Megbízható feladók listájának Létrehozás az EOP-ban

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Ha Ön microsoftos 365-ügyfél, és postaládái Exchange Online vannak, vagy ha Exchange Online postaládák nélküli, különálló Exchange Online Védelmi szolgáltatás (EOP) ügyfél, az EOP többféle lehetőséget kínál annak biztosítására, hogy a felhasználók megbízható feladóktól kapjanak e-maileket. Ezek a lehetőségek együttesen megbízható feladólistákként is felfoghatók.

Az elérhető megbízható feladók listáját a következő listában találja, a legajánlottabbtól a legkevésbé ajánlottig:

  1. Tartományok és e-mail-címek bejegyzéseinek engedélyezése (beleértve a hamis feladókat is) a bérlői engedélyezési/tiltólistán.
  2. Levélforgalmi szabályok (más néven átviteli szabályok).
  3. Outlook Megbízható feladók (az egyes postaládákban tárolt megbízható feladók listája, amely csak az adott postaládát érinti).
  4. IP-engedélyezési lista (kapcsolatszűrés)
  5. Engedélyezett feladólisták vagy engedélyezett tartománylisták (levélszemét-ellenes szabályzatok)

A cikk további része az egyes módszerekkel kapcsolatos részleteket tartalmaz.

Fontos

A kártevőként* vagy megbízható adathalászatként azonosított üzenetek mindig karanténba kerülnek, függetlenül a megbízható feladók listájának ön által használt beállításától. További információ: Alapértelmezés szerint biztonságos Office 365.

* A rendszer kihagyja a kártevők szűrését a speciális kézbesítési szabályzatban azonosított SecOps-postaládákban. További információ: A speciális kézbesítési szabályzat konfigurálása külső adathalász szimulációkhoz és e-mailek kézbesítése SecOps-postaládákba.

Ügyeljen arra, hogy a megbízható feladólisták használatával szigorúan figyelje a levélszemétszűrés alóli kivételeket.

A megbízható feladók listájában lévő üzeneteket mindig elküldheti a Microsoftnak elemzés céljából. Útmutatásért lásd: Jó e-mail küldése a Microsoftnak. Ha az üzenetek vagy üzenetforrások jóindulatúnak számítanak, a Microsoft automatikusan engedélyezheti az üzeneteket, és nem kell manuálisan fenntartania a bejegyzést a megbízható feladók listájában.

Az e-mailek engedélyezése helyett több lehetősége is van arra, hogy letiltsa az adott forrásokból érkező e-maileket a letiltott feladói listák használatával. További információ: Létrehozás feladólisták letiltása az EOP-ban.

Engedélyezési bejegyzések használata a bérlői engedélyezési/tiltólistán

A feladóktól vagy tartományoktól érkező e-mailek engedélyezéséhez ajánlott első számú lehetőség a bérlői engedélyezési/tiltólista. Útmutatásért lásd: Létrehozás tartományok és e-mail-címek bejegyzéseinek engedélyezése, valamint Létrehozás a hamisított feladók bejegyzéseinek engedélyezése.

Csak ha valamilyen okból nem tudja használni a bérlői engedélyezési/letiltási listát, fontolja meg egy másik módszer használatát a feladók engedélyezéséhez.

E-mail-forgalom szabályainak használata

Megjegyzés:

Az üzenetfejlécek és az e-mail-forgalom szabályai nem használhatók a belső feladó megbízható feladóként való kijelöléséhez. Az ebben a szakaszban ismertetett eljárások csak külső feladók számára működnek.

A Exchange Online és az önálló EOP levelezési szabályai feltételekkel és kivételekkel azonosítják az üzeneteket, és műveleteket hajtanak végre az üzenetekkel kapcsolatos teendők meghatározásához. További információ: Levélforgalmi szabályok (átviteli szabályok) a Exchange Online.

Az alábbi példa feltételezi, hogy a levélszemétszűrés kihagyásához contoso.com e-mailre van szüksége. Ehhez konfigurálja a következő beállításokat:

  1. Feltétel: A feladó>tartománya> contoso.com.

  2. Konfigurálja az alábbi beállítások egyikét:

    • E-mail-forgalom szabályfeltétele: Az üzenetfejlécek>az alábbi szavak bármelyikét tartalmazzák:

      • Fejléc neve: Authentication-Results
      • Fejléc értéke: dmarc=pass vagy dmarc=bestguesspass (adja hozzá mindkét értéket).

      Ez a feltétel ellenőrzi a küldő e-mail-tartomány e-mail-hitelesítési állapotát, hogy a küldő tartomány ne legyen hamis. További információ az e-mail-hitelesítésről: SPF, DKIM és DMARC.

    • IP-engedélyezési lista: Adja meg a forrás IP-címét vagy címtartományát a kapcsolatszűrő házirendben. Útmutatásért lásd: Kapcsolatszűrés konfigurálása.

      Akkor használja ezt a beállítást, ha a küldő tartomány nem használ e-mail-hitelesítést. Az IP-címek engedélyezési listájában szereplő forrás IP-címeknél a lehető legszigorúsabbnak kell lennie. A /24 vagy annál kisebb IP-címtartományt javasoljuk (a kevesebb jobb). Ne használjon olyan IP-címtartományokat, amelyek fogyasztói szolgáltatásokhoz (például outlook.com) vagy megosztott infrastruktúrákhoz tartoznak.

    Fontos

    • A levélszemétszűrés kihagyásának feltételeként soha ne konfiguráljon olyan levelezési szabályokat, ahol csak a feladó tartománya szerepel. Ezzel jelentősen megnöveli annak a valószínűségét, hogy a támadók megszemélyesíthetik a küldő tartományt (vagy megszemélyesíthetik a teljes e-mail-címet), kihagyhatják az összes levélszemétszűrést, és kihagyhatják a feladóhitelesítési ellenőrzéseket, hogy az üzenet a címzett Beérkezett üzenetek mappájába érkezik.

    • Ne használjon saját tulajdonú tartományokat (más néven elfogadott tartományokat) vagy népszerű tartományokat (például microsoft.com) az e-mail-forgalmi szabályok feltételeiként. Ez nagy kockázatnak számít, mivel lehetőséget teremt a támadók számára arra, hogy máskülönben szűrt e-maileket küldjenek.

    • Ha egy hálózati címfordítási (NAT-) átjáró mögötti IP-címet engedélyez, ismernie kell a NAT-készletben részt vevő kiszolgálókat, hogy megismerje az IP-engedélyezési lista hatókörét. Az IP-címek és a NAT-résztvevők változhatnak. A szokásos karbantartási eljárások részeként rendszeresen ellenőriznie kell az IP-engedélyezési lista bejegyzéseit.

  3. Nem kötelező feltételek:

    • A feladó>belső/külső>Szervezeten kívül: Ez a feltétel implicit, de nem baj, ha olyan helyszíni e-mail-kiszolgálókhoz használja, amelyek esetleg nem megfelelően vannak konfigurálva.
    • A tárgy vagy a törzs>tárgy vagy szöveg tartalmazza ezen szavak>< bármelyikétkulcsszavak>: Ha tovább korlátozhatja az üzeneteket kulcsszavak vagy kifejezések alapján a tárgysorban vagy az üzenettörzsben, feltételként használhatja ezeket a szavakat.

  4. Művelet: Konfigurálja a szabályban a következő két műveletet:

    1. Az üzenet tulajdonságainak> módosításaa levélszemét megbízhatósági szintjének (SCL)> beállításaA levélszemétszűrés megkerülése.

    2. Az üzenet tulajdonságainak> módosításaüzenetfejléc beállítása:

      • Fejléc neve: Például X-ETR: .
      • Fejléc értéke: Például Bypass spam filtering for authenticated sender 'contoso.com': .

      Ha egynél több tartomány van a szabályban, igény szerint testre szabhatja a fejléc szövegét.

Ha egy üzenet egy levélforgalmi szabály miatt kihagyja a levélszemétszűrést, az érték SFV:SKN az X-Forefront-Antispam-Report fejlécbe lesz bélyegzve. Ha az üzenet olyan forrásból származik, amely az IP-cím engedélyezési listájában található, akkor az érték IPV:CAL is hozzá lesz adva. Ezek az értékek segíthetnek a hibaelhárításban.

Példa az e-mail-forgalom szabálybeállításaira az új EAC-ban a levélszemétszűrés megkerüléséhez.

Az Outlook megbízható feladóinak használata

Figyelem!

Ezzel a módszerrel nagy a kockázata annak, hogy a támadók sikeresen kézbesítik az e-maileket az egyébként szűrt Beérkezett üzenetek mappába; Ha azonban a felhasználó Megbízható feladók vagy Megbízható tartományok listájában szereplő egyik bejegyzésből származó üzenet kártevőnek vagy megbízható adathalászatnak számít, az üzenet szűrve lesz.

Szervezeti beállítás helyett a felhasználók vagy rendszergazdák hozzáadhatják a feladó e-mail-címét a postaládában található Megbízható feladók listához. Útmutatásért lásd: Levélszemét-beállítások konfigurálása Exchange Online postaládákban Office 365. A Megbízható feladók lista bejegyzései a postaládában csak erre a postaládára vannak hatással.

Ez a módszer a legtöbb esetben nem kívánatos, mivel a feladók megkerülik a szűrési verem egyes részeit. Bár megbízik a feladóban, a feladó továbbra is feltörhető, és rosszindulatú tartalmat küldhet. Hagyja, hogy a szűrők minden üzenetet ellenőrizzenek, majd jelentse a hamis pozitív/negatív üzenetet a Microsoftnak , ha hibát találtunk. A szűrési verem megkerülése a nulla órás automatikus végleges törlést (ZAP) is zavarja.

Ha az üzenetek kihagyják a levélszemétszűrést a felhasználó Megbízható feladók listájában szereplő bejegyzések miatt, az X-Forefront-Antispam-Report fejlécmezője a értéket SFV:SFEfogja tartalmazni, ami azt jelzi, hogy a levélszemét, a hamis hamisítás és az adathalászat (nem megbízható adathalászat) szűrése megkerülve lett.

Megjegyzések:

  • A Exchange Online, hogy a Megbízható feladók listában szereplő bejegyzések működnek-e vagy sem, attól függ, hogy az üzenetet azonosító szabályzatban milyen ítélet és művelet szerepel:
    • Üzenetek áthelyezése a Levélszemét Email mappába: A rendszer figyelembe veszi a tartománybejegyzéseket és a feladó e-mail-címeit. A feladóktól érkező üzenetek nem lesznek áthelyezve a Levélszemét Email mappába.
    • Karantén: A tartománybejegyzéseket a rendszer nem tartja be (a feladóktól érkező üzenetek karanténba kerülnek). Email címbejegyzéseket a rendszer figyelembe veszi (a feladóktól érkező üzenetek nincsenek karanténba helyezve), ha az alábbi állítások bármelyike igaz:
      • Az üzenet nem azonosítható kártevőként vagy megbízható adathalászatként (a kártevők és a megbízható adathalász üzenetek karanténba vannak helyezve).
      • Az e-mail-cím szintén nem szerepel a bérlői engedélyezési/tiltólista blokkbejegyzésében.
  • A rendszer figyelembe veszi a letiltott feladók és a letiltott tartományok bejegyzéseit (a feladóktól érkező üzenetek a Levélszemét Email mappába kerülnek). A biztonságos levelezőlista-beállítások figyelmen kívül lesznek hagyva.

Az IP-engedélyezési lista használata

Figyelem!

További ellenőrzés, például levélforgalmi szabályok nélkül az IP-engedélyezési listában szereplő forrásokból érkező e-mailek kihagyják a levélszemétszűrés és a feladóhitelesítés (SPF, DKIM, DMARC) ellenőrzését. Ez az eredmény nagy kockázattal jár, ha a támadók sikeresen kézbesítik az e-maileket a Beérkezett üzenetek mappába, amely egyébként szűrve lenne; Ha azonban az IP-cím engedélyezési listájában szereplő egyik bejegyzésből származó üzenet kártevőnek vagy megbízható adathalászatnak számít, az üzenet szűrve lesz.

A következő legjobb megoldás, ha hozzáadja a forrás levelezőkiszolgálót vagy kiszolgálókat az IP-címek engedélyezési listájához a kapcsolatszűrő házirendben. Részletekért lásd: Kapcsolatszűrés konfigurálása az EOP-ban.

Megjegyzések:

  • Fontos, hogy az engedélyezett IP-címek számát minimálisra tartsa, ezért amikor csak lehetséges, ne használjon teljes IP-címtartományokat.
  • Ne használjon olyan IP-címtartományokat, amelyek fogyasztói szolgáltatásokhoz (például outlook.com) vagy megosztott infrastruktúrákhoz tartoznak.
  • Rendszeresen tekintse át az IP-címek engedélyezési listájában szereplő bejegyzéseket, és távolítsa el azokat a bejegyzéseket, amelyekre már nincs szüksége.

Engedélyezett feladólisták vagy engedélyezett tartománylisták használata

Figyelem!

Ezzel a módszerrel nagy a kockázata annak, hogy a támadók sikeresen kézbesítik az e-maileket az egyébként szűrt Beérkezett üzenetek mappába; Ha azonban az engedélyezett feladók vagy engedélyezett tartományok listájában szereplő bejegyzésből származó üzenet kártevőnek vagy megbízható adathalászatnak számít, az üzenet szűrve lesz.

Ne használjon népszerű tartományokat (például microsoft.com) az engedélyezett tartományok listájában.

A legkevésbé kívánatos lehetőség az engedélyezett feladólisták vagy engedélyezett tartománylisták használata a levélszemét-ellenes házirendekben. Ha lehetséges , kerülje ezt a beállítást, mert a feladók megkerülik az összes levélszemét, hamisítás, adathalászat elleni védelmet (kivéve a megbízható adathalászatot) és a feladóhitelesítést (SPF, DKIM, DMARC). Ez a módszer csak ideiglenes teszteléshez ajánlott. A részletes lépéseket a Levélszemét-ellenes szabályzatok konfigurálása az EOP-ban című témakörben találja.

A listák maximális korlátja körülbelül 1000 bejegyzés; azonban csak 30 bejegyzést adhat meg a portálon. 30-nál több bejegyzés hozzáadásához a PowerShellt kell használnia.

Megjegyzés:

2022 szeptemberétől, ha egy engedélyezett feladó, tartomány vagy altartomány a szervezet elfogadott tartományában van, a feladónak, a tartománynak vagy az altartománynak át kell adnia az e-mail-hitelesítési ellenőrzéseket a levélszemétszűrés kihagyásához.

A tömeges e-mailekkel kapcsolatos szempontok

A szabványos SMTP-e-mailek üzenetborítványból és üzenettartalomból áll. Az üzenet borítékja olyan információkat tartalmaz, amelyek az üzenet SMTP-kiszolgálók közötti továbbításához és továbbításához szükségesek. Az üzenet tartalma üzenetfejlécmezőket (együttesen az üzenetfejlécet) és az üzenet törzsét tartalmazza. Az üzenetborítéket az RFC 5321, az üzenet fejlécét pedig az RFC 5322 ismerteti. A címzettek soha nem látják a tényleges üzenetborítékot, mert az üzenettovábbítási folyamat hozza létre, és valójában nem része az üzenetnek.

  • A 5321.MailFrom cím (más néven MAIL FROM cím, P1 feladó vagy borítékküldő) az üzenet SMTP-továbbításában használt e-mail-cím. Ez az e-mail-cím általában az üzenetfejléc Visszatérési útvonal fejléc mezőjében van rögzítve (bár lehetséges, hogy a feladó egy másik Feladói útvonal e-mail-címet jelöl ki). Ha az üzenet nem kézbesíthető, akkor a kézbesítésről szóló jelentés címzettje (más néven sikertelen kézbesítésről szóló vagy visszapattanó üzenet).
  • A 5322.From cím (más néven feladói cím vagy P2-feladó) a Feladó fejlécmezőben szereplő e-mail-cím, és a feladó e-mail-címe, amely az e-mail ügyfelekben jelenik meg.

A és 5322.From a 5321.MailFrom cím gyakran azonos (személy-személy kommunikáció). Ha azonban valaki más nevében küld e-mailt, a címek eltérőek lehetnek. Ez leggyakrabban tömeges e-mailek esetén fordul elő.

Tegyük fel például, hogy a Blue Yonder Airlines felbérelte a Margie's Travelt, hogy hirdetési e-maileket küldjön. A Beérkezett üzenetek mappában kapott üzenet a következő tulajdonságokkal rendelkezik:

  • A 5321.MailFrom cím a következő: blueyonder.airlines@margiestravel.com.
  • A 5322.From cím , blueyonder@news.blueyonderairlines.comamely az Outlookban látható.

A megbízható feladók és a biztonságos tartománylisták az EOP levélszemét-védelmi házirendjeiben csak a 5322.From címeket ellenőrzik. Ez a viselkedés hasonló az Outlook megbízható feladóihoz, amelyek a 5322.From címet használják.

Az üzenet szűrésének megakadályozásához hajtsa végre az alábbi lépéseket:

  • Adja hozzá blueyonder@news.blueyonderairlines.com (a 5322.From címet) outlookos megbízható feladóként.
  • Használjon olyan e-mail-forgalmi szabályt, amely olyan feltétellel rendelkezik, amely a (5322.Fromcím), (cím5321.MailFrom) blueyonder.airlines@margiestravel.com vagy mindkettő üzeneteit blueyonder@news.blueyonderairlines.com keresi.