Pořadí a priorita ochrany e-mailu

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

V organizacích Microsoft 365 s poštovními schránkami v Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek může být příchozí e-mail označený několika formami ochrany. Například ochrana proti falšování identity, která je dostupná všem zákazníkům Microsoftu 365, a ochrana před zosobněním, která je dostupná jenom pro Microsoft Defender pro Office 365 zákazníky. Zprávy také procházejí několika detekčními kontrolami malwaru, spamu, phishingu atd. Vzhledem k této aktivitě může docházet k nejasnostem ohledně toho, které zásady se používají.

Obecně platí, že zásady použité na zprávu jsou identifikovány v hlavičce X-Forefront-Antispam-Report ve vlastnosti CAT (Category). Další informace najdete v tématu Hlavičky antispamových zpráv.

Existují dva hlavní faktory, které určují, které zásady se na zprávu použijí:

• Pořadí zpracování pro typ ochrany e-mailu: Tuto objednávku nelze konfigurovat a je popsáno v následující tabulce:

  Objednávka	ochrana Email	Kategorie	Kde spravovat
  1	Malware	CAT:MALW	Konfigurace antimalwarových zásad v EOP
  2	Vysoce důvěryhodný útok phishing	CAT:HPHSH	Konfigurace zásad ochrany proti spamu v EOP
  3	Útok phishing	CAT:PHSH	Konfigurace zásad ochrany proti spamu v EOP
  4	Vysoká spolehlivost spamu	CAT:HSPM	Konfigurace zásad ochrany proti spamu v EOP
  5	Spoofing	CAT:SPOOF	Přehled informací o falšování identity v EOP
  6*	Zosobnění uživatele (chránění uživatelé)	CAT:UIMP	Konfigurace zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365
  7*	Zosobnění domény (chráněné domény)	CAT:DIMP	Konfigurace zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365
  8*	Inteligentní funkce poštovní schránky (graf kontaktů)	CAT:GIMP	Konfigurace zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365
  9	Spam	CAT:SPM	Konfigurace zásad ochrany proti spamu v EOP
  10	Množství	CAT:BULK	Konfigurace zásad ochrany proti spamu v EOP

  ^*Tyto funkce jsou dostupné jenom v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365.

• Pořadí priorit zásad: Pořadí priorit zásad se zobrazuje v následujícím seznamu:

  1. Zásady ochrany proti spamu, malwaru, útokům phishing, bezpečným odkazům^* a bezpečným přílohám^* v přísných přednastavených zásadách zabezpečení (pokud jsou povolené).

  2. Zásady ochrany proti spamu, malwaru, útokům phishing, bezpečným odkazům^* a bezpečným přílohám^* ve standardních přednastavených zásadách zabezpečení (pokud jsou povolené).

  3. Vlastní zásady ochrany proti spamu, malwaru, útokům phishing, bezpečným odkazům^* a bezpečným přílohám^* (při vytvoření).

     Při vytváření zásad se vlastním zásadám přiřadí výchozí hodnota priority (novější se rovná vyšší hodnotě), ale hodnotu priority můžete kdykoli změnit. Tato hodnota priority má vliv na pořadí, v jakém se použijí vlastní zásady daného typu (antispam, antimalwarová ochrana, phishing atd.), ale nemá vliv na to, kde se vlastní zásady použijí v celkovém pořadí.

  4. Anti-phishing, bezpečné odkazy a bezpečné přílohy v Defender pro Office 365 zásady vyhodnocení (pokud jsou povolené).

  5. Stejné hodnoty:

     • Zásady Bezpečné odkazy a Bezpečné přílohy v předdefinovaných zásadách^* zabezpečení ochrany.
     • Výchozí zásady pro antimalwarové, spamové a phishingové.

     Můžete nakonfigurovat výjimky z předdefinovaných zásad zabezpečení ochrany, ale nemůžete nakonfigurovat výjimky z výchozích zásad (platí pro všechny příjemce a nemůžete je vypnout).

  ^*pouze Defender pro Office 365.

  Pořadí priority záleží na tom, jestli máte stejného příjemce úmyslně nebo neúmyslně zahrnutého do více zásad, protože na tohoto příjemce se použije jenom první zásada tohoto typu (antispam, antimalwarový software, phishing atd.), a to bez ohledu na to, kolik dalších zásad je příjemce součástí. U příjemce se nastavení ve více zásadách nikdy nesloučí nebo zkombinuje. Příjemce není ovlivněn nastavením zbývajících zásad tohoto typu.

Například skupina s názvem "Contoso Executives" je zahrnutá v následujících zásadách:

• Přísné přednastavené zásady zabezpečení
• Vlastní antispamová zásada s hodnotou priority 0 (nejvyšší priorita)
• Vlastní antispamová zásada s hodnotou priority 1.

Která nastavení zásad ochrany proti spamu se vztahují na členy vedení společnosti Contoso? Přísné přednastavené zásady zabezpečení. Nastavení ve vlastních zásadách ochrany proti spamu jsou pro členy vedení společnosti Contoso ignorována, protože jako první se vždy použije striktní přednastavená zásada zabezpečení.

Jako další příklad si představte následující vlastní zásady ochrany proti útokům phishing v Microsoft Defender pro Office 365, které platí pro stejné příjemce, a zprávu, která obsahuje zosobnění uživatele i falšování identity:

Název zásady	Priority (Priorita)	Zosobnění uživatele	Ochrana proti falšování identity
Zásada A	1	Zapnuto	Pryč
Zásada B	2	Pryč	Zapnuto

1. Zpráva je identifikována jako falšování identity, protože falšování identity (5) se vyhodnocuje před zosobněním uživatele (6) v pořadí zpracování pro typ ochrany e-mailu.
2. Zásada A se použije jako první, protože má vyšší prioritu než zásada B.
3. Na základě nastavení v zásadách A se se zprávou neprovedou žádné akce, protože je vypnutá ochrana proti falšování identity.
4. Zpracování zásad ochrany proti phishingu se zastaví pro všechny zahrnuté příjemce, takže zásady B se nikdy nepoužijí pro příjemce, kteří jsou také v zásadách A.

Pokud chcete zajistit, aby příjemci získali požadované nastavení ochrany, postupujte podle následujících pokynů pro členství v zásadách:

• Přiřaďte menší počet uživatelů k zásadám s vyšší prioritou a větší počet uživatelů k zásadám s nižší prioritou. Nezapomeňte, že výchozí zásady se vždy použijí jako poslední.
• Nakonfigurujte zásady s vyšší prioritou tak, aby měly přísnější nebo specializovanější nastavení než zásady s nižší prioritou. Máte úplnou kontrolu nad nastavením ve vlastních a výchozích zásadách, ale nemáte kontrolu nad většinou nastavení v přednastavených zásadách zabezpečení.
• Zvažte použití menšího počtu vlastních zásad (vlastní zásady používejte jenom pro uživatele, kteří vyžadují specializovanější nastavení než standardní nebo striktní přednastavené zásady zabezpečení nebo výchozí zásady).

Dodatek

Je důležité pochopit, jak uživatel povoluje a blokuje, povoluje a blokuje tenanta a filtruje verdikty zásobníku v EOP a Defender pro Office 365 vzájemně doplňují nebo si protiřečí.

• Informace o filtrování zásobníků a jejich kombinování najdete v tématu Podrobná ochrana před hrozbami v Microsoft Defender pro Office 365.
• Jakmile zásobník filtrování určí verdikt, teprve pak se vyhodnocují zásady tenanta a jejich nakonfigurované akce.
• Pokud v seznamu bezpečných odesílatelů a blokovaných odesílatelů uživatele existuje stejná e-mailová adresa nebo doména, bude mít přednost seznam bezpečných odesílatelů.
• Pokud stejná entita (e-mailová adresa, doména, infrastruktura odesílání s falšováním identity, soubor nebo adresa URL) existuje v položce povolení a blokované položce v seznamu povolených/blokovaných klientů, má položka bloku přednost.

Uživatel povoluje a blokuje

Položky v kolekci seznamu bezpečných uživatelů (seznam bezpečných odesílatelů, seznam bezpečných příjemců a seznam blokovaných odesílatelů v každé poštovní schránce) můžou přepsat některé verdikty zásobníku filtrování, jak je popsáno v následující tabulce:

Verdikt zásobníku filtrování	Seznam bezpečných odesílatelů/příjemců uživatele	Seznam blokovaných odesílatelů uživatele
Malware	Filtr vyhrává: Email v karanténě	Filtr vyhrává: Email v karanténě
Vysoce důvěryhodný útok phishing	Filtr vyhrává: Email v karanténě	Filtr vyhrává: Email v karanténě
Útok phishing	Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele	Tenant vyhraje: Příslušná zásada ochrany proti spamu určuje akci.
Vysoká spolehlivost spamu	Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele	Tenant vyhraje: Příslušná zásada ochrany proti spamu určuje akci.
Spam	Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele	Tenant vyhraje: Příslušná zásada ochrany proti spamu určuje akci.
Množství	Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele	Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email
Není spam	Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele	Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email

• V Exchange Online nemusí doména povolená v seznamu bezpečných odesílatelů fungovat, pokud je zpráva umístěna do karantény podle některé z následujících podmínek:
  • Zpráva je identifikována jako malware nebo vysoce důvěryhodný phishing (malware a vysoce důvěryhodné phishingové zprávy jsou v karanténě).
  • Akce v zásadách ochrany proti spamu jsou nakonfigurované tak, aby se místo přesouvání pošty do složky Nevyžádaná pošta Email přesunula do karantény.
  • E-mailová adresa, adresa URL nebo soubor v e-mailové zprávě jsou také v blokované položce v seznamu povolených/blokovaných klientů.

Další informace o shromažďování bezpečných seznamů a nastavení ochrany proti nevyžádané poště u poštovních schránek uživatelů najdete v tématu Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek.

Tenant povoluje a blokuje

Tenant umožňuje a bloky můžou přepsat některé verdikty zásobníku filtrování, jak je popsáno v následujících tabulkách:

• Pokročilé zásady doručování (přeskočte filtrování určených poštovních schránek SecOps a adres URL simulace útoků phishing):

  Verdikt zásobníku filtrování	Povolit pokročilé zásady doručení
  Malware	Tenant vyhrává: Email doručeno do poštovní schránky
  Vysoce důvěryhodný útok phishing	Tenant vyhrává: Email doručeno do poštovní schránky
  Útok phishing	Tenant vyhrává: Email doručeno do poštovní schránky
  Vysoká spolehlivost spamu	Tenant vyhrává: Email doručeno do poštovní schránky
  Spam	Tenant vyhrává: Email doručeno do poštovní schránky
  Množství	Tenant vyhrává: Email doručeno do poštovní schránky
  Není spam	Tenant vyhrává: Email doručeno do poštovní schránky

• Pravidla toku pošty Exchange (označovaná také jako pravidla přenosu):

  Verdikt zásobníku filtrování	Pravidlo toku pošty umožňuje*	Bloky pravidel toku pošty
  Malware	Filtr vyhrává: Email v karanténě	Filtr vyhrává: Email v karanténě
  Vysoce důvěryhodný útok phishing	Filtr vyhrává: Email v karanténě s výjimkou složitého směrování	Filtr vyhrává: Email v karanténě
  Útok phishing	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhrává: Akce útoku phishing v příslušných zásadách ochrany proti spamu
  Vysoká spolehlivost spamu	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
  Spam	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
  Množství	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
  Není spam	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele

  ^*Organizace, které před Microsoft 365 používají službu zabezpečení nebo zařízení třetí strany, by měly místo pravidla toku pošty SCL=-1 zvážit použití ověřovacího přijatého řetězce (ARC) (kontaktovat třetí stranu kvůli dostupnosti) a rozšířené filtrování konektorů (označované také jako výpis přeskočení). Tyto vylepšené metody omezují problémy s ověřováním e-mailů a podporují hloubkové zabezpečení e-mailů .

• Seznam povolených ip adres a seznam blokovaných IP adres v zásadách filtru připojení:

  Verdikt zásobníku filtrování	Seznam povolených IP adres	Seznam blokovaných IP adres
  Malware	Filtr vyhrává: Email v karanténě	Filtr vyhrává: Email v karanténě
  Vysoce důvěryhodný útok phishing	Filtr vyhrává: Email v karanténě	Filtr vyhrává: Email v karanténě
  Útok phishing	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhrává: Email bezobslužně vyřazeno
  Vysoká spolehlivost spamu	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhrává: Email bezobslužně vyřazeno
  Spam	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhrává: Email bezobslužně vyřazeno
  Množství	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhrává: Email bezobslužně vyřazeno
  Není spam	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhrává: Email bezobslužně vyřazeno

• Nastavení povolení a blokování v zásadách ochrany proti spamu:

  • Seznam povolených odesílatelů a domén.
  • Blokovaný odesílatel a seznam domén.
  • Blokovat zprávy z konkrétních zemí nebo oblastí nebo v konkrétních jazycích
  • Blokovat zprávy na základě nastavení rozšířeného filtru spamu (ASF).

  Verdikt zásobníku filtrování	Antispamové zásady umožňují	Bloky zásad ochrany před spamem
  Malware	Filtr vyhrává: Email v karanténě	Filtr vyhrává: Email v karanténě
  Vysoce důvěryhodný útok phishing	Filtr vyhrává: Email v karanténě	Filtr vyhrává: Email v karanténě
  Útok phishing	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhrává: Akce útoku phishing v příslušných zásadách ochrany proti spamu
  Vysoká spolehlivost spamu	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
  Spam	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
  Množství	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
  Není spam	Tenant vyhrává: Email doručeno do poštovní schránky	Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele

• Položky povolení v seznamu povolených/blokovaných tenantů: Existují dva typy položek povolených:

  • Úroveň zprávy umožňuje, aby položky fungovaly na celou zprávu bez ohledu na entity ve zprávě. Položky Povolit pro e-mailovou adresu a domény jsou povolené položky na úrovni zpráv.
  • Na úrovni entit umožňují položky, které se chovají podle verdiktu filtrování entit. Povolené položky pro adresy URL, zfalšované odesílatele a soubory jsou položky povolení na úrovni entity. Pokud chcete přepsat verdikty malwaru a vysoce důvěryhodného útoku phishing, musíte použít položky povolení na úrovni entity, které můžete vytvořit odesláním jenom kvůli zabezpečení ve výchozím nastavení v Microsoftu 365.

  Verdikt zásobníku filtrování	Email adresa nebo doména
  Malware	Filtr vyhrává: Email v karanténě
  Vysoce důvěryhodný útok phishing	Filtr vyhrává: Email v karanténě
  Útok phishing	Tenant vyhrává: Email doručeno do poštovní schránky
  Vysoká spolehlivost spamu	Tenant vyhrává: Email doručeno do poštovní schránky
  Spam	Tenant vyhrává: Email doručeno do poštovní schránky
  Množství	Tenant vyhrává: Email doručeno do poštovní schránky
  Není spam	Tenant vyhrává: Email doručeno do poštovní schránky

• Blokované položky v seznamu povolených nebo blokovaných tenantů:

  Verdikt zásobníku filtrování	Email adresa nebo doména	Vtip	Soubor	URL
  Malware	Filtr vyhrává: Email v karanténě	Filtr vyhrává: Email v karanténě	Tenant vyhrává: Email v karanténě	Filtr vyhrává: Email v karanténě
  Vysoce důvěryhodný útok phishing	Tenant vyhrává: Email v karanténě	Filtr vyhrává: Email v karanténě	Tenant vyhrává: Email v karanténě	Tenant vyhrává: Email v karanténě
  Útok phishing	Tenant vyhrává: Email v karanténě	Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing	Tenant vyhrává: Email v karanténě	Tenant vyhrává: Email v karanténě
  Vysoká spolehlivost spamu	Tenant vyhrává: Email v karanténě	Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing	Tenant vyhrává: Email v karanténě	Tenant vyhrává: Email v karanténě
  Spam	Tenant vyhrává: Email v karanténě	Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing	Tenant vyhrává: Email v karanténě	Tenant vyhrává: Email v karanténě
  Množství	Tenant vyhrává: Email v karanténě	Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing	Tenant vyhrává: Email v karanténě	Tenant vyhrává: Email v karanténě
  Není spam	Tenant vyhrává: Email v karanténě	Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing	Tenant vyhrává: Email v karanténě	Tenant vyhrává: Email v karanténě

Konflikt nastavení uživatele a tenanta

Následující tabulka popisuje, jak řešit konflikty, pokud je e-mail ovlivněn uživatelským nastavením povolení/blokování a nastavením povolení/blokování tenanta:

Typ povolení nebo blokování tenanta	Seznam bezpečných odesílatelů/příjemců uživatele	Seznam blokovaných odesílatelů uživatele
Položky blokování v seznamu povolených nebo blokovaných tenantů pro: Email adresy a domény Soubory Adresy URL	Tenant vyhrává: Email v karanténě	Tenant vyhrává: Email v karanténě
Blokovat položky pro zfalšované odesílatele v seznamu povolených/blokovaných tenantů	Tenant vyhrává: Akce falšování informací v příslušných zásadách ochrany proti útokům phishing	Tenant vyhrává: Akce falšování informací v příslušných zásadách ochrany proti útokům phishing
Pokročilé zásady doručení	Uživatel vyhrává: Email doručeno do poštovní schránky	Tenant vyhrává: Email doručeno do poštovní schránky
Nastavení blokování v zásadách ochrany proti spamu	Uživatel vyhrává: Email doručeno do poštovní schránky	Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email
Dodržovat zásady DMARC	Uživatel vyhrává: Email doručeno do poštovní schránky	Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email
Bloky podle pravidel toku pošty	Uživatel vyhrává: Email doručeno do poštovní schránky	Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email
Umožňuje: Pravidla toku pošty Seznam povolených IP adres (zásady filtru připojení) Seznam povolených odesílatelů a domén (zásady ochrany proti spamu) Seznam povolených nebo blokovaných tenantů	Uživatel vyhrává: Email doručeno do poštovní schránky	Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email