メール保護の順序と優先順位

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Office 365プラン2のMicrosoft Defender XDRの機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Exchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、メールボックスがExchange Onlineされていない場合、受信メールに複数の保護形式のフラグが設定される場合があります。 たとえば、すべての Microsoft 365 ユーザーが利用できるなりすまし対策保護や、Microsoft Defender for Office 365のお客様のみが利用できる偽装保護などです。 メッセージは、マルウェア、スパム、フィッシングなどの複数の検出スキャンも通過します。このすべてのアクティビティを考えると、どのポリシーが適用されるかについて混乱が発生する可能性があります。

一般に、メッセージに適用されるポリシーは、CAT (Category) プロパティの X-Forefront-Antispam-Report ヘッダーで識別されます。 詳細については、「スパム対策メッセージ ヘッダー」を参照してください。

メッセージに適用されるポリシーを決定する主な要因は 2 つあります。

• 電子メール保護の種類の処理順序: この順序は構成できません。次の表で説明します。

  順序	メールの保護	カテゴリ	管理する場所
  1	マルウェア	CAT:MALW	EOP のマルウェア対策ポリシーを構成する
  2	高確度のフィッシング	CAT:HPHSH	EOP でのスパム対策ポリシーの構成
  3	フィッシング詐欺	CAT:PHSH	EOP でのスパム対策ポリシーの構成
  4	高確度スパム	CAT:HSPM	EOP でのスパム対策ポリシーの構成
  5	スプーフィング	CAT:SPOOF	詳細については、「EOP のスプーフィング インテリジェンス分析」を参照してください。
  6*	ユーザー偽装 (保護されたユーザー)	CAT:UIMP	詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。
  7*	ドメイン偽装 (保護されたドメイン)	CAT:DIMP	詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。
  8*	メールボックス インテリジェンス (連絡先グラフ)	CAT:GIMP	詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。
  9	スパム	CAT:SPM	EOP でのスパム対策ポリシーの構成
  10	バルク	CAT:BULK	EOP でのスパム対策ポリシーの構成

  ^*これらの機能は、Microsoft Defender for Office 365のフィッシング対策ポリシーでのみ使用できます。

• ポリシーの優先順位: ポリシーの優先順位が次の一覧に表示されます。

  1. スパム対策、マルウェア対策、フィッシング対策、安全なリンク^*、安全な添付ファイル^* の各ポリシーは、 厳密な事前設定されたセキュリティ ポリシー (有効な場合) にあります。

  2. 標準の事前設定されたセキュリティ ポリシー (有効になっている場合) のスパム対策、マルウェア対策、フィッシング対策、安全なリンク^*、安全な添付ファイル^*の各ポリシー。

  3. Defender for Office 365評価ポリシーのフィッシング対策、安全なリンク、安全な添付ファイル (有効な場合)。

  4. カスタムのスパム対策、マルウェア対策、フィッシング対策、安全なリンク^*、および安全な添付ファイル^* ポリシー (作成時)。

     カスタム ポリシーには、ポリシーを作成するときに既定の優先度値が割り当てられます (新しい方が高くなります)、優先順位の値はいつでも変更できます。 この優先度の値は、その種類の カスタム ポリシー (スパム対策、マルウェア対策、フィッシング対策など) が適用される順序に影響しますが、カスタム ポリシーが全体的な順序で適用される場所には影響しません。

  5. 等しい値の場合:

     • 組み込みの保護プリセット セキュリティ ポリシーの安全なリンクと安全な添付ファイル ポリシー^*。
     • マルウェア対策、スパム対策、フィッシング対策の既定のポリシー。

     組み込みの保護プリセット セキュリティ ポリシーに対して例外を構成できますが、既定のポリシーに対して例外を構成することはできません (すべての受信者に適用され、無効にすることはできません)。

  ^*Defender for Office 365のみ。

  受信者が含まれている他のポリシーの数に関係なく、その受信者に適用されるのは、その種類の最初のポリシー (スパム対策、マルウェア対策、フィッシング対策など) だけなので 、同じ受信者が意図的に、または意図せずに複数のポリシーに含まれている場合、優先順位が重要です。 受信者の複数のポリシーで設定をマージまたは結合することはありません。 受信者は、その種類の残りのポリシーの設定の影響を受けません。

たとえば、"Contoso Executives" という名前のグループは、次のポリシーに含まれています。

• 厳密な事前設定されたセキュリティ ポリシー
• 優先度の値が 0 (最も高い優先度) を持つカスタムスパム対策ポリシー
• 優先度値 1 のカスタムスパム対策ポリシー。

Contoso エグゼクティブのメンバーに適用されるスパム対策ポリシー設定はどれですか? 厳密な事前設定されたセキュリティ ポリシー。 カスタムスパム対策ポリシーの設定は、Contoso エグゼクティブのメンバーには無視されます。厳密な事前設定されたセキュリティ ポリシーは常に最初に適用されるためです。

別の例として、同じ受信者に適用されるMicrosoft Defender for Office 365の次のカスタム フィッシング対策ポリシーと、ユーザー偽装となりすましの両方を含むメッセージを考えてみましょう。

ポリシー名	優先度	ユーザー偽装	なりすまし対策
ポリシー A	1	オン	オフ
ポリシー B	2	オフ	オン

1. スプーフィング (5) は、電子メール保護の種類の処理の順序でユーザー偽装 (6) の前に評価されるため、メッセージはスプーフィングとして識別されます。
2. ポリシー A は、ポリシー B よりも優先度が高いため、最初に適用されます。
3. ポリシー A の設定に基づいて、スプーフィング対策がオフになっているため、メッセージに対してアクションは実行されません。
4. フィッシング対策ポリシーの処理は、含まれているすべての受信者に対して停止するため、ポリシー B はポリシー A にも含まれている受信者には適用されません。

受信者が必要な保護設定を確実に取得できるようにするには、ポリシー メンバーシップに次のガイドラインを使用します。

• 優先度の高いポリシーには少数のユーザーを割り当て、優先度の低いポリシーには多数のユーザーを割り当てます。 既定のポリシーは常に最後に適用されます。
• 優先度の高いポリシーを構成して、優先順位の低いポリシーよりも厳密または特殊な設定を設定します。 カスタム ポリシーと既定のポリシーの設定を完全に制御できますが、事前設定されたセキュリティ ポリシーのほとんどの設定は制御されません。
• 使用するカスタム ポリシーの数を減らしてください (標準または厳密な事前設定のセキュリティ ポリシー、または既定のポリシーよりも特殊な設定を必要とするユーザーにのみカスタム ポリシーを使用します)。

付録

ユーザーが EOP でスタックの判定を許可およびブロックする方法、テナントの許可とブロック、フィルター処理を行う方法を理解し、相互に補完または矛盾Defender for Office 365することが重要です。

• スタックのフィルター処理とその組み合わせ方法については、「Microsoft Defender for Office 365での脅威の保護のステップ バイ ステップ」を参照してください。
• フィルター スタックが判定を決定した後は、テナント ポリシーと構成されたアクションのみが評価されます。
• ユーザーの差出人セーフ リストとブロックされた送信者リストに同じメール アドレスまたはドメインが存在する場合、差出人セーフ リストが優先されます。
• 許可エントリに同じエンティティ (メール アドレス、ドメイン、なりすまし送信インフラストラクチャ、ファイル、または URL) が存在し、テナント許可/ブロック リストのブロック エントリが存在する場合、ブロック エントリが優先されます。

ユーザーの許可とブロック

次の表に示すように、ユーザーの セーフリスト コレクション ([差出人セーフ リスト]、[安全な受信者] リスト、および各メールボックスの [ブロックされた送信者] リスト) のエントリは、いくつかのフィルター処理スタックの判定をオーバーライドできます。

スタックの判定のフィルター処理	ユーザーの差出人セーフ リスト	ユーザーの [ブロックされた送信者] の一覧
マルウェア	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
高確度のフィッシング	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
フィッシング詐欺	ユーザーの優先: Emailユーザーの受信トレイに配信されます	テナントの優先: 該当するスパム対策ポリシーによってアクションが決定されます
高確度スパム	ユーザーの優先: Emailユーザーの受信トレイに配信されます	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
スパム	ユーザーの優先: Emailユーザーの受信トレイに配信されます	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
バルク	ユーザーの優先: Emailユーザーの受信トレイに配信されます	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
スパムではない	ユーザーの優先: Emailユーザーの受信トレイに配信されます	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email

ユーザー メールボックスのセーフリスト コレクションとスパム対策の設定の詳細については、「Exchange Online メールボックスで迷惑メール設定を構成する」を参照してください。

テナントの許可とブロック

テナントの許可とブロックは、次の表で説明するように、いくつかのフィルター処理スタックの判定をオーバーライドできます。

• 高度な配信ポリシー (指定された SecOps メールボックスとフィッシング シミュレーション URL のフィルター処理をスキップする):

  スタックの判定のフィルター処理	高度な配信ポリシーの許可
  マルウェア	テナントの優先: メールボックスに配信Email
  高確度のフィッシング	テナントの優先: メールボックスに配信Email
  フィッシング詐欺	テナントの優先: メールボックスに配信Email
  高確度スパム	テナントの優先: メールボックスに配信Email
  スパム	テナントの優先: メールボックスに配信Email
  バルク	テナントの優先: メールボックスに配信Email
  スパムではない	テナントの優先: メールボックスに配信Email

• Exchange メール フロー ルール (トランスポート ルールとも呼ばれます):

  スタックの判定のフィルター処理	メール フロー ルールでは、*	メール フロー ルール ブロック
  マルウェア	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
  高確度のフィッシング	フィルター優先: 複雑なルーティングを除いて検疫されたEmail	フィルターの優先: 検疫Email
  フィッシング詐欺	テナントの優先: メールボックスに配信Email	テナントの優先: 該当するスパム対策ポリシーでのフィッシングアクション
  高確度スパム	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  スパム	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  バルク	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  スパムではない	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email

  ^* Microsoft 365 の前でサード パーティのセキュリティ サービスまたはデバイスを使用する組織では、SCL=-1 メール フロー ルールの代わりに 、Authenticated Received Chain (ARC) ( サード パーティに問い合わせて可用性を確保する ) とコネクタの拡張フィルター処理 (スキップ リストとも呼ばれます) の使用を検討する必要があります。 これらの改善された方法により、メール認証の問題が軽減され、 多層防御 のメール セキュリティが促進されます。

• 接続フィルター ポリシーの IP 許可リストと IP ブロック リスト:

  スタックの判定のフィルター処理	IP 許可リスト	IP ブロック リスト
  マルウェア	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
  高確度のフィッシング	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
  フィッシング詐欺	テナントの優先: メールボックスに配信Email	テナントの優先: サイレント ドロップEmail
  高確度スパム	テナントの優先: メールボックスに配信Email	テナントの優先: サイレント ドロップEmail
  スパム	テナントの優先: メールボックスに配信Email	テナントの優先: サイレント ドロップEmail
  バルク	テナントの優先: メールボックスに配信Email	テナントの優先: サイレント ドロップEmail
  スパムではない	テナントの優先: メールボックスに配信Email	テナントの優先: サイレント ドロップEmail

• スパム対策ポリシーの設定を許可およびブロックする:

  • 許可されている送信者とドメインの一覧。
  • ブロックされた送信者とドメインの一覧。
  • 特定の国/地域または特定の言語のメッセージをブロックします。
  • 高度なスパム フィルター (ASF) 設定に基づいてメッセージをブロックします。

  スタックの判定のフィルター処理	スパム対策ポリシーでは、	スパム対策ポリシー ブロック
  マルウェア	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
  高確度のフィッシング	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email
  フィッシング詐欺	テナントの優先: メールボックスに配信Email	テナントの優先: 該当するスパム対策ポリシーでのフィッシングアクション
  高確度スパム	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  スパム	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  バルク	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  スパムではない	テナントの優先: メールボックスに配信Email	テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email

• [テナントの許可/ブロック] リストのエントリを許可します。

  スタックの判定のフィルター処理	Email アドレス/ドメイン
  マルウェア	フィルターの優先: 検疫Email
  高確度のフィッシング	フィルターの優先: 検疫Email
  フィッシング詐欺	テナントの優先: メールボックスに配信Email
  高確度スパム	テナントの優先: メールボックスに配信Email
  スパム	テナントの優先: メールボックスに配信Email
  バルク	テナントの優先: メールボックスに配信Email
  スパムではない	テナントの優先: メールボックスに配信Email

• [テナントの許可/ブロック] リストのエントリをブロックします。

  スタックの判定のフィルター処理	Email アドレス/ドメイン	偽装	File	URL
  マルウェア	フィルターの優先: 検疫Email	フィルターの優先: 検疫Email	テナントの優先: 検疫Email	フィルターの優先: 検疫Email
  高確度のフィッシング	テナントの優先: 検疫Email	フィルターの優先: 検疫Email	テナントの優先: 検疫Email	テナントの優先: 検疫Email
  フィッシング詐欺	テナントの優先: 検疫Email	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション	テナントの優先: 検疫Email	テナントの優先: 検疫Email
  高確度スパム	テナントの優先: 検疫Email	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション	テナントの優先: 検疫Email	テナントの優先: 検疫Email
  スパム	テナントの優先: 検疫Email	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション	テナントの優先: 検疫Email	テナントの優先: 検疫Email
  バルク	テナントの優先: 検疫Email	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション	テナントの優先: 検疫Email	テナントの優先: 検疫Email
  スパムではない	テナントの優先: 検疫Email	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション	テナントの優先: 検疫Email	テナントの優先: 検疫Email

ユーザーとテナントの設定の競合

次の表は、ユーザーの許可/ブロック設定とテナントの許可/ブロック設定の両方によって電子メールが影響を受けた場合の競合の解決方法を示しています。

テナントの許可/ブロックの種類	ユーザーの差出人セーフ リスト	ユーザーの [ブロックされた送信者] の一覧
[テナントの許可/ブロック] リストで次のエントリをブロックします。 Emailアドレスとドメイン Files URL	テナントの優先: 検疫Email	テナントの優先: 検疫Email
テナント許可/ブロックリストでなりすまし送信者のエントリをブロックする	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング インテリジェンス アクション	テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング インテリジェンス アクション
高度な配信ポリシー	ユーザー優先: メールボックスに配信Email	テナントの優先: メールボックスに配信Email
スパム対策ポリシーの設定をブロックする	ユーザー優先: メールボックスに配信Email	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
DMARC ポリシーを適用する	ユーザー優先: メールボックスに配信Email	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
メール フロー ルールによるブロック	ユーザー優先: メールボックスに配信Email	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
次の方法で許可します。 メール フロー ルール IP 許可リスト (接続フィルター ポリシー) 許可される送信者とドメインの一覧 (スパム対策ポリシー) テナントの許可/禁止リスト	ユーザー優先: メールボックスに配信Email	ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email