Az e-mail-védelem sorrendje és elsőbbsége
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
A microsoftos 365-ös szervezetekben, amelyek postaládái Exchange Online vagy különálló Exchange Online Védelmi szolgáltatás (EOP) szervezetekben vannak, és nem Exchange Online postaládákat, a bejövő e-maileket több védelmi forma is megjelölheti. Ilyen például az összes Microsoft 365-ügyfél számára elérhető hamisítás elleni védelem, valamint a megszemélyesítés elleni védelem, amely csak Office 365-höz készült Microsoft Defender ügyfelek számára érhető el. Az üzenetek több észlelési vizsgálaton is átmennek kártevők, levélszemét, adathalászat stb. keresésekor. Mindezen tevékenységek miatt zavart okozhat, hogy melyik szabályzatot alkalmazzák.
Általánosságban elmondható, hogy egy üzenetre alkalmazott szabályzatot a CAT (Category) tulajdonság X-Forefront-Antispam-Report fejléce azonosít. További információ: Levélszemét elleni üzenetfejlécek.
Az üzenetre alkalmazott szabályzatot két fő tényező határozza meg:
Az e-mail-védelem típusának feldolgozási sorrendje: Ez a sorrend nem konfigurálható, és az alábbi táblázatban található:
*Ezek a funkciók csak a Office 365-höz készült Microsoft Defender adathalászat elleni szabályzataiban érhetők el.
A szabályzatok prioritási sorrendje: A szabályzat prioritási sorrendje az alábbi listában látható:
A szigorú előzetes biztonsági szabályzatban (ha engedélyezve van) a levélszemét elleni, a kártevőirtó, az adathalászat elleni, a biztonságos hivatkozások* és a biztonságos mellékletek* házirendje.
A standard előre beállított biztonsági szabályzatban (ha engedélyezve van) a levélszemét elleni, a kártevőirtó, az adathalászat elleni, a biztonságos hivatkozások* és a biztonságos mellékletek* házirendje.
Egyéni levélszemét elleni, kártevőirtó, adathalászat elleni, biztonságos hivatkozások* és biztonságos mellékletekre vonatkozó szabályzatok* (létrehozásukkor).
Az egyéni szabályzatok a házirend létrehozásakor alapértelmezett prioritási értéket kapnak (az újabb érték magasabb), de a prioritás értékét bármikor módosíthatja. Ez a prioritási érték befolyásolja az adott típusú egyéni házirendek (levélszemét elleni, kártevőirtó, adathalászat elleni stb.) alkalmazásának sorrendjét, de nincs hatással arra, hogy az egyéni házirendek hol érvényesülnek a teljes sorrendben.
Adathalászat elleni védelem, biztonságos hivatkozások és biztonságos mellékletek Office 365-höz készült Defender kiértékelési szabályzatokban (ha engedélyezve van).
Egyenlő értékű:
- A Beépített védelem beépített biztonsági házirendjének Biztonságos hivatkozások és Biztonságos mellékletek szabályzatai*.
- A kártevőirtó, levélszemét- és adathalászat elleni alapértelmezett házirendek.
A Beépített védelem előre beállított biztonsági szabályzat kivételeit konfigurálhatja, de nem konfigurálhat kivételeket az alapértelmezett házirendekhez (ezek minden címzettre érvényesek, és nem kapcsolhatja ki őket).
*csak Office 365-höz készült Defender.
A prioritási sorrend akkor számít, ha ugyanazt a címzettet szándékosan vagy akaratlanul több szabályzat is tartalmazza, mert csak az adott típusú első házirendet alkalmazza (levélszemét elleni, kártevőirtó, adathalászat elleni stb.), függetlenül attól, hogy a címzett hány egyéb házirendet tartalmaz. A címzett beállításai soha nem egyesülnek vagy egyesülnek több házirendben. A címzettet az adott típusú többi szabályzat beállításai nem érintik.
A "Contoso Executives" nevű csoport például a következő szabályzatokban szerepel:
- A Szigorú előre beállított biztonsági szabályzat
- Egyéni levélszemét-ellenes szabályzat, amelynek prioritása 0 (legmagasabb prioritás)
- Egyéni levélszemét-ellenes szabályzat, amelynek prioritása 1.
Mely levélszemét-ellenes házirend-beállítások vannak alkalmazva a Contoso vezetőinek tagjaira? A Szigorú előre beállított biztonsági szabályzat. Az egyéni levélszemét-ellenes házirendek beállításait a Contoso vezetői figyelmen kívül hagyják, mert a Szigorú előre beállított biztonsági szabályzatot mindig először alkalmazza a rendszer.
Egy másik példaként vegye figyelembe a következő egyéni adathalászati házirendeket az Office 365-höz készült Microsoft Defender, amelyek ugyanazokra a címzettekre vonatkoznak, valamint egy olyan üzenetet, amely felhasználói megszemélyesítést és hamisítást egyaránt tartalmaz:
Házirend neve | Elsőbbség | Felhasználó megszemélyesítése | Hamisítás elleni hamisítás |
---|---|---|---|
A szabályzat | 1 | Bekapcsolva | Ki |
B szabályzat | 2 | Ki | Bekapcsolva |
- Az üzenet hamisításként van azonosítva, mivel a rendszer a hamisítást (5) a felhasználó megszemélyesítése (6) előtt értékeli ki az e-mail védelmi típus feldolgozásának sorrendjében.
- Először az A szabályzatot alkalmazza a rendszer, mert magasabb prioritással rendelkezik, mint a B szabályzat.
- Az A szabályzat beállításai alapján a rendszer nem hajt végre műveletet az üzeneten, mert az hamisítás elleni beállítás ki van kapcsolva.
- Az adathalászat elleni házirendek feldolgozása leáll minden érintett címzett esetében, így a B szabályzat soha nem lesz alkalmazva az A szabályzatban szereplő címzettekre.
Ha meg szeretné győződni arról, hogy a címzettek megkapják a kívánt védelmi beállításokat, kövesse az alábbi irányelveket a szabályzattagságokhoz:
- Kisebb számú felhasználót rendelhet magasabb prioritású házirendekhez, és nagyobb számú felhasználót az alacsonyabb prioritású szabályzatokhoz. Ne feledje, hogy az alapértelmezett szabályzatok mindig utolsóként lesznek alkalmazva.
- Konfiguráljon magasabb prioritású szabályzatokat, hogy szigorúbb vagy specializáltabb beállításokat használjon, mint az alacsonyabb prioritású szabályzatok. Teljes körűen szabályozhatja az egyéni házirendek és az alapértelmezett szabályzatok beállításait, de az előre beállított biztonsági szabályzatok legtöbb beállítását nem.
- Fontolja meg kevesebb egyéni szabályzat használatát (csak olyan felhasználók esetében használjon egyéni házirendeket, akiknek speciálisabb beállításokra van szükségük, mint a Standard vagy a Szigorú előzetes biztonsági szabályzatok, vagy az alapértelmezett házirendek).
Függelék
Fontos megérteni, hogy a felhasználó hogyan engedélyezi és tiltja le, a bérlő engedélyezi és letiltja, valamint szűri a verem-ítéleteket az EOP-ban, és Office 365-höz készült Defender kiegészítik vagy ellentmondanak egymásnak.
- További információ a veremek szűréséről és azok kombinálásáról: Részletes veszélyforrások elleni védelem Office 365-höz készült Microsoft Defender.
- Miután a szűrési verem meghatározta az ítéletet, csak a bérlői szabályzatok és a konfigurált műveletek lesznek kiértékelve.
- Ha ugyanaz az e-mail-cím vagy tartomány szerepel egy felhasználó Megbízható feladók és Letiltott feladók listájában, a Megbízható feladók lista élvez elsőbbséget.
- Ha ugyanaz az entitás (e-mail-cím, tartomány, hamis küldési infrastruktúra, fájl vagy URL- cím) létezik egy engedélyezési bejegyzésben és egy blokkbejegyzésben a bérlői engedélyezési/tiltólistán, a blokkbejegyzés elsőbbséget élvez.
A felhasználó engedélyezi és letiltja
A felhasználó biztonságoslista-gyűjteményének bejegyzései (a Megbízható feladók lista, a Megbízható címzettek lista és a Letiltott feladók lista az egyes postaládákban) felülbírálhatnak néhány szűrési verem-ítéletet az alábbi táblázatban leírtak szerint:
Veremre vonatkozó ítélet szűrése | Felhasználó megbízható feladók/címzettek listája | A felhasználó letiltott feladóinak listája |
---|---|---|
Kártevő szoftverek | A szűrő nyer: Email karanténba helyezve | A szűrő nyer: Email karanténba helyezve |
Megbízható adathalászat | A szűrő nyer: Email karanténba helyezve | A szűrő nyer: Email karanténba helyezve |
Adathalászat | A felhasználó nyer: Email kézbesítve a felhasználó Beérkezett üzenetek mappájába | A bérlő nyer: A vonatkozó levélszemét-ellenes szabályzat határozza meg a műveletet |
Megbízható levélszemét | A felhasználó nyer: Email kézbesítve a felhasználó Beérkezett üzenetek mappájába | A bérlő nyer: A vonatkozó levélszemét-ellenes szabályzat határozza meg a műveletet |
Spam | A felhasználó nyer: Email kézbesítve a felhasználó Beérkezett üzenetek mappájába | A bérlő nyer: A vonatkozó levélszemét-ellenes szabályzat határozza meg a műveletet |
Terjedelem | A felhasználó nyer: Email kézbesítve a felhasználó Beérkezett üzenetek mappájába | A felhasználó nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába |
Nem levélszemét | A felhasználó nyer: Email kézbesítve a felhasználó Beérkezett üzenetek mappájába | A felhasználó nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába |
- Előfordulhat, hogy Exchange Online a tartomány engedélyezi a megbízható feladó listájában, ha az üzenetet karanténba helyezi az alábbi feltételek valamelyike:
- Az üzenet kártevőként vagy megbízható adathalászatként van azonosítva (a kártevők és a megbízható adathalász üzenetek karanténba vannak helyezve).
- A levélszemét-ellenes házirendekben lévő műveletek úgy vannak konfigurálva, hogy karanténba kerüljenek a levelek a Levélszemét Email mappába való áthelyezése helyett.
- Az e-mail-üzenetben szereplő e-mail-cím, URL-cím vagy fájl szintén egy blokkbejegyzésben szerepel a bérlői engedélyezési/tiltólistán.
A felhasználói postaládákban található biztonságoslista-gyűjtési és levélszemét-ellenes beállításokkal kapcsolatos további információkért lásd: Levélszemét-beállítások konfigurálása Exchange Online postaládákban.
A bérlő engedélyezi és letiltja
A bérlő engedélyezi és a blokkok felülbírálhatnak néhány szűrési verem-ítéletet az alábbi táblázatokban leírtak szerint:
Speciális kézbesítési szabályzat (kihagyja a kijelölt SecOps-postaládák és adathalász szimulációs URL-címek szűrését):
Veremre vonatkozó ítélet szűrése Speciális kézbesítési szabályzat engedélyezése Kártevő szoftverek A bérlő nyer: Email kézbesítve a postaládába Megbízható adathalászat A bérlő nyer: Email kézbesítve a postaládába Adathalászat A bérlő nyer: Email kézbesítve a postaládába Megbízható levélszemét A bérlő nyer: Email kézbesítve a postaládába Spam A bérlő nyer: Email kézbesítve a postaládába Terjedelem A bérlő nyer: Email kézbesítve a postaládába Nem levélszemét A bérlő nyer: Email kézbesítve a postaládába Exchange-levelezési szabályok (más néven átviteli szabályok):
Veremre vonatkozó ítélet szűrése Az e-mail-forgalom szabálya lehetővé teszi* Levélforgalmi szabályblokkok Kártevő szoftverek A szűrő nyer: Email karanténba helyezve A szűrő nyer: Email karanténba helyezve Megbízható adathalászat A szűrő nyer: Email karanténba helyezve, kivéve az összetett útválasztást A szűrő nyer: Email karanténba helyezve Adathalászat A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Adathalászati művelet a vonatkozó levélszemét-ellenes szabályzatban Megbízható levélszemét A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába Spam A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába Terjedelem A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába Nem levélszemét A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába * Azok a szervezetek, amelyek külső biztonsági szolgáltatást vagy eszközt használnak a Microsoft 365 előtt, érdemes megfontolni a hitelesített fogadott lánc (ARC) használatát ( elérhetőségért forduljon a külső félhez) és az összekötők továbbfejlesztett szűrését (más néven kihagyási lista) az SCL=-1 levelezési szabály helyett. Ezek a továbbfejlesztett módszerek csökkentik az e-mail-hitelesítéssel kapcsolatos problémákat, és elősegítik az e-mailek részletes védelmének védelmét.
IP-engedélyezési lista és IP-blokklista a kapcsolatszűrő házirendekben:
Veremre vonatkozó ítélet szűrése IP-engedélyezési lista IP-blokkok listája Kártevő szoftverek A szűrő nyer: Email karanténba helyezve A szűrő nyer: Email karanténba helyezve Megbízható adathalászat A szűrő nyer: Email karanténba helyezve A szűrő nyer: Email karanténba helyezve Adathalászat A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email csendesen elvetve Megbízható levélszemét A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email csendesen elvetve Spam A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email csendesen elvetve Terjedelem A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email csendesen elvetve Nem levélszemét A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email csendesen elvetve A levélszemét elleni házirendek beállításainak engedélyezése és letiltása:
- Engedélyezett feladók és tartománylista.
- Letiltott feladó és tartománylista.
- Adott országokból/régiókból vagy adott nyelveken érkező üzenetek letiltása.
- Üzenetek blokkolása a speciális levélszemétszűrő (ASF) beállításai alapján.
Veremre vonatkozó ítélet szűrése A levélszemét-ellenes szabályzat lehetővé teszi Levélszemét elleni szabályzatblokkok Kártevő szoftverek A szűrő nyer: Email karanténba helyezve A szűrő nyer: Email karanténba helyezve Megbízható adathalászat A szűrő nyer: Email karanténba helyezve A szűrő nyer: Email karanténba helyezve Adathalászat A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Adathalászati művelet a vonatkozó levélszemét-ellenes szabályzatban Megbízható levélszemét A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába Spam A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába Terjedelem A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába Nem levélszemét A bérlő nyer: Email kézbesítve a postaládába A bérlő nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába Engedélyezési bejegyzések a bérlői engedélyezési/tiltólistán: Kétféle engedélyezési bejegyzés létezik:
- Az üzenetszint lehetővé teszi, hogy a bejegyzések a teljes üzenetre reagálhassanak, függetlenül az üzenet entitásaitól. Az e-mail-címek és a tartományok engedélyezési bejegyzései üzenetszintű engedélyezési bejegyzések.
- Az entitásszintű engedélyezési bejegyzések az entitások szűrési ítéletére reagálnak. Az URL-címek, a hamis feladók és a fájlok bejegyzéseinek engedélyezése entitásszintű engedélyezési bejegyzés. A kártevők és a megbízható adathalászati ítéletek felülbírálásához entitásszintű engedélyezési bejegyzéseket kell használnia, amelyeket csak a Microsoft 365-ben alapértelmezés szerint a Biztonságos beállítás miatt hozhat létre beküldéssel.
Veremre vonatkozó ítélet szűrése Email cím/tartomány Kártevő szoftverek A szűrő nyer: Email karanténba helyezve Megbízható adathalászat A szűrő nyer: Email karanténba helyezve Adathalászat A bérlő nyer: Email kézbesítve a postaládába Megbízható levélszemét A bérlő nyer: Email kézbesítve a postaládába Spam A bérlő nyer: Email kézbesítve a postaládába Terjedelem A bérlő nyer: Email kézbesítve a postaládába Nem levélszemét A bérlő nyer: Email kézbesítve a postaládába Tiltsa le a bejegyzéseket a bérlők engedélyezési/blokkolási listájában:
Veremre vonatkozó ítélet szűrése Email cím/tartomány Svindli Fájl URL Kártevő szoftverek A szűrő nyer: Email karanténba helyezve A szűrő nyer: Email karanténba helyezve A bérlő nyer: Email karanténba helyezve A szűrő nyer: Email karanténba helyezve Megbízható adathalászat A bérlő nyer: Email karanténba helyezve A szűrő nyer: Email karanténba helyezve A bérlő nyer: Email karanténba helyezve A bérlő nyer: Email karanténba helyezve Adathalászat A bérlő nyer: Email karanténba helyezve A bérlő nyer: Hamis művelet a vonatkozó adathalászat elleni szabályzatban A bérlő nyer: Email karanténba helyezve A bérlő nyer: Email karanténba helyezve Megbízható levélszemét A bérlő nyer: Email karanténba helyezve A bérlő nyer: Hamis művelet a vonatkozó adathalászat elleni szabályzatban A bérlő nyer: Email karanténba helyezve A bérlő nyer: Email karanténba helyezve Spam A bérlő nyer: Email karanténba helyezve A bérlő nyer: Hamis művelet a vonatkozó adathalászat elleni szabályzatban A bérlő nyer: Email karanténba helyezve A bérlő nyer: Email karanténba helyezve Terjedelem A bérlő nyer: Email karanténba helyezve A bérlő nyer: Hamis művelet a vonatkozó adathalászat elleni szabályzatban A bérlő nyer: Email karanténba helyezve A bérlő nyer: Email karanténba helyezve Nem levélszemét A bérlő nyer: Email karanténba helyezve A bérlő nyer: Hamis művelet a vonatkozó adathalászat elleni szabályzatban A bérlő nyer: Email karanténba helyezve A bérlő nyer: Email karanténba helyezve
Felhasználói és bérlői beállítások ütközése
Az alábbi táblázat azt ismerteti, hogyan oldhatók fel az ütközések, ha egy e-mailre hatással vannak a felhasználói engedélyezési/blokkolási beállítások és a bérlő engedélyezési/blokkolási beállításai:
Bérlői engedélyezés/blokk típusa | Felhasználó megbízható feladók/címzettek listája | A felhasználó letiltott feladóinak listája |
---|---|---|
Blokkbejegyzések a bérlői engedélyezési/blokkolási listában a következőhöz:
|
A bérlő nyer: Email karanténba helyezve | A bérlő nyer: Email karanténba helyezve |
Hamisított feladók bejegyzéseinek letiltása a bérlői engedélyezési/blokkolási listában | A bérlő nyer: Hamisintelligencia-művelet a vonatkozó adathalászat elleni szabályzatban | A bérlő nyer: Hamisintelligencia-művelet a vonatkozó adathalászat elleni szabályzatban |
Speciális kézbesítési szabályzat | A felhasználó nyer: Email kézbesítve a postaládába | A bérlő nyer: Email kézbesítve a postaládába |
Levélszemét-ellenes házirendek beállításainak letiltása | A felhasználó nyer: Email kézbesítve a postaládába | A felhasználó nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába |
DMARC-szabályzat tiszteletbentartása | A felhasználó nyer: Email kézbesítve a postaládába | A felhasználó nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába |
Blokkok levélforgalmi szabályok szerint | A felhasználó nyer: Email kézbesítve a postaládába | A felhasználó nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába |
Engedélyezi a következőket:
|
A felhasználó nyer: Email kézbesítve a postaládába | A felhasználó nyer: Email kézbesítve a felhasználó Levélszemét Email mappájába |