Sdílet prostřednictvím


Pořadí a priorita ochrany e-mailu

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

V organizacích Microsoft 365 s poštovními schránkami v Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek může být příchozí e-mail označený několika formami ochrany. Například ochrana proti falšování identity, která je dostupná všem zákazníkům Microsoftu 365, a ochrana před zosobněním, která je dostupná jenom pro Microsoft Defender pro Office 365 zákazníky. Zprávy také procházejí několika detekčními kontrolami malwaru, spamu, phishingu atd. Vzhledem k této aktivitě může docházet k nejasnostem ohledně toho, které zásady se používají.

Obecně platí, že zásady použité na zprávu jsou identifikovány v hlavičce X-Forefront-Antispam-Report ve vlastnosti CAT (Category). Další informace najdete v tématu Hlavičky antispamových zpráv.

Existují dva hlavní faktory, které určují, které zásady se na zprávu použijí:

Například skupina s názvem "Contoso Executives" je zahrnutá v následujících zásadách:

  • Přísné přednastavené zásady zabezpečení
  • Vlastní antispamová zásada s hodnotou priority 0 (nejvyšší priorita)
  • Vlastní antispamová zásada s hodnotou priority 1.

Která nastavení zásad ochrany proti spamu se vztahují na členy vedení společnosti Contoso? Přísné přednastavené zásady zabezpečení. Nastavení ve vlastních zásadách ochrany proti spamu jsou pro členy vedení společnosti Contoso ignorována, protože jako první se vždy použije striktní přednastavená zásada zabezpečení.

Jako další příklad si představte následující vlastní zásady ochrany proti útokům phishing v Microsoft Defender pro Office 365, které platí pro stejné příjemce, a zprávu, která obsahuje zosobnění uživatele i falšování identity:

Název zásady Priority (Priorita) Zosobnění uživatele Ochrana proti falšování identity
Zásada A 1 Zapnuto Pryč
Zásada B 2 Pryč Zapnuto
  1. Zpráva je identifikována jako falšování identity, protože falšování identity (5) se vyhodnocuje před zosobněním uživatele (6) v pořadí zpracování pro typ ochrany e-mailu.
  2. Zásada A se použije jako první, protože má vyšší prioritu než zásada B.
  3. Na základě nastavení v zásadách A se se zprávou neprovedou žádné akce, protože je vypnutá ochrana proti falšování identity.
  4. Zpracování zásad ochrany proti phishingu se zastaví pro všechny zahrnuté příjemce, takže zásady B se nikdy nepoužijí pro příjemce, kteří jsou také v zásadách A.

Pokud chcete zajistit, aby příjemci získali požadované nastavení ochrany, postupujte podle následujících pokynů pro členství v zásadách:

  • Přiřaďte menší počet uživatelů k zásadám s vyšší prioritou a větší počet uživatelů k zásadám s nižší prioritou. Nezapomeňte, že výchozí zásady se vždy použijí jako poslední.
  • Nakonfigurujte zásady s vyšší prioritou tak, aby měly přísnější nebo specializovanější nastavení než zásady s nižší prioritou. Máte úplnou kontrolu nad nastavením ve vlastních a výchozích zásadách, ale nemáte kontrolu nad většinou nastavení v přednastavených zásadách zabezpečení.
  • Zvažte použití menšího počtu vlastních zásad (vlastní zásady používejte jenom pro uživatele, kteří vyžadují specializovanější nastavení než standardní nebo striktní přednastavené zásady zabezpečení nebo výchozí zásady).

Dodatek

Je důležité pochopit, jak uživatel povoluje a blokuje, povoluje a blokuje tenanta a filtruje verdikty zásobníku v EOP a Defender pro Office 365 vzájemně doplňují nebo si protiřečí.

  • Informace o filtrování zásobníků a jejich kombinování najdete v tématu Podrobná ochrana před hrozbami v Microsoft Defender pro Office 365.
  • Jakmile zásobník filtrování určí verdikt, teprve pak se vyhodnocují zásady tenanta a jejich nakonfigurované akce.
  • Pokud v seznamu bezpečných odesílatelů a blokovaných odesílatelů uživatele existuje stejná e-mailová adresa nebo doména, bude mít přednost seznam bezpečných odesílatelů.
  • Pokud stejná entita (e-mailová adresa, doména, infrastruktura odesílání s falšováním identity, soubor nebo adresa URL) existuje v položce povolení a blokované položce v seznamu povolených/blokovaných klientů, má položka bloku přednost.

Uživatel povoluje a blokuje

Položky v kolekci seznamu bezpečných uživatelů (seznam bezpečných odesílatelů, seznam bezpečných příjemců a seznam blokovaných odesílatelů v každé poštovní schránce) můžou přepsat některé verdikty zásobníku filtrování, jak je popsáno v následující tabulce:

Verdikt zásobníku filtrování Seznam bezpečných odesílatelů/příjemců uživatele Seznam blokovaných odesílatelů uživatele
Malware Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě
Vysoce důvěryhodný útok phishing Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě
Útok phishing Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele Tenant vyhraje: Příslušná zásada ochrany proti spamu určuje akci.
Vysoká spolehlivost spamu Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele Tenant vyhraje: Příslušná zásada ochrany proti spamu určuje akci.
Spam Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele Tenant vyhraje: Příslušná zásada ochrany proti spamu určuje akci.
Množství Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email
Není spam Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email
  • V Exchange Online nemusí doména povolená v seznamu bezpečných odesílatelů fungovat, pokud je zpráva umístěna do karantény podle některé z následujících podmínek:
    • Zpráva je identifikována jako malware nebo vysoce důvěryhodný phishing (malware a vysoce důvěryhodné phishingové zprávy jsou v karanténě).
    • Akce v zásadách ochrany proti spamu jsou nakonfigurované tak, aby se místo přesouvání pošty do složky Nevyžádaná pošta Email přesunula do karantény.
    • E-mailová adresa, adresa URL nebo soubor v e-mailové zprávě jsou také v blokované položce v seznamu povolených/blokovaných klientů.

Další informace o shromažďování bezpečných seznamů a nastavení ochrany proti nevyžádané poště u poštovních schránek uživatelů najdete v tématu Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek.

Tenant povoluje a blokuje

Tenant umožňuje a bloky můžou přepsat některé verdikty zásobníku filtrování, jak je popsáno v následujících tabulkách:

  • Pokročilé zásady doručování (přeskočte filtrování určených poštovních schránek SecOps a adres URL simulace útoků phishing):

    Verdikt zásobníku filtrování Povolit pokročilé zásady doručení
    Malware Tenant vyhrává: Email doručeno do poštovní schránky
    Vysoce důvěryhodný útok phishing Tenant vyhrává: Email doručeno do poštovní schránky
    Útok phishing Tenant vyhrává: Email doručeno do poštovní schránky
    Vysoká spolehlivost spamu Tenant vyhrává: Email doručeno do poštovní schránky
    Spam Tenant vyhrává: Email doručeno do poštovní schránky
    Množství Tenant vyhrává: Email doručeno do poštovní schránky
    Není spam Tenant vyhrává: Email doručeno do poštovní schránky
  • Pravidla toku pošty Exchange (označovaná také jako pravidla přenosu):

    Verdikt zásobníku filtrování Pravidlo toku pošty umožňuje* Bloky pravidel toku pošty
    Malware Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě
    Vysoce důvěryhodný útok phishing Filtr vyhrává: Email v karanténě s výjimkou složitého směrování Filtr vyhrává: Email v karanténě
    Útok phishing Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Akce útoku phishing v příslušných zásadách ochrany proti spamu
    Vysoká spolehlivost spamu Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
    Spam Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
    Množství Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
    Není spam Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele

    *Organizace, které před Microsoft 365 používají službu zabezpečení nebo zařízení třetí strany, by měly místo pravidla toku pošty SCL=-1 zvážit použití ověřovacího přijatého řetězce (ARC) (kontaktovat třetí stranu kvůli dostupnosti) a rozšířené filtrování konektorů (označované také jako výpis přeskočení). Tyto vylepšené metody omezují problémy s ověřováním e-mailů a podporují hloubkové zabezpečení e-mailů .

  • Seznam povolených ip adres a seznam blokovaných IP adres v zásadách filtru připojení:

    Verdikt zásobníku filtrování Seznam povolených IP adres Seznam blokovaných IP adres
    Malware Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě
    Vysoce důvěryhodný útok phishing Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě
    Útok phishing Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Email bezobslužně vyřazeno
    Vysoká spolehlivost spamu Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Email bezobslužně vyřazeno
    Spam Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Email bezobslužně vyřazeno
    Množství Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Email bezobslužně vyřazeno
    Není spam Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Email bezobslužně vyřazeno
  • Nastavení povolení a blokování v zásadách ochrany proti spamu:

    • Seznam povolených odesílatelů a domén.
    • Blokovaný odesílatel a seznam domén.
    • Blokovat zprávy z konkrétních zemí nebo oblastí nebo v konkrétních jazycích
    • Blokovat zprávy na základě nastavení rozšířeného filtru spamu (ASF).
    Verdikt zásobníku filtrování Antispamové zásady umožňují Bloky zásad ochrany před spamem
    Malware Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě
    Vysoce důvěryhodný útok phishing Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě
    Útok phishing Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Akce útoku phishing v příslušných zásadách ochrany proti spamu
    Vysoká spolehlivost spamu Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
    Spam Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
    Množství Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
    Není spam Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele
  • Položky povolení v seznamu povolených/blokovaných tenantů: Existují dva typy položek povolených:

    • Úroveň zprávy umožňuje, aby položky fungovaly na celou zprávu bez ohledu na entity ve zprávě. Položky Povolit pro e-mailovou adresu a domény jsou povolené položky na úrovni zpráv.
    • Na úrovni entit umožňují položky, které se chovají podle verdiktu filtrování entit. Povolené položky pro adresy URL, zfalšované odesílatele a soubory jsou položky povolení na úrovni entity. Pokud chcete přepsat verdikty malwaru a vysoce důvěryhodného útoku phishing, musíte použít položky povolení na úrovni entity, které můžete vytvořit odesláním jenom kvůli zabezpečení ve výchozím nastavení v Microsoftu 365.
    Verdikt zásobníku filtrování Email adresa nebo doména
    Malware Filtr vyhrává: Email v karanténě
    Vysoce důvěryhodný útok phishing Filtr vyhrává: Email v karanténě
    Útok phishing Tenant vyhrává: Email doručeno do poštovní schránky
    Vysoká spolehlivost spamu Tenant vyhrává: Email doručeno do poštovní schránky
    Spam Tenant vyhrává: Email doručeno do poštovní schránky
    Množství Tenant vyhrává: Email doručeno do poštovní schránky
    Není spam Tenant vyhrává: Email doručeno do poštovní schránky
  • Blokované položky v seznamu povolených nebo blokovaných tenantů:

    Verdikt zásobníku filtrování Email adresa nebo doména Vtip Soubor URL
    Malware Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě
    Vysoce důvěryhodný útok phishing Tenant vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě
    Útok phishing Tenant vyhrává: Email v karanténě Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě
    Vysoká spolehlivost spamu Tenant vyhrává: Email v karanténě Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě
    Spam Tenant vyhrává: Email v karanténě Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě
    Množství Tenant vyhrává: Email v karanténě Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě
    Není spam Tenant vyhrává: Email v karanténě Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě

Konflikt nastavení uživatele a tenanta

Následující tabulka popisuje, jak řešit konflikty, pokud je e-mail ovlivněn uživatelským nastavením povolení/blokování a nastavením povolení/blokování tenanta:

Typ povolení nebo blokování tenanta Seznam bezpečných odesílatelů/příjemců uživatele Seznam blokovaných odesílatelů uživatele
Položky blokování v seznamu povolených nebo blokovaných tenantů pro:
  • Email adresy a domény
  • Soubory
  • Adresy URL
Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě
Blokovat položky pro zfalšované odesílatele v seznamu povolených/blokovaných tenantů Tenant vyhrává: Akce falšování informací v příslušných zásadách ochrany proti útokům phishing Tenant vyhrává: Akce falšování informací v příslušných zásadách ochrany proti útokům phishing
Pokročilé zásady doručení Uživatel vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Email doručeno do poštovní schránky
Nastavení blokování v zásadách ochrany proti spamu Uživatel vyhrává: Email doručeno do poštovní schránky Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email
Dodržovat zásady DMARC Uživatel vyhrává: Email doručeno do poštovní schránky Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email
Bloky podle pravidel toku pošty Uživatel vyhrává: Email doručeno do poštovní schránky Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email
Umožňuje:
  • Pravidla toku pošty
  • Seznam povolených IP adres (zásady filtru připojení)
  • Seznam povolených odesílatelů a domén (zásady ochrany proti spamu)
  • Seznam povolených nebo blokovaných tenantů
Uživatel vyhrává: Email doručeno do poštovní schránky Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email