Rækkefølgen og rækkefølgen af mailbeskyttelse
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående EOP-organisationer (Exchange Online Protection) uden Exchange Online postkasser kan indgående mail være markeret med flere former for beskyttelse. F.eks. beskyttelse mod spoofing, der er tilgængelig for alle Microsoft 365-kunder, og repræsentationsbeskyttelse, der kun er tilgængelig for Microsoft Defender for Office 365 kunder. Meddelelser passerer også gennem flere registreringsscanninger for malware, spam, phishing osv. På grund af al denne aktivitet kan der være en vis forvirring om, hvilken politik der anvendes.
Generelt identificeres en politik, der anvendes på en meddelelse, i headeren X-Forefront-Antispam-Report i egenskaben CAT (Category). Du kan få flere oplysninger under Brevhoveder til anti-spam.
Der er to vigtige faktorer, der bestemmer, hvilken politik der anvendes på en meddelelse:
Behandlingsrækkefølgen for mailbeskyttelsestypen: Denne rækkefølge kan ikke konfigureres, og den er beskrevet i følgende tabel:
Orden Mailbeskyttelse Kategori Hvor skal du administrere? 1 Malware CAT:MALWKonfigurer politikker for antimalware i EOP 2 Phishing med høj genkendelsessikkerhed CAT:HPHSHKonfigurer politikker mod spam i EOP 3 Phishing CAT:PHSHKonfigurer politikker mod spam i EOP 4 Spam med høj genkendelsessikkerhed CAT:HSPMKonfigurer politikker mod spam i EOP 5 Spoofing CAT:SPOOFSpoof intelligence-indsigt i EOP 6* Repræsentation af brugere (beskyttede brugere) CAT:UIMPKonfigurer politikker til bekæmpelse af phishing i Microsoft Defender for Office 365 7* Repræsentation af domæne (beskyttede domæner) CAT:DIMPKonfigurer politikker til bekæmpelse af phishing i Microsoft Defender for Office 365 8* Postkasseintelligens (kontaktgraf) CAT:GIMPKonfigurer politikker til bekæmpelse af phishing i Microsoft Defender for Office 365 9 Spam CAT:SPMKonfigurer politikker mod spam i EOP 10 Bulk CAT:BULKKonfigurer politikker mod spam i EOP *Disse funktioner er kun tilgængelige i politikker til bekæmpelse af phishing i Microsoft Defender for Office 365.
Prioritetsrækkefølgen for politikker: Politikprioritetsrækkefølgen vises på følgende liste:
Politikkerne for anti-spam, antimalware, anti-phishing, sikre links* og vedhæftede filer* i den strenge forudindstillede sikkerhedspolitik (når den er aktiveret).
Politikkerne for anti-spam, antimalware, anti-phishing, sikre links* og sikre vedhæftede filer* i den forudindstillede standard sikkerhedspolitik (når den er aktiveret).
Brugerdefinerede politikker for anti-spam, antimalware, anti-phishing, sikre links* og vedhæftede filer* (når de er oprettet).
Brugerdefinerede politikker tildeles en standardværdi, når du opretter politikken (nyere er lig med højere), men du kan når som helst ændre prioritetsværdien. Denne prioritetsværdi påvirker den rækkefølge, som brugerdefinerede politikker af denne type (anti-spam, anti-malware, anti-phishing osv.) anvendes på, men ikke påvirker, hvor brugerdefinerede politikker anvendes i den overordnede rækkefølge.
Anti-phishing, Sikre links og Vedhæftede filer i Defender for Office 365 evalueringspolitikker (når det er aktiveret).
Af samme værdi:
- Politikkerne Sikre links og Sikre vedhæftede filer i den forudindstillede sikkerhedspolitik* for indbygget beskyttelse.
- Standardpolitikkerne for antimalware, spam og anti-phishing.
Du kan konfigurere undtagelser for den forudindstillede sikkerhedspolitik for indbygget beskyttelse, men du kan ikke konfigurere undtagelser for standardpolitikkerne (de gælder for alle modtagere, og du kan ikke slå dem fra).
*kun Defender for Office 365.
Prioritetsrækkefølgen er vigtig, hvis du har den samme modtager bevidst eller utilsigtet inkluderet i flere politikker, fordi kun den første politik af den type (anti-spam, anti-malware, anti-phishing osv.) anvendes på den pågældende modtager, uanset hvor mange andre politikker modtageren er inkluderet i. Der er aldrig nogen fletning eller kombination af indstillingerne i flere politikker for modtageren. Modtageren påvirkes ikke af indstillingerne for de resterende politikker af den pågældende type.
Gruppen med navnet "Contoso Executives" er f.eks. inkluderet i følgende politikker:
- Den strenge forudindstillede sikkerhedspolitik
- En brugerdefineret politik mod spam med prioritetsværdien 0 (højeste prioritet)
- En brugerdefineret spampolitik med prioritetsværdien 1.
Hvilke indstillinger for politik for spam anvendes på medlemmerne af Contoso Executives? Den forudindstillede sikkerhedspolitik Strict. Indstillingerne i de brugerdefinerede politikker for spam ignoreres for medlemmerne af Contoso Executives, fordi den forudindstillede sikkerhedspolitik Strict altid anvendes først.
Som et andet eksempel kan du overveje følgende brugerdefinerede politikker til bekæmpelse af phishing i Microsoft Defender for Office 365, der gælder for de samme modtagere, og en meddelelse, der indeholder både brugerrepræsentation og spoofing:
| Politiknavn | Prioritet | Bruger repræsenter | Anti-spoofing |
|---|---|---|---|
| Politik A | 1 | Til | Af |
| Politik B | 2 | Af | Til |
- Meddelelsen identificeres som spoofing, fordi spoofing (5) evalueres før brugerrepræsentation (6) i behandlingsrækkefølgen for mailbeskyttelsestypen.
- Politik A anvendes først, fordi den har en højere prioritet end Politik B.
- På baggrund af indstillingerne i Politik A udføres der ingen handling på meddelelsen, fordi anti-spoofing er slået fra.
- Behandlingen af anti-phishing-politikker stopper for alle inkluderede modtagere, så Politik B anvendes aldrig på modtagere, der også er i Politik A.
Hvis du vil sikre dig, at modtagerne får de ønskede beskyttelsesindstillinger, skal du bruge følgende retningslinjer for politikmedlemskaber:
- Tildel et mindre antal brugere til politikker med højere prioritet, og et større antal brugere til politikker med lavere prioritet. Husk, at standardpolitikker altid anvendes sidst.
- Konfigurer politikker med højere prioritet for at have strengere eller mere specialiserede indstillinger end politikker med lavere prioritet. Du har fuld kontrol over indstillingerne i brugerdefinerede politikker og standardpolitikker, men du har ingen kontrol over de fleste indstillinger i forudindstillede sikkerhedspolitikker.
- Overvej at bruge færre brugerdefinerede politikker (brug kun brugerdefinerede politikker for brugere, der kræver mere specialiserede indstillinger end standard- eller strict-forudindstillede sikkerhedspolitikker eller standardpolitikkerne).
Tillæg
Det er vigtigt at forstå, hvordan brugeren tillader og blokerer, lejer tillader og blokerer samt filtrerer stakafsigelser i EOP og Defender for Office 365 komplementerer eller modsiger hinanden.
- Du kan få oplysninger om filtrering af stakke, og hvordan de kombineres, under Trinvis trusselsbeskyttelse i Microsoft Defender for Office 365.
- Når filtreringsstakken bestemmer en dom, evalueres lejerpolitikker og deres konfigurerede handlinger først derefter.
- Hvis den samme mailadresse eller det samme domæne findes på en brugers liste over afsendere, der er tillid til, og listen Over blokerede afsendere, har listen Afsendere, der er tillid til, forrang.
- Hvis den samme enhed (mailadresse, domæne, spoofed afsendelsesinfrastruktur, fil eller URL-adresse) findes i en tilladelsespost og en blokpost på listen over tilladte/blokerede lejere, har blokposten forrang.
Brugeren tillader og blokerer
Poster i en brugers samling af lister over sikre lister (listen Afsendere, der er tillid til, listen Modtagere, der er tillid til og listen Over blokerede afsendere i hver postkasse) kan tilsidesætte nogle af de filtrerede stakafsigelser, som beskrevet i følgende tabel:
| Filtrerer stak dom | Listen Afsendere/modtagere, der er tillid til for brugeren | Liste over blokerede afsendere for brugeren |
|---|---|---|
| Malware | Filtervinding: Mail er sat i karantæne | Filtervinding: Mail er sat i karantæne |
| Phishing med høj genkendelsessikkerhed | Filtervinding: Mail er sat i karantæne | Filtervinding: Mail er sat i karantæne |
| Phishing | Vinder bruger: Mail leveret til brugerens indbakke | Lejer vinder: Den relevante politik for anti-spam bestemmer handlingen |
| Spam med høj genkendelsessikkerhed | Vinder bruger: Mail leveret til brugerens indbakke | Lejer vinder: Den relevante politik for anti-spam bestemmer handlingen |
| Spam | Vinder bruger: Mail leveret til brugerens indbakke | Lejer vinder: Den relevante politik for anti-spam bestemmer handlingen |
| Bulk | Vinder bruger: Mail leveret til brugerens indbakke | Bruger vinder: Mail leveret til brugerens mappe med uønsket mail |
| Ikke spam | Vinder bruger: Mail leveret til brugerens indbakke | Bruger vinder: Mail leveret til brugerens mappe med uønsket mail |
- I Exchange Online fungerer domænet muligvis ikke på listen afsender, der er tillid til, hvis meddelelsen er sat i karantæne af en af følgende betingelser:
- Meddelelsen identificeres som malware eller phishing med høj genkendelsessikkerhed (malware og phishing-meddelelser med høj genkendelsessikkerhed er sat i karantæne).
- Handlinger i politikker til bekæmpelse af spam er konfigureret til at sætte mail i karantæne i stedet for at flytte mail til mappen Uønsket mail.
- Mailadressen, URL-adressen eller filen i mailen er også i en blokpost på listen over tilladte/blokerede lejere.
Du kan få flere oplysninger om indsamling af sikre lister og indstillinger for spam på brugerpostkasser under Konfigurer indstillinger for uønsket mail på Exchange Online postkasser.
Lejer tillader og blokerer
Lejer tillader det, og blokke kan tilsidesætte nogle af dommene i filtreringsstakken, som beskrevet i følgende tabeller:
Avanceret leveringspolitik (spring filtrering over for udpegede SecOps-postkasser og URL-adresser til phishing-simulering):
Filtrerer stak dom Tillad avanceret leveringspolitik Malware Lejer vinder: Mail leveret til postkasse Phishing med høj genkendelsessikkerhed Lejer vinder: Mail leveret til postkasse Phishing Lejer vinder: Mail leveret til postkasse Spam med høj genkendelsessikkerhed Lejer vinder: Mail leveret til postkasse Spam Lejer vinder: Mail leveret til postkasse Bulk Lejer vinder: Mail leveret til postkasse Ikke spam Lejer vinder: Mail leveret til postkasse Exchange-regler for mailflow (også kaldet transportregler):
Filtrerer stak dom Regel for mailflow tillader* Regelblokke for mailflow Malware Filtervinding: Mail er sat i karantæne Filtervinding: Mail er sat i karantæne Phishing med høj genkendelsessikkerhed Filtergevinster: Mail er sat i karantæne undtagen i kompleks routing Filtervinding: Mail er sat i karantæne Phishing Lejer vinder: Mail leveret til postkasse Lejer vinder: Phishing-handling i den relevante politik mod spam Spam med høj genkendelsessikkerhed Lejer vinder: Mail leveret til postkasse Lejer vinder: Mail leveret til brugerens mappe med uønsket mail Spam Lejer vinder: Mail leveret til postkasse Lejer vinder: Mail leveret til brugerens mappe med uønsket mail Bulk Lejer vinder: Mail leveret til postkasse Lejer vinder: Mail leveret til brugerens mappe med uønsket mail Ikke spam Lejer vinder: Mail leveret til postkasse Lejer vinder: Mail leveret til brugerens mappe med uønsket mail * Organisationer, der bruger en tredjepartssikkerhedstjeneste eller -enhed foran Microsoft 365, bør overveje at bruge Godkendt modtaget kæde (ARC) (kontakt tredjeparten for at få adgang) og Forbedret filtrering for forbindelser (også kendt som skip listing) i stedet for en regel for SCL=-1-mailflow. Disse forbedrede metoder reducerer problemer med mailgodkendelse og opfordrer til dybdegående mailsikkerhed .
Ip-liste og IP-blokeringsliste i forbindelsesfilterpolitikker:
Filtrerer stak dom Liste over tilladte IP-adresser IP-blokliste Malware Filtervinding: Mail er sat i karantæne Filtervinding: Mail er sat i karantæne Phishing med høj genkendelsessikkerhed Filtervinding: Mail er sat i karantæne Filtervinding: Mail er sat i karantæne Phishing Lejer vinder: Mail leveret til postkasse Vinder lejer: Mail blev slettet automatisk Spam med høj genkendelsessikkerhed Lejer vinder: Mail leveret til postkasse Vinder lejer: Mail blev slettet automatisk Spam Lejer vinder: Mail leveret til postkasse Vinder lejer: Mail blev slettet automatisk Bulk Lejer vinder: Mail leveret til postkasse Vinder lejer: Mail blev slettet automatisk Ikke spam Lejer vinder: Mail leveret til postkasse Vinder lejer: Mail blev slettet automatisk Tillad og bloker indstillinger i politikker for spam:
- Tilladt afsender og domæneliste.
- Blokeret afsender- og domæneliste.
- Bloker meddelelser fra bestemte lande/områder eller på bestemte sprog.
- Bloker meddelelser baseret på avancerede indstillinger for spamfilter (ASF).
Filtrerer stak dom Politik for bekæmpelse af spam tillader Politikblokke for bekæmpelse af spam Malware Filtervinding: Mail er sat i karantæne Filtervinding: Mail er sat i karantæne Phishing med høj genkendelsessikkerhed Filtervinding: Mail er sat i karantæne Filtervinding: Mail er sat i karantæne Phishing Lejer vinder: Mail leveret til postkasse Lejer vinder: Phishing-handling i den relevante politik mod spam Spam med høj genkendelsessikkerhed Lejer vinder: Mail leveret til postkasse Lejer vinder: Mail leveret til brugerens mappe med uønsket mail Spam Lejer vinder: Mail leveret til postkasse Lejer vinder: Mail leveret til brugerens mappe med uønsket mail Bulk Lejer vinder: Mail leveret til postkasse Lejer vinder: Mail leveret til brugerens mappe med uønsket mail Ikke spam Lejer vinder: Mail leveret til postkasse Lejer vinder: Mail leveret til brugerens mappe med uønsket mail Tillad poster på listen over tilladte/blokerede lejere: Der er to typer tilladte poster:
- Meddelelsesniveau tillader, at poster fungerer på hele meddelelsen, uanset hvilke enheder der er i meddelelsen. Tillad poster for mailadresse og domæner er tilladte poster på meddelelsesniveau.
- På enhedsniveau kan poster reagere på en enheds filtreringsafsigelse. Tillad poster for URL-adresser, forfalskede afsendere og filer er tilladte poster på enhedsniveau. Hvis du vil tilsidesætte phishing-domme med høj sikkerhed og malware, skal du bruge tilladelsesposter på enhedsniveau, som du kun kan oprette ved indsendelse på grund af Secure som standard i Microsoft 365.
Filtrerer stak dom Mailadresse/domæne Malware Filtervinding: Mail er sat i karantæne Phishing med høj genkendelsessikkerhed Filtervinding: Mail er sat i karantæne Phishing Lejer vinder: Mail leveret til postkasse Spam med høj genkendelsessikkerhed Lejer vinder: Mail leveret til postkasse Spam Lejer vinder: Mail leveret til postkasse Bulk Lejer vinder: Mail leveret til postkasse Ikke spam Lejer vinder: Mail leveret til postkasse Bloker poster på lejerlisten tillad/bloker:
Filtrerer stak dom Mailadresse/domæne Spoof Filer URL-adresse Malware Filtervinding: Mail er sat i karantæne Filtervinding: Mail er sat i karantæne Vinder lejer: E-mail er sat i karantæne Filtervinding: Mail er sat i karantæne Phishing med høj genkendelsessikkerhed Vinder lejer: E-mail er sat i karantæne Filtervinding: Mail er sat i karantæne Vinder lejer: E-mail er sat i karantæne Vinder lejer: E-mail er sat i karantæne Phishing Vinder lejer: E-mail er sat i karantæne Lejer vinder: Spoof-handling i den relevante anti-phishing-politik Vinder lejer: E-mail er sat i karantæne Vinder lejer: E-mail er sat i karantæne Spam med høj genkendelsessikkerhed Vinder lejer: E-mail er sat i karantæne Lejer vinder: Spoof-handling i den relevante anti-phishing-politik Vinder lejer: E-mail er sat i karantæne Vinder lejer: E-mail er sat i karantæne Spam Vinder lejer: E-mail er sat i karantæne Lejer vinder: Spoof-handling i den relevante anti-phishing-politik Vinder lejer: E-mail er sat i karantæne Vinder lejer: E-mail er sat i karantæne Bulk Vinder lejer: E-mail er sat i karantæne Lejer vinder: Spoof-handling i den relevante anti-phishing-politik Vinder lejer: E-mail er sat i karantæne Vinder lejer: E-mail er sat i karantæne Ikke spam Vinder lejer: E-mail er sat i karantæne Lejer vinder: Spoof-handling i den relevante anti-phishing-politik Vinder lejer: E-mail er sat i karantæne Vinder lejer: E-mail er sat i karantæne
Der er konflikt mellem bruger- og lejerindstillinger
I følgende tabel beskrives det, hvordan konflikter løses, hvis en mail påvirkes af både brugerindstillinger for tillad/bloker og indstillinger for lejerens tilladelse/blokering:
| Type af lejer tillad/bloker | Listen Afsendere/modtagere, der er tillid til for brugeren | Liste over blokerede afsendere for brugeren |
|---|---|---|
Bloker poster på lejerlisten tillad/bloker for:
|
Vinder lejer: E-mail er sat i karantæne | Vinder lejer: E-mail er sat i karantæne |
| Bloker poster for spoofede afsendere på listen over tilladte/blokerede lejere | Lejer vinder: Spoof intelligence-handling i den relevante anti-phishing-politik | Lejer vinder: Spoof intelligence-handling i den relevante anti-phishing-politik |
| Avanceret leveringspolitik | Vinder bruger: Mail leveret til postkasse | Lejer vinder: Mail leveret til postkasse |
| Bloker indstillinger i politikker mod spam | Vinder bruger: Mail leveret til postkasse | Bruger vinder: Mail leveret til brugerens mappe med uønsket mail |
| Honor DMARC-politik | Vinder bruger: Mail leveret til postkasse | Bruger vinder: Mail leveret til brugerens mappe med uønsket mail |
| Blokke efter regler for mailflow | Vinder bruger: Mail leveret til postkasse | Bruger vinder: Mail leveret til brugerens mappe med uønsket mail |
Tillader af:
|
Vinder bruger: Mail leveret til postkasse | Bruger vinder: Mail leveret til brugerens mappe med uønsket mail |