Megbízható feladólisták létrehozása az EOP-ban
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Ha Ön microsoftos 365-ügyfél, és postaládái Exchange Online vannak, vagy ha Exchange Online postaládák nélküli, különálló Exchange Online Védelmi szolgáltatás (EOP) ügyfél, az EOP többféle lehetőséget kínál annak biztosítására, hogy a felhasználók megbízható feladóktól kapjanak e-maileket. Ezek a lehetőségek együttesen megbízható feladólistákként is felfoghatók.
Az alábbi lista azokat a módszereket tartalmazza, amelyekkel az EOP-beli feladók a leginkább ajánlotttól a legkevésbé ajánlottakig engedélyezhetők:
- Tartományok és e-mail-címek bejegyzéseinek engedélyezése (beleértve a hamis feladókat is) a bérlői engedélyezési/tiltólistán.
- Exchange-levelezési szabályok (más néven átviteli szabályok).
- Outlook Megbízható feladók (a Megbízható feladók lista minden olyan postaládában, amely csak az adott postaládát érinti).
- IP-engedélyezési lista (kapcsolatszűrés)
- Engedélyezett feladólisták vagy engedélyezett tartománylisták (levélszemét-ellenes szabályzatok)
A cikk további része az egyes módszerekkel kapcsolatos részleteket tartalmaz.
Fontos
A kártevőként* vagy megbízható adathalászatként azonosított üzenetek mindig karanténba kerülnek, függetlenül a megbízható feladók listájának ön által használt beállításától. További információ: Alapértelmezés szerint biztonságos Office 365.
* A rendszer kihagyja a kártevők szűrését a speciális kézbesítési szabályzatban azonosított SecOps-postaládákban. További információ: A speciális kézbesítési szabályzat konfigurálása külső adathalász szimulációkhoz és e-mailek kézbesítése SecOps-postaládákba.
Ügyeljen arra, hogy a megbízható feladólisták használatával szigorúan figyelje a levélszemétszűrés alóli kivételeket.
A megbízható feladók listájában lévő üzeneteket mindig elküldheti a Microsoftnak elemzés céljából. Útmutatásért lásd: Jó e-mail küldése a Microsoftnak. Ha az üzenetek vagy üzenetforrások jóindulatúnak számítanak, a Microsoft automatikusan engedélyezheti az üzeneteket, és nem kell manuálisan fenntartania a bejegyzést a megbízható feladók listájában.
Az e-mailek engedélyezése helyett több lehetősége is van arra, hogy letiltsa az adott forrásokból érkező e-maileket a letiltott feladói listák használatával. További információ: Blokkküldőlisták létrehozása az EOP-ban.
Engedélyezési bejegyzések használata a bérlői engedélyezési/tiltólistán
A feladóktól vagy tartományoktól érkező e-mailek engedélyezéséhez ajánlott első számú lehetőség a bérlői engedélyezési/tiltólista. Útmutatásért lásd: Tartományok és e-mail-címek engedélyezési bejegyzéseinek létrehozása ésEngedélyezési bejegyzések létrehozása hamisított feladók számára.
Csak ha valamilyen okból nem tudja használni a bérlői engedélyezési/letiltási listát, fontolja meg egy másik módszer használatát a feladók engedélyezéséhez.
E-mail-forgalom szabályainak használata
Megjegyzés:
Az üzenetfejlécek és az e-mail-forgalom szabályai nem használhatók a belső feladó megbízható feladóként való kijelöléséhez. Az ebben a szakaszban ismertetett eljárások csak külső feladók számára működnek.
A Exchange Online és az önálló EOP levelezési szabályai feltételekkel és kivételekkel azonosítják az üzeneteket, és műveleteket hajtanak végre az üzenetekkel kapcsolatos teendők meghatározásához. További információ: Levélforgalmi szabályok (átviteli szabályok) a Exchange Online.
Az alábbi példa feltételezi, hogy a levélszemétszűrés kihagyásához contoso.com e-mailre van szüksége. Konfigurálja a következő beállításokat:
Alkalmazza ezt a szabályt, ha (feltétel): A feladó>tartománya> contoso.com.
Konfigurálja az alábbi beállítások egyikét:
Alkalmazza ezt a szabályt, ha (további feltétel): Az üzenetfejlécek>az alábbi szavak bármelyikét tartalmazzák:
-
Írja be a szöveget (fejléc neve):
Authentication-Results
-
Írja be a szavakat (fejlécérték):
dmarc=pass
vagydmarc=bestguesspass
(adja hozzá mindkét értéket).
Ez a feltétel ellenőrzi a küldő e-mail-tartomány e-mail-hitelesítési állapotát, hogy a küldő tartomány ne legyen hamis. További információ az e-mail-hitelesítésről: Email hitelesítés a Microsoft 365-ben.
-
Írja be a szöveget (fejléc neve):
IP-engedélyezési lista: Adja meg a forrás IP-címét vagy címtartományát a kapcsolatszűrő házirendben. Útmutatásért lásd: Kapcsolatszűrés konfigurálása.
Akkor használja ezt a beállítást, ha a küldő tartomány nem használ e-mail-hitelesítést. Az IP-címek engedélyezési listájában szereplő forrás IP-címeknél a lehető legszigorúsabbnak kell lennie. A /24 vagy annál kisebb IP-címtartományt javasoljuk (a kevesebb jobb). Ne használjon olyan IP-címtartományokat, amelyek fogyasztói szolgáltatásokhoz (például outlook.com) vagy megosztott infrastruktúrákhoz tartoznak.
Fontos
A levélszemétszűrés kihagyásának feltételeként soha ne konfiguráljon olyan levelezési szabályokat, ahol csak a feladó tartománya szerepel. Ezzel jelentősen megnöveli annak a valószínűségét, hogy a támadók megszemélyesíthetik a küldő tartományt (vagy megszemélyesíthetik a teljes e-mail-címet), kihagyhatják az összes levélszemétszűrést, és kihagyhatják a feladóhitelesítési ellenőrzéseket, hogy az üzenet a címzett Beérkezett üzenetek mappájába érkezik.
Ne használja az Ön tulajdonában lévő tartományokat (más néven elfogadott tartományokat) vagy népszerű tartományokat (például microsoft.com) az e-mail-forgalmi szabályok feltételeiként, mert ez lehetőséget teremt a támadók számára az egyébként szűrt e-mailek küldésére.
Ha egy hálózati címfordítási (NAT-) átjáró mögötti IP-címet engedélyez, ismernie kell a NAT-készletben részt vevő kiszolgálókat. Az IP-címek és a NAT-résztvevők változhatnak. A szokásos karbantartási eljárások részeként rendszeresen ellenőriznie kell az IP-engedélyezési lista bejegyzéseit.
Nem kötelező feltételek:
- A feladó>belső/külső>Szervezeten kívül: Ez a feltétel implicit, de nem baj, ha olyan helyszíni e-mail-kiszolgálókhoz használja, amelyek esetleg nem megfelelően vannak konfigurálva.
- A tárgy vagy a törzs>tárgy vagy szöveg tartalmazza ezen szavak>< bármelyikétkulcsszavak>: Ha tovább korlátozhatja az üzeneteket kulcsszavak vagy kifejezések alapján a tárgysorban vagy az üzenettörzsben, feltételként használhatja ezeket a szavakat.
Hajtsa végre a következőket (műveletek): Konfigurálja a szabályban az alábbi műveletek egyikét:
Az üzenet tulajdonságainak> módosításaa levélszemét megbízhatósági szintjének (SCL)> beállításaA levélszemétszűrés megkerülése.
Az üzenet tulajdonságainak> módosításaüzenetfejléc beállítása:
-
Írja be a szöveget (fejléc neve): Például
X-ETR
: . -
Írja be a szavakat (fejlécérték): Például
Bypass spam filtering for authenticated sender 'contoso.com'
: .
A szabály több tartománya esetén szükség szerint testre szabhatja a fejléc szövegét.
-
Írja be a szöveget (fejléc neve): Például
Ha egy üzenet egy levélforgalmi szabály miatt kihagyja a levélszemétszűrést, az érték SFV:SKN
az X-Forefront-Antispam-Report fejlécbe lesz bélyegzve. Ha az üzenet olyan forrásból származik, amely az IP-cím engedélyezési listájában található, akkor az érték IPV:CAL
is hozzá lesz adva. Ezek az értékek segíthetnek a hibaelhárításban.
Az Outlook megbízható feladóinak használata
Figyelem!
Ezzel a módszerrel nagy a kockázata annak, hogy a támadók sikeresen kézbesítik az e-maileket az egyébként szűrt Beérkezett üzenetek mappába. A kártevőnek vagy a megbízható adathalászatnak ítélt üzenetek szűrve lesznek. További információ: Felhasználói és bérlői beállítások ütközése.
Szervezeti beállítás helyett a felhasználók vagy rendszergazdák hozzáadhatják a feladó e-mail-címét a postaládában található Megbízható feladók listához. A Megbízható feladók lista bejegyzései a postaládában csak erre a postaládára vannak hatással. Útmutatásért tekintse meg a következő cikkeket:
- Felhasználók: Vegye fel az e-mailjeim címzettjeit a megbízható feladók listájára.
- Rendszergazdák: A Levélszemét beállításainak konfigurálása Exchange Online Postaládákban a Microsoft 365-ben.
Ez a módszer a legtöbb esetben nem kívánatos, mivel a feladók megkerülik a szűrési verem egyes részeit. Bár megbízik a feladóban, a feladó továbbra is feltörhető, és rosszindulatú tartalmat küldhet. Hagyja, hogy a szűrők minden üzenetet ellenőrizzenek, majd jelentse a hamis pozitív/negatív üzenetet a Microsoftnak , ha hibát találtunk. A szűrési verem megkerülése a nulla órás automatikus végleges törlést (ZAP) is zavarja.
Amikor az üzenetek kihagyják a levélszemétszűrést egy felhasználó Megbízható feladók listájában szereplő bejegyzések miatt, az X-Forefront-Antispam-Report fejlécmezője tartalmazza a értéket SFV:SFE
, ami azt jelzi, hogy a levélszemét, a hamisítás és az adathalászat (nem megbízható adathalászat) szűrése megkerülve lett.
- A Exchange Online, hogy a Megbízható feladók listában szereplő bejegyzések működnek-e vagy sem, attól függ, hogy az üzenetet azonosító szabályzatban milyen ítélet és művelet szerepel:
- Üzenetek áthelyezése a Levélszemét Email mappába: A rendszer figyelembe veszi a tartománybejegyzéseket és a feladó e-mail-címeit. A feladóktól érkező üzenetek nem lesznek áthelyezve a Levélszemét Email mappába.
-
Karantén: A tartománybejegyzéseket a rendszer nem tartja be (a feladóktól érkező üzenetek karanténba kerülnek). Email címbejegyzéseket a rendszer figyelembe veszi (a feladóktól érkező üzenetek nincsenek karanténban), ha az alábbi állítások valamelyike igaz:
- Az üzenet nem azonosítható kártevőként vagy megbízható adathalászatként (a kártevők és a megbízható adathalász üzenetek karanténba vannak helyezve).
- Az e-mail-üzenetben szereplő e-mail-cím, URL-cím vagy fájl szintén nem szerepel a bérlői engedélyezési/tiltólista blokkbejegyzésében.
- A rendszer figyelembe veszi a letiltott feladók és a letiltott tartományok bejegyzéseit (a feladóktól érkező üzenetek a Levélszemét Email mappába kerülnek). A biztonságos levelezőlista-beállítások figyelmen kívül lesznek hagyva.
Az IP-engedélyezési lista használata
Figyelem!
További ellenőrzés, például levélforgalmi szabályok nélkül az IP-engedélyezési listában szereplő forrásokból érkező e-mailek kihagyják a levélszemétszűrés és a feladóhitelesítés (SPF, DKIM, DMARC) ellenőrzését. Ezzel a módszerrel nagy a kockázata annak, hogy a támadók sikeresen kézbesítik az e-maileket az egyébként szűrt Beérkezett üzenetek mappába. A kártevőnek vagy a megbízható adathalászatnak ítélt üzenetek szűrve lesznek. További információ: Felhasználói és bérlői beállítások ütközése.
A következő legjobb megoldás a forrás levelezőkiszolgálók hozzáadása az IP-címek engedélyezési listájához a kapcsolatszűrő házirendben. Részletekért lásd: Kapcsolatszűrés konfigurálása az EOP-ban.
- Fontos, hogy az engedélyezett IP-címek számát minimálisra tartsa, ezért amikor csak lehetséges, ne használjon teljes IP-címtartományokat.
- Ne használjon olyan IP-címtartományokat, amelyek fogyasztói szolgáltatásokhoz (például outlook.com) vagy megosztott infrastruktúrákhoz tartoznak.
- Rendszeresen tekintse át az IP-címek engedélyezési listájában szereplő bejegyzéseket, és távolítsa el azokat a bejegyzéseket, amelyekre már nincs szüksége.
Engedélyezett feladólisták vagy engedélyezett tartománylisták használata
Figyelem!
Ezzel a módszerrel nagy a kockázata annak, hogy a támadók sikeresen kézbesítik az e-maileket az egyébként szűrt Beérkezett üzenetek mappába. A kártevőnek vagy a megbízható adathalászatnak ítélt üzenetek szűrve lesznek. További információ: Felhasználói és bérlői beállítások ütközése.
Ne használjon népszerű tartományokat (például microsoft.com) az engedélyezett tartománylistákban.
A legkevésbé kívánatos lehetőség az engedélyezett feladólisták vagy engedélyezett tartománylisták használata egyéni levélszemét-ellenes házirendekben vagy az alapértelmezett levélszemét-ellenes házirendben. Ha lehetséges , kerülje ezt a beállítást, mert a feladók megkerülik az összes levélszemét, hamisítás, adathalászat elleni védelmet (kivéve a megbízható adathalászatot) és a feladóhitelesítést (SPF, DKIM, DMARC). Ez a módszer csak ideiglenes teszteléshez ajánlott. A részletes lépéseket a Levélszemét elleni szabályzatok konfigurálása az EOP-ban című témakörben találja.
A listák maximális korlátja körülbelül 1000 bejegyzés, de legfeljebb 30 bejegyzést adhat meg a Microsoft Defender portálon. A PowerShell használatával több mint 30 bejegyzést adhat hozzá.
Megjegyzés:
2022 szeptemberétől, ha egy engedélyezett feladó, tartomány vagy altartomány a szervezet elfogadott tartományában van, a feladónak, a tartománynak vagy az altartománynak át kell adnia az e-mail-hitelesítési ellenőrzéseket a levélszemétszűrés kihagyásához.
A tömeges e-mailekkel kapcsolatos szempontok
A szabványos SMTP-e-mail-üzenetek különböző feladói e-mail-címeket tartalmazhatnak a Miért van szükség az internetes e-mail hitelesítésre című cikkben leírtak szerint. Ha valaki más nevében küld e-mailt, a címek eltérőek lehetnek. Ez a feltétel gyakran előfordul tömeges e-mailek esetén.
Tegyük fel például, hogy a Blue Yonder Airlines felbérelte a Margie's Travelt, hogy hirdetési e-maileket küldjön. A Beérkezett üzenetek mappában kapott üzenet a következő tulajdonságokkal rendelkezik:
- A MAIL FROM cím (más néven a cím, a
5321.MailFrom
P1 feladó vagy a boríték feladója) a következőblueyonder.airlines@margiestravel.com
: . - A Feladó cím (más néven a cím vagy a
5322.From
P2 feladó) ablueyonder@news.blueyonderairlines.com
, amely az Outlookban látható.
A megbízható feladók és a biztonságos tartománylisták az EOP levélszemét-védelmi házirendjeiben csak a Feladó címeket ellenőrzik. Ez a viselkedés hasonló az Outlook megbízható feladóihoz, amelyek a Feladó címet használják.
Az üzenet szűrésének megakadályozásához hajtsa végre az alábbi lépéseket:
- Adja hozzá
blueyonder@news.blueyonderairlines.com
(a feladó címét) outlookos megbízható feladóként. -
Használjon olyan e-mail-forgalmi szabályt , amely olyan feltétellel rendelkezik, amely üzeneteket keres a feladó címétől
blueyonder@news.blueyonderairlines.com
,blueyonder.airlines@margiestravel.com
a FELADÓ címétől vagy mindkettőtől.