メール保護の順序と優先順位

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Exchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、メールボックスがExchange Onlineされていない場合、受信メールに複数の保護形式のフラグが設定される場合があります。 たとえば、すべての Microsoft 365 ユーザーが利用できるなりすまし対策保護や、Microsoft Defender for Office 365のお客様のみが利用できる偽装保護などです。 メッセージは、マルウェア、スパム、フィッシングなどの複数の検出スキャンも通過します。このすべてのアクティビティを考えると、どのポリシーが適用されるかについて混乱が発生する可能性があります。

一般に、メッセージに適用されるポリシーは、CAT (Category) プロパティの X-Forefront-Antispam-Report ヘッダーで識別されます。 詳細については、「スパム対策メッセージ ヘッダー」を参照してください。

メッセージに適用されるポリシーを決定する主な要因は 2 つあります。

• 電子メール保護の種類の処理順序: この順序は構成できません。次の表で説明します。

  順序	メールの保護	カテゴリ	管理する場所
  1	マルウェア	CAT:MALW	EOP のマルウェア対策ポリシーを構成する
  2	高確度のフィッシング	CAT:HPHSH	EOP でのスパム対策ポリシーの構成
  3	フィッシング詐欺	CAT:PHSH	EOP でのスパム対策ポリシーの構成
  4	高確度スパム	CAT:HSPM	EOP でのスパム対策ポリシーの構成
  5	スプーフィング	CAT:SPOOF	詳細については、「EOP のスプーフィング インテリジェンス分析」を参照してください。
  6*	ユーザー偽装 (保護されたユーザー)	CAT:UIMP	詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。
  7*	ドメイン偽装 (保護されたドメイン)	CAT:DIMP	詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。
  8*	メールボックス インテリジェンス (連絡先グラフ)	CAT:GIMP	詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。
  9	スパム	CAT:SPM	EOP でのスパム対策ポリシーの構成
  10	バルク	CAT:BULK	EOP でのスパム対策ポリシーの構成

  ^*これらの機能は、Microsoft Defender for Office 365のフィッシング対策ポリシーでのみ使用できます。

• ポリシーの優先順位: ポリシーの優先順位が次の一覧に表示されます。

  1. スパム対策、マルウェア対策、フィッシング対策、安全なリンク^*、安全な添付ファイル^* の各ポリシーは、 厳密な事前設定されたセキュリティ ポリシー (有効な場合) にあります。

  2. 標準の事前設定されたセキュリティ ポリシー (有効になっている場合) のスパム対策、マルウェア対策、フィッシング対策、安全なリンク^*、安全な添付ファイル^*の各ポリシー。

  3. Defender for Office 365評価ポリシーのフィッシング対策、安全なリンク、安全な添付ファイル (有効な場合)。

  4. カスタムのスパム対策、マルウェア対策、フィッシング対策、安全なリンク^*、および安全な添付ファイル^* ポリシー (作成時)。

     カスタム ポリシーには、ポリシーを作成するときに既定の優先度値が割り当てられます (新しい方が高くなります)、優先順位の値はいつでも変更できます。 この優先度の値は、その種類の カスタム ポリシー (スパム対策、マルウェア対策、フィッシング対策など) が適用される順序に影響しますが、カスタム ポリシーが全体的な順序で適用される場所には影響しません。

  5. 等しい値の場合:

     • 組み込みの保護プリセット セキュリティ ポリシーの安全なリンクと安全な添付ファイル ポリシー^*。
     • マルウェア対策、スパム対策、フィッシング対策の既定のポリシー。

     組み込みの保護プリセット セキュリティ ポリシーに対して例外を構成できますが、既定のポリシーに対して例外を構成することはできません (すべての受信者に適用され、無効にすることはできません)。

  ^*Defender for Office 365のみ。

  受信者が含まれている他のポリシーの数に関係なく、その受信者に適用されるのは、その種類の最初のポリシー (スパム対策、マルウェア対策、フィッシング対策など) だけなので 、同じ受信者が意図的に、または意図せずに複数のポリシーに含まれている場合、優先順位が重要です。 受信者の複数のポリシーで設定をマージまたは結合することはありません。 受信者は、その種類の残りのポリシーの設定の影響を受けません。

たとえば、"Contoso Executives" という名前のグループは、次のポリシーに含まれています。

• 厳密な事前設定されたセキュリティ ポリシー
• 優先度の値が 0 (最も高い優先度) を持つカスタムスパム対策ポリシー
• 優先度値 1 のカスタムスパム対策ポリシー。

Contoso エグゼクティブのメンバーに適用されるスパム対策ポリシー設定はどれですか? 厳密な事前設定されたセキュリティ ポリシー。 カスタムスパム対策ポリシーの設定は、Contoso エグゼクティブのメンバーには無視されます。厳密な事前設定されたセキュリティ ポリシーは常に最初に適用されるためです。

別の例として、同じ受信者に適用されるMicrosoft Defender for Office 365の次のカスタム フィッシング対策ポリシーと、ユーザー偽装となりすましの両方を含むメッセージを考えてみましょう。

ポリシー名	優先度	ユーザー偽装	なりすまし対策
ポリシー A	1	オン	オフ
ポリシー B	2	オフ	オン

1. スプーフィング (5) は、電子メール保護の種類の処理の順序でユーザー偽装 (6) の前に評価されるため、メッセージはスプーフィングとして識別されます。
2. ポリシー A は、ポリシー B よりも優先度が高いため、最初に適用されます。
3. ポリシー A の設定に基づいて、スプーフィング対策がオフになっているため、メッセージに対してアクションは実行されません。
4. フィッシング対策ポリシーの処理は、含まれているすべての受信者に対して停止するため、ポリシー B はポリシー A にも含まれている受信者には適用されません。

受信者が必要な保護設定を確実に取得できるようにするには、ポリシー メンバーシップに次のガイドラインを使用します。

• 優先度の高いポリシーには少数のユーザーを割り当て、優先度の低いポリシーには多数のユーザーを割り当てます。 既定のポリシーは常に最後に適用されます。
• 優先度の高いポリシーを構成して、優先順位の低いポリシーよりも厳密または特殊な設定を設定します。 カスタム ポリシーと既定のポリシーの設定を完全に制御できますが、事前設定されたセキュリティ ポリシーのほとんどの設定は制御されません。
• 使用するカスタム ポリシーの数を減らしてください (標準または厳密な事前設定のセキュリティ ポリシー、または既定のポリシーよりも特殊な設定を必要とするユーザーにのみカスタム ポリシーを使用します)。

付録

ユーザーが EOP でスタックの判定を許可およびブロックする方法、テナントの許可とブロック、フィルター処理を行う方法を理解し、相互に補完または矛盾Defender for Office 365することが重要です。

• スタックのフィルター処理とその組み合わせ方法については、「Microsoft Defender for Office 365での脅威の保護のステップ バイ ステップ」を参照してください。
• フィルター スタックが判定を決定した後は、テナント ポリシーと構成されたアクションのみが評価されます。
• ユーザーの差出人セーフ リストとブロックされた送信者リストに同じメール アドレスまたはドメインが存在する場合、差出人セーフ リストが優先されます。
• 許可エントリに同じエンティティ (メール アドレス、ドメイン、なりすまし送信インフラストラクチャ、ファイル、または URL) が存在し、テナント許可/ブロック リストのブロック エントリが存在する場合、ブロック エントリが優先されます。

ユーザーの許可とブロック

次の表に示すように、ユーザーの セーフリスト コレクション ([差出人セーフ リスト]、[安全な受信者] リスト、および各メールボックスの [ブロックされた送信者] リスト) のエントリは、いくつかのフィルター処理スタックの判定をオーバーライドできます。

スタックの判定のフィルター処理	ユーザーの差出人セーフ リスト	ユーザーの [ブロックされた送信者] の一覧
マルウェア	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
高確度のフィッシング	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
フィッシング詐欺	ユーザーの優先: Emailユーザーの受信トレイに配信されます	テナントの優先: 該当するスパム対策ポリシーによってアクションが決定されます
高確度スパム	ユーザーの優先: Emailユーザーの受信トレイに配信されます	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
スパム	ユーザーの優先: Emailユーザーの受信トレイに配信されます	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
バルク	ユーザーの優先: Emailユーザーの受信トレイに配信されます	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
スパムではない	ユーザーの優先: Emailユーザーの受信トレイに配信されます	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email

ユーザー メールボックスのセーフリスト コレクションとスパム対策の設定の詳細については、「Exchange Online メールボックスで迷惑メール設定を構成する」を参照してください。

テナントの許可とブロック

テナントの許可とブロックは、次の表で説明するように、いくつかのフィルター処理スタックの判定をオーバーライドできます。

• 高度な配信ポリシー (指定された SecOps メールボックスとフィッシング シミュレーション URL のフィルター処理をスキップする):

  スタックの判定のフィルター処理	高度な配信ポリシーの許可
  マルウェア	テナントの優先: メールボックスに配信Email
  高確度のフィッシング	テナントの優先: メールボックスに配信Email
  フィッシング詐欺	テナントの優先: メールボックスに配信Email
  高確度スパム	テナントの優先: メールボックスに配信Email
  スパム	テナントの優先: メールボックスに配信Email
  バルク	テナントの優先: メールボックスに配信Email
  スパムではない	テナントの優先: メールボックスに配信Email

• Exchange メール フロー ルール (トランスポート ルールとも呼ばれます):

  スタックの判定のフィルター処理	メール フロー ルールでは、*	メール フロー ルール ブロック
  マルウェア	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
  高確度のフィッシング	フィルター優先: 複雑なルーティングを除いて検疫されたEmail	フィルターの優先: 検疫Email
  フィッシング詐欺	テナントの優先: メールボックスに配信Email	テナントの優先: 該当するスパム対策ポリシーでのフィッシングアクション
  高確度スパム	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  スパム	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  バルク	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  スパムではない	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email

  ^* Microsoft 365 の前でサード パーティのセキュリティ サービスまたはデバイスを使用する組織では、SCL=-1 メール フロー ルールの代わりに 、Authenticated Received Chain (ARC) ( サード パーティに問い合わせて可用性を確保する ) とコネクタの拡張フィルター処理 (スキップ リストとも呼ばれます) の使用を検討する必要があります。 これらの改善された方法により、メール認証の問題が軽減され、 多層防御 のメール セキュリティが促進されます。

• 接続フィルター ポリシーの IP 許可リストと IP ブロック リスト:

  スタックの判定のフィルター処理	IP 許可リスト	IP ブロック リスト
  マルウェア	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
  高確度のフィッシング	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
  フィッシング詐欺	テナントの優先: メールボックスに配信Email	テナントの優先: サイレント ドロップEmail
  高確度スパム	テナントの優先: メールボックスに配信Email	テナントの優先: サイレント ドロップEmail
  スパム	テナントの優先: メールボックスに配信Email	テナントの優先: サイレント ドロップEmail
  バルク	テナントの優先: メールボックスに配信Email	テナントの優先: サイレント ドロップEmail
  スパムではない	テナントの優先: メールボックスに配信Email	テナントの優先: サイレント ドロップEmail

• スパム対策ポリシーの設定を許可およびブロックする:

  • 許可されている送信者とドメインの一覧。
  • ブロックされた送信者とドメインの一覧。
  • 特定の国/地域または特定の言語のメッセージをブロックします。
  • 高度なスパム フィルター (ASF) 設定に基づいてメッセージをブロックします。

  スタックの判定のフィルター処理	スパム対策ポリシーでは、	スパム対策ポリシー ブロック
  マルウェア	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
  高確度のフィッシング	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
  フィッシング詐欺	テナントの優先: メールボックスに配信Email	テナントの優先: 該当するスパム対策ポリシーでのフィッシングアクション
  高確度スパム	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  スパム	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  バルク	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  スパムではない	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email

• [テナントの許可/ブロック] リストのエントリを許可します。

  スタックの判定のフィルター処理	Email アドレス/ドメイン
  マルウェア	フィルターの優先: 検疫Email
  高確度のフィッシング	フィルターの優先: 検疫Email
  フィッシング詐欺	テナントの優先: メールボックスに配信Email
  高確度スパム	テナントの優先: メールボックスに配信Email
  スパム	テナントの優先: メールボックスに配信Email
  バルク	テナントの優先: メールボックスに配信Email
  スパムではない	テナントの優先: メールボックスに配信Email

• [テナントの許可/ブロック] リストのエントリをブロックします。

  スタックの判定のフィルター処理	Email アドレス/ドメイン	偽装	File	URL
  マルウェア	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email	テナントの優先: 検疫Email	フィルターの優先: 検疫Email
  高確度のフィッシング	テナントの優先: 検疫Email	フィルターの優先: 検疫Email	テナントの優先: 検疫Email	テナントの優先: 検疫Email
  フィッシング詐欺	テナントの優先: 検疫Email	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション	テナントの優先: 検疫Email	テナントの優先: 検疫Email
  高確度スパム	テナントの優先: 検疫Email	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション	テナントの優先: 検疫Email	テナントの優先: 検疫Email
  スパム	テナントの優先: 検疫Email	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション	テナントの優先: 検疫Email	テナントの優先: 検疫Email
  バルク	テナントの優先: 検疫Email	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション	テナントの優先: 検疫Email	テナントの優先: 検疫Email
  スパムではない	テナントの優先: 検疫Email	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション	テナントの優先: 検疫Email	テナントの優先: 検疫Email

ユーザーとテナントの設定の競合

次の表は、ユーザーの許可/ブロック設定とテナントの許可/ブロック設定の両方によって電子メールが影響を受けた場合の競合の解決方法を示しています。

テナントの許可/ブロックの種類	ユーザーの差出人セーフ リスト	ユーザーの [ブロックされた送信者] の一覧
[テナントの許可/ブロック] リストで次のエントリをブロックします。 Emailアドレスとドメイン Files URL	テナントの優先: 検疫Email	テナントの優先: 検疫Email
テナント許可/ブロックリストでなりすまし送信者のエントリをブロックする	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング インテリジェンス アクション	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング インテリジェンス アクション
高度な配信ポリシー	ユーザー優先: メールボックスに配信Email	テナントの優先: メールボックスに配信Email
スパム対策ポリシーの設定をブロックする	ユーザー優先: メールボックスに配信Email	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
DMARC ポリシーを適用する	ユーザー優先: メールボックスに配信Email	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
メール フロー ルールによるブロック	ユーザー優先: メールボックスに配信Email	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
次の方法で許可します。 メール フロー ルール IP 許可リスト (接続フィルター ポリシー) 許可される送信者とドメインの一覧 (スパム対策ポリシー) テナントの許可/禁止リスト	ユーザー優先: メールボックスに配信Email	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email