Udostępnij za pośrednictwem

Tworzenie list dozwolonych nadawcy dla skrzynek pocztowych w chmurze

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Wszystkie organizacje ze skrzynkami pocztowymi w chmurze oferują wiele sposobów zezwalania na przychodzące wiadomości e-mail od zaufanych nadawców. Łącznie te opcje można traktować jako listy dozwolonych.

Poniższa lista zawiera dostępne metody zezwalające nadawcom od najbardziej zalecanych do najmniej zalecanych:

  1. Zezwalaj na wpisy dla domen i adresów e-mail (w tym sfałszowanych nadawców) na liście dozwolonych/zablokowanych dzierżaw.
  2. Reguły przepływu poczty programu Exchange (nazywane również regułami transportu).
  3. Bezpieczni nadawcy programu Outlook (lista Bezpiecznych nadawców w każdej skrzynce pocztowej, która dotyczy tylko tej skrzynki pocztowej).
  4. Lista dozwolonych adresów IP w domyślnych zasadach filtrowania połączeń.
  5. Dozwolone listy nadawców lub listy dozwolonych domen w zasadach ochrony przed spamem.

Pozostała część tego artykułu zawiera szczegółowe informacje o każdej metodzie.

Ważna

Komunikaty, które są identyfikowane jako złośliwe oprogramowanie* lub wyłudzanie informacji o wysokim poziomie zaufania, są zawsze poddawane kwarantannie, niezależnie od używanej opcji listy dozwolonych. Aby uzyskać więcej informacji, zobacz Domyślne zabezpieczanie w Office 365.

* Filtrowanie złośliwego oprogramowania jest pomijane w skrzynkach pocztowych Usługi SecOps, które są identyfikowane w zaawansowanych zasadach dostarczania. Aby uzyskać więcej informacji, zobacz Configure the advanced delivery policy for non-Microsoft phishing simulations and email delivery to SecOps mailboxes (Konfigurowanie zaawansowanych zasad dostarczania symulacji wyłudzania informacji i dostarczania wiadomości e-mail do skrzynek pocztowych SecOps).

Należy uważnie monitorować wszelkie wyjątki od filtrowania spamu przy użyciu dozwolonych nadawców lub list dozwolonych domen.

Zawsze przesyłaj komunikaty na listach dozwolonych do firmy Microsoft w celu analizy. Aby uzyskać instrukcje, zobacz Raportowanie dobrej wiadomości e-mail do firmy Microsoft. Jeśli komunikaty lub źródła wiadomości zostaną uznane za niegroźne, firma Microsoft może automatycznie przestać blokować komunikaty i nie trzeba ręcznie obsługiwać wpisów na własnych listach dozwolonych.

Zamiast zezwalać na pocztę e-mail, masz również kilka opcji blokowania poczty e-mail z określonych źródeł przy użyciu zablokowanych list nadawców. Aby uzyskać więcej informacji, zobacz Tworzenie list blokowych nadawcy.

Używanie wpisów zezwalania na liście dozwolonych/zablokowanych dzierżaw

Zalecaną opcją numer jeden do zezwalania na pocztę od nadawców lub domen jest lista dozwolonych/zablokowanych dzierżaw. Aby uzyskać instrukcje, zobacz Tworzenie wpisów zezwalania dla domen i adresów e-mail oraz Tworzenie wpisów dozwolonych dla sfałszowanych nadawców.

Należy wziąć pod uwagę różne metody zezwalania tylko wtedy, gdy z jakiegoś powodu nie można używać wpisów dozwolonych na liście dozwolonych/zablokowanych dzierżaw.

Używanie reguł przepływu poczty

Uwaga

Nie można użyć nagłówków wiadomości i reguł przepływu poczty, aby wyznaczyć wewnętrznego nadawcę jako bezpiecznego nadawcę. Procedury w tej sekcji działają tylko dla nadawców zewnętrznych.

Reguły przepływu poczty w Exchange Online używają warunków i wyjątków do identyfikowania komunikatów oraz akcji określających, co należy zrobić z tymi wiadomościami. Aby uzyskać więcej informacji, zobacz Reguły przepływu poczty (reguły transportu) w Exchange Online.

W poniższym przykładzie założono, że potrzebujesz wiadomości e-mail z contoso.com, aby pominąć filtrowanie spamu. Skonfiguruj następujące ustawienia:

  1. Zastosuj tę regułę, jeśli (warunek): domena nadawcy>jest> contoso.com.

  2. Skonfiguruj jedno z następujących ustawień:

    • Zastosuj tę regułę, jeśli (dodatkowy warunek): nagłówki komunikatówzawierają dowolne z następujących wyrazów>:

      • Wprowadź tekst (nazwa nagłówka): Authentication-Results
      • Wprowadź wyrazy (wartość nagłówka): dmarc=pass lub dmarc=bestguesspass (dodaj obie wartości).

      Ten warunek sprawdza stan uwierzytelniania poczty e-mail wysyłanej domeny poczty e-mail, aby upewnić się, że domena wysyłająca nie jest sfałszowana. Aby uzyskać więcej informacji na temat uwierzytelniania poczty e-mail, zobacz uwierzytelnianie Email.

    • Lista dozwolonych adresów IP: określ źródłowy adres IP lub zakres adresów w domyślnych zasadach filtru połączeń. Aby uzyskać instrukcje, zobacz Konfigurowanie filtrowania połączeń.

      Użyj tego ustawienia, jeśli domena wysyłająca nie używa uwierzytelniania poczty e-mail. Być tak restrykcyjne, jak to możliwe, jeśli chodzi o źródłowe adresy IP na liście dozwolonych adresów IP. Zalecamy użycie zakresu adresów IP o wartości /24 lub mniejszej (mniej jest lepsze). Nie używaj zakresów adresów IP należących do usług konsumenckich (na przykład outlook.com) ani infrastruktur udostępnionych.

    Ważna

    • Nigdy nie konfiguruj reguł przepływu poczty tylko z domeną nadawcy jako warunkiem pominięcia filtrowania spamu. W ten sposób znacznie zwiększa się prawdopodobieństwo, że osoby atakujące mogą:

      • Podszywanie się pod domenę wysyłającą (lub personifikowanie pełnego adresu e-mail).
      • Pomiń wszystkie filtrowanie spamu.
      • Pomiń testy uwierzytelniania nadawcy, aby wiadomość dotarła do skrzynki odbiorczej adresata.

    • Nie używaj domen, których jesteś właścicielem (znanych również jako akceptowane domeny) ani popularnych domen (na przykład microsoft.com) jako warunków w regułach przepływu poczty. W ten sposób osoby atakujące mogą wysyłać wiadomości e-mail, które w przeciwnym razie byłyby filtrowane.

    • Jeśli zezwolisz na adres IP za bramą translatora adresów sieciowych (NAT), musisz znać wszystkie serwery zaangażowane w pulę TRANSLATOR. Adresy IP i uczestnicy translatora adresów sieciowych mogą ulec zmianie. Okresowo sprawdzaj wpisy listy dozwolonych adresów IP w ramach standardowych procedur konserwacji.

  3. Warunki opcjonalne:

    • Nadawca>jest wewnętrzny/zewnętrzny>Poza organizacją: ten warunek jest niejawny, ale można go używać do obsługi kont lokalnych serwerów poczty e-mail, które mogą nie być poprawnie skonfigurowane.
    • Temat lub treść>temat lub treść zawiera dowolny z tych wyrazów><>słowa kluczowe: jeśli możesz dodatkowo ograniczyć komunikaty według słów kluczowych lub fraz w wierszu tematu lub treści wiadomości, możesz użyć tych słów jako warunku.

  4. Wykonaj następujące (akcje): skonfiguruj obie następujące akcje w regule:

    1. Modyfikowanie właściwości> komunikatuustawianie poziomu ufności spamu (SCL)>Pomijanie filtrowania spamu.

    2. Modyfikowanie właściwości> komunikatuustaw nagłówek komunikatu:

      • Wprowadź tekst (nazwa nagłówka): na przykład X-ETR.
      • Wprowadź wyrazy (wartość nagłówka): na przykład Bypass spam filtering for authenticated sender 'contoso.com'.

      W przypadku więcej niż jednej domeny w regule można odpowiednio dostosować tekst nagłówka.

Gdy wiadomość pomija filtrowanie spamu z powodu reguły przepływu poczty, wartość SFV:SKN jest ostemplowana w nagłówku X-Forefront-Antispam-Report . Jeśli komunikat pochodzi ze źródła, które znajduje się na liście dozwolonych adresów IP, wartość IPV:CAL zostanie również dodana. Te wartości mogą pomóc w rozwiązywaniu problemów.

Przykładowe ustawienia reguły przepływu poczty w nowej usłudze EAC z pominięciem filtrowania spamu.

Korzystanie z bezpiecznych nadawców programu Outlook

Uwaga

Ta metoda stwarza wysokie ryzyko pomyślnego dostarczania wiadomości e-mail przez osoby atakujące, które w przeciwnym razie zostałyby przefiltrowane. Komunikaty uznane za złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania są filtrowane. Aby uzyskać więcej informacji, zobacz Kiedy konflikt ustawień użytkownika i organizacji.

Zamiast ustawienia organizacyjnego użytkownicy lub administratorzy mogą dodawać adresy e-mail nadawcy do listy Bezpieczni nadawcy w skrzynce pocztowej. Wpisy listy bezpiecznych nadawców w skrzynce pocztowej mają wpływ tylko na tę skrzynkę pocztową. Aby uzyskać instrukcje, zobacz następujące artykuły:

Ta metoda nie jest pożądana w większości sytuacji, ponieważ nadawcy pomijają części stosu filtrowania. Mimo że nadawca jest zaufany, nadal można naruszyć bezpieczeństwo nadawcy i wysłać złośliwą zawartość. Należy zezwolić naszym filtrom na sprawdzanie każdej wiadomości, a następnie zgłaszanie wyników fałszywie dodatnich/ujemnych firmie Microsoft , jeśli się mylą. Pomijanie stosu filtrowania zakłóca również automatyczne przeczyszczanie o wartości zero godzin (ZAP).

Gdy wiadomości pomijają filtrowanie spamu z powodu wpisów na liście bezpiecznych nadawców użytkownika, pole nagłówka X-Forefront-Antispam-Report zawiera wartość SFV:SFE, która wskazuje, że filtrowanie pod kątem spamu, fałszowania i wyłudzania informacji (nie jest to wyłudzanie informacji o wysokim poziomie zaufania) zostało pominięte.

  • W Exchange Online to, czy wpisy na liście Bezpiecznych nadawców działają, czy nie działają, zależy od werdyktu i działania zasad, które zidentyfikowały komunikat:
    • Przenieś wiadomości do folderu Email-śmieci: wpisy domeny i wpisy adresów e-mail nadawcy są honorowane. Wiadomości od tych nadawców nie są przenoszone do folderu Junk Email.
    • Kwarantanna: wpisy domeny nie są honorowane (komunikaty od tych nadawców są poddawane kwarantannie). Email wpisy adresów są honorowane (wiadomości od tych nadawców nie są poddawane kwarantannie), jeśli jedno z następujących stwierdzeń jest prawdziwe:
      • Wiadomość nie jest identyfikowana jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania (złośliwe oprogramowanie i wiadomości wyłudzające informacje o wysokim poziomie zaufania są poddawane kwarantannie).
      • Adres e-mail, adres URL lub plik w wiadomości e-mail nie znajduje się również w wpisie bloku na liście dozwolonych/zablokowanych dzierżaw.
  • Wpisy zablokowanych nadawców i zablokowanych domen są honorowane (komunikaty od tych nadawców są przenoszone do folderu Junk Email). Ustawienia bezpiecznej listy adresowej są ignorowane.

Użyj listy dozwolonych adresów IP w domyślnych zasadach filtrowania połączeń

Uwaga

Bez innej weryfikacji (na przykład przy użyciu reguł przepływu poczty) poczta e-mail ze źródeł na liście dozwolonych adresów IP pomija filtrowanie spamu i uwierzytelnianie poczty e-mail nadawcy (SPF, DKIM i DMARC). Ta metoda stwarza wysokie ryzyko pomyślnego dostarczania wiadomości e-mail przez osoby atakujące, które w przeciwnym razie zostałyby przefiltrowane. Komunikaty uznane za złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania są filtrowane. Aby uzyskać więcej informacji, zobacz Kiedy konflikt ustawień użytkownika i organizacji.

Następną najlepszą opcją jest dodanie źródłowych serwerów poczty e-mail do listy dozwolonych adresów IP w domyślnych zasadach filtru połączeń. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie filtrowania połączeń.

  • Ważne jest, aby zachować minimalną liczbę dozwolonych adresów IP, więc unikaj używania całych zakresów adresów IP zawsze, gdy jest to możliwe.
  • Nie używaj zakresów adresów IP należących do usług konsumenckich (na przykład outlook.com) ani infrastruktur udostępnionych.
  • Regularnie przeglądaj wpisy na liście dozwolonych adresów IP i usuwaj wpisy, których już nie potrzebujesz.

Używanie list dozwolonych nadawców lub list dozwolonych domen w zasadach ochrony przed spamem

Uwaga

Ta metoda stwarza wysokie ryzyko pomyślnego dostarczania wiadomości e-mail przez osoby atakujące, które w przeciwnym razie zostałyby przefiltrowane. Komunikaty uznane za złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania są filtrowane. Aby uzyskać więcej informacji, zobacz Kiedy konflikt ustawień użytkownika i organizacji.

Nie używaj popularnych domen (na przykład microsoft.com) na listach dozwolonych domen.

Najmniej pożądaną opcją jest użycie list dozwolonych nadawców lub list dozwolonych domen w niestandardowych zasadach ochrony przed spamem lub w domyślnych zasadach ochrony przed spamem. Należy unikać tej opcji, jeśli w ogóle jest to możliwe , ponieważ nadawcy pomijają wszystkie spam, fałszowanie, ochronę przed wyłudzaniem informacji (z wyjątkiem wyłudzania informacji o wysokim poziomie zaufania) i uwierzytelnianie nadawcy (SPF, DKIM, DMARC). Ta metoda jest najlepiej używana tylko do testowania tymczasowego. Szczegółowe kroki można znaleźć w temacie Konfigurowanie zasad ochrony przed spamem.

Maksymalny limit dla tych list wynosi około 1000 wpisów, ale można wprowadzić maksymalnie 30 wpisów w portalu Microsoft Defender. Użyj programu PowerShell, aby dodać więcej niż 30 wpisów.

Uwaga

Od września 2022 r. dozwoloni nadawcy, domeny lub domeny podrzędne w zaakceptowanych domenach organizacji muszą przejść testy uwierzytelniania poczty e-mail, aby pominąć filtrowanie spamu.

Zagadnienia dotyczące zbiorczej poczty e-mail

Standardowa wiadomość e-mail SMTP może zawierać różne adresy e-mail nadawcy zgodnie z opisem w temacie Dlaczego internetowa wiadomość e-mail wymaga uwierzytelniania. Gdy wiadomość e-mail jest wysyłana w imieniu innej osoby, adresy mogą być inne. Ten warunek występuje często w przypadku zbiorczych wiadomości e-mail.

Załóżmy na przykład, że Blue Yonder Airlines zatrudniły Margie's Travel do wysyłania anonsowanych wiadomości e-mail. Komunikat otrzymywany w skrzynce odbiorczej ma następujące właściwości:

  • Adres MAIL FROM (znany również jako 5321.MailFrom adres, nadawca P1 lub nadawca koperty) to blueyonder.airlines@margiestravel.com.
  • Adres Od (znany również jako 5322.From adres lub nadawca P2) to blueyonder@news.blueyonderairlines.com, który jest widoczny w programie Outlook.

Listy bezpiecznych nadawców i listy bezpiecznych domen w zasadach ochrony przed spamem sprawdzają tylko adresy Od. To zachowanie jest podobne do bezpiecznych nadawców programu Outlook korzystających z adresu From.

Aby zapobiec filtrowaniu tego komunikatu, możesz wykonać następujące kroki:

  • Dodaj blueyonder@news.blueyonderairlines.com (adres z) jako bezpiecznego nadawcę programu Outlook.
  • Użyj reguły przepływu poczty z warunkiem, który wyszuka wiadomości z blueyonder@news.blueyonderairlines.com adresu (z adresu), blueyonder.airlines@margiestravel.com (adresu MAIL FROM) lub obu tych elementów.
  • Last updated on