Pořadí a priorita ochrany e-mailu
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
V organizacích Microsoft 365 s poštovními schránkami v Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek může být příchozí e-mail označený několika formami ochrany. Například ochrana proti falšování identity, která je dostupná všem zákazníkům Microsoftu 365, a ochrana před zosobněním, která je dostupná jenom pro Microsoft Defender pro Office 365 zákazníky. Zprávy také procházejí několika detekčními kontrolami malwaru, spamu, phishingu atd. Vzhledem k této aktivitě může docházet k nejasnostem ohledně toho, které zásady se používají.
Obecně platí, že zásady použité na zprávu jsou identifikovány v hlavičce X-Forefront-Antispam-Report ve vlastnosti CAT (Category). Další informace najdete v tématu Hlavičky antispamových zpráv.
Existují dva hlavní faktory, které určují, které zásady se na zprávu použijí:
Pořadí zpracování pro typ ochrany e-mailu: Tuto objednávku nelze konfigurovat a je popsáno v následující tabulce:
Objednávka ochrana Email Kategorie Kde spravovat 1 Malware CAT:MALW
Konfigurace antimalwarových zásad v EOP 2 Vysoce důvěryhodný útok phishing CAT:HPHSH
Konfigurace zásad ochrany proti spamu v EOP 3 Útok phishing CAT:PHSH
Konfigurace zásad ochrany proti spamu v EOP 4 Vysoká spolehlivost spamu CAT:HSPM
Konfigurace zásad ochrany proti spamu v EOP 5 Spoofing CAT:SPOOF
Přehled informací o falšování identity v EOP 6* Zosobnění uživatele (chránění uživatelé) CAT:UIMP
Konfigurace zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365 7* Zosobnění domény (chráněné domény) CAT:DIMP
Konfigurace zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365 8* Inteligentní funkce poštovní schránky (graf kontaktů) CAT:GIMP
Konfigurace zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365 9 Spam CAT:SPM
Konfigurace zásad ochrany proti spamu v EOP 10 Množství CAT:BULK
Konfigurace zásad ochrany proti spamu v EOP *Tyto funkce jsou dostupné jenom v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365.
Pořadí priorit zásad: Pořadí priorit zásad se zobrazuje v následujícím seznamu:
Zásady ochrany proti spamu, malwaru, útokům phishing, bezpečným odkazům* a bezpečným přílohám* v přísných přednastavených zásadách zabezpečení (pokud jsou povolené).
Zásady ochrany proti spamu, malwaru, útokům phishing, bezpečným odkazům* a bezpečným přílohám* ve standardních přednastavených zásadách zabezpečení (pokud jsou povolené).
Anti-phishing, bezpečné odkazy a bezpečné přílohy v Defender pro Office 365 zásady vyhodnocení (pokud jsou povolené).
Vlastní zásady ochrany proti spamu, malwaru, útokům phishing, bezpečným odkazům* a bezpečným přílohám* (při vytvoření).
Při vytváření zásad se vlastním zásadám přiřadí výchozí hodnota priority (novější se rovná vyšší hodnotě), ale hodnotu priority můžete kdykoli změnit. Tato hodnota priority má vliv na pořadí, v jakém se použijí vlastní zásady daného typu (antispam, antimalwarová ochrana, phishing atd.), ale nemá vliv na to, kde se vlastní zásady použijí v celkovém pořadí.
Stejné hodnoty:
- Zásady Bezpečné odkazy a Bezpečné přílohy v předdefinovaných zásadách* zabezpečení ochrany.
- Výchozí zásady pro antimalwarové, spamové a phishingové.
Můžete nakonfigurovat výjimky z předdefinovaných zásad zabezpečení ochrany, ale nemůžete nakonfigurovat výjimky z výchozích zásad (platí pro všechny příjemce a nemůžete je vypnout).
*pouze Defender pro Office 365.
Důležité
Pořadí priority záleží na tom, jestli máte stejného příjemce úmyslně nebo neúmyslně zahrnutého do více zásad, protože na tohoto příjemce se použije jenom první zásada tohoto typu (antispam, antimalwarový software, phishing atd.), a to bez ohledu na to, kolik dalších zásad je příjemce součástí. U příjemce se nastavení ve více zásadách nikdy nesloučí nebo zkombinuje. Příjemce není ovlivněn nastavením zbývajících zásad tohoto typu.
Například skupina s názvem "Contoso Executives" je zahrnutá v následujících zásadách:
- Přísné přednastavené zásady zabezpečení
- Vlastní antispamová zásada s hodnotou priority 0 (nejvyšší priorita)
- Vlastní antispamová zásada s hodnotou priority 1.
Která nastavení zásad ochrany proti spamu se vztahují na členy vedení společnosti Contoso? Přísné přednastavené zásady zabezpečení. Nastavení ve vlastních zásadách ochrany proti spamu jsou pro členy vedení společnosti Contoso ignorována, protože jako první se vždy použije striktní přednastavená zásada zabezpečení.
Jako další příklad si představte následující vlastní zásady ochrany proti útokům phishing v Microsoft Defender pro Office 365, které platí pro stejné příjemce, a zprávu, která obsahuje zosobnění uživatele i falšování identity:
Název zásady | Priority (Priorita) | Zosobnění uživatele | Ochrana proti falšování identity |
---|---|---|---|
Zásada A | 1 | Zapnuto | Pryč |
Zásada B | 2 | Pryč | Zapnuto |
- Zpráva je identifikována jako falšování identity, protože falšování identity (5) se vyhodnocuje před zosobněním uživatele (6) v pořadí zpracování pro typ ochrany e-mailu.
- Zásada A se použije jako první, protože má vyšší prioritu než zásada B.
- Na základě nastavení v zásadách A se se zprávou neprovedou žádné akce, protože je vypnutá ochrana proti falšování identity.
- Zpracování zásad ochrany proti phishingu se zastaví pro všechny zahrnuté příjemce, takže zásady B se nikdy nepoužijí pro příjemce, kteří jsou také v zásadách A.
Pokud chcete zajistit, aby příjemci získali požadované nastavení ochrany, postupujte podle následujících pokynů pro členství v zásadách:
- Přiřaďte menší počet uživatelů k zásadám s vyšší prioritou a větší počet uživatelů k zásadám s nižší prioritou. Nezapomeňte, že výchozí zásady se vždy použijí jako poslední.
- Nakonfigurujte zásady s vyšší prioritou tak, aby měly přísnější nebo specializovanější nastavení než zásady s nižší prioritou. Máte úplnou kontrolu nad nastavením ve vlastních a výchozích zásadách, ale nemáte kontrolu nad většinou nastavení v přednastavených zásadách zabezpečení.
- Zvažte použití menšího počtu vlastních zásad (vlastní zásady používejte jenom pro uživatele, kteří vyžadují specializovanější nastavení než standardní nebo striktní přednastavené zásady zabezpečení nebo výchozí zásady).
Dodatek
Je důležité pochopit, jak uživatel povoluje a blokuje, povoluje a blokuje tenanta a filtruje verdikty zásobníku v EOP a Defender pro Office 365 vzájemně doplňují nebo si protiřečí.
- Informace o filtrování zásobníků a jejich kombinování najdete v tématu Podrobná ochrana před hrozbami v Microsoft Defender pro Office 365.
- Jakmile zásobník filtrování určí verdikt, teprve pak se vyhodnocují zásady tenanta a jejich nakonfigurované akce.
- Pokud v seznamu bezpečných odesílatelů a blokovaných odesílatelů uživatele existuje stejná e-mailová adresa nebo doména, bude mít přednost seznam bezpečných odesílatelů.
- Pokud stejná entita (e-mailová adresa, doména, infrastruktura odesílání s falšováním identity, soubor nebo adresa URL) existuje v položce povolení a blokované položce v seznamu povolených/blokovaných klientů, má položka bloku přednost.
Uživatel povoluje a blokuje
Položky v kolekci seznamu bezpečných uživatelů (seznam bezpečných odesílatelů, seznam bezpečných příjemců a seznam blokovaných odesílatelů v každé poštovní schránce) můžou přepsat některé verdikty zásobníku filtrování, jak je popsáno v následující tabulce:
Verdikt zásobníku filtrování | Seznam bezpečných odesílatelů/příjemců uživatele | Seznam blokovaných odesílatelů uživatele |
---|---|---|
Malware | Filtr vyhrává: Email v karanténě | Filtr vyhrává: Email v karanténě |
Vysoce důvěryhodný útok phishing | Filtr vyhrává: Email v karanténě | Filtr vyhrává: Email v karanténě |
Útok phishing | Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele | Tenant vyhraje: Příslušná zásada ochrany proti spamu určuje akci. |
Vysoká spolehlivost spamu | Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele | Tenant vyhraje: Příslušná zásada ochrany proti spamu určuje akci. |
Spam | Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele | Tenant vyhraje: Příslušná zásada ochrany proti spamu určuje akci. |
Množství | Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele | Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email |
Není spam | Uživatel vyhrává: Email doručeno do složky Doručená pošta uživatele | Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email |
- V Exchange Online nemusí doména povolená v seznamu bezpečných odesílatelů fungovat, pokud je zpráva umístěna do karantény podle některé z následujících podmínek:
- Zpráva je identifikována jako malware nebo vysoce důvěryhodný phishing (malware a vysoce důvěryhodné phishingové zprávy jsou v karanténě).
- Akce v zásadách ochrany proti spamu jsou nakonfigurované tak, aby se místo přesouvání pošty do složky Nevyžádaná pošta Email přesunula do karantény.
- E-mailová adresa, adresa URL nebo soubor v e-mailové zprávě jsou také v blokované položce v seznamu povolených/blokovaných klientů.
Další informace o shromažďování bezpečných seznamů a nastavení ochrany proti nevyžádané poště u poštovních schránek uživatelů najdete v tématu Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek.
Tenant povoluje a blokuje
Tenant umožňuje a bloky můžou přepsat některé verdikty zásobníku filtrování, jak je popsáno v následujících tabulkách:
Pokročilé zásady doručování (přeskočte filtrování určených poštovních schránek SecOps a adres URL simulace útoků phishing):
Verdikt zásobníku filtrování Povolit pokročilé zásady doručení Malware Tenant vyhrává: Email doručeno do poštovní schránky Vysoce důvěryhodný útok phishing Tenant vyhrává: Email doručeno do poštovní schránky Útok phishing Tenant vyhrává: Email doručeno do poštovní schránky Vysoká spolehlivost spamu Tenant vyhrává: Email doručeno do poštovní schránky Spam Tenant vyhrává: Email doručeno do poštovní schránky Množství Tenant vyhrává: Email doručeno do poštovní schránky Není spam Tenant vyhrává: Email doručeno do poštovní schránky Pravidla toku pošty Exchange (označovaná také jako pravidla přenosu):
Verdikt zásobníku filtrování Pravidlo toku pošty umožňuje* Bloky pravidel toku pošty Malware Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě Vysoce důvěryhodný útok phishing Filtr vyhrává: Email v karanténě s výjimkou složitého směrování Filtr vyhrává: Email v karanténě Útok phishing Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Akce útoku phishing v příslušných zásadách ochrany proti spamu Vysoká spolehlivost spamu Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele Spam Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele Množství Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele Není spam Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele *Organizace, které před Microsoft 365 používají službu zabezpečení nebo zařízení třetí strany, by měly místo pravidla toku pošty SCL=-1 zvážit použití ověřovacího přijatého řetězce (ARC) (kontaktovat třetí stranu kvůli dostupnosti) a rozšířené filtrování konektorů (označované také jako výpis přeskočení). Tyto vylepšené metody omezují problémy s ověřováním e-mailů a podporují hloubkové zabezpečení e-mailů .
Seznam povolených ip adres a seznam blokovaných IP adres v zásadách filtru připojení:
Verdikt zásobníku filtrování Seznam povolených IP adres Seznam blokovaných IP adres Malware Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě Vysoce důvěryhodný útok phishing Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě Útok phishing Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Email bezobslužně vyřazeno Vysoká spolehlivost spamu Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Email bezobslužně vyřazeno Spam Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Email bezobslužně vyřazeno Množství Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Email bezobslužně vyřazeno Není spam Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Email bezobslužně vyřazeno Nastavení povolení a blokování v zásadách ochrany proti spamu:
- Seznam povolených odesílatelů a domén.
- Blokovaný odesílatel a seznam domén.
- Blokovat zprávy z konkrétních zemí nebo oblastí nebo v konkrétních jazycích
- Blokovat zprávy na základě nastavení rozšířeného filtru spamu (ASF).
Verdikt zásobníku filtrování Antispamové zásady umožňují Bloky zásad ochrany před spamem Malware Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě Vysoce důvěryhodný útok phishing Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě Útok phishing Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhrává: Akce útoku phishing v příslušných zásadách ochrany proti spamu Vysoká spolehlivost spamu Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele Spam Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele Množství Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele Není spam Tenant vyhrává: Email doručeno do poštovní schránky Tenant vyhraje: Email doručena do složky nevyžádané Email uživatele Položky povolení v seznamu povolených/blokovaných tenantů: Existují dva typy položek povolených:
- Úroveň zprávy umožňuje, aby položky fungovaly na celou zprávu bez ohledu na entity ve zprávě. Položky Povolit pro e-mailovou adresu a domény jsou povolené položky na úrovni zpráv.
- Na úrovni entit umožňují položky, které se chovají podle verdiktu filtrování entit. Povolené položky pro adresy URL, zfalšované odesílatele a soubory jsou položky povolení na úrovni entity. Pokud chcete přepsat verdikty malwaru a vysoce důvěryhodného útoku phishing, musíte použít položky povolení na úrovni entity, které můžete vytvořit odesláním jenom kvůli zabezpečení ve výchozím nastavení v Microsoftu 365.
Verdikt zásobníku filtrování Email adresa nebo doména Malware Filtr vyhrává: Email v karanténě Vysoce důvěryhodný útok phishing Filtr vyhrává: Email v karanténě Útok phishing Tenant vyhrává: Email doručeno do poštovní schránky Vysoká spolehlivost spamu Tenant vyhrává: Email doručeno do poštovní schránky Spam Tenant vyhrává: Email doručeno do poštovní schránky Množství Tenant vyhrává: Email doručeno do poštovní schránky Není spam Tenant vyhrává: Email doručeno do poštovní schránky Blokované položky v seznamu povolených nebo blokovaných tenantů:
Verdikt zásobníku filtrování Email adresa nebo doména Vtip Soubor URL Malware Filtr vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě Vysoce důvěryhodný útok phishing Tenant vyhrává: Email v karanténě Filtr vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě Útok phishing Tenant vyhrává: Email v karanténě Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě Vysoká spolehlivost spamu Tenant vyhrává: Email v karanténě Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě Spam Tenant vyhrává: Email v karanténě Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě Množství Tenant vyhrává: Email v karanténě Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě Není spam Tenant vyhrává: Email v karanténě Tenant vyhrává: Akce falšování v příslušných zásadách ochrany proti útokům phishing Tenant vyhrává: Email v karanténě Tenant vyhrává: Email v karanténě
Konflikt nastavení uživatele a tenanta
Následující tabulka popisuje, jak řešit konflikty, pokud je e-mail ovlivněn uživatelským nastavením povolení/blokování a nastavením povolení/blokování tenanta:
Typ povolení nebo blokování tenanta | Seznam bezpečných odesílatelů/příjemců uživatele | Seznam blokovaných odesílatelů uživatele |
---|---|---|
Položky blokování v seznamu povolených nebo blokovaných tenantů pro:
|
Tenant vyhrává: Email v karanténě | Tenant vyhrává: Email v karanténě |
Blokovat položky pro zfalšované odesílatele v seznamu povolených/blokovaných tenantů | Tenant vyhrává: Akce falšování informací v příslušných zásadách ochrany proti útokům phishing | Tenant vyhrává: Akce falšování informací v příslušných zásadách ochrany proti útokům phishing |
Pokročilé zásady doručení | Uživatel vyhrává: Email doručeno do poštovní schránky | Tenant vyhrává: Email doručeno do poštovní schránky |
Nastavení blokování v zásadách ochrany proti spamu | Uživatel vyhrává: Email doručeno do poštovní schránky | Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email |
Dodržovat zásady DMARC | Uživatel vyhrává: Email doručeno do poštovní schránky | Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email |
Bloky podle pravidel toku pošty | Uživatel vyhrává: Email doručeno do poštovní schránky | Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email |
Umožňuje:
|
Uživatel vyhrává: Email doručeno do poštovní schránky | Uživatel vyhraje: Email doručena do složky nevyžádané pošty uživatele Email |