Vytváření seznamů bezpečných odesílatelů v EOP

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Pokud jste zákazníkEm Microsoftu 365 s poštovními schránkami v Exchange Online nebo samostatným zákazníkem Exchange Online Protection (EOP) bez Exchange Online poštovních schránek, nabízí EOP několik způsobů, jak zajistit, aby uživatelé dostávali e-maily od důvěryhodných odesílatelů. Souhrnně si tyto možnosti můžete představit jako seznamy bezpečných odesílatelů.

Následující seznam obsahuje dostupné metody, které umožňují odesílatelům v EOP od nejvíce doporučených po nejméně doporučené:

1. Povolit položky pro domény a e-mailové adresy (včetně zfalšovaných odesílatelů) v seznamu povolených/blokovaných tenantů
2. Pravidla toku pošty Exchange (označovaná také jako pravidla přenosu)
3. Bezpeční odesílatelé Outlooku (seznam bezpečných odesílatelů v každé poštovní schránce, který ovlivňuje jenom tuto poštovní schránku)
4. Seznam povolených IP adres (filtrování připojení)
5. Seznamy povolených odesílatelů nebo povolené seznamy domén (zásady ochrany proti spamu)

Zbytek tohoto článku obsahuje specifika o jednotlivých metodách.

Důležité

Zprávy, které jsou identifikovány jako malware^* nebo vysoce důvěryhodný phishing, se vždy umístí do karantény bez ohledu na možnost seznamu bezpečných odesílatelů, kterou používáte. Další informace najdete v tématu Zabezpečení ve výchozím nastavení v Office 365.

^* Filtrování malwaru je vynecháno u poštovních schránek SecOps, které jsou identifikovány v pokročilých zásadách doručování. Další informace najdete v tématu Konfigurace pokročilých zásad doručování pro simulace útoků phishing třetích stran a doručování e-mailů do poštovních schránek SecOps.

Pečlivě sledujte všechny výjimky, které uděláte z filtrování spamu pomocí seznamů bezpečných odesílatelů.

Zprávy v seznamech bezpečných odesílatelů vždy odesílejte microsoftu k analýze. Pokyny najdete v tématu Nahlášení dobrého e-mailu microsoftu. Pokud jsou zprávy nebo zdroje zpráv určeny jako neškodné, microsoft může zprávy automaticky povolit a vy nebudete muset položky ručně udržovat v seznamech bezpečných odesílatelů.

Místo povolení e-mailu máte také několik možností blokovat e-maily z konkrétních zdrojů pomocí seznamů blokovaných odesílatelů. Další informace najdete v tématu Vytvoření seznamů blokovaných odesílatelů v EOP.

Použití položek povolených v seznamu povolených/blokovaných tenantů

Naše číslo jedna doporučené možnosti, jak povolit poštu od odesílatelů nebo domén, je seznam povolených/blokovaných tenantů. Pokyny najdete v tématech Vytvoření položek povolení pro domény a e-mailové adresy a Vytvoření položek povolení pro zfalšované odesílatele.

Pouze pokud z nějakého důvodu nemůžete použít seznam povolených nebo blokovaných tenantů, měli byste zvážit použití jiné metody povolení odesílatelů.

Použití pravidel toku pošty

Poznámka

K určení interního odesílatele jako bezpečného odesílatele nemůžete použít záhlaví zpráv a pravidla toku pošty. Postupy v této části fungují pouze pro externí odesílatele.

Pravidla toku pošty v Exchange Online a samostatné EOP používají podmínky a výjimky k identifikaci zpráv a akce k určení toho, co se má s těmito zprávami udělat. Další informace najdete v tématu Pravidla toku pošty (pravidla přenosu) v Exchange Online.

Následující příklad předpokládá, že k přeskočení filtrování spamu potřebujete e-maily od contoso.com. Nakonfigurujte následující nastavení:

1. Toto pravidlo použijte, pokud (podmínka): Doména odesílatele>je> contoso.com.

2. Nakonfigurujte některé z následujících nastavení:

   • Toto pravidlo použijte, pokud (další podmínka): Záhlaví> zprávyobsahují některá z těchto slov:

     • Zadejte text (název záhlaví): Authentication-Results
     • Zadejte slova (hodnota záhlaví): dmarc=pass nebo dmarc=bestguesspass (přidejte obě hodnoty).

     Tato podmínka zkontroluje stav ověřování e-mailu odesílající e-mailové domény, aby se zajistilo, že odesílající doména není zfalšovaná. Další informace o ověřování e-mailů najdete v tématu Email ověřování v Microsoftu 365.

   • Seznam povolených IP adres: Zadejte zdrojovou IP adresu nebo rozsah adres v zásadách filtru připojení. Pokyny najdete v tématu Konfigurace filtrování připojení.

     Toto nastavení použijte, pokud odesílající doména nepoužívá ověřování e-mailu. Pokud jde o zdrojové IP adresy v seznamu povolených IP adres, buďte co nejvíce omezující. Doporučujeme rozsah IP adres /24 nebo menší (méně je lepší). Nepoužívejte rozsahy IP adres, které patří do služeb uživatelů (například outlook.com) nebo do sdílených infrastruktur.

   Důležité

   • Nikdy nekonfigurujte pravidla toku pošty s podmínkou pro přeskočení filtrování spamu pouze s doménou odesílatele. Tím se výrazně zvýší pravděpodobnost, že útočníci zfalšují odesílající doménu (nebo zosobní celou e-mailovou adresu), přeskočí veškeré filtrování spamu a přeskočí kontroly ověřování odesílatele, aby zpráva dorazí do složky Doručená pošta příjemce.

   • Jako podmínky v pravidlech toku pošty nepoužívejte domény, které vlastníte (označované také jako akceptované domény) nebo oblíbené domény (například microsoft.com), protože to útočníkům umožňuje odesílat e-maily, které by jinak byly filtrované.

   • Pokud povolíte IP adresu, která je za bránou překladu adres (NAT), musíte znát servery, které jsou součástí fondu PŘEKLADU ADRES. IP adresy a účastníci překladu adres (NAT) se můžou změnit. V rámci standardních postupů údržby musíte pravidelně kontrolovat položky seznamu povolených IP adres.

3. Volitelné podmínky:

   • Odesílatel>je interní/externí>Mimo organizaci: Tato podmínka je implicitní, ale je v pořádku ji použít k zohlednění místních e-mailových serverů, které nemusí být správně nakonfigurované.
   • Předmět nebo text>předmět nebo text obsahuje kterákoli z těchto slov><>klíčová slova: Pokud můžete zprávy dále omezit podle klíčových slov nebo frází v řádku předmětu nebo textu zprávy, můžete tato slova použít jako podmínku.

4. Proveďte následující akce (akce): Nakonfigurujte v pravidle obě následující akce:

   1. Úprava vlastností> zprávynastavení úrovně spolehlivosti spamu (SCL)>Obejití filtrování spamu

   2. Úprava vlastností> zprávynastavit záhlaví zprávy:

      • Zadejte text (název záhlaví): Například X-ETR.
      • Zadejte slova (hodnota záhlaví): Například Bypass spam filtering for authenticated sender 'contoso.com'.

      U více než jedné domény v pravidle můžete podle potřeby přizpůsobit text záhlaví.

Když zpráva přeskočí filtrování spamu kvůli pravidlu toku pošty, SFV:SKN hodnota se označí v záhlaví X-Forefront-Antispam-Report . Pokud zpráva pochází ze zdroje, který je na seznamu povolených IP adres, přidá se také hodnota IPV:CAL . Tyto hodnoty vám můžou pomoct s řešením potíží.

Použití bezpečných odesílatelů Outlooku

Upozornění

Tato metoda vytváří vysoké riziko, že útočníci úspěšně doručí e-maily do složky Doručená pošta, které by jinak byly filtrovány. Zprávy, které jsou označeny jako malware nebo útok phishing s vysokou spolehlivostí, jsou filtrovány. Další informace najdete v tématu Konflikt nastavení uživatele a tenanta.

Místo nastavení organizace můžou uživatelé nebo správci přidávat e-mailové adresy odesílatelů do seznamu Bezpeční odesílatelé v poštovní schránce. Položky seznamu bezpečných odesílatelů v poštovní schránce ovlivňují jenom tuto poštovní schránku. Pokyny najdete v následujících článcích:

• Uživatelé: Přidejte příjemce mých e-mailových zpráv do seznamu bezpečných odesílatelů.
• Správci: Nakonfigurujte nastavení nevyžádané pošty u Exchange Online poštovních schránek v Microsoftu 365.

Tato metoda není ve většině situací žádoucí, protože odesílatelé obcházejí části zásobníku filtrování. I když odesílateli důvěřujete, může být i nadále ohrožen a odesílat škodlivý obsah. Měli byste nechat naše filtry, aby zkontrolovaly každou zprávu, a pak nahlásit falešně pozitivní nebo negativní zprávu Microsoftu , pokud se nám to nepovedlo. Obejití zásobníku filtrování také koliduje s automatickým vyprázdněním (ZAP) nulou.

Když zprávy přeskočí filtrování spamu kvůli položkám v seznamu bezpečných odesílatelů uživatele, pole hlavičky X-Forefront-Antispam-Report obsahuje hodnotu SFV:SFE, která označuje, že filtrování spamu, falšování a phishingu (ne vysoce důvěryhodných phishing) bylo vynecháno.

• V Exchange Online to, jestli položky v seznamu bezpečných odesílatelů fungují nebo nefungují, závisí na verdiktu a akci v zásadách, které zprávu identifikovaly:
  • Přesunout zprávy do složky Nevyžádaná pošta Email: Položky domény a e-mailové adresy odesílatele jsou respektovány. Zprávy od těchto odesílatelů se nepřesouvají do složky Nevyžádaná pošta Email.
  • Karanténa: Položky domény nejsou respektovány (zprávy od těchto odesílatelů jsou v karanténě). Email adresy se dodržují (zprávy od těchto odesílatelů nejsou v karanténě), pokud platí některé z následujících tvrzení:
    • Zpráva není identifikována jako malware nebo vysoce důvěryhodný phishing (malware a vysoce důvěryhodné phishingové zprávy jsou v karanténě).
    • E-mailová adresa, adresa URL nebo soubor v e-mailové zprávě nejsou také v blokované položce v seznamu povolených/blokovaných tenantů.
• Položky blokovaných odesílatelů a blokovaných domén jsou respektovány (zprávy od těchto odesílatelů se přesunou do složky Nevyžádaná pošta Email). Nastavení seznamu bezpečných adresátů se ignorují.

Použití seznamu povolených IP adres

Upozornění

Bez dalšího ověření, jako jsou pravidla toku pošty, e-maily ze zdrojů v seznamu povolených IP adres přeskočí kontroly filtrování spamu a ověřování odesílatele (SPF, DKIM, DMARC). Tato metoda vytváří vysoké riziko, že útočníci úspěšně doručí e-maily do složky Doručená pošta, které by jinak byly filtrovány. Zprávy, které jsou označeny jako malware nebo útok phishing s vysokou spolehlivostí, jsou filtrovány. Další informace najdete v tématu Konflikt nastavení uživatele a tenanta.

Další nejlepší možností je přidat zdrojové e-mailové servery do seznamu povolených IP adres v zásadách filtru připojení. Podrobnosti najdete v tématu Konfigurace filtrování připojení v EOP.

• Je důležité, abyste zachovali minimální počet povolených IP adres, abyste se vyhnuli používání celých rozsahů IP adres, kdykoli je to možné.
• Nepoužívejte rozsahy IP adres, které patří do služeb uživatelů (například outlook.com) nebo do sdílených infrastruktur.
• Pravidelně kontrolujte položky v seznamu povolených IP adres a odstraňte položky, které už nepotřebujete.

Použití seznamů povolených odesílatelů nebo seznamů povolených domén

Upozornění

Tato metoda vytváří vysoké riziko, že útočníci úspěšně doručí e-maily do složky Doručená pošta, které by jinak byly filtrovány. Zprávy, které jsou označeny jako malware nebo útok phishing s vysokou spolehlivostí, jsou filtrovány. Další informace najdete v tématu Konflikt nastavení uživatele a tenanta.

Nepoužívejte oblíbené domény (například microsoft.com) v seznamech povolených domén.

Nejméně žádoucí možností je použít seznamy povolených odesílatelů nebo seznamy povolených domén ve vlastních zásadách ochrany proti spamu nebo ve výchozích zásadách ochrany proti spamu. Této možnosti byste se měli vyhnout , pokud je to vůbec možné , protože odesílatelé obcházejí veškerou nevyžádanou poštu, falšování identity, ochranu před útoky phishing (s výjimkou vysoce důvěryhodných útoků phishing) a ověřování odesílatelů (SPF, DKIM, DMARC). Tato metoda se nejlépe používá pouze pro dočasné testování. Podrobný postup najdete v tématu Konfigurace zásad ochrany proti spamu v EOP.

Maximální limit pro tyto seznamy je přibližně 1 000 položek, ale na portálu Microsoft Defender můžete zadat maximálně 30 položek. Pomocí PowerShellu přidejte více než 30 položek.

Poznámka

Od září 2022 platí, že pokud je povolený odesílatel, doména nebo subdoména ve vaší organizaci v akceptované doméně , musí tento odesílatel, doména nebo subdoména projít ověřovacími kontrolami e-mailu , aby bylo možné přeskočit filtrování proti spamu.

Důležité informace o hromadném e-mailu

Standardní e-mailová zpráva SMTP může obsahovat e-mailové adresy různých odesílatelů, jak je popsáno v tématu Proč internetové e-maily potřebují ověřování. Když se e-mail posílá jménem někoho jiného, můžou se adresy lišit. K této podmínce často dochází u hromadných e-mailových zpráv.

Předpokládejme například, že společnost Blue Yonder Airlines najala společnost Margie's Travel, aby posílala reklamní e-mailové zprávy. Zpráva, kterou dostanete do složky Doručená pošta, má následující vlastnosti:

• Adresa MAIL FROM (označovaná 5321.MailFrom také jako adresa, odesílatel P1 nebo odesílatel obálky) je blueyonder.airlines@margiestravel.com.
• Adresa odesílatele (označovaná také jako 5322.From adresa nebo odesílatel P2) je blueyonder@news.blueyonderairlines.com, což je to, co vidíte v Outlooku.

Seznamy bezpečných odesílatelů a seznamů bezpečných domén v zásadách ochrany proti spamu v EOP kontrolují pouze adresy odesílatele. Toto chování se podobá bezpečným odesílatelům aplikace Outlook, kteří používají adresu Odesílatele.

Pokud chcete zabránit filtrování této zprávy, můžete provést následující kroky:

• Přidejte blueyonder@news.blueyonderairlines.com (adresu odesílatele) jako bezpečného odesílatele Outlooku.
• Použijte pravidlo toku pošty s podmínkou, která hledá zprávy od blueyonder@news.blueyonderairlines.com (adresa odesílatele), blueyonder.airlines@margiestravel.com (adresa MAIL FROM) nebo obojí.