Create seznamů bezpečných odesílatelů v EOP

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Pokud jste zákazníkEm Microsoftu 365 s poštovními schránkami v Exchange Online nebo samostatným zákazníkem Exchange Online Protection (EOP) bez Exchange Online poštovních schránek, nabízí EOP několik způsobů, jak zajistit, aby uživatelé dostávali e-maily od důvěryhodných odesílatelů. Souhrnně si tyto možnosti můžete představit jako seznamy bezpečných odesílatelů.

Dostupné seznamy bezpečných odesílatelů jsou popsány v následujícím seznamu v pořadí od nejvíce doporučených po nejméně doporučené:

  1. Povolit položky pro domény a e-mailové adresy (včetně zfalšovaných odesílatelů) v seznamu povolených/blokovaných tenantů
  2. Pravidla toku pošty (označovaná také jako pravidla přenosu)
  3. Bezpeční odesílatelé Outlooku (seznam bezpečných odesílatelů, který je uložený v každé poštovní schránce, která ovlivňuje jenom tuto poštovní schránku).
  4. Seznam povolených IP adres (filtrování připojení)
  5. Seznamy povolených odesílatelů nebo povolené seznamy domén (zásady ochrany proti spamu)

Zbytek tohoto článku obsahuje specifika o jednotlivých metodách.

Důležité

Zprávy, které jsou identifikovány jako malware* nebo vysoce důvěryhodný phishing, se vždy umístí do karantény bez ohledu na možnost seznamu bezpečných odesílatelů, kterou používáte. Další informace najdete v tématu Zabezpečení ve výchozím nastavení v Office 365.

* Filtrování malwaru je vynecháno u poštovních schránek SecOps, které jsou identifikovány v pokročilých zásadách doručování. Další informace najdete v tématu Konfigurace pokročilých zásad doručování pro simulace útoků phishing třetích stran a doručování e-mailů do poštovních schránek SecOps.

Pečlivě sledujte všechny výjimky, které uděláte z filtrování spamu pomocí seznamů bezpečných odesílatelů.

Zprávy v seznamech bezpečných odesílatelů vždy odesílejte microsoftu k analýze. Pokyny najdete v tématu Nahlášení dobrého e-mailu microsoftu. Pokud jsou zprávy nebo zdroje zpráv určeny jako neškodné, microsoft může zprávy automaticky povolit a vy nebudete muset položky ručně udržovat v seznamech bezpečných odesílatelů.

Místo povolení e-mailu máte také několik možností blokovat e-maily z konkrétních zdrojů pomocí seznamů blokovaných odesílatelů. Další informace najdete v tématu Create blokování seznamů odesílatelů v EOP.

Použití položek povolených v seznamu povolených/blokovaných tenantů

Naše číslo jedna doporučené možnosti, jak povolit poštu od odesílatelů nebo domén, je seznam povolených/blokovaných tenantů. Pokyny najdete v tématu Create povolit položky pro domény a e-mailové adresy aCreate povolit položky pro zfalšované odesílatele.

Pouze pokud z nějakého důvodu nemůžete použít seznam povolených nebo blokovaných tenantů, měli byste zvážit použití jiné metody povolení odesílatelů.

Použití pravidel toku pošty

Poznámka

K určení interního odesílatele jako bezpečného odesílatele nemůžete použít záhlaví zpráv a pravidla toku pošty. Postupy v této části fungují pouze pro externí odesílatele.

Pravidla toku pošty v Exchange Online a samostatné EOP používají podmínky a výjimky k identifikaci zpráv a akce k určení toho, co se má s těmito zprávami udělat. Další informace najdete v tématu Pravidla toku pošty (pravidla přenosu) v Exchange Online.

Následující příklad předpokládá, že k přeskočení filtrování spamu potřebujete e-maily od contoso.com. Provedete to tak, že nakonfigurujete následující nastavení:

  1. Podmínka: Doména odesílatele>je> contoso.com.

  2. Nakonfigurujte některé z následujících nastavení:

    • Podmínka pravidla toku pošty: Záhlaví> zprávyobsahují některá z těchto slov:

      • Název hlavičky: Authentication-Results
      • Hodnota záhlaví: dmarc=pass nebo dmarc=bestguesspass (přidejte obě hodnoty).

      Tato podmínka zkontroluje stav ověřování e-mailu odesílající e-mailové domény, aby se zajistilo, že odesílající doména není zfalšovaná. Další informace o ověřování e-mailů najdete v tématu SPF, DKIM a DMARC.

    • Seznam povolených IP adres: Zadejte zdrojovou IP adresu nebo rozsah adres v zásadách filtru připojení. Pokyny najdete v tématu Konfigurace filtrování připojení.

      Toto nastavení použijte, pokud odesílající doména nepoužívá ověřování e-mailu. Pokud jde o zdrojové IP adresy v seznamu povolených IP adres, buďte co nejvíce omezující. Doporučujeme rozsah IP adres /24 nebo menší (méně je lepší). Nepoužívejte rozsahy IP adres, které patří do služeb uživatelů (například outlook.com) nebo do sdílených infrastruktur.

    Důležité

    • Nikdy nekonfigurujte pravidla toku pošty s podmínkou pro přeskočení filtrování spamu pouze s doménou odesílatele. Tím se výrazně zvýší pravděpodobnost, že útočníci zfalšují odesílající doménu (nebo zosobní celou e-mailovou adresu), přeskočí veškeré filtrování spamu a přeskočí kontroly ověřování odesílatele, aby zpráva dorazí do složky Doručená pošta příjemce.

    • Jako podmínky v pravidlech toku pošty nepoužívejte domény, které vlastníte (označované také jako akceptované domény) nebo oblíbené domény (například microsoft.com). To je považováno za vysoce rizikové, protože to vytváří příležitosti pro útočníky posílat e-maily, které by jinak byly filtrované.

    • Pokud povolíte IP adresu, která je za bránou překladu adres (NAT), musíte znát servery, které jsou součástí fondu PŘEKLADU ADRES, abyste věděli o rozsahu seznamu povolených IP adres. IP adresy a účastníci překladu adres (NAT) se můžou změnit. V rámci standardních postupů údržby musíte pravidelně kontrolovat položky seznamu povolených IP adres.

  3. Volitelné podmínky:

    • Odesílatel>je interní/externí>Mimo organizaci: Tato podmínka je implicitní, ale je v pořádku ji použít k zohlednění místních e-mailových serverů, které nemusí být správně nakonfigurované.
    • Předmět nebo text>předmět nebo text obsahuje kterákoli z těchto slov><>klíčová slova: Pokud můžete zprávy dále omezit podle klíčových slov nebo frází v řádku předmětu nebo textu zprávy, můžete tato slova použít jako podmínku.

  4. Akce: Nakonfigurujte v pravidle obě následující akce:

    1. Úprava vlastností> zprávynastavení úrovně spolehlivosti spamu (SCL)>Obejití filtrování spamu

    2. Úprava vlastností> zprávynastavit záhlaví zprávy:

      • Název hlavičkyX-ETR: Například .
      • Hodnota záhlaví: Například Bypass spam filtering for authenticated sender 'contoso.com'.

      Pokud máte v pravidlu víc než jednu doménu, můžete podle potřeby přizpůsobit text záhlaví.

Když zpráva přeskočí filtrování spamu kvůli pravidlu toku pošty, SFV:SKN hodnota se označí v záhlaví X-Forefront-Antispam-Report . Pokud zpráva pochází ze zdroje, který je na seznamu povolených IP adres, přidá se také hodnota IPV:CAL . Tyto hodnoty vám můžou pomoct s řešením potíží.

Příklad nastavení pravidla toku pošty v novém EAC pro obejití filtrování spamu

Použití bezpečných odesílatelů Outlooku

Upozornění

Tato metoda vytváří vysoké riziko, že útočníci úspěšně doručí e-maily do složky Doručená pošta, které by jinak byly filtrovány; Pokud je však zpráva z položky v seznamech bezpečných odesílatelů nebo bezpečných domén uživatele označena jako malware nebo vysoce důvěryhodný útok phishing, zpráva se vyfiltruje.

Místo nastavení organizace můžou uživatelé nebo správci přidávat e-mailové adresy odesílatelů do seznamu Bezpeční odesílatelé v poštovní schránce. Pokyny najdete v tématu Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek v Office 365. Položky seznamu bezpečných odesílatelů v poštovní schránce ovlivňují jenom tuto poštovní schránku.

Tato metoda není ve většině situací žádoucí, protože odesílatelé budou obcházet části zásobníku filtrování. I když odesílateli důvěřujete, může být i nadále ohrožen a odesílat škodlivý obsah. Měli byste nechat naše filtry, aby zkontrolovaly každou zprávu, a pak nahlásit falešně pozitivní nebo negativní zprávu Microsoftu , pokud se nám to nepovedlo. Obejití zásobníku filtrování také koliduje s automatickým vyprázdněním (ZAP) nulou.

Pokud zprávy přeskočí filtrování spamu kvůli položkám v seznamu bezpečných odesílatelů uživatele, pole hlavičky X-Forefront-Antispam-Report bude obsahovat hodnotu SFV:SFE, která označuje, že filtrování spamu, falšování identity a phishingu (ne vysoce důvěryhodných phishing) bylo vynecháno.

Poznámky:

  • V Exchange Online to, jestli položky v seznamu bezpečných odesílatelů fungují nebo nefungují, závisí na verdiktu a akci v zásadách, které zprávu identifikovaly:
    • Přesunout zprávy do složky Nevyžádaná pošta Email: Položky domény a e-mailové adresy odesílatele jsou respektovány. Zprávy od těchto odesílatelů se nepřesouvají do složky Nevyžádaná pošta Email.
    • Karanténa: Položky domény nejsou respektovány (zprávy od těchto odesílatelů jsou v karanténě). Email položky adresy jsou respektovány (zprávy od těchto odesílatelů nejsou v karanténě), pokud platí některé z následujících tvrzení:
      • Zpráva není identifikována jako malware nebo vysoce důvěryhodný phishing (malware a vysoce důvěryhodné phishingové zprávy jsou v karanténě).
      • E-mailová adresa není také v blokované položce v seznamu povolených/blokovaných tenantů.
  • Položky blokovaných odesílatelů a blokovaných domén jsou respektovány (zprávy od těchto odesílatelů se přesunou do složky Nevyžádaná pošta Email). Nastavení seznamu bezpečných adresátů se ignorují.

Použití seznamu povolených IP adres

Upozornění

Bez dalšího ověření, jako jsou pravidla toku pošty, e-maily ze zdrojů v seznamu povolených IP adres přeskočí kontroly filtrování spamu a ověřování odesílatele (SPF, DKIM, DMARC). Tento výsledek vytváří vysoké riziko, že útočníci úspěšně doručí e-maily do složky Doručená pošta, které by jinak byly filtrovány; Pokud je však zpráva z položky v seznamu povolených IP adres označena jako malware nebo vysoce důvěryhodný phishing, zpráva se vyfiltruje.

Další nejlepší možností je přidat zdrojový e-mailový server nebo servery do seznamu povolených IP adres v zásadách filtru připojení. Podrobnosti najdete v tématu Konfigurace filtrování připojení v EOP.

Poznámky:

  • Je důležité, abyste zachovali minimální počet povolených IP adres, abyste se vyhnuli používání celých rozsahů IP adres, kdykoli je to možné.
  • Nepoužívejte rozsahy IP adres, které patří do služeb uživatelů (například outlook.com) nebo do sdílených infrastruktur.
  • Pravidelně kontrolujte položky v seznamu povolených IP adres a odstraňte položky, které už nepotřebujete.

Použití seznamů povolených odesílatelů nebo seznamů povolených domén

Upozornění

Tato metoda vytváří vysoké riziko, že útočníci úspěšně doručí e-maily do složky Doručená pošta, které by jinak byly filtrovány; Pokud se však zpráva z položky v seznamu povolených odesílatelů nebo povolených domén určí jako malware nebo vysoce důvěryhodný phishing, zpráva se vyfiltruje.

Nepoužívejte oblíbené domény (například microsoft.com) v seznamech povolených domén.

Nejméně žádoucí možností je použít seznamy povolených odesílatelů nebo seznamy povolených domén v zásadách ochrany proti spamu. Této možnosti byste se měli vyhnout , pokud je to vůbec možné , protože odesílatelé obcházejí veškerou nevyžádanou poštu, falšování identity, ochranu před útoky phishing (s výjimkou vysoce důvěryhodných útoků phishing) a ověřování odesílatelů (SPF, DKIM, DMARC). Tato metoda se nejlépe používá pouze pro dočasné testování. Podrobný postup najdete v tématu Konfigurace zásad ochrany proti spamu v EOP .

Maximální limit pro tyto seznamy je přibližně 1 000 položek; i když na portálu budete moct zadat jenom 30 položek. K přidání více než 30 položek musíte použít PowerShell.

Poznámka

Od září 2022 platí, že pokud je povolený odesílatel, doména nebo subdoména ve vaší organizaci v akceptované doméně , musí tento odesílatel, doména nebo subdoména projít ověřovacími kontrolami e-mailu , aby bylo možné přeskočit filtrování proti spamu.

Důležité informace o hromadném e-mailu

Standardní e-mailová zpráva SMTP se skládá z obálky zprávy a obsahu zprávy. Obálka zprávy obsahuje informace potřebné k přenosu a doručení zprávy mezi servery SMTP. Obsah zprávy obsahuje pole záhlaví zprávy (souhrnně označované jako záhlaví zprávy) a text zprávy. Obálka zprávy je popsána v dokumentu RFC 5321 a záhlaví zprávy je popsáno v dokumentu RFC 5322. Příjemci nikdy neuvidí skutečnou obálku zprávy, protože je vygenerovaná procesem přenosu zprávy a ve skutečnosti není součástí zprávy.

  • Adresa 5321.MailFrom (označovaná také jako adresa MAIL FROM , odesílatel P1 nebo odesílatel obálky) je e-mailová adresa, která se používá při přenosu zprávy protokolem SMTP. Tato e-mailová adresa je obvykle zaznamenána v poli Hlavička return-path v záhlaví zprávy (i když odesílatel může určit jinou e-mailovou adresu Return-Path ). Pokud zprávu nelze doručit, je příjemcem oznámení o nedoručení (označované také jako oznámení o nedoručení nebo nedoručitelnosti).
  • Adresa (označovaná 5322.From také jako adresa odesílatele nebo odesílatel P2) je e-mailová adresa v záhlaví Od a je e-mailová adresa odesílatele, která se zobrazuje v e-mailových klientech.

Adresy a 5322.From jsou často 5321.MailFrom stejné (komunikace mezi osobami). Pokud se ale e-mail posílá jménem někoho jiného, můžou se adresy lišit. Nejčastěji k tomu dochází u hromadných e-mailových zpráv.

Předpokládejme například, že společnost Blue Yonder Airlines najala společnost Margie's Travel, aby posílala reklamní e-mailové zprávy. Zpráva, kterou dostanete do složky Doručená pošta, má následující vlastnosti:

  • Adresa 5321.MailFrom je blueyonder.airlines@margiestravel.com.
  • Adresa 5322.From je blueyonder@news.blueyonderairlines.com, což je to, co vidíte v Outlooku.

Seznamy bezpečných odesílatelů a seznamy bezpečných domén v zásadách ochrany proti spamu v EOP kontrolují 5322.From pouze adresy. Toto chování se podobá bezpečným odesílatelům aplikace Outlook, kteří používají tuto 5322.From adresu.

Pokud chcete zabránit filtrování této zprávy, můžete provést následující kroky:

  • Přidejte blueyonder@news.blueyonderairlines.com (adresu 5322.From ) jako bezpečného odesílatele Outlooku.
  • Použijte pravidlo toku pošty s podmínkou, která hledá zprávy od blueyonder@news.blueyonderairlines.com ( 5322.From adresa), blueyonder.airlines@margiestravel.com ( 5321.MailFrom adresa) nebo obojí.