Sähköpostisuojauksen järjestys ja käsittelyjärjestys

Artikkeli
04/27/2024
Koskee seuraavia::

✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Microsoft 365 -organisaatioissa, joiden postilaatikot ovat Exchange Online tai erillisissä Exchange Online Protection (EOP) organisaatioissa ilman Exchange Online postilaatikoita, saapuvaan sähköpostiin saatetaan merkitä useita suojausmuotoja. Esimerkkejä ovat tekeytymisen torjunta, joka on kaikkien Microsoft 365 -asiakkaiden käytettävissä, sekä tekeytymissuoja, joka on saatavilla vain Microsoft Defender for Office 365 asiakkaille. Viestit kulkevat myös haittaohjelmien, roskapostin, tietojenkalastelun jne. useiden tunnistustarkistusten kautta. Kaiken tämän toiminnan vuoksi saattaa olla hieman sekaannusta, mitä käytäntöä sovelletaan.

Yleensä viestiin sovellettava käytäntö tunnistetaan X-Forefront-Antispam-Report-otsikossaCAT (Category) -ominaisuudessa. Lisätietoja on artikkelissa Roskapostin torjuntaviestien otsikot.

On kaksi päätekijää, jotka määrittävät, mitä käytäntöä viestiin sovelletaan:

Sähköpostin suojaustyypin käsittelyjärjestys: Tätä järjestystä ei voi määrittää, ja se on kuvattu seuraavassa taulukossa:

Tilaa	Sähköpostisuojaus	Luokka	Hallintapaikka
1	Haittaohjelmien	`CAT:MALW`	Haittaohjelmien torjuntakäytäntöjen määrittäminen EOP:ssa
2	Erittäin luotettava tietojenkalastelu	`CAT:HPHSH`	Roskapostin torjuntakäytäntöjen määrittäminen EOP:ssa
3	Tietojenkalastelu	`CAT:PHSH`	Roskapostin torjuntakäytäntöjen määrittäminen EOP:ssa
4	Erittäin luotettava roskaposti	`CAT:HSPM`	Roskapostin torjuntakäytäntöjen määrittäminen EOP:ssa
5	Huijaus	`CAT:SPOOF`	Spoof intelligence insight in EOP
6^*	Käyttäjäksi tekeytyminen (suojatut käyttäjät)	`CAT:UIMP`	Tietojenkalastelun torjuntakäytäntöjen määrittäminen Microsoft Defender for Office 365
7^*	Toimialue tekeytyminen (suojatut toimialueet)	`CAT:DIMP`	Tietojenkalastelun torjuntakäytäntöjen määrittäminen Microsoft Defender for Office 365
8^*	Postilaatikon älykkyys (yhteystietokaavio)	`CAT:GIMP`	Tietojenkalastelun torjuntakäytäntöjen määrittäminen Microsoft Defender for Office 365
9	Roskapostia	`CAT:SPM`	Roskapostin torjuntakäytäntöjen määrittäminen EOP:ssa
10	Irtotavarana	`CAT:BULK`	Roskapostin torjuntakäytäntöjen määrittäminen EOP:ssa

^*Nämä ominaisuudet ovat käytettävissä vain tietojenkalastelun torjuntakäytännöissä Microsoft Defender for Office 365.

Käytäntöjen prioriteettijärjestys: Käytäntöjen prioriteettijärjestys näkyy seuraavassa luettelossa:
1. Roskapostin, haittaohjelmien torjunta-, tietojenkalasteluntorjunta-, Turvalliset linkit^*- ja Turvalliset liitteet^* -käytännöt Tiukat esiasetukset -suojauskäytännössä (kun käytössä).
2. Roskapostin ja haittaohjelmien torjunta-, tietojenkalasteluntorjunta-, Turvalliset linkit^*- ja Turvalliset liitteet^* -käytännöt ovat vakioasetusten suojauskäytännössä (kun käytössä).
3. Tietojenkalastelun torjunta, Turvalliset linkit ja Turvalliset liitteet Defender for Office 365 arviointikäytännöissä (kun käytössä).
4. Mukautetut roskapostin torjunta-, haittaohjelmien torjunta-, tietojenkalasteluntorjunta-, Turvalliset linkit^*- ja Turvalliset liitteet^* -käytännöt (kun ne on luotu).
  
  Mukautetuille käytännöille määritetään oletusarvo, kun luot käytännön (uudempi on suurempi), mutta voit muuttaa prioriteettiarvoa milloin tahansa. Tämä prioriteettiarvo vaikuttaa siihen järjestykseen, jossa tämän tyyppisiä mukautettuja käytäntöjä (kuten roskapostia, haittaohjelmien torjuntaa, tietojenkalastelun torjuntaa) sovelletaan, mutta se ei vaikuta mukautettujen käytäntöjen käyttöönottoon yleisessä järjestyksessä.
5. Yhtä suuri arvo:
  - Sisäiset suojausasetukset sisältävän suojauskäytännön^* Turvalliset linkit ja Turvalliset liitteet -käytännöt.
  - Oletusarvoiset käytännöt haittaohjelmien torjuntaan, roskapostin torjuntaan ja tietojenkalastelun torjuntaan.
  Voit määrittää poikkeuksia valmiiksi määritettyä sisäistä suojausta käyttävään suojauskäytäntöön, mutta et voi määrittää poikkeuksia oletuskäytäntöihin (ne koskevat kaikkia vastaanottajia etkä voi poistaa niitä käytöstä).
^*vain Defender for Office 365.

Prioriteettijärjestyksellä on merkitystä, jos sinulla on sama vastaanottaja tarkoituksella tai tahattomasti mukana useissa käytännöissä, koska vain ensimmäistä tällaista käytäntöä (roskapostin torjunta, haittaohjelmien torjunta, tietojenkalastelun torjunta jne.) sovelletaan kyseiseen vastaanottajaan riippumatta siitä, kuinka moneen muuhun käytäntöön vastaanottaja sisältyy. Vastaanottajan asetuksia ei koskaan yhdistetä tai yhdistetä useissa käytännöissä. Tämän tyypin muiden käytäntöjen asetukset eivät vaikuta vastaanottajaan.

Esimerkiksi Ryhmä nimeltä "Contoso Executives" sisältyy seuraaviin käytäntöihin:

Strict preset security policy
Mukautettu roskapostintorjuntakäytäntö, jonka prioriteettiarvo on 0 (suurin prioriteetti)
Mukautettu roskapostin torjuntakäytäntö, jonka prioriteetti on 1.

Mitä roskapostin vastaisia käytäntöasetuksia Contoso-johtohenkilöt käyttävät? Strict preset security policy. Mukautettujen roskapostin torjuntakäytäntöjen asetukset ohitetaan Contoso-johtohenkilöiden osalta, koska Strict preset security policy -käytäntöä käytetään aina ensin.

Tarkastele myös seuraavia mukautettuja tietojenkalastelun torjuntakäytäntöjä Microsoft Defender for Office 365, jotka koskevat samoja vastaanottajia, sekä viestiä, joka sisältää sekä käyttäjäksi tekeytymisen että tekeytymisen:

Käytännön nimi	Prioriteetti	Käyttäjäksi tekeytyminen	Huijauksen torjunta
Käytäntö A	1	Käytössä	Pois
Käytäntö B	2	Pois	Käytössä

Viesti tunnistetaan tekeytymiseksi, koska tekeytyminen (5) arvioidaan ennen käyttäjän tekeytymistä (6) sähköpostin suojaustyypin käsittelyjärjestyksessä.
Käytäntö A otetaan käyttöön ensin, koska sen prioriteetti on suurempi kuin käytäntö B.
Käytäntö A:n asetusten perusteella viestiin ei tehdä mitään, koska väärentämisen estäminen on poistettu käytöstä.
Tietojenkalastelun vastaisten käytäntöjen käsittely päättyy kaikille vastaanottajille, joten käytäntöä B ei sovelleta vastaanottajiin, jotka ovat myös käytännössä A.

Jos haluat varmistaa, että vastaanottajat saavat haluamasi suojausasetukset, käytä käytäntöjäsenyyksissä seuraavia ohjeita:

Määritä pienempi määrä käyttäjiä prioriteetin käytäntöihin ja suurempi määrä käyttäjiä alhaisemman prioriteetin käytäntöihin. Muista, että oletuskäytäntöjä käytetään aina viimeisenä.
Määritä, että prioriteetin käytännöt ovat tiukempia tai erityisempiä kuin alemman prioriteetin käytännöt. Voit hallita täysin mukautettujen käytäntöjen asetuksia ja oletuskäytäntöjä, mutta et voi hallita useimpia asetuksia ennalta määritetyissä suojauskäytännöissä.
Harkitse mukautettujen käytäntöjen vähempää käyttämistä (käytä mukautettuja käytäntöjä vain käyttäjille, jotka tarvitsevat enemmän erityisiä asetuksia kuin vakio- tai Tiukat ennalta määritetyt suojauskäytännöt tai oletuskäytännöt).

Lisäys

On tärkeää ymmärtää, miten käyttäjä sallii ja estää, vuokraaja sallii ja estää sekä suodattaa pinon tuomioita EOP:ssa ja Defender for Office 365 täydentämään tai ristiriitaan keskenään.

Lisätietoja pinojen suodattamisesta ja niiden yhdistämisestä on artikkelissa Vaiheittainen uhkien suojaus Microsoft Defender for Office 365.
Kun suodatuspino määrittää tuomion, vain vuokraajakäytännöt ja niiden määritetyt toiminnot arvioidaan.
Jos sama sähköpostiosoite tai toimialue on käyttäjän Turvallisten lähettäjien luettelossa ja Estettyjen lähettäjien luettelossa, turvalliset lähettäjät -luettelo on etusijalla.
Jos sama entiteetti (sähköpostiosoite, toimialue, huijattu lähetysinfrastruktuuri, tiedosto tai URL-osoite) on sallimismerkinnässä ja estomerkinnässä vuokraajan sallittujen ja estettyjen luettelossa, estomerkintä on etusijalla.

Käyttäjä sallii ja estää

Käyttäjän safelist-kokoelman merkinnät (Turvalliset lähettäjät -luettelo, Turvalliset vastaanottajat -luettelo ja kunkin postilaatikon Estettyjen lähettäjien luettelo) voivat ohittaa joitakin suodatuspinon tuomioita seuraavassa taulukossa kuvatulla tavalla:

Pinon tuomion suodattaminen	Käyttäjän turvalliset lähettäjät ja vastaanottajat -luettelo	Käyttäjän estettyjen lähettäjien luettelo
Haittaohjelmien	Suodatin voittaa: Sähköposti karanteeniin	Suodatin voittaa: Sähköposti karanteeniin
Erittäin luotettava tietojenkalastelu	Suodatin voittaa: Sähköposti karanteeniin	Suodatin voittaa: Sähköposti karanteeniin
Tietojenkalastelu	Käyttäjä voittaa: Käyttäjän Saapuneet-kansioon toimitettu sähköposti	Vuokraaja voittaa: Käytettävissä oleva roskapostin vastainen käytäntö määrittää toiminnon
Erittäin luotettava roskaposti	Käyttäjä voittaa: Käyttäjän Saapuneet-kansioon toimitettu sähköposti	Käyttäjä voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti
Roskapostia	Käyttäjä voittaa: Käyttäjän Saapuneet-kansioon toimitettu sähköposti	Käyttäjä voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti
Irtotavarana	Käyttäjä voittaa: Käyttäjän Saapuneet-kansioon toimitettu sähköposti	Käyttäjä voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti
Ei roskapostia	Käyttäjä voittaa: Käyttäjän Saapuneet-kansioon toimitettu sähköposti	Käyttäjä voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti

Lisätietoja käyttäjien postilaatikoiden safelist-kokoelmasta ja roskapostin vastaisista asetuksista on artikkelissa Roskapostiasetusten määrittäminen Exchange Online postilaatikoissa.

Vuokraaja sallii ja estää

Vuokraaja sallii ja lohkot voivat ohittaa joitakin suodatuspinon tuomioita seuraavissa taulukoissa kuvatulla tavalla:

Kehittynyt toimituskäytäntö (ohita suodatus määritetyille SecOps-postilaatikoille ja tietojenkalastelusimulaatioiden URL-osoitteet):

Pinon tuomion suodattaminen	Tarkennetun toimituksen käytäntö salli
Haittaohjelmien	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti
Erittäin luotettava tietojenkalastelu	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti
Tietojenkalastelu	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti
Erittäin luotettava roskaposti	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti
Roskapostia	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti
Irtotavarana	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti
Ei roskapostia	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti

Exchange-postinkulun säännöt (siirtosäännöt):

Pinon tuomion suodattaminen	Postinkulun sääntö sallii^*	Postinkulun sääntölohkot
Haittaohjelmien	Suodatin voittaa: Sähköposti karanteeniin	Suodatin voittaa: Sähköposti karanteeniin
Erittäin luotettava tietojenkalastelu	Suodatin voittaa: Sähköposti karanteeniin, paitsi monimutkaisessa reitityksessä	Suodatin voittaa: Sähköposti karanteeniin
Tietojenkalastelu	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Tietojenkalastelutoiminto sovellettavassa roskapostin vastaisessa käytännössä
Erittäin luotettava roskaposti	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti
Roskapostia	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti
Irtotavarana	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti
Ei roskapostia	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti

^* Organisaatioiden, jotka käyttävät kolmannen osapuolen suojauspalvelua tai laitetta Microsoft 365:n edessä, kannattaa harkita Todennetun vastaanotetun ketjun (ARC) (ota yhteyttä kolmanteen osapuolelle saatavuuden vuoksi) ja liitinten parannettua suodatusta (kutsutaan myös ohita luetteloksi) SCL=-1-postinkulkusäännön sijaan. Nämä parannetut menetelmät vähentävät sähköpostin todennusongelmia ja edistävät perusteellista suojausta sähköpostissa .

IP Salli luettelo ja IP-estoluettelo yhteyssuodatinkäytännöissä:

Pinon tuomion suodattaminen	SALLITTUJEN IP-osoitteiden luettelo	IP-lohkoluettelo
Haittaohjelmien	Suodatin voittaa: Sähköposti karanteeniin	Suodatin voittaa: Sähköposti karanteeniin
Erittäin luotettava tietojenkalastelu	Suodatin voittaa: Sähköposti karanteeniin	Suodatin voittaa: Sähköposti karanteeniin
Tietojenkalastelu	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Sähköposti pudotettiin äänettömästi
Erittäin luotettava roskaposti	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Sähköposti pudotettiin äänettömästi
Roskapostia	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Sähköposti pudotettiin äänettömästi
Irtotavarana	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Sähköposti pudotettiin äänettömästi
Ei roskapostia	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Sähköposti pudotettiin äänettömästi

Salli ja estä asetukset roskapostin vastaisissa käytännöissä:

Sallittu lähettäjä ja toimialueluettelo.
Estetty lähettäjä- ja toimialueluettelo.
Estä tiettyjen maiden tai alueiden viestit tai tiettyjen kielten viestit.
Estä asf-asetuksiin perustuvat viestit.

Pinon tuomion suodattaminen	Roskapostin torjuntakäytäntö sallii	Roskapostin torjuntakäytännön lohkot
Haittaohjelmien	Suodatin voittaa: Sähköposti karanteeniin	Suodatin voittaa: Sähköposti karanteeniin
Erittäin luotettava tietojenkalastelu	Suodatin voittaa: Sähköposti karanteeniin	Suodatin voittaa: Sähköposti karanteeniin
Tietojenkalastelu	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Tietojenkalastelutoiminto sovellettavassa roskapostin vastaisessa käytännössä
Erittäin luotettava roskaposti	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti
Roskapostia	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti
Irtotavarana	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti
Ei roskapostia	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti

Salli merkinnät vuokraajan sallittujen ja estettyjen luettelossa:

Pinon tuomion suodattaminen	Sähköpostiosoite tai toimialue
Haittaohjelmien	Suodatin voittaa: Sähköposti karanteeniin
Erittäin luotettava tietojenkalastelu	Suodatin voittaa: Sähköposti karanteeniin
Tietojenkalastelu	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti
Erittäin luotettava roskaposti	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti
Roskapostia	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti
Irtotavarana	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti
Ei roskapostia	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti

Estä merkinnät vuokraajan sallittujen ja estettyjen luettelossa:

Pinon tuomion suodattaminen	Sähköpostiosoite tai toimialue	Huijaus	Tiedosto	URL
Haittaohjelmien	Suodatin voittaa: Sähköposti karanteeniin	Suodatin voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Sähköposti karanteeniin	Suodatin voittaa: Sähköposti karanteeniin
Erittäin luotettava tietojenkalastelu	Vuokraaja voittaa: Sähköposti karanteeniin	Suodatin voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Sähköposti karanteeniin
Tietojenkalastelu	Vuokraaja voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Spoof-toiminto sovellettavassa tietojenkalastelun vastaisessa käytännössä	Vuokraaja voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Sähköposti karanteeniin
Erittäin luotettava roskaposti	Vuokraaja voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Spoof-toiminto sovellettavassa tietojenkalastelun vastaisessa käytännössä	Vuokraaja voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Sähköposti karanteeniin
Roskapostia	Vuokraaja voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Spoof-toiminto sovellettavassa tietojenkalastelun vastaisessa käytännössä	Vuokraaja voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Sähköposti karanteeniin
Irtotavarana	Vuokraaja voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Spoof-toiminto sovellettavassa tietojenkalastelun vastaisessa käytännössä	Vuokraaja voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Sähköposti karanteeniin
Ei roskapostia	Vuokraaja voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Spoof-toiminto sovellettavassa tietojenkalastelun vastaisessa käytännössä	Vuokraaja voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Sähköposti karanteeniin

Käyttäjä- ja vuokraaja-asetusten ristiriita

Seuraavassa taulukossa kuvataan, miten ristiriidat ratkaistaan, jos sähköpostiin vaikuttavat sekä käyttäjän käyttöoikeus-/estoasetukset että vuokraajan salli/estä-asetukset:

Vuokraajan allow/block-tyyppi	Käyttäjän turvalliset lähettäjät ja vastaanottajat -luettelo	Käyttäjän estettyjen lähettäjien luettelo
Estä merkinnät vuokraajan sallittujen ja estettyjen luettelossa: Sähköpostiosoitteet ja toimialueet Tiedostot Url	Vuokraaja voittaa: Sähköposti karanteeniin	Vuokraaja voittaa: Sähköposti karanteeniin
Estettyjen lähettäjien merkinnät vuokraajan sallittujen ja estettyjen luettelossa	Vuokraaja voittaa: Spoof Intelligence -toiminto sovellettavassa tietojenkalastelun vastaisessa käytännössä	Vuokraaja voittaa: Spoof Intelligence -toiminto sovellettavassa tietojenkalastelun vastaisessa käytännössä
Tarkennetun toimituksen käytäntö	Käyttäjä voittaa: Postilaatikkoon toimitettu sähköposti	Vuokraaja voittaa: Postilaatikkoon toimitettu sähköposti
Estä asetukset roskapostin vastaisissa käytännöissä	Käyttäjä voittaa: Postilaatikkoon toimitettu sähköposti	Käyttäjä voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti
Honor DMARC -käytäntö	Käyttäjä voittaa: Postilaatikkoon toimitettu sähköposti	Käyttäjä voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti
Lohkot postinkulun sääntöjen mukaan	Käyttäjä voittaa: Postilaatikkoon toimitettu sähköposti	Käyttäjä voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti
Sallii: Postinkulun säännöt SALLITTUJEN IP-osoitteiden luettelo (yhteyssuodatinkäytäntö) Sallittu lähettäjä ja toimialueluettelo (roskapostin vastaiset käytännöt) Sallittujen/estettyjen vuokraajien luettelo	Käyttäjä voittaa: Postilaatikkoon toimitettu sähköposti	Käyttäjä voittaa: Käyttäjän Roskaposti-kansioon toimitettu sähköposti