A speciális kézbesítési szabályzat konfigurálása külső adathalász szimulációkhoz és e-mailek SecOps-postaládákba történő kézbesítéséhez

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A szervezet biztonságának megőrzése érdekében az Exchange Online Protection (EOP) nem engedélyezi a biztonságos listákat és a szűrési megkerülést a kártevőként vagy megbízható adathalászatként azonosított üzenetek esetében. Vannak azonban olyan forgatókönyvek, amelyekhez szűretlen üzenetek kézbesítése szükséges. Például:

• Külső adathalászati szimulációk: A szimulált támadások segíthetnek a sebezhető felhasználók azonosításában és betanításában, mielőtt egy valós támadás hatással lenne a szervezetre.
• Biztonsági műveletek (SecOps) postaládák: Dedikált postaládák, amelyeket a biztonsági csapatok a szűretlen üzenetek gyűjtésére és elemzésére használnak (jó és rossz egyaránt).

Az EOP speciális kézbesítési szabályzatával megakadályozhatja a bejövő üzenetek szűrését ezekben az esetekben ¹. A speciális kézbesítési szabályzat biztosítja, hogy ezekben a forgatókönyvekben az üzenetek a következő eredményeket érjék el:

• Az EOP és az Office 365-höz készült Defender szűrői nem hajtanak végre semmilyen műveletet ezeken az üzeneteken. A kártevőszűrés csak SecOps-postaládák esetén kerüli meg.
• A levélszemét és az adathalászat nulla órás végleges törlése (ZAP) nem hajt végre semmilyen műveletet ezeken az üzeneteken. A kártevők zap-fájlját csak a SecOps-postaládák esetében kerüli meg a rendszer.
• Az Office 365-höz készült Defender biztonságos hivatkozásai nem blokkolják vagy robbantják fel a megadott URL-címeket ezekben az üzenetekben kattintáskor. Az URL-címek továbbra is be vannak csomagolva, de nincsenek letiltva.
• A Biztonságos mellékletek az Office 365-höz készült Defenderben nem robbantja fel a mellékleteket ezekben az üzenetekben.
• Ezekhez a forgatókönyvekhez nem aktiválódnak alapértelmezett rendszerriasztások.
• Az Air és a fürtözés az Office 365-höz készült Defenderben figyelmen kívül hagyja ezeket az üzeneteket.
• Kifejezetten külső adathalász szimulációkhoz:
  • A rendszergazdai beküldés automatikus választ hoz létre, amely szerint az üzenet egy adathalász szimulációs kampány része, és nem valódi fenyegetés. A riasztások és az AIR nem aktiválódik. A rendszergazdai beküldési felület szimulált fenyegetésként jeleníti meg ezeket az üzeneteket.
  • Ha egy felhasználó adathalász szimulációs üzenetet jelent a Webes Outlook beépített Jelentés gombja vagy a Microsoft Report Message vagy Report Phishing bővítmények használatával, a rendszer nem hoz létre riasztást, vizsgálatot vagy incidenst. A hivatkozások vagy fájlok nem robbannak fel, de az üzenet megjelenik a Beküldések lap Felhasználó jelentett lapján.

A speciális kézbesítési szabályzat által azonosított üzenetek nem jelentenek biztonsági fenyegetést, ezért az üzenetek rendszer felülbírálásokkal vannak megjelölve. A rendszergazdai felületek adathalász szimulációként vagy SecOps postaládarendszer-felülbírálásként jelenítik meg ezeket az üzeneteket. A rendszergazdák ezeket az értékeket használhatják az üzenetek szűrésére és elemzésére a következő szolgáltatásokban:

• Fenyegetéskezelő (Explorer) vagy valós idejű észlelések az Office 365-höz készült Defenderben: A rendszergazdák szűrhetnek a rendszer felülbírálási forrására , és kiválaszthatják az Adathalász szimuláció vagy a SecOps-postaláda lehetőséget.
• Az E-mail entitás lap: A rendszergazdák megtekinthetik azokat az üzeneteket, amelyeket a SecOps-postaláda vagy az Adathalászati szimuláció a Felülbírálás(ok) szakasz Bérlői felülbírálás szakaszában engedélyezett a szervezeti házirend által.
• A Veszélyforrások elleni védelem állapota jelentés: A rendszergazda szűrhet az adatok megtekintése alapján a legördülő menüben a Rendszer felülbírálása szerint, és kiválaszthatja az adathalász szimulációs rendszer felülbírálása miatt engedélyezett üzenetek megtekintését. A SecOps-postaláda felülbírálása által engedélyezett üzenetek megtekintéséhez a diagram ok szerinti legördülő listájában kiválaszthatja a diagram kézbesítési hely szerinti lebontását.
• Speciális veszélyforrás-keresés a Végponthoz készült Microsoft Defenderben: Az adathalászati szimuláció és a SecOps postaládarendszer felülbírálása az OrgLevelPolicy beállításai az EmailEventsben.
• Kampánynézetek: A rendszergazda szűrhet a rendszer felülbírálási forrására , és kiválaszthatja az Adathalászati szimuláció vagy a SecOps-postaláda lehetőséget.

Mit kell tudnia a kezdés előtt?

• A Microsoft Defender portált a címen nyithatja meg https://security.microsoft.com. Ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

• Az Exchange Online PowerShellhez való csatlakozáshoz lásd: Csatlakozás az Exchange Online-hoz PowerShell.

• Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. A következő lehetőségek közül választhat:

  • Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha az e-mail & együttműködéshez>Az Office 365-höz készült Defender engedélyei aktívak. Csak a Defender portált érinti, a PowerShellt nem: Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (kezelés) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).

  • E-mail & együttműködési engedélyek a Microsoft Defender portálon és az Exchange Online-engedélyek:

    • Konfigurált beállítások létrehozása, módosítása vagy eltávolítása a speciális kézbesítési házirendben: Tagság a Biztonsági rendszergazda szerepkörcsoportokban az E-mail & együttműködési RBAC-ben és tagság az Exchange Online RBAC Szervezetkezelés szerepkörcsoportjában.
    • Írásvédett hozzáférés a speciális kézbesítési szabályzathoz: Tagság a Globális olvasó vagy a Biztonsági olvasó szerepkörcsoportban az E-mail & együttműködési RBAC-ben.
      • Csak megtekintésre használható szervezetkezelés az Exchange Online RBAC-ben.

  • Microsoft Entra-engedélyek: A globális rendszergazdai, biztonsági rendszergazdai^*, globális olvasói vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.

    Fontos

    ^* A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

SecOps-postaládák konfigurálása a Speciális kézbesítési szabályzatban a Microsoft Defender portál használatával

1. A Microsoft Defender portálján https://security.microsoft.comlépjen az E-mail & együttműködési>szabályzatok & SzabályokVeszélyforrásokra vonatkozó>szabályzatok> Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

   A Speciális kézbesítés lapon ellenőrizze, hogy a SecOps postaláda lap van-e kiválasztva.

2. A SecOps postaláda lapon válassza a Hozzáadás gombot a lap Nincs SecOps-postaládák konfigurált területén.

   Ha már vannak bejegyzések a SecOps postaláda lapon, válassza a Szerkesztés lehetőséget (a Hozzáadás gomb nem érhető el).

3. A megnyíló SecOps-postaládák hozzáadása úszó panelen adjon meg egy meglévő Exchange Online-postaládát, amelyet SecOps-postaládaként szeretne kijelölni az alábbi lépések egyikével:

   • Kattintson a mezőbe, oldja fel a postaládák listáját, majd jelölje ki a postaládát.

   • Kattintson a mezőbe, és kezdje el beírni a postaláda azonosítóját (név, megjelenítendő név, alias, e-mail-cím, fióknév stb.), majd válassza ki a postaládát (megjelenítendő nevet) az eredmények közül.

     Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. A terjesztési csoportok nem engedélyezettek.

     Meglévő érték eltávolításához válassza az eltávolítás lehetőséget az érték mellett.

4. Ha végzett a SecOps-postaládák hozzáadása úszó panelen, válassza a Hozzáadás lehetőséget.

5. Tekintse át az SecOps-postaláda módosításai felülbíráló mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.

A SecOps postaláda lapra visszatérve az Ön által konfigurált SecOps-postaláda-bejegyzések a következők:

• A Megjelenítendő név oszlop a postaládák megjelenítendő nevét tartalmazza.
• Az E-mail oszlop tartalmazza az egyes bejegyzések e-mail-címét.
• Ha a bejegyzések listáját normálről kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.

A Microsoft Defender portál használata SecOps-postaládák módosítására vagy eltávolítására a speciális kézbesítési szabályzatban

1. A Microsoft Defender portálján https://security.microsoft.comlépjen az E-mail & együttműködési>szabályzatok & SzabályokVeszélyforrásokra vonatkozó>szabályzatok> Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

   A Speciális kézbesítés lapon ellenőrizze, hogy a SecOps postaláda lap van-e kiválasztva.

2. A SecOps postaláda lapon válassza a Szerkesztés lehetőséget.

3. A megnyíló SecOps-postaládák szerkesztése úszó panelen vegyen fel vagy távolítson el postaládákat a Speciális kézbesítési házirend szakasz A Microsoft Defender portál használata a SecOps-postaládák konfigurálásához című szakaszának 3. lépésében leírtak szerint.

   Az összes postaláda eltávolításához válassza az eltávolítás lehetőséget az egyes értékek mellett, amíg nincs több kijelölt postaláda.

4. Ha végzett a SecOps-postaládák szerkesztése úszó panelen, válassza a Mentés lehetőséget.

5. Tekintse át az SecOps-postaláda módosításai felülbíráló mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.

A SecOps postaláda lapra visszatérve megjelennek az Ön által konfigurált SecOps-postaláda-bejegyzések. Ha az összes bejegyzést eltávolította, a lista üres lesz.

A Microsoft Defender portál használata külső adathalász szimulációk konfigurálásához a speciális kézbesítési szabályzatban

Külső adathalász szimuláció konfigurálásához meg kell adnia a következő információkat:

• Legalább egy tartomány: Az üzenet SMTP-továbbításához vagy az adathalász szimuláció szállítója által megadott DKIM-tartományhoz tartozó tartomány a MAIL FROM címről (más néven 5321.MailFrom címről, P1 feladóról vagy borítékküldőről).
• Legalább egy küldési IP-cím.
• Nem e-mailes adathalászati szimulációk (például Microsoft Teams-üzenetek, Word-dokumentumok vagy Excel-számolótáblák) esetén opcionálisan azonosíthatja a szimulációs URL-címeket , hogy az ne legyen valós fenyegetésként kezelve kattintáskor: az URL-címek nincsenek blokkolva vagy robbantva, és nem jönnek létre URL-kattintási riasztások vagy az ebből eredő incidensek. Az URL-címek a kattintáskor vannak burkolva, de nincsenek letiltva.

Legalább egy tartományon és egy küldési IP-címen egyezésnek kell lennie, de az értékek között nincs társítás.

Ha az MX rekord nem a Microsoft 365-höz mutat, a fejlécben lévő Authentication-results IP-címnek meg kell egyeznie a speciális kézbesítési szabályzatBAN szereplő IP-címmel. Ha az IP-címek nem egyeznek, előfordulhat, hogy konfigurálnia kell a továbbfejlesztett szűrést az összekötőkhöz , hogy a rendszer a megfelelő IP-címet észlelje.

Megjegyzés:

Az összekötők továbbfejlesztett szűrése összetett e-mail-útválasztási forgatókönyvekben nem működik külső adathalász szimulációk esetében (például az internetről érkező e-mailek a Microsoft 365-be, majd egy helyszíni környezetbe vagy külső biztonsági szolgáltatásba, majd vissza a Microsoft 365-be kerülnek). Az EOP nem tudja azonosítani az üzenetforrás valódi IP-címét. Ne próbálja megkerülni ezt a korlátozást úgy, hogy hozzáadja a helyszíni vagy külső küldő infrastruktúra IP-címeit a külső adathalász szimulációhoz. Ezzel hatékonyan megkerüli a levélszemétszűrést minden olyan internetes feladónál, aki megszemélyesíti a külső adathalászati szimulációban megadott tartományt.

Jelenleg a külső adathalász szimulációk speciális kézbesítési szabályzata nem támogatja a szimulációkat ugyanazon a szervezeten belül (DIR:INT), különösen akkor, ha az e-maileket egy Exchange Server-átjárón keresztül irányítják át a Microsoft 365 előtt a hibrid levelezési folyamatban. A probléma kerülő megoldásához az alábbi lehetőségek közül választhat:

• Hozzon létre egy dedikált küldési összekötőt , amely nem hitelesíti belsőként az adathalász szimulációs üzeneteket.
• Konfigurálja az adathalász szimulációt úgy, hogy megkerülje az Exchange Server infrastruktúráját, és a leveleket közvetlenül a Microsoft 365 MX rekordhoz iránya (például contoso-com.mail.protection.outlook.com).
• Bár a levélszemét-ellenes házirendekben a szervezeten belüli üzenetek vizsgálatát Nincs értékre állíthatja, ezt a beállítást nem javasoljuk, mert ez hatással van más e-mail üzenetekre.

Ha a Beépített védelem előre beállított biztonsági házirendet használja, vagy az egyéni Biztonságos hivatkozások házirendjeinél az URL-címek átírásának mellőzése, ellenőrzések csak a SafeLinks API-n keresztül engedélyezve vannak, a kattintás elleni védelem ideje nem kezeli fenyegetésként az e-mailekben található adathalász szimulációs hivatkozásokat a Webes Outlookban, az iOS Outlookban és az Android Outlookban, a Windows Outlook 16.0.15317.10000-as vagy újabb verziójában, és a Mac Outlook 16.74.23061100-s vagy újabb verziója. Ha az Outlook régebbi verzióit használja, fontolja meg az URL-címek átírásának mellőzése beállítást, és csak az egyéni biztonságos hivatkozások házirendjeiben végezze el az ellenőrzést a SafeLinks API-val .

Ha adathalász szimulációs URL-címeket ad hozzá a Biztonságos hivatkozások házirendek E-mailekben ne írja át az alábbi URL-címeket szakaszhoz, az nemkívánatos riasztásokat eredményezhet az URL-kattintások esetén. Az e-mailek adathalászati szimulációs URL-címei automatikusan engedélyezve vannak az e-mail-forgalom során és a kattintáskor is.

A SecOps-postaládák speciális kézbesítési szabályzata jelenleg nem támogatja a szervezeten belüli üzeneteket (DIR:INT), és ezek az üzenetek karanténba kerülnek. Áthidaló megoldásként használhat külön levélszemét-ellenes házirendet olyan SecOps-postaládákhoz, amelyek nem karanténba helyezik a szervezeten belüli üzeneteket. Nem javasoljuk a szervezeten belüli védelem letiltását az összes postaládában.

1. A Microsoft Defender portálján https://security.microsoft.comlépjen az E-mail & együttműködési>szabályzatok & SzabályokVeszélyforrásokra vonatkozó>szabályzatok> Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

   A Speciális kézbesítés lapon válassza az Adathalászati szimuláció lapot.

2. Az Adathalászati szimuláció lapon válassza a Hozzáadás gombot a lap Nincs külső adathalász szimuláció konfigurált területén.

   Ha már vannak bejegyzések az Adathalászat szimulációja lapon, válassza a Szerkesztés lehetőséget (a Hozzáadás gomb nem érhető el).

3. A megnyíló Külső adathalász szimulációk hozzáadása úszó panelen konfigurálja a következő beállításokat:

   • Tartomány: Bontsa ki ezt a beállítást, és adjon meg legalább egy e-mail-címtartományt. Ehhez kattintson a mezőbe, adjon meg egy értéket (például contoso.com), majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. Legfeljebb 50 bejegyzést adhat hozzá. Használja az alábbi értékek egyikét:

     • Az üzenet SMTP-továbbításához használt tartomány a címben 5321.MailFrom (más néven MAIL FROM cím, P1 feladó vagy borítékküldő).
     • Az adathalász szimuláció szállítója által megadott DKIM-tartomány.

   • IP-cím küldése: Bontsa ki ezt a beállítást, és adjon meg legalább egy érvényes IPv4-címet. Ehhez kattintson a mezőbe, írjon be egy értéket, majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Ismételje meg ezt a lépést annyiszor, amennyire csak szükséges. Legfeljebb 10 bejegyzést adhat hozzá. Az érvényes értékek a következők:

     • Egyetlen IP-cím: Például: 192.168.1.1.
     • IP-címtartomány: Például: 192.168.0.1-192.168.0.254.
     • CIDR IP: Például: 192.168.0.1/25.

   • Engedélyezendő szimulációs URL-címek: Ez a beállítás nem szükséges az adathalász e-mail-szimulációk hivatkozásaihoz. Ezzel a beállítással opcionálisan azonosíthatja a nem e-mailes adathalász szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban lévő hivatkozásokban található hivatkozásokat), amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.

     Url-bejegyzések hozzáadásához bontsa ki ezt a beállítást, kattintson a mezőbe, adjon meg egy értéket, majd nyomja le az ENTER billentyűt, vagy válassza ki a mező alatt megjelenő értéket. Legfeljebb 30 bejegyzést adhat hozzá. Az URL-szintaxist a Bérlői engedélyezési/tiltólista URL-szintaxisa című témakörben találja.

   Ha el szeretne távolítani egy meglévő tartományt, IP-címet vagy URL-címet, válassza az eltávolítás lehetőséget az érték mellett.

   Vegyük az alábbi példát:

   Authentication-Results: spf=pass (sender IP is 172.17.17.7)
   smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
   header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;
   
   DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
   s=selector1;
   h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
   bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
   

   • A csatlakozó IP-cím a 172.17.17.7.
   • A MAIL FROM cím (smtp.mailfrom) tartománya contoso.com.
   • A DKIM-tartomány (header.d) contoso-simulation.com.

   A példában az alábbi kombinációk egyikével konfigurálhat egy külső adathalász szimulációt:

   Tartomány: contoso.com
   Ip-cím küldése: 172.17.17.7

   Tartomány: contoso-simulation.com
   Ip-cím küldése: 172.17.17.7

4. Ha végzett a Harmadik féltől származó adathalász szimulációk hozzáadása úszó panelen, válassza a Hozzáadás lehetőséget.

5. Tekintse át az Adathalászati szimuláció módosításai felülbírálás mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.

Az Adathalászati szimuláció lapra visszatérve az Ön által konfigurált, harmadik féltől származó adathalász szimuláció bejegyzései a következők:

• Az Érték oszlop tartalmazza a tartományt, az IP-címet vagy az URL-címet.
• A Típus oszlop minden bejegyzéshez tartalmazza a Küldési IP-címet, a Tartományt vagy az Engedélyezett szimulációs URL-címet .
• A Date (Dátum ) oszlopban látható, hogy mikor jött létre a bejegyzés.
• Ha a bejegyzések listáját normálről kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.

A Microsoft Defender portál használata külső adathalász szimulációk módosítására vagy eltávolítására a speciális kézbesítési szabályzatban

1. A Microsoft Defender portálján https://security.microsoft.comlépjen az E-mail & együttműködési>szabályzatok & SzabályokVeszélyforrásokra vonatkozó>szabályzatok> Speciális teljesítés című szakaszra a Szabályok szakaszban. Vagy ha közvetlenül a Speciális kézbesítés lapra szeretne lépni, használja a következőt https://security.microsoft.com/advanceddelivery: .

   A Speciális kézbesítés lapon válassza az Adathalászati szimuláció lapot.

2. Az Adathalászat szimulációja lapon válassza a Szerkesztés lehetőséget.

3. A megnyíló Külső adathalász szimuláció szerkesztése úszó panelen adja hozzá vagy távolítsa el a Tartomány, az IP-cím küldése és a Szimulációs URL-címek bejegyzéseit a Speciális kézbesítési szabályzat szakasz SecOps-postaládák konfigurálása a Microsoft Defender portálon című szakaszának 3. lépésében leírtak szerint.

   Az összes bejegyzés eltávolításához válassza az eltávolítás lehetőséget az egyes értékek mellett, amíg nincs több tartomány, IP-cím vagy URL-cím kijelölve.

4. Ha végzett a Külső adathalász szimuláció szerkesztése úszó panelen, válassza a Mentés lehetőséget.

5. Tekintse át az Adathalászati szimuláció módosításai felülbírálás mentett úszó panelen található információkat, majd válassza a Bezárás lehetőséget.

Az Adathalászati szimuláció lapra visszatérve megjelennek az Ön által konfigurált, harmadik féltől származó adathalász szimulációs bejegyzések. Ha az összes bejegyzést eltávolította, a lista üres lesz.

További forgatókönyvek, amelyek szűrés megkerülését igénylik

A speciális kézbesítési szabályzat által támogatott két forgatókönyv mellett más forgatókönyvekben is előfordulhat, hogy meg kell kerülnie az üzenetek szűrését:

• Külső szűrők: Ha a tartomány MX rekordja nem az Office 365-re mutat (az üzeneteket először máshová irányítjuk), alapértelmezés szerintnem érhető el a biztonságos szolgáltatás. Ha védelmet szeretne hozzáadni, engedélyeznie kell az összekötők továbbfejlesztett szűrését (más néven kihagyási listát). További információ: E-mail-forgalom kezelése külső felhőszolgáltatással az Exchange Online-nal. Ha nem szeretné az összekötők továbbfejlesztett szűrését, használjon levélforgalmi szabályokat (más néven átviteli szabályokat) az olyan üzenetek Microsoft-szűrésének megkerüléséhez, amelyeket már kiértékelt harmadik féltől származó szűrés. További információ: Az SCL beállítása levélforgalmi szabályokkal az üzenetekben.

• Felülvizsgálat alatt álló téves pozitívok: Ideiglenesen engedélyezni szeretné a rendszergazdai beküldéseken keresztül jelentett rosszként (hamis pozitívként) azonosított jó üzeneteket, de az üzeneteket a Microsoft még elemzi. Mint minden felülbírálás esetében, javasoljuk , hogy ezek a kibocsátási egységek ideiglenesek legyenek.

PowerShell-eljárások SecOps-postaládákhoz a speciális kézbesítési szabályzatban

A PowerShellben a SecOps-postaládák alapvető elemei a speciális kézbesítési szabályzatban a következők:

• A SecOps felülbírálási szabályzata: A *-SecOpsOverridePolicy parancsmagok vezérlik.
• A SecOps felülbírálási szabálya: Az *-ExoSecOpsOverrideRule parancsmagok vezérlik.

Ennek a viselkedésnek a következő eredményei vannak:

• Először létre kell hoznia a szabályzatot, majd létre kell hoznia azt a szabályt, amely azonosítja azt a szabályzatot, amelyre a szabály vonatkozik.
• Amikor eltávolít egy szabályzatot a PowerShellből, a megfelelő szabály is törlődik.
• Amikor eltávolít egy szabályt a PowerShellből, a megfelelő szabályzat nem lesz eltávolítva. A megfelelő szabályzatot manuálisan kell eltávolítania.

SecOps-postaládák konfigurálása a PowerShell használatával

A SecOps-postaláda konfigurálása a Speciális kézbesítési szabályzatban a PowerShellben két lépésből áll:

1. Hozza létre a SecOps felülbírálási szabályzatát.
2. Hozza létre a SecOps felülbírálási szabályt, amely meghatározza azt a szabályzatot, amelyre a szabály vonatkozik.

1. lépés: A SecOps felülbírálási szabályzatának létrehozása a PowerShell használatával

Az Exchange Online PowerShellben használja a következő szintaxist:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

A megadott Név értéktől függetlenül a házirend neve SecOpsOverridePolicy, így ezt az értéket is használhatja.

Ez a példa létrehozza a SecOps postaláda-házirendet.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Részletes szintaxis- és paraméterinformációkért lásd: New-SecOpsOverridePolicy.

2. lépés: A SecOps felülbírálási szabályának létrehozása a PowerShell használatával

Az Exchange Online PowerShellben futtassa a következő parancsot:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

A megadott Név értéktől függetlenül a szabály neve [sic] lesz _Exe:SecOpsOverrid:<GUID\> , ahol <a GUID> egyedi GUID-érték (például 312c23cf-0377-4162-b93d-6548a9977efb9).

Részletes szintaxis- és paraméterinformációkért lásd: New-ExoSecOpsOverrideRule.

A SecOps felülbírálási szabályzatának megtekintése a PowerShell használatával

Az Exchange Online PowerShellben ez a példa részletes információkat ad vissza az egy és csak a SecOps postaláda-házirendről.

Get-SecOpsOverridePolicy

Részletes szintaxis- és paraméterinformációkért lásd: Get-SecOpsOverridePolicy.

SecOps-felülbírálási szabályok megtekintése a PowerShell használatával

Az Exchange Online PowerShellben ez a példa részletes információkat ad vissza a SecOps felülbírálási szabályairól.

Get-ExoSecOpsOverrideRule

Bár az előző parancsnak csak egy szabályt kell visszaadnia, előfordulhat, hogy egy törlésre váró szabály is szerepel az eredmények között.

Ez a példa az érvényes szabályt (egy) és az érvénytelen szabályokat azonosítja.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Miután azonosította az érvénytelen szabályokat, a Remove-ExoSecOpsOverrideRule parancsmaggal távolíthatja el őket a cikk későbbi részében leírtak szerint.

Részletes szintaxis- és paraméterinformációkért lásd: Get-ExoSecOpsOverrideRule.

A SecOps felülbírálási szabályzatának módosítása a PowerShell használatával

Az Exchange Online PowerShellben használja a következő szintaxist:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

Ez a példa hozzáadja secops2@contoso.com a SecOps felülbírálási szabályzatához.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Megjegyzés:

Ha létezik társított, érvényes SecOps-felülbírálási szabály, a szabályban szereplő e-mail-címek is frissülnek.

Részletes szintaxis- és paraméterinformációkért lásd: Set-SecOpsOverridePolicy.

SecOps-felülbírálási szabály módosítása a PowerShell használatával

A Set-ExoSecOpsOverrideRule parancsmag nem módosítja a SecOps felülbírálási szabályában szereplő e-mail-címeket. A SecOps felülbírálási szabályban szereplő e-mail-címek módosításához használja a Set-SecOpsOverridePolicy parancsmagot.

Részletes szintaxis- és paraméterinformációkért lásd: Set-ExoSecOpsOverrideRule.

A SecOps felülbírálási szabályzatának eltávolítása a PowerShell használatával

Az Exchange Online PowerShellben ez a példa eltávolítja a SecOps Postaláda házirendet és a megfelelő szabályt.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Részletes szintaxis- és paraméterinformációkért lásd: Remove-SecOpsOverridePolicy.

SecOps-felülbírálási szabályok eltávolítása a PowerShell használatával

Az Exchange Online PowerShellben használja a következő parancsokat:

• Távolítsa el a SecOps-felülbírálási szabályokat:

  Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
  

• Távolítsa el a megadott SecOps felülbírálási szabályt:

  Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
  

Részletes szintaxis- és paraméterinformációkért lásd: Remove-ExoSecOpsOverrideRule.

PowerShell-eljárások külső adathalász szimulációkhoz a speciális kézbesítési szabályzatban

A PowerShellben a fejlett kézbesítési szabályzatban a külső adathalászati szimulációk alapvető elemei a következők:

• Az adathalászati szimuláció felülbírálási szabályzata: A *-PhishSimOverridePolicy parancsmagok vezérlik.
• Az adathalászati szimuláció felülbírálási szabálya: Az *-ExoPhishSimOverrideRule parancsmagok vezérlik.
• Az engedélyezett (feloldott) adathalászszimulációs URL-címek: A *-TenantAllowBlockListItems parancsmagok vezérlik.

Megjegyzés:

Ahogy korábban említettem, az e-mail-alapú adathalászati szimulációkban lévő hivatkozásokhoz nincs szükség az URL-címek azonosítására. A nem e-mailes adathalászati szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban található hivatkozásokban található hivatkozások) is azonosíthatja azokat a hivatkozásokat, amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.

Ennek a viselkedésnek a következő eredményei vannak:

• Először létre kell hoznia a szabályzatot, majd létre kell hoznia azt a szabályt, amely azonosítja azt a szabályzatot, amelyre a szabály vonatkozik.
• A házirend és a szabály beállításait külön módosíthatja.
• Amikor eltávolít egy szabályzatot a PowerShellből, a megfelelő szabály is törlődik.
• Amikor eltávolít egy szabályt a PowerShellből, a megfelelő szabályzat nem lesz eltávolítva. A megfelelő szabályzatot manuálisan kell eltávolítania.

Külső adathalász szimulációk konfigurálása a PowerShell használatával

Egy harmadik féltől származó adathalász szimuláció konfigurálása a PowerShellben egy többlépéses folyamat:

1. Hozza létre az adathalász szimuláció felülbírálási szabályzatát.
2. Hozza létre az adathalász szimuláció felülbírálási szabályát, amely a következőket határozza meg:
   • Az a szabályzat, amelyre a szabály vonatkozik.
   • Az adathalász szimulációs üzenetek forrás IP-címe.
3. Igény szerint azonosíthatja az adathalász szimulációs URL-címeket a nem e-mailes adathalászati szimulációkban (a Teams-üzenetekben vagy az Office-dokumentumokban található hivatkozásokban), amelyeket nem szabad valós fenyegetésként kezelni a kattintáskor.

1. lépés: Az adathalász szimuláció felülbírálási szabályzatának létrehozása a PowerShell használatával

Az Exchange Online PowerShellben ez a példa hozza létre az adathalász szimuláció felülbírálási szabályzatát.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

A megadott Név értéktől függetlenül a szabályzat neve PhishSimOverridePolicy, így ezt az értéket is használhatja.

Részletes szintaxis- és paraméterinformációkért lásd: New-PhishSimOverridePolicy.

2. lépés: Az adathalász szimuláció felülbírálási szabályának létrehozása a PowerShell használatával

Az Exchange Online PowerShellben használja a következő szintaxist:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

A megadott Név értéktől függetlenül a szabály neve [sic] lesz _Exe:PhishSimOverr:<GUID\> , ahol <a GUID> egyedi GUID-érték (például 6fed4b63-3563-495d-a481-b24a311f8329).

Az érvényes IP-címbejegyzés az alábbi értékek egyike:

• Egyetlen IP-cím: Például: 192.168.1.1.
• IP-címtartomány: Például: 192.168.0.1-192.168.0.254.
• CIDR IP: Például: 192.168.0.1/25.

Ez a példa létrehozza az adathalász szimuláció felülbírálási szabályát a megadott beállításokkal.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Részletes szintaxis- és paraméterinformációkért lásd: New-ExoPhishSimOverrideRule.

3. lépés: (Nem kötelező) Az adathalász szimulációs URL-címek azonosítása a PowerShell használatával

Az Exchange Online PowerShellben használja a következő szintaxist:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Az URL-szintaxissal kapcsolatos részletekért tekintse meg a bérlői engedélyezési/letiltáslista URL-szintaxisát ismertető cikket.

Ez a példa hozzáad egy URL-engedélyezési bejegyzést a megadott külső adathalász szimulációs URL-címhez lejárat nélkül.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Részletes szintaxis- és paraméterinformációkért lásd: New-TenantAllowBlockListItems.

Az adathalász szimuláció felülbírálási szabályzatának megtekintése a PowerShell használatával

Az Exchange Online PowerShellben ez a példa részletes információkat ad vissza az egyetlen adathalászszimulációs felülbírálási szabályzatról.

Get-PhishSimOverridePolicy

Részletes szintaxis- és paraméterinformációkért lásd: Get-PhishSimOverridePolicy.

Adathalászati szimuláció felülbírálási szabályainak megtekintése a PowerShell használatával

Az Exchange Online PowerShellben ez a példa részletes információkat ad vissza az adathalász szimuláció felülbírálási szabályairól.

Get-ExoPhishSimOverrideRule

Bár az előző parancsnak csak egy szabályt kell visszaadnia, a törlésre váró szabályok is megjelenhetnek az eredmények között.

Ez a példa az érvényes szabályt (egy) és az érvénytelen szabályokat azonosítja.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

Miután azonosította az érvénytelen szabályokat, a Remove-ExoPhishSimOverrideRule parancsmaggal távolíthatja el őket a cikk későbbi részében leírtak szerint.

Részletes szintaxis- és paraméterinformációkért lásd: Get-ExoPhishSimOverrideRule.

Az adathalász szimuláció engedélyezett URL-bejegyzéseinek megtekintése a PowerShell használatával

Az Exchange Online PowerShellben futtassa a következő parancsot:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Részletes szintaxis- és paraméterinformációkért lásd: Get-TenantAllowBlockListItems.

Az adathalász szimuláció felülbírálási szabályzatának módosítása a PowerShell használatával

Az Exchange Online PowerShellben használja a következő szintaxist:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

Ez a példa letiltja az adathalász szimuláció felülbírálási szabályzatát.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Részletes szintaxis- és paraméterinformációkért lásd: Set-PhishSimOverridePolicy.

Adathalászati szimuláció felülbírálási szabályainak módosítása a PowerShell használatával

Az Exchange Online PowerShellben használja a következő szintaxist:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

vagy

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

A Get-ExoPhishSimOverrideRule parancsmaggal keresse meg a <PhishSimOverrideRuleIdentity> értékeket. A szabály neve a következő szintaxist használja: _Exe:PhishSimOverr:<GUID\> [sic], ahol <a GUID> egy egyedi GUID-érték (például 6fed4b63-3563-495d-a481-b24a311f8329).

Ez a példa az (feltehetően csak) adathalász szimuláció felülbírálási szabályt módosítja az alábbi beállításokkal:

• Adja hozzá a tartománybejegyzést blueyonderairlines.com.
• Távolítsa el a 192.168.1.55 IP-címbejegyzést.

Ezek a módosítások nincsenek hatással a szabály meglévő bejegyzéseire.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Részletes szintaxis- és paraméterinformációkért lásd: Set-ExoPhishSimOverrideRule.

Az adathalász szimuláció engedélyezett URL-címeinek módosítása a PowerShell használatával

Az URL-értékek nem módosíthatók közvetlenül. Eltávolíthatja a meglévő URL-bejegyzéseket, és új URL-bejegyzéseket adhat hozzá a jelen cikkben leírtak szerint.

Az Exchange Online PowerShellben az engedélyezett adathalász szimulációs URL-bejegyzés egyéb tulajdonságainak (például a lejárati dátumnak vagy a megjegyzéseknek) módosításához használja az alábbi szintaxist:

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

A módosítandó bejegyzést a Get-TenantAllowBlockListItems parancsmag kimenetéből (az Ids paraméter) azonosítja url-értéke (az Entrys paraméter) vagy az Identity érték alapján.

Ez a példa módosította a megadott bejegyzés lejárati dátumát.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Részletes szintaxis- és paraméterinformációkért lásd: Set-TenantAllowBlockListItems.

Adathalászszimulációs felülbírálási szabályzat eltávolítása a PowerShell használatával

Az Exchange Online PowerShellben ez a példa eltávolítja az adathalász szimuláció felülbírálási szabályzatát és a megfelelő szabályt.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Részletes szintaxis- és paraméterinformációkért lásd: Remove-PhishSimOverridePolicy.

Adathalászati szimuláció felülbírálási szabályainak eltávolítása a PowerShell használatával

Az Exchange Online PowerShellben használja a következő parancsokat:

• Távolítsa el az adathalász szimuláció felülbírálási szabályait:

  Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
  

• Távolítsa el a megadott adathalász szimuláció felülbírálási szabályát:

  Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
  

Részletes szintaxis- és paraméterinformációkért lásd: Remove-ExoPhishSimOverrideRule.

Az adathalász szimulációs URL-címek engedélyezett bejegyzéseinek eltávolítása a PowerShell használatával

Az Exchange Online PowerShellben használja a következő szintaxist:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

A módosítandó bejegyzést a Get-TenantAllowBlockListItems parancsmag kimenetéből (az Ids paraméter) azonosítja url-értéke (az Entrys paraméter) vagy az Identity érték alapján.

Ez a példa módosította a megadott bejegyzés lejárati dátumát.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Részletes szintaxis- és paraméterinformációkért lásd: Remove-TenantAllowBlockListItems.