsoft 365.

هذا الأسلوب غير مرغوب فيه في معظم الحالات لأن المرسلين يتجاوزون أجزاء من مكدس التصفية. على الرغم من أنك تثق بالمرسل، إلا أنه لا يزال من الممكن اختراق المرسل وإرسال محتوى ضار. يجب أن تسمح لعوامل التصفية الخاصة بنا بالتحقق من كل رسالة ثم الإبلاغ عن الإيجابي/السلبي الخاطئ إلى Microsoft إذا أخطأنا في ذلك. كما أن تجاوز مكدس التصفية يتداخل مع الإزالة التلقائية للساعة الصفرية (ZAP).

عندما تتخطى الرسائل تصفية البريد العشوائي بسبب الإدخالات في قائمة المرسلين الآمنين للمستخدم، يحتوي حقل رأس X-Forefront-Antispam-Report على القيمة SFV:SFE، والتي تشير إلى أنه تم تجاوز التصفية للبريد العشوائي والانتحال والتصيد الاحتيالي (وليس التصيد الاحتيالي عالي الثقة).

• في Exchange Online، يعتمد ما إذا كانت الإدخالات في قائمة المرسلين الآمنين تعمل أم لا على الحكم والإجراء في النهج الذي حدد الرسالة:
  • نقل الرسائل إلى مجلد البريد الإلكتروني غير الهام: يتم احترام إدخالات المجال وإدخالات عنوان البريد الإلكتروني للمرسل. لا يتم نقل الرسائل الواردة من هؤلاء المرسلين إلى مجلد البريد الإلكتروني غير الهام.
  • العزل: لا يتم احترام إدخالات المجال (يتم عزل الرسائل الواردة من هؤلاء المرسلين). يتم احترام إدخالات عنوان البريد الإلكتروني (لا يتم عزل الرسائل الواردة من هؤلاء المرسلين) إذا كانت أي من العبارات التالية صحيحة:
    • لم يتم تحديد الرسالة على أنها برامج ضارة أو تصيد احتيالي عالي الثقة (يتم عزل البرامج الضارة ورسائل التصيد الاحتيالي عالية الثقة).
    • عنوان البريد الإلكتروني أو عنوان URL أو الملف في رسالة البريد الإلكتروني ليس أيضا في إدخال كتلة في قائمة السماح/الحظر للمستأجر.
• يتم احترام إدخالات المرسلين المحظورين والمجالات المحظورة (يتم نقل الرسائل من هؤلاء المرسلين إلى مجلد البريد الإلكتروني غير الهام). يتم تجاهل إعدادات القائمة البريدية الآمنة.

استخدام قائمة السماح ب IP

أنذر

بدون التحقق الإضافي مثل قواعد تدفق البريد، يتخطى البريد الإلكتروني من المصادر في قائمة السماح ب IP تصفية البريد العشوائي وعمليات التحقق من مصادقة المرسل (SPF وDKIM وDMARC). ينشئ هذا الأسلوب خطرا كبيرا من قيام المهاجمين بتسليم البريد الإلكتروني بنجاح إلى علبة الوارد التي سيتم تصفيتها بخلاف ذلك. تتم تصفية الرسائل التي يتم تحديد أنها برامج ضارة أو تصيد احتيالي عالي الثقة. لمزيد من المعلومات، راجع تعارض إعدادات المستخدم والمستأجر.

الخيار الأفضل التالي هو إضافة خوادم البريد الإلكتروني المصدر إلى قائمة السماح ب IP في نهج عامل تصفية الاتصال. للحصول على التفاصيل، راجع تكوين تصفية الاتصال في EOP.

• من المهم أن تحتفظ بعدد عناوين IP المسموح بها كحد أدنى، لذا تجنب استخدام نطاقات عناوين IP بأكملها كلما أمكن ذلك.
• لا تستخدم نطاقات عناوين IP التي تنتمي إلى خدمات المستهلك (على سبيل المثال، outlook.com) أو البنى الأساسية المشتركة.
• راجع الإدخالات في قائمة السماح ب IP بانتظام وأزل الإدخالات التي لم تعد بحاجة إليها.

استخدام قوائم المرسلين المسموح بها أو قوائم المجال المسموح بها

أنذر

ينشئ هذا الأسلوب خطرا كبيرا من قيام المهاجمين بتسليم البريد الإلكتروني بنجاح إلى علبة الوارد التي سيتم تصفيتها بخلاف ذلك. تتم تصفية الرسائل التي يتم تحديد أنها برامج ضارة أو تصيد احتيالي عالي الثقة. لمزيد من المعلومات، راجع تعارض إعدادات المستخدم والمستأجر.

لا تستخدم المجالات الشائعة (على سبيل المثال، microsoft.com) في قوائم المجالات المسموح بها.

الخيار الأقل المرغوب فيه هو استخدام قوائم المرسلين المسموح بها أو قوائم المجال المسموح بها في نهج مكافحة البريد العشوائي المخصصة أو في نهج مكافحة البريد العشوائي الافتراضي. يجب تجنب هذا الخيار إذا كان ذلك ممكنا على الإطلاق لأن المرسلين يتجاوزون جميع البريد العشوائي والتزييف وحماية التصيد الاحتيالي (باستثناء التصيد الاحتيالي عالي الثقة) ومصادقة المرسل (SPF وDKIM وDMARC). يتم استخدام هذا الأسلوب على أفضل نحو للاختبار المؤقت فقط. يمكن العثور على الخطوات التفصيلية في تكوين نهج مكافحة البريد العشوائي في EOP.

الحد الأقصى لهذه القوائم هو حوالي 1000 إدخال، ولكن يمكنك إدخال 30 إدخالا كحد أقصى في مدخل Microsoft Defender. استخدم PowerShell لإضافة أكثر من 30 إدخالا.

ملاحظة

اعتبارا من سبتمبر 2022، إذا كان المرسل أو المجال أو المجال الفرعي المسموح به في مجال مقبول في مؤسستك، فيجب على هذا المرسل أو المجال أو المجال الفرعي تمرير عمليات التحقق من مصادقة البريد الإلكتروني من أجل تخطي تصفية مكافحة البريد العشوائي.

اعتبارات البريد الإلكتروني المجمع

يمكن أن تحتوي رسالة البريد الإلكتروني SMTP القياسية على عناوين بريد إلكتروني مختلفة للمرسل كما هو موضح في لماذا يحتاج البريد الإلكتروني عبر الإنترنت إلى المصادقة. عند إرسال البريد الإلكتروني نيابة عن شخص آخر، يمكن أن تكون العناوين مختلفة. يحدث هذا الشرط غالبا لرسائل البريد الإلكتروني المجمعة.

على سبيل المثال، افترض أن Blue Yonder Airlines استأجرت Margie's Travel لإرسال رسائل بريد إلكتروني إعلانية. تحتوي الرسالة التي تتلقاها في علبة الوارد على الخصائص التالية:

• عنوان MAIL FROM (المعروف أيضا باسم 5321.MailFrom العنوان أو مرسل P1 أو مرسل المغلف) هو blueyonder.airlines@margiestravel.com.
• عنوان From (المعروف أيضا باسم 5322.From العنوان أو مرسل P2) هو blueyonder@news.blueyonderairlines.com، وهو ما تراه في Outlook.

تقوم قوائم المرسلين الآمنة وقوائم المجالات الآمنة في نهج مكافحة البريد العشوائي في EOP بفحص عناوين من فقط. يشبه هذا السلوك "المرسلون الموثوقون في Outlook" الذين يستخدمون عنوان "من".

لمنع تصفية هذه الرسالة، يمكنك اتخاذ الخطوات التالية:

• أضف blueyonder@news.blueyonderairlines.com (عنوان من) كمرسل آمن في Outlook.
• استخدم قاعدة تدفق البريد بشرط يبحث عن رسائل من blueyonder@news.blueyonderairlines.com (عنوان من) blueyonder.airlines@margiestravel.com أو (عنوان MAIL FROM) أو كليهما.