Turvallisten lähettäjäluetteloiden luominen EOP:ssa

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Jos olet Microsoft 365 -asiakas, jonka postilaatikot ovat Exchange Online tai itsenäinen Exchange Online Protection (EOP) -asiakas ilman Exchange Online postilaatikoita, EOP tarjoaa useita tapoja varmistaa, että käyttäjät saavat sähköpostia luotetuilta lähettäjiltä. Yhdessä voit ajatella näitä vaihtoehtoja turvallisina lähettäjäluetteloina.

Käytettävissä olevat turvalliset lähettäjäluettelot on kuvattu seuraavassa luettelossa suositelluista vähiten suositeltuihin:

  1. Salli toimialueiden ja sähköpostiosoitteiden merkinnät (mukaan lukien huijatut lähettäjät) vuokraajan sallittujen ja estettyjen luettelossa.
  2. Postinkulun säännöt (joita kutsutaan myös siirtosäännöiksi).
  3. Outlookin turvalliset lähettäjät (turvallisten lähettäjien luettelo, joka on tallennettu kuhunkin postilaatikkoon, joka vaikuttaa vain kyseiseen postilaatikkoon).
  4. SALLITTUJEN IP-osoitteiden luettelo (yhteyden suodatus)
  5. Sallitut lähettäjäluettelot tai sallitut toimialueluettelot (roskapostin vastaiset käytännöt)

Tämän artikkelin loppuosassa on tietoja kustakin menetelmästä.

Tärkeää

Viestit, jotka tunnistetaan haittaohjelmiksi* tai erittäin luotettavaksi tietojenkalasteluksi, asetetaan aina karanteeniin käyttämästäsi turvallisen lähettäjän luettelon vaihtoehdosta riippumatta. Lisätietoja on artikkelissa Office 365 oletusarvoisesti suojattu.

* Haittaohjelmien suodatus ohitetaan SecOps-postilaatikoissa, jotka on tunnistettu kehittyneen toimituksen käytännössä. Lisätietoja on artikkelissa Kehittyneiden toimituskäytäntöjen määrittäminen kolmannen osapuolen tietojenkalastelusimulaatioille ja sähköpostin toimittamiselle SecOps-postilaatikoihin.

Seuraa tarkasti poikkeuksia , joita teet roskapostisuodatukseen turvallisten lähettäjäluetteloiden avulla.

Lähetä turvalliset lähettäjäluettelot aina Microsoftille analysoitaviksi. Katso ohjeet kohdasta Ilmoita hyvistä sähköposteista Microsoftille. Jos viestit tai viestilähteet on määritetty hyvänlaatuisiksi, Microsoft voi sallia viestit automaattisesti, eikä sinun tarvitse säilyttää merkintää turvallisessa lähettäjäluettelossa manuaalisesti.

Sen sijaan, että sallisit sähköpostin, sinulla on myös useita vaihtoehtoja estää sähköposti tietyistä lähteistä käyttämällä estettyjä lähettäjäluetteloita. Lisätietoja on artikkelissa EOP-lohkojen lähettäjäluetteloiden luominen.

Salli merkinnät vuokraajan sallittujen ja estettyjen luettelossa

Suositeltava vaihtoehto, joka sallii sähköpostin lähettäjiltä tai toimialueilta, on vuokraajien sallittujen ja estettyjen luettelo. Katso ohjeet kohdasta Salli merkinnät toimialueille ja sähköpostiosoitteet ja Luo sallitut merkinnät huijatuille lähettäjille.

Vain jos et jostain syystä voi käyttää vuokraajan sallittujen ja estettyjen luetteloa, harkitse toisen menetelmän käyttämistä lähettäjien sallimiseen.

Postinkulun sääntöjen käyttäminen

Huomautus

Et voi määrittää sisäistä lähettäjää turvalliseksi lähettäjäksi viestien otsikoiden ja postinkulkusääntöjen avulla. Tämän osion toimintosarjoja käytetään vain ulkoisille lähettäjille.

Exchange Online ja erillisen EOP:n postinkulun säännöt tunnistavat viestit ehdoilla ja poikkeuksilla, ja toiminnot määrittävät, mitä sanomia varten pitäisi tehdä. Lisätietoja on Exchange Online kohdassa Postinkulun säännöt (siirtosäännöt).

Seuraavassa esimerkissä oletetaan, että tarvitset sähköpostin contoso.com roskapostisuodattimen ohittamiseksi. Voit tehdä tämän määrittämällä seuraavat asetukset:

  1. Ehto: Lähettäjän>toimialue on> contoso.com.

  2. Määritä jompikumpi seuraavista asetuksista:

    • Postinkulun säännön ehto: Viestien otsikot>sisältävät jonkin seuraavista sanoista:

      • Otsikon nimi: Authentication-Results
      • Otsikon arvo: dmarc=pass tai dmarc=bestguesspass (lisää molemmat arvot).

      Tämä ehto tarkistaa lähettävän sähköpostin toimialueen sähköpostin todennustilan varmistaaksesi, ettei lähettävää toimialuetta luoda huijatuksi. Lisätietoja sähköpostin todentamiseen on tiedoissa SPF, DKIM ja DMARC.

    • SALLITTUJEN IP-osoitteiden luettelo: Määritä lähde-IP-osoite tai osoitealue yhteyssuodatinkäytännössä. Katso ohjeet kohdasta Yhteyssuodatuksen määrittäminen.

      Käytä tätä asetusta, jos lähettävä toimialue ei käytä sähköpostin todennusta. Ole mahdollisimman rajoittava sallivien IP-lähdeosoitteiden suhteen. Suosittelemme IP-osoitealuetta, joka on enintään /24 (vähemmän on parempi). Älä käytä kuluttajapalveluihin (esimerkiksi outlook.com) tai jaettuihin infrastruktuureihin kuuluvia IP-osoitealueita.

    Tärkeää

    • Älä koskaan määritä postinkulun sääntöjä, joiden ehtona on roskapostin suodatuksen ohittaminen vain lähettäjän toimialueella. Tämä lisää merkittävästi todennäköisyyttä, että hyökkääjät voivat huijata lähettävää toimialuetta (tai tekeytyä koko sähköpostiosoitteeksi), ohittaa kaiken roskapostisuodatuksen ja ohittaa lähettäjän todentamisen tarkistukset, jotta viesti saapuu vastaanottajan Saapuneet-kansioon.

    • Älä käytä omistamiasi toimialueita (joita kutsutaan myös hyväksytyiksi toimialueiksi) tai suosittuja toimialueita (esimerkiksi microsoft.com) ehdoiksi postinkulun säännöissä. Tätä pidetään suurena riskinä, koska se luo hyökkääjille mahdollisuuksia lähettää sähköpostia, joka muuten suodatettaisiin.

    • Jos sallit IP-osoitteen, joka on verkko-osoitekäännöksen (NAT) yhdyskäytävän takana, sinun on tiedettävä NAT-varannossa olevat palvelimet, jotta tiedät SALLITTUJEN IP-osoitteiden luettelon laajuuden. IP-osoitteet ja NAT-osallistujat voivat muuttaa. Sinun on säännöllisesti tarkistettava Salli luettelo -IP-osoitteesi osana vakio ylläpitotoimia.

  3. Valinnaiset ehdot:

    • Lähettäjä>on sisäinen/ulkoinen>Organisaation ulkopuolella: Tämä ehto on implisiittinen, mutta sen avulla voidaan ottaa huomioon paikalliset sähköpostipalvelimet, joita ei ehkä ole määritetty oikein.
    • Aihe tai teksti>aihe tai leipäteksti sisältää jonkin näistä sanoista><avainsanat>: Jos voit rajoittaa sanomia entisestään aiherivin tai viestin tekstin avainsanoilla tai lauseilla, voit käyttää näitä sanoja ehtona.

  4. Toiminto: Määritä molemmat seuraavista säännön toiminnoista:

    1. Viestin ominaisuuksien> muokkaaminenroskapostin luotettavuustason määrittäminen>Ohita roskapostisuodatus.

    2. Viestin ominaisuuksien> muokkaaminenmääritä viestin otsikko:

      • Otsikon nimi: Esimerkiksi X-ETR.
      • Otsikon arvo: Esimerkiksi Bypass spam filtering for authenticated sender 'contoso.com'.

      Jos säännössä on useampi kuin yksi toimialue, voit mukauttaa otsikkotekstiä tarpeen mukaan.

Kun viesti ohittaa roskapostisuodattimen postinkulkusäännön vuoksi, arvo SFV:SKN merkitään X-Forefront-Antispam-Report-otsikkoon . Jos viesti on peräisin lähteestä, joka on sallittujen IP-osoitteiden luettelossa, myös arvo IPV:CAL lisätään. Nämä arvot voivat auttaa vianmäärityksessä.

Esimerkki postinkulun sääntöasetuksista uudessa EAC:ssä roskapostisuodattimen ohittamiseksi.

Käytä Outlookin turvallisia lähettäjiä

Varoitus

Tämä menetelmä aiheuttaa suuren riskin sille, että hyökkääjät toimittavat sähköpostin Saapuneet-kansioon, joka muuten suodatettaisiin. Jos käyttäjän Turvalliset lähettäjät- tai Turvalliset toimialueet -luetteloiden merkinnästä saadussa viestissä on määritetty haittaohjelmia tai erittäin luotettavaa tietojenkalastelua, viesti suodatetaan.

Organisaation asetusten sijaan käyttäjät tai järjestelmänvalvojat voivat lisätä lähettäjän sähköpostiosoitteet postilaatikon Turvalliset lähettäjät -luetteloon. Katso ohjeet artikkelista Exchange Online postilaatikoiden roskapostiasetusten määrittäminen Office 365. Postilaatikon turvalliset lähettäjäluettelomerkinnät vaikuttavat vain kyseiseen postilaatikkoon.

Tämä menetelmä ei ole toivottava useimmissa tilanteissa, koska lähettäjät ohittavat suodatuspinon osat. Vaikka luotat lähettäjään, lähettäjä voi silti olla vaarantunut ja lähettää haitallista sisältöä. Anna suodattimiemme tarkistaa jokainen viesti ja ilmoittaa sitten false-positiivisesta/negatiivisesta Microsoftille , jos virhe havaittiin. Suodatuspinon ohittaminen häiritsee myös nolla tunnin automaattista puhdistusta (ZAP).

Kun viestit ohittavat roskapostisuodatuksen käyttäjän Turvallisten lähettäjien luettelon merkintöjen vuoksi, X-Forefront-Antispam-Report-otsikkokenttä sisältää arvon SFV:SFE, joka ilmaisee, että roskapostin, huijauksen ja tietojenkalastelun (ei erittäin luotettavan tietojenkalastelun) suodattaminen ohitettiin.

Huomautukset:

  • Exchange Online, toimivatko Turvalliset lähettäjät -luettelon merkinnät vai eivät, riippuu viestin tunnistaneen käytännön tuomiosta ja toiminnosta:
    • Siirrä viestit Roskaposti-kansioon: Toimialueen merkinnät ja lähettäjän sähköpostiosoitemerkinnät ovat kunnioitetut. Näiden lähettäjien viestejä ei siirretä Roskaposti-kansioon.
    • Karanteeni: Toimialueen merkintöjä ei kunnioiteta (näiden lähettäjien viestit on asetettu karanteeniin). Sähköpostiosoitteet ovat kunnioitettuja (näiden lähettäjien viestejä ei ole asetettu karanteeniin), jos jompikumpi seuraavista väitteistä pitää paikkansa:
      • Viestiä ei tunnisteta haittaohjelmaksi tai erittäin luotettavaksi tietojenkalasteluksi (haittaohjelmat ja erittäin luotettavat tietojenkalasteluviestit on asetettu karanteeniin).
      • Sähköpostiosoite ei ole myöskään palveltavan kohteen sallittujen ja estettyjen luettelossa.
  • Estettyjen lähettäjien ja estettyjen toimialueiden merkinnät ovat kunnianarvoisia (näiden lähettäjien viestit siirretään Roskaposti-kansioon). Turvalliset postitusluettelon asetukset ohitetaan.

Sallittujen IP-osoitteiden luettelon käyttäminen

Varoitus

Ilman lisävahvistusta, kuten postinkulun sääntöjä, SALLI IP-luettelon lähteistä lähetetyt sähköpostiviestit ohittavat roskapostin suodatuksen ja lähettäjän todentamisen (SPF, DKIM, DMARC) tarkistukset. Tämä tulos aiheuttaa suuren riskin sille, että hyökkääjät toimittavat saapuneet-kansioon sähköpostin, joka muuten suodatettaisiin. Kuitenkin jos sallittujen IP-osoitteiden luettelon merkinnän viesti on määritetty haittaohjelmaksi tai erittäin luotettavaksi tietojen kalasteluksi, viesti suodatetaan.

Seuraavaksi paras vaihtoehto on lisätä lähdesähköpostipalvelin tai -palvelimet IP-osoitteiden sallittujen luetteloon yhteyden suodatuskäytännössä. Lisätietoja on artikkelissa Yhteyden suodatuksen määrittäminen EOP:ssa.

Huomautukset:

  • On tärkeää, että pidät sallittujen IP-osoitteiden määrän mahdollisimman pienenä, joten vältä kokonaisten IP-osoitealueiden käyttämistä aina, kun se on mahdollista.
  • Älä käytä kuluttajapalveluihin (esimerkiksi outlook.com) tai jaettuihin infrastruktuureihin kuuluvia IP-osoitealueita.
  • Tarkista säännöllisesti sallittavan IP-luettelon merkinnät ja poista merkinnät, joita et enää tarvitse.

Sallittujen lähettäjäluetteloiden tai sallittujen toimialueluetteloiden käyttäminen

Varoitus

Tämä menetelmä aiheuttaa suuren riskin sille, että hyökkääjät toimittavat sähköpostin Saapuneet-kansioon, joka muuten suodatettaisiin. Kuitenkin, jos viesti merkinnästä sallittujen lähettäjien tai sallittujen toimialueiden luetteloissa on määritetty haittaohjelmaksi tai erittäin luotettavaksi tietojenkalasteluksi, viesti suodatetaan.

Älä käytä suosittuja toimialueita (esimerkiksi microsoft.com) sallittujen toimialueluetteloiden sisällä.

Vähiten toivottava vaihtoehto on käyttää sallittuja lähettäjäluetteloita tai sallittuja toimialueluetteloita roskapostin vastaisissa käytännöissä. Vältä tätä vaihtoehtoa , jos mahdollista , koska lähettäjät ohittavat kaiken roskapostin, huijarin, tietojenkalastelun suojauksen (paitsi erittäin luotettavan tietojenkalastelun) ja lähettäjän todennuksen (SPF, DKIM, DMARC). Tätä menetelmää kannattaa käyttää vain tilapäiseen testaukseen. Yksityiskohtaiset ohjeet ovat aiheessa Roskapostin torjuntakäytäntöjen määrittäminen EOP:ssa .

Näiden luetteloiden enimmäisraja on noin 1 000 merkintää. vaikka voitkin kirjoittaa portaaliin vain 30 merkintää. Sinun on lisättävä PowerShellin avulla yli 30 merkintää.

Huomautus

Syyskuusta 2022 alkaen, jos sallittu lähettäjä, toimialue tai alitoimialue on organisaation hyväksytyllä toimialueella , kyseisen lähettäjän, toimialueen tai alitoimialueen on läpäistävä sähköpostin todennuksen tarkistukset, jotta roskapostin torjuntasuodatus voidaan ohittaa.

Huomioitavaa joukkosähköpostissa

SmtP-vakiosähköpostiviesti koostuu viestikuoresta ja viestin sisällöstä. Viestikuori sisältää tietoja, joita tarvitaan viestin lähettämiseen ja toimittamiseen SMTP-palvelimien välillä. Viestin sisältö sisältää viestin otsikkokenttiä (joita kutsutaan yhteisesti viestin otsikoksi) ja viestin leipätekstin. Viestikuori on kuvattu kohdassa RFC 5321, ja viestin otsikko on kuvattu kohdassa RFC 5322. Vastaanottajat eivät koskaan näe todellista viestikuorta, koska viestin lähetysprosessi luo sen, eikä se itse asiassa ole osa viestiä.

  • Osoite 5321.MailFrom (jota kutsutaan myös MAIL FROM - osoitteeksi, P1-lähettäjäksi tai kirjekuoren lähettäjäksi) on sähköpostiosoite, jota käytetään viestin SMTP-lähetyksessä. Tämä sähköpostiosoite tallennetaan yleensä viestin otsikon Return-Path-otsikkokenttään (vaikka lähettäjä voi määrittää toisen palautuspolun sähköpostiosoitteen). Jos viestiä ei voida toimittaa, se on toimittamattoman raportin vastaanottaja (tunnetaan myös NDR-ilmoituksena tai pomppuviestinä).
  • Osoite 5322.From (jota kutsutaan myös Lähettäjä- tai P2-lähettäjäksi) on Lähettäjä-otsikko-kentässä oleva sähköpostiosoite, ja se on lähettäjän sähköpostiosoite, joka näytetään sähköpostiohjelmissa.

5321.MailFrom-osoitteet ja 5322.From -osoitteet ovat usein samat (käynti- ja henkilöviestintä). Jos sähköpostiviesti lähetetään toisen käyttäjän puolesta, osoitteet voivat kuitenkin olla erilaiset. Näin käy useimmiten joukkosähköpostiviesteille.

Oletetaan esimerkiksi, että Blue Yonder Airlines on palkannut Margie's Travelin lähettämään mainossähköpostiviestejä. Saapuneet-kansioon lähetettävässä viestissä on seuraavat ominaisuudet:

  • Osoite 5321.MailFrom on blueyonder.airlines@margiestravel.com.
  • Osoite 5322.From on blueyonder@news.blueyonderairlines.com, joka näkyy Outlookissa.

EOP:n roskapostintorjuntakäytäntöjen turvalliset lähettäjäluettelot ja turvalliset toimialueluettelot tarkastavat vain 5322.From osoitteet. Tämä toiminta on samanlainen kuin outlookin turvalliset lähettäjät, jotka käyttävät osoitetta 5322.From .

Voit estää tämän viestin suodattamisen seuraavasti:

  • Lisää blueyonder@news.blueyonderairlines.com ( 5322.From osoite) Outlookin turvalliseksi lähettäjäksi.
  • Käytä postinkulun sääntöä , joka sisältää ehdon, joka hakee viestejä osoitteesta blueyonder@news.blueyonderairlines.com5322.From , blueyonder.airlines@margiestravel.com osoitteesta 5321.MailFrom tai molemmista.