יצירת רשימות שולחים בטוחים ב- EOP

• חל על:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון ב-נסה Microsoft Defender עבור Office 365.

אם אתה לקוח של Microsoft 365 עם תיבות דואר ב- Exchange Online או לקוח עצמאי של Exchange Online Protection (EOP) ללא תיבות דואר של Exchange Online, EOP מציע כמה דרכים להבטיח שהמשתמשים יקבלו דואר אלקטרוני משולחים מהימנים. באופן קולקטיבי, ניתן לחשוב על אפשרויות אלה כרשימות שולחים בטוחים.

הרשימה הבאה מכילה את השיטות הזמינות כדי לאפשר לשולחים ב- EOP את השיטות המומלצות ביותר לפחות:

1. אפשר ערכים עבור תחומים וכתובות דואר אלקטרוני (כולל שולחים התחזות) ברשימת הדיירים המותרים/החסומים.
2. כללי זרימת דואר של Exchange (נקראים גם כללי תעבורה).
3. שולחים בטוחים של Outlook (רשימת השולחים הבטוחים בכל תיבת דואר המשפיעה רק על תיבת דואר זו).
4. רשימת היתרי IP (סינון חיבורים)
5. רשימות שולחים מותרים או רשימות תחומים מותרות (מדיניות למניעת דואר זבל)

שאר המאמר מכיל פרטים לגבי כל שיטה.

חשוב

הודעות המזוהות כתוכנות זדוניות^* או דיוג בביטחון גבוה תמיד בהסגר, ללא קשר לאפשרויות רשימת השולחים הבטוחים שבה אתה משתמש. לקבלת מידע נוסף, ראה אבטחה כברירת מחדל ב- Office 365.

^* המערכת מדלגת על סינון תוכנות זדוניות בתיבות דואר של SecOps המזוהות במדיניות המסירה המתקדמות. לקבלת מידע נוסף, ראה קביעת התצורה של מדיניות המסירה המתקדמות עבור הדמיות דיוג ומסירת דואר אלקטרוני של ספקים חיצוניים לתיבות דואר של SecOps.

הקפד לנטר היטב את החריגים שאתה מבצע בסינון הודעות זבל באמצעות רשימות שולחים בטוחות.

שלח תמיד הודעות ברשימות השולחים הבטוחים שלך ל- Microsoft לצורך ניתוח. לקבלת הוראות, ראה דיווח על דואר אלקטרוני טוב ל- Microsoft. אם ההודעות או מקורות ההודעות נקבעו להיות נדירים, Microsoft יכולה לאפשר את ההודעות באופן אוטומטי, ולא תצטרך לשמור באופן ידני את הערך ברשימות שולחים בטוחים.

במקום לאפשר דואר אלקטרוני, יש לך גם כמה אפשרויות לחסום דואר אלקטרוני ממקורות ספציפיים באמצעות רשימות שולחים חסומים. לקבלת מידע נוסף, ראה יצירת רשימות שולחים חסומים ב- EOP.

השתמש בהזנות 'אפשר' ברשימת החסימה/החסימה של הדייר

האפשרות המומלצת מספר אחת שלנו לאפשר דואר משולחים או תחומים היא רשימת התרה/חסימה של דיירים. לקבלת הוראות, ראה יצירת ערכים המאפשרים עבור תחומים וכתובות דואר אלקטרוני ויצירה של ערכי התרה עבור שולחים התחזים.

רק אם אינך יכול להשתמש ברשימת ההיתרים/חסימה של הדייר מסיבה כלשהי, עליך לשקול להשתמש בשיטה אחרת כדי לאפשר שולחים.

שימוש בכללי זרימת דואר

הערה

לא ניתן להשתמש בכותרות הודעות בכללי זרימת דואר כדי להגדיר שולח פנימי כשולח בטוח. ההליכים בסעיף זה פועלים עבור שולחים חיצוניים בלבד.

כללי זרימת דואר ב- Exchange Online ו- EOP העצמאי משתמשים בתנאים וב החריגים לזיהוי הודעות, ופעולות כדי לציין מה יש לעשות בהודעות אלה. לקבלת מידע נוסף, ראה כללי זרימת דואר (כללי תעבורה) Exchange Online.

הדוגמה הבאה מניחה שאתה זקוק לדואר אלקטרוני מ- contoso.com כדי לדלג על סינון הודעות זבל. קבע את תצורת ההגדרות הבאות:

1. החל כלל זה אם (תנאי): תחום השולח>contoso.com> .

2. קבע תצורה של אחת מההגדרות הבאות:

   • החל כלל זה אם (תנאי נוסף): כותרות ההודעה>כוללות אחת ממילים אלה:

     • הזן טקסט (שם כותרת עליונה): Authentication-Results
     • הזן מילים (ערך כותרת): dmarc=pass או dmarc=bestguesspass (הוסף את שני הערכים).

     תנאי זה בודק את מצב אימות הדואר האלקטרוני של תחום הדואר האלקטרוני השולח כדי לוודא שהתחום השולח אינו מזוהה. לקבלת מידע נוסף אודות אימות דואר אלקטרוני, ראה אימות דואר אלקטרוני ב- Microsoft 365.

   • רשימת היתרי IP: ציין את כתובת ה- IP או טווח הכתובות המשמשים כמקור במדיניות מסנן החיבורים. לקבלת הוראות, ראה קביעת תצורה של סינון חיבורים.

     השתמש בהגדרה זו אם התחום השולח אינו משתמש באימות דואר אלקטרוני. היה מגביל ככל האפשר בכל הנוגע לכתובות ה- IP המשמשות כמקור ברשימת היתרי ה- IP. אנו ממליצים על טווח כתובות IP של /24 או פחות (עדיף פחות). אל תשתמש בטווחי כתובות IP השייכים לשירותים לצרכנים (לדוגמה, outlook.com) או תשתית משותפת.

   חשוב

   • לעולם אל תגדיר כללי זרימת דואר עם תחום השולח בלבד כתנה לדלג על סינון דואר זבל. פעולה זו תגדיל באופן משמעותי את הסבירות לכך שהתוקפים יוכלו להונות את התחום השולח (או להתחזות כתובת הדואר האלקטרוני המלאה), לדלג על כל סינון הודעות הזבל ולדלג על בדיקת אימות שולח כך שההודעה תגיע לתיבת הדואר הנכנס של הנמען.

   • אל תשתמש תחומים בבעלותך (נקראים גם תחומים מקובלים) או תחומים פופולריים (לדוגמה, microsoft.com) כתנאים בכללי זרימת דואר מאחר שהוא יוצר הזדמנויות לתוקפים לשלוח דואר אלקטרוני שדורם אחרת לסינון.

   • אם אתה מאפשר כתובת IP מאחורי שער תרגום כתובות רשת (NAT), עליך להכיר את השרתים המעורבים במאגר NAT. כתובות IP ומשתתפים ב- NAT יכולים להשתנות. עליך לבדוק מעת לעת את ערכי רשימת היתרי ה- IP כחלק מהליכי התחזוקה הסטנדרטיים שלך.

3. תנאים אופציונליים:

   • השולח>הוא פנימי/חיצוני>מחוץ לארגון: תנאי זה משתמע, אך ניתן להשתמש בו כדי לתעד שרתי דואר אלקטרוני מקומיים שייתכן שתצורתם לא נקבעה כראוי.
   • הנושא או גוף ההודעה>הנושא או גוף ההודעה כוללים כל אחת ממילים אלה><מילות מפתח>: אם באפשרותך להגביל את ההודעות עוד יותר באמצעות מילות מפתח או צירופי מילים בשורת הנושא או בגוף ההודעה, באפשרותך להשתמש במילים אלה כתנה.

4. בצע את הפעולות הבאות (פעולות): קבע את תצורת שתי הפעולות הבאות בכלל:

   1. שינוי מאפייני ההודעה>הגדרת רמת מהימנות של דואר זבל (SCL)>עקוף סינון דואר זבל.

   2. שינוי מאפייני ההודעה>הגדר כותרת הודעה:

      • הזן טקסט (שם כותרת): לדוגמה, X-ETR.
      • הזן מילים (ערך כותרת): לדוגמה, Bypass spam filtering for authenticated sender 'contoso.com'.

      עבור יותר מתחום אחד בכלל, באפשרותך להתאים אישית את טקסט הכותרת, בהתאם לצורך.

כאשר הודעה מדלגת על סינון דואר זבל עקב כלל זרימת דואר, SFV:SKN ערך הערך מוחתם בכותרת X-Forefront-Antispam-Report . אם ההודעה היא ממקור שמופיע ברשימת היתרי ה- IP, נוסף IPV:CAL גם הערך. ערכים אלה יכולים לעזור לך בפתרון בעיות.

שימוש בשולחים בטוחים של Outlook

זהירות

שיטה זו יוצרת סיכון גבוה לתוקפים שיעבירו בהצלחה דואר אלקטרוני לתיבת הדואר הנכנס שמסוננים בדרך אחרת. הודעות הנקבעות כתוכנות זדוניות או דיוג ברמת מהימנות גבוהה מסוננים. לקבלת מידע נוסף, ראה התנגשות הגדרות משתמש והגדרות דייר.

במקום הגדרה ארגונית, משתמשים או מנהלי מערכת יכולים להוסיף את כתובות הדואר האלקטרוני של השולחים לרשימת השולחים הבטוחים בתיבת הדואר. ערכי רשימת השולחים הבטוחים בתיבת הדואר משפיעים על תיבת דואר זו בלבד. לקבלת הוראות, עיין במאמרים הבאים:

• משתמשים: הוסף נמענים של הודעות הדואר האלקטרוני שלי לרשימת השולחים הבטוחים.
• מנהלי מערכת: קבע תצורה של הגדרות דואר זבל בתיבות Exchange Online ב- Microsoft 365.

שיטה זו אינה רצויה ברוב המקרים מאחר ששולחים עוקפים חלקים ממחסנית הסינון. למרות שאתה נותן אמון בשולח, השולח עדיין יכול להיחשף לסכנה ולשלוח תוכן זדוני. עליך לאפשר לסינון שלנו לבדוק כל הודעה ולאחר מכן לדווח ל- Microsoft על תוצאות חיוביות /שליליות מוטעות אם טעה. עקיפת ערימת הסינון מפריעה גם לצמיתות אוטומטי של אפס שעות (ZAP).

כאשר הודעות מדלגות על סינון הודעות זבל עקב ערכים ברשימת השולחים הבטוחים של המשתמש, שדה הכותרת X-Forefront-Antispam-ReportSFV:SFEמכיל את הערך , המציין כי סינון עבור דואר זבל, התחזות ודיוג (לא דיוג ברמת מהימנות גבוהה) הועבר.

• ב Exchange Online, השאלה אם הערכים ברשימת השולחים הבטוחים פועלים או אינם פועלים תלויים בפסק הדין ובפעולה במדיניות שזיהתה את ההודעה:
  • העבר הודעות לתיקיית דואר הזבל: ערכי תחום וערכים של כתובות דואר אלקטרוני של השולח יתכבדו. הודעות משולחים אלה אינן מועברות לתיקיה 'דואר זבל'.
  • העבר להסגר: ערכי תחום אינם מוערכים (הודעות משולחים אלה בהסגר). ערכי כתובות דואר אלקטרוני מוערכים (הודעות משולחים אלה אינן בהסגר) אם אחד מההצהרה הבאות מתקיים:
    • ההודעה אינה מזוהה כזדונית או כדיוג בביטחון גבוה (תוכנות זדוניות והודעות דיוג ברמת מהימנות גבוהה בהסגר).
    • כתובת הדואר האלקטרוני, כתובת ה- URL או הקובץ בהודעת הדואר האלקטרוני אינם מופיעים גם כערך בלוק ברשימת הדיירים אפשרים/חסימות.
• ערכים עבור שולחים חסומים וקבוצות מחשבים חסומים נשמרים (הודעות משולחים אלה מועברות לתיקיה 'דואר זבל'). המערכת מתעלמת מהגדרות בטוחות של רשימת דיוור.

שימוש ברשימת היתרי ה- IP

זהירות

ללא אימות נוסף כגון כללי זרימת דואר, דואר אלקטרוני ממקורות ברשימת היתרי ה- IP מדלג על סינון הודעות זבל ואימות שולח (SPF, DKIM, DMARC). שיטה זו יוצרת סיכון גבוה לתוקפים שיעבירו בהצלחה דואר אלקטרוני לתיבת הדואר הנכנס שמסוננים בדרך אחרת. הודעות הנקבעות כתוכנות זדוניות או דיוג ברמת מהימנות גבוהה מסוננים. לקבלת מידע נוסף, ראה התנגשות הגדרות משתמש והגדרות דייר.

האפשרות הטובה ביותר הבאה היא להוסיף את שרתי המקור של הדואר האלקטרוני לרשימת היתרי ה- IP במדיניות מסנן החיבורים. לקבלת פרטים, ראה קביעת תצורה של סינון חיבורים ב- EOP.

• חשוב לשמור לפחות את מספר כתובות ה- IP המותרות, לכן הימנע משימוש בטווחים של כתובות IP שלמות כאשר הדבר אפשרי.
• אל תשתמש בטווחי כתובות IP השייכים לשירותים לצרכנים (לדוגמה, outlook.com) או תשתית משותפת.
• סקור באופן קבוע את הערכים ברשימת היתרי ה- IP והסר את הערכים שאינם דרושים לך עוד.

שימוש ברשימות שולחים מותרים או ברשימות תחומים מותרות

זהירות

שיטה זו יוצרת סיכון גבוה לתוקפים שיעבירו בהצלחה דואר אלקטרוני לתיבת הדואר הנכנס שמסוננים בדרך אחרת. הודעות הנקבעות כתוכנות זדוניות או דיוג ברמת מהימנות גבוהה מסוננים. לקבלת מידע נוסף, ראה התנגשות הגדרות משתמש והגדרות דייר.

אל תשתמש תחומים פופולריים (לדוגמה, microsoft.com) ברשימות תחומים מותרות.

האפשרות הכי פחות רצויה היא להשתמש ברשימות השולחים המותרים או ברשימות תחומים מותרות במדיניות מותאמת אישית למניעת דואר זבל או במדיניות ברירת המחדל למניעת דואר זבל. עליך להימנע מאפשרות זו אם הדבר אפשרי משום ששולחים עוקפים את כל הודעות הזבל, התחזות, הגנת דיוג (למעט דיוג ברמת מהימנות גבוהה) ואימות שולח (SPF, DKIM, DMARC). שיטה זו משמשת באופן מיטבי לבדיקות זמניות בלבד. ניתן למצוא את השלבים המפורטים במאמר קביעת תצורה של מדיניות למניעת דואר זבל ב- EOP.

המגבלה המרבית עבור רשימות אלה היא כ- 1,000 ערכים, אך באפשרותך להזין עד 30 ערכים בפורטל Microsoft Defender. השתמש ב- PowerShell כדי להוסיף יותר מ- 30 ערכים.

הערה

נכון לספטמבר 2022, אם שולח, תחום או תחום מותרים קיימים בתחום מקובל בארגון שלך, שולח, תחום או תחום משנה אלה חייבים להעביר את ההבדקות לאימות דואר אלקטרוני כדי לדלג על סינון למניעת הודעות זבל.

שיקולים לדואר אלקטרוני בצובר

הודעת דואר אלקטרוני סטנדרטית מסוג SMTP יכולה להכיל כתובות דואר אלקטרוני שונות של השולח, כמתואר בסעיף מדוע יש צורך באימות בדואר אלקטרוני באינטרנט. כאשר דואר אלקטרוני נשלח בשמו של אדם אחר, הכתובות יכולות להיות שונות. מצב זה מתרחש לעתים קרובות עבור הודעות דואר אלקטרוני בצובר.

לדוגמה, נניח ש- Blue Yonder Airlines שכר את 'נסיעות' של מארג'י כדי לשלוח הודעות דואר אלקטרוני לפרסום. ההודעה שתקבל בתיבת הדואר הנכנס שלך כוללת את המאפיינים הבאים:

• כתובת MAIL FROM (המכונה גם כתובת 5321.MailFrom , שולח P1 או שולח מעטפה) היא blueyonder.airlines@margiestravel.com.
• כתובת 'מ' (המכונה גם כתובת 5322.From או שולח P2) היא blueyonder@news.blueyonderairlines.com, שהיא הכתובת שאתה רואה ב- Outlook.

רשימות שולחים בטוחים ורשימות תחומים בטוחות במדיניות למניעת דואר זבל ב- EOP בודקות רק את הכתובות של 'מ'. אופן פעולה זה דומה לשולחים בטוחים של Outlook המשתמשים בכתובת 'מ'.

כדי למנוע סינון של הודעה זו, באפשרותך לבצע את השלבים הבאים:

• הוסף blueyonder@news.blueyonderairlines.com (כתובת 'מ') כשולח בטוח של Outlook.
• השתמש בכלל זרימת דואר עם תנאי שמ מחפש blueyonder@news.blueyonderairlines.com הודעות (כתובת 'מ'), (כתובת MAIL FROM) blueyonder.airlines@margiestravel.com או את שניהם.