Rækkefølgen og rækkefølgen af mailbeskyttelse

• Gælder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående EOP-organisationer (Exchange Online Protection) uden Exchange Online postkasser kan indgående mail være markeret med flere former for beskyttelse. F.eks. beskyttelse mod spoofing, der er tilgængelig for alle Microsoft 365-kunder, og repræsentationsbeskyttelse, der kun er tilgængelig for Microsoft Defender for Office 365 kunder. Meddelelser passerer også gennem flere registreringsscanninger for malware, spam, phishing osv. På grund af al denne aktivitet kan der være en vis forvirring om, hvilken politik der anvendes.

Generelt identificeres en politik, der anvendes på en meddelelse, i headeren X-Forefront-Antispam-Report i egenskaben CAT (Category). Du kan få flere oplysninger under Brevhoveder til anti-spam.

Der er to vigtige faktorer, der bestemmer, hvilken politik der anvendes på en meddelelse:

• Behandlingsrækkefølgen for mailbeskyttelsestypen: Denne rækkefølge kan ikke konfigureres, og den er beskrevet i følgende tabel:

  Rækkefølge	Mailbeskyttelse	Kategori	Hvor skal du administrere?
  1	Malware	CAT:MALW	Konfigurer politikker for antimalware i EOP
  2	Phishing med høj genkendelsessikkerhed	CAT:HPHSH	Konfigurer politikker mod spam i EOP
  3	Phishing	CAT:PHSH	Konfigurer politikker mod spam i EOP
  4	Spam med høj genkendelsessikkerhed	CAT:HSPM	Konfigurer politikker mod spam i EOP
  5	Spoofing	CAT:SPOOF	Spoof intelligence-indsigt i EOP
  6*	Repræsentation af brugere (beskyttede brugere)	CAT:UIMP	Konfigurer politikker til bekæmpelse af phishing i Microsoft Defender for Office 365
  7*	Repræsentation af domæne (beskyttede domæner)	CAT:DIMP	Konfigurer politikker til bekæmpelse af phishing i Microsoft Defender for Office 365
  8*	Postkasseintelligens (kontaktgraf)	CAT:GIMP	Konfigurer politikker til bekæmpelse af phishing i Microsoft Defender for Office 365
  9	Spam	CAT:SPM	Konfigurer politikker mod spam i EOP
  10	Bulk	CAT:BULK	Konfigurer politikker mod spam i EOP

  ^*Disse funktioner er kun tilgængelige i politikker til bekæmpelse af phishing i Microsoft Defender for Office 365.

• Prioritetsrækkefølgen for politikker: Politikprioritetsrækkefølgen vises på følgende liste:

  1. Politikkerne for anti-spam, antimalware, anti-phishing, sikre links^* og vedhæftede filer^* i den strenge forudindstillede sikkerhedspolitik (når den er aktiveret).

  2. Politikkerne for anti-spam, antimalware, anti-phishing, sikre links^* og sikre vedhæftede filer^* i den forudindstillede standard sikkerhedspolitik (når den er aktiveret).

  3. Anti-phishing, Sikre links og Vedhæftede filer i Defender for Office 365 evalueringspolitikker (når det er aktiveret).

  4. Brugerdefinerede politikker for anti-spam, antimalware, anti-phishing, sikre links^* og vedhæftede filer^* (når de er oprettet).

     Brugerdefinerede politikker tildeles en standardværdi, når du opretter politikken (nyere er lig med højere), men du kan når som helst ændre prioritetsværdien. Denne prioritetsværdi påvirker den rækkefølge, som brugerdefinerede politikker af denne type (anti-spam, anti-malware, anti-phishing osv.) anvendes på, men ikke påvirker, hvor brugerdefinerede politikker anvendes i den overordnede rækkefølge.

  5. Af samme værdi:

     • Politikkerne Sikre links og Sikre vedhæftede filer i den forudindstillede sikkerhedspolitik^* for indbygget beskyttelse.
     • Standardpolitikkerne for antimalware, spam og anti-phishing.

     Du kan konfigurere undtagelser for den forudindstillede sikkerhedspolitik for indbygget beskyttelse, men du kan ikke konfigurere undtagelser for standardpolitikkerne (de gælder for alle modtagere, og du kan ikke slå dem fra).

  ^*kun Defender for Office 365.

  Prioritetsrækkefølgen er vigtig, hvis du har den samme modtager bevidst eller utilsigtet inkluderet i flere politikker, fordi kun den første politik af den type (anti-spam, anti-malware, anti-phishing osv.) anvendes på den pågældende modtager, uanset hvor mange andre politikker modtageren er inkluderet i. Der er aldrig nogen fletning eller kombination af indstillingerne i flere politikker for modtageren. Modtageren påvirkes ikke af indstillingerne for de resterende politikker af den pågældende type.

Gruppen med navnet "Contoso Executives" er f.eks. inkluderet i følgende politikker:

• Den strenge forudindstillede sikkerhedspolitik
• En brugerdefineret politik mod spam med prioritetsværdien 0 (højeste prioritet)
• En brugerdefineret spampolitik med prioritetsværdien 1.

Hvilke indstillinger for politik for spam anvendes på medlemmerne af Contoso Executives? Den forudindstillede sikkerhedspolitik Strict. Indstillingerne i de brugerdefinerede politikker for spam ignoreres for medlemmerne af Contoso Executives, fordi den forudindstillede sikkerhedspolitik Strict altid anvendes først.

Som et andet eksempel kan du overveje følgende brugerdefinerede politikker til bekæmpelse af phishing i Microsoft Defender for Office 365, der gælder for de samme modtagere, og en meddelelse, der indeholder både brugerrepræsentation og spoofing:

Politiknavn	Prioritet	Bruger repræsenter	Anti-spoofing
Politik A	1	Til	Ud
Politik B	2	Ud	Til

1. Meddelelsen identificeres som spoofing, fordi spoofing (5) evalueres før brugerrepræsentation (6) i behandlingsrækkefølgen for mailbeskyttelsestypen.
2. Politik A anvendes først, fordi den har en højere prioritet end Politik B.
3. På baggrund af indstillingerne i Politik A udføres der ingen handling på meddelelsen, fordi anti-spoofing er slået fra.
4. Behandlingen af anti-phishing-politikker stopper for alle inkluderede modtagere, så Politik B anvendes aldrig på modtagere, der også er i Politik A.

Hvis du vil sikre dig, at modtagerne får de ønskede beskyttelsesindstillinger, skal du bruge følgende retningslinjer for politikmedlemskaber:

• Tildel et mindre antal brugere til politikker med højere prioritet, og et større antal brugere til politikker med lavere prioritet. Husk, at standardpolitikker altid anvendes sidst.
• Konfigurer politikker med højere prioritet for at have strengere eller mere specialiserede indstillinger end politikker med lavere prioritet. Du har fuld kontrol over indstillingerne i brugerdefinerede politikker og standardpolitikker, men du har ingen kontrol over de fleste indstillinger i forudindstillede sikkerhedspolitikker.
• Overvej at bruge færre brugerdefinerede politikker (brug kun brugerdefinerede politikker for brugere, der kræver mere specialiserede indstillinger end standard- eller strict-forudindstillede sikkerhedspolitikker eller standardpolitikkerne).

Tillæg

Det er vigtigt at forstå, hvordan brugeren tillader og blokerer, lejer tillader og blokerer samt filtrerer stakafsigelser i EOP og Defender for Office 365 komplementerer eller modsiger hinanden.

• Du kan få oplysninger om filtrering af stakke, og hvordan de kombineres, under Trinvis trusselsbeskyttelse i Microsoft Defender for Office 365.
• Når filtreringsstakken bestemmer en dom, evalueres lejerpolitikker og deres konfigurerede handlinger først derefter.
• Hvis den samme mailadresse eller det samme domæne findes på en brugers liste over afsendere, der er tillid til, og listen Over blokerede afsendere, har listen Afsendere, der er tillid til, forrang.
• Hvis den samme enhed (mailadresse, domæne, spoofed afsendelsesinfrastruktur, fil eller URL-adresse) findes i en tilladelsespost og en blokpost på listen over tilladte/blokerede lejere, har blokposten forrang.

Brugeren tillader og blokerer

Poster i en brugers samling af lister over sikre lister (listen Afsendere, der er tillid til, listen Modtagere, der er tillid til og listen Over blokerede afsendere i hver postkasse) kan tilsidesætte nogle af de filtrerede stakafsigelser, som beskrevet i følgende tabel:

Filtrerer stak dom	Listen Afsendere/modtagere, der er tillid til for brugeren	Liste over blokerede afsendere for brugeren
Malware	Filtervinding: Mail er sat i karantæne	Filtervinding: Mail er sat i karantæne
Phishing med høj genkendelsessikkerhed	Filtervinding: Mail er sat i karantæne	Filtervinding: Mail er sat i karantæne
Phishing	Vinder bruger: Mail leveret til brugerens indbakke	Lejer vinder: Den relevante politik for anti-spam bestemmer handlingen
Spam med høj genkendelsessikkerhed	Vinder bruger: Mail leveret til brugerens indbakke	Bruger vinder: Mail leveret til brugerens mappe med uønsket mail
Spam	Vinder bruger: Mail leveret til brugerens indbakke	Bruger vinder: Mail leveret til brugerens mappe med uønsket mail
Bulk	Vinder bruger: Mail leveret til brugerens indbakke	Bruger vinder: Mail leveret til brugerens mappe med uønsket mail
Ikke spam	Vinder bruger: Mail leveret til brugerens indbakke	Bruger vinder: Mail leveret til brugerens mappe med uønsket mail

Du kan få flere oplysninger om indsamling af sikre lister og indstillinger for spam på brugerpostkasser under Konfigurer indstillinger for uønsket mail på Exchange Online postkasser.

Lejer tillader og blokerer

Lejer tillader det, og blokke kan tilsidesætte nogle af dommene i filtreringsstakken, som beskrevet i følgende tabeller:

• Avanceret leveringspolitik (spring filtrering over for udpegede SecOps-postkasser og URL-adresser til phishing-simulering):

  Filtrerer stak dom	Tillad avanceret leveringspolitik
  Malware	Lejer vinder: Mail leveret til postkasse
  Phishing med høj genkendelsessikkerhed	Lejer vinder: Mail leveret til postkasse
  Phishing	Lejer vinder: Mail leveret til postkasse
  Spam med høj genkendelsessikkerhed	Lejer vinder: Mail leveret til postkasse
  Spam	Lejer vinder: Mail leveret til postkasse
  Bulk	Lejer vinder: Mail leveret til postkasse
  Ikke spam	Lejer vinder: Mail leveret til postkasse

• Exchange-regler for mailflow (også kaldet transportregler):

  Filtrerer stak dom	Regel for mailflow tillader*	Regelblokke for mailflow
  Malware	Filtervinding: Mail er sat i karantæne	Filtervinding: Mail er sat i karantæne
  Phishing med høj genkendelsessikkerhed	Filtergevinster: Mail er sat i karantæne undtagen i kompleks routing	Filtervinding: Mail er sat i karantæne
  Phishing	Lejer vinder: Mail leveret til postkasse	Lejer vinder: Phishing-handling i den relevante politik mod spam
  Spam med høj genkendelsessikkerhed	Lejer vinder: Mail leveret til postkasse	Lejer vinder: Mail leveret til brugerens mappe med uønsket mail
  Spam	Lejer vinder: Mail leveret til postkasse	Lejer vinder: Mail leveret til brugerens mappe med uønsket mail
  Bulk	Lejer vinder: Mail leveret til postkasse	Lejer vinder: Mail leveret til brugerens mappe med uønsket mail
  Ikke spam	Lejer vinder: Mail leveret til postkasse	Lejer vinder: Mail leveret til brugerens mappe med uønsket mail

  ^* Organisationer, der bruger en tredjepartssikkerhedstjeneste eller -enhed foran Microsoft 365, bør overveje at bruge Godkendt modtaget kæde (ARC) (kontakt tredjeparten for at få adgang) og Forbedret filtrering for forbindelser (også kendt som skip listing) i stedet for en regel for SCL=-1-mailflow. Disse forbedrede metoder reducerer problemer med mailgodkendelse og opfordrer til dybdegående mailsikkerhed .

• Ip-liste og IP-blokeringsliste i forbindelsesfilterpolitikker:

  Filtrerer stak dom	Liste over tilladte IP-adresser	IP-blokliste
  Malware	Filtervinding: Mail er sat i karantæne	Filtervinding: Mail er sat i karantæne
  Phishing med høj genkendelsessikkerhed	Filtervinding: Mail er sat i karantæne	Filtervinding: Mail er sat i karantæne
  Phishing	Lejer vinder: Mail leveret til postkasse	Vinder lejer: Mail blev slettet automatisk
  Spam med høj genkendelsessikkerhed	Lejer vinder: Mail leveret til postkasse	Vinder lejer: Mail blev slettet automatisk
  Spam	Lejer vinder: Mail leveret til postkasse	Vinder lejer: Mail blev slettet automatisk
  Bulk	Lejer vinder: Mail leveret til postkasse	Vinder lejer: Mail blev slettet automatisk
  Ikke spam	Lejer vinder: Mail leveret til postkasse	Vinder lejer: Mail blev slettet automatisk

• Tillad og bloker indstillinger i politikker for spam:

  • Tilladt afsender og domæneliste.
  • Blokeret afsender- og domæneliste.
  • Bloker meddelelser fra bestemte lande/områder eller på bestemte sprog.
  • Bloker meddelelser baseret på avancerede indstillinger for spamfilter (ASF).

  Filtrerer stak dom	Politik for bekæmpelse af spam tillader	Politikblokke for bekæmpelse af spam
  Malware	Filtervinding: Mail er sat i karantæne	Filtervinding: Mail er sat i karantæne
  Phishing med høj genkendelsessikkerhed	Filtervinding: Mail er sat i karantæne	Filtervinding: Mail er sat i karantæne
  Phishing	Lejer vinder: Mail leveret til postkasse	Lejer vinder: Phishing-handling i den relevante politik mod spam
  Spam med høj genkendelsessikkerhed	Lejer vinder: Mail leveret til postkasse	Lejer vinder: Mail leveret til brugerens mappe med uønsket mail
  Spam	Lejer vinder: Mail leveret til postkasse	Lejer vinder: Mail leveret til brugerens mappe med uønsket mail
  Bulk	Lejer vinder: Mail leveret til postkasse	Lejer vinder: Mail leveret til brugerens mappe med uønsket mail
  Ikke spam	Lejer vinder: Mail leveret til postkasse	Lejer vinder: Mail leveret til brugerens mappe med uønsket mail

• Tillad poster på lejerlisten Tillad/bloker:

  Filtrerer stak dom	Mailadresse/domæne
  Malware	Filtervinding: Mail er sat i karantæne
  Phishing med høj genkendelsessikkerhed	Filtervinding: Mail er sat i karantæne
  Phishing	Lejer vinder: Mail leveret til postkasse
  Spam med høj genkendelsessikkerhed	Lejer vinder: Mail leveret til postkasse
  Spam	Lejer vinder: Mail leveret til postkasse
  Bulk	Lejer vinder: Mail leveret til postkasse
  Ikke spam	Lejer vinder: Mail leveret til postkasse

• Bloker poster på lejerlisten tillad/bloker:

  Filtrerer stak dom	Mailadresse/domæne	Spoof	Filer	URL
  Malware	Filtervinding: Mail er sat i karantæne	Filtervinding: Mail er sat i karantæne	Vinder lejer: E-mail er sat i karantæne	Filtervinding: Mail er sat i karantæne
  Phishing med høj genkendelsessikkerhed	Vinder lejer: E-mail er sat i karantæne	Filtervinding: Mail er sat i karantæne	Vinder lejer: E-mail er sat i karantæne	Vinder lejer: E-mail er sat i karantæne
  Phishing	Vinder lejer: E-mail er sat i karantæne	Lejer vinder: Spoof-handling i den relevante anti-phishing-politik	Vinder lejer: E-mail er sat i karantæne	Vinder lejer: E-mail er sat i karantæne
  Spam med høj genkendelsessikkerhed	Vinder lejer: E-mail er sat i karantæne	Lejer vinder: Spoof-handling i den relevante anti-phishing-politik	Vinder lejer: E-mail er sat i karantæne	Vinder lejer: E-mail er sat i karantæne
  Spam	Vinder lejer: E-mail er sat i karantæne	Lejer vinder: Spoof-handling i den relevante anti-phishing-politik	Vinder lejer: E-mail er sat i karantæne	Vinder lejer: E-mail er sat i karantæne
  Bulk	Vinder lejer: E-mail er sat i karantæne	Lejer vinder: Spoof-handling i den relevante anti-phishing-politik	Vinder lejer: E-mail er sat i karantæne	Vinder lejer: E-mail er sat i karantæne
  Ikke spam	Vinder lejer: E-mail er sat i karantæne	Lejer vinder: Spoof-handling i den relevante anti-phishing-politik	Vinder lejer: E-mail er sat i karantæne	Vinder lejer: E-mail er sat i karantæne

Der er konflikt mellem bruger- og lejerindstillinger

I følgende tabel beskrives det, hvordan konflikter løses, hvis en mail påvirkes af både brugerindstillinger for tillad/bloker og indstillinger for lejerens tilladelse/blokering:

Type af lejer tillad/bloker	Listen Afsendere/modtagere, der er tillid til for brugeren	Liste over blokerede afsendere for brugeren
Bloker poster på lejerlisten tillad/bloker for: Mailadresser og domæner Filer Webadresser	Vinder lejer: E-mail er sat i karantæne	Vinder lejer: E-mail er sat i karantæne
Bloker poster for spoofede afsendere på listen over tilladte/blokerede lejere	Lejer vinder: Spoof intelligence-handling i den relevante anti-phishing-politik	Lejer vinder: Spoof intelligence-handling i den relevante anti-phishing-politik
Avanceret leveringspolitik	Vinder bruger: Mail leveret til postkasse	Lejer vinder: Mail leveret til postkasse
Bloker indstillinger i politikker mod spam	Vinder bruger: Mail leveret til postkasse	Bruger vinder: Mail leveret til brugerens mappe med uønsket mail
Honor DMARC-politik	Vinder bruger: Mail leveret til postkasse	Bruger vinder: Mail leveret til brugerens mappe med uønsket mail
Blokke efter regler for mailflow	Vinder bruger: Mail leveret til postkasse	Bruger vinder: Mail leveret til brugerens mappe med uønsket mail
Tillader af: Regler for mailflow Ip-tilladelsesliste (politik for forbindelsesfilter) Tilladte afsender- og domænelister (politikker mod spam) Liste over tilladte/blokerede lejere	Vinder bruger: Mail leveret til postkasse	Bruger vinder: Mail leveret til brugerens mappe med uønsket mail