Tworzenie list bezpiecznych nadawców w ramach EOP
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w usłudze Microsoft Defender XDR dla usługi Office 365 Plan 2? Użyj 90-dniowej wersji próbnej usługi Defender for Office 365 w centrum wersji próbnej portalu Usługi Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.
Jeśli jesteś klientem platformy Microsoft 365 z skrzynkami pocztowymi w usłudze Exchange Online lub autonomicznym klientem usługi Exchange Online Protection (EOP) bez skrzynek pocztowych usługi Exchange Online, usługa EOP oferuje wiele sposobów zapewnienia, że użytkownicy otrzymają wiadomości e-mail od zaufanych nadawców. Łącznie można traktować te opcje jako listy bezpiecznych nadawców.
Poniższa lista zawiera dostępne metody zezwalania nadawcom w ramach operacji EOP od najbardziej zalecanych do najmniej zalecanych:
- Zezwalaj na wpisy dla domen i adresów e-mail (w tym sfałszowanych nadawców) na liście dozwolonych/zablokowanych dzierżaw.
- Reguły przepływu poczty programu Exchange (nazywane również regułami transportu).
- Bezpieczni nadawcy programu Outlook (lista Bezpiecznych nadawców w każdej skrzynce pocztowej, która dotyczy tylko tej skrzynki pocztowej).
- Lista dozwolonych adresów IP (filtrowanie połączeń)
- Listy dozwolonych nadawców lub listy dozwolonych domen (zasady ochrony przed spamem)
Pozostała część tego artykułu zawiera szczegółowe informacje o każdej metodzie.
Ważna
Komunikaty, które są identyfikowane jako złośliwe oprogramowanie* lub wyłudzanie informacji o wysokim poziomie zaufania, są zawsze poddawane kwarantannie, niezależnie od używanej opcji listy bezpiecznych nadawców. Aby uzyskać więcej informacji, zobacz Zabezpieczanie domyślnie w usłudze Office 365.
* Filtrowanie złośliwego oprogramowania jest pomijane w skrzynkach pocztowych Usługi SecOps, które są identyfikowane w zaawansowanych zasadach dostarczania. Aby uzyskać więcej informacji, zobacz Konfigurowanie zaawansowanych zasad dostarczania dla symulacji wyłudzania informacji innych firm i dostarczania wiadomości e-mail do skrzynek pocztowych SecOps.
Należy zachować ostrożność, aby ściśle monitorować wszelkie wyjątki występujące w przypadku filtrowania spamu przy użyciu list bezpiecznych nadawców.
Zawsze przesyłaj wiadomości na listach bezpiecznych nadawców do firmy Microsoft w celu analizy. Aby uzyskać instrukcje, zobacz Raportowanie dobrej wiadomości e-mail do firmy Microsoft. Jeśli komunikaty lub źródła wiadomości zostaną uznane za niegroźne, firma Microsoft może automatycznie zezwolić na komunikaty i nie będzie konieczne ręczne utrzymywanie wpisu na listach bezpiecznych nadawców.
Zamiast zezwalać na pocztę e-mail, masz również kilka opcji blokowania poczty e-mail z określonych źródeł przy użyciu zablokowanych list nadawców. Aby uzyskać więcej informacji, zobacz Create block sender lists in EOP (Tworzenie list nadawców blokowych w ramach EOP).
Używanie wpisów zezwalania na liście dozwolonych/zablokowanych dzierżaw
Zalecaną opcją numer jeden do zezwalania na pocztę od nadawców lub domen jest lista dozwolonych/zablokowanych dzierżaw. Aby uzyskać instrukcje, zobacz Tworzenie wpisów zezwalania dla domen i adresów e-mail oraz Tworzenie wpisów dozwolonych dla sfałszowanych nadawców.
Tylko wtedy, gdy z jakiegoś powodu nie możesz użyć listy dozwolonych/zablokowanych dzierżaw, rozważ użycie innej metody zezwalania nadawcom.
Używanie reguł przepływu poczty
Uwaga
Nie można użyć nagłówków wiadomości i reguł przepływu poczty, aby wyznaczyć wewnętrznego nadawcę jako bezpiecznego nadawcę. Procedury w tej sekcji działają tylko dla nadawców zewnętrznych.
Reguły przepływu poczty w usłudze Exchange Online i autonomicznej operacji EOP używają warunków i wyjątków do identyfikowania komunikatów oraz akcji określających, co należy zrobić z tymi wiadomościami. Aby uzyskać więcej informacji, zobacz Reguły przepływu poczty (reguły transportu) w usłudze Exchange Online.
W poniższym przykładzie założono, że potrzebujesz wiadomości e-mail z contoso.com, aby pominąć filtrowanie spamu. Skonfiguruj następujące ustawienia:
Zastosuj tę regułę, jeśli (warunek): domena nadawcy>jest> contoso.com.
Skonfiguruj jedno z następujących ustawień:
Zastosuj tę regułę, jeśli (dodatkowy warunek): nagłówki wiadomościzawierają dowolne z następujących wyrazów>:
-
Wprowadź tekst (nazwa nagłówka):
Authentication-Results
-
Wprowadź wyrazy (wartość nagłówka):
dmarc=pass
lubdmarc=bestguesspass
(dodaj obie wartości).
Ten warunek sprawdza stan uwierzytelniania poczty e-mail wysyłanej domeny poczty e-mail, aby upewnić się, że domena wysyłająca nie jest sfałszowana. Aby uzyskać więcej informacji na temat uwierzytelniania za pomocą poczty e-mail, zobacz Uwierzytelnianie za pomocą poczty e-mail na platformie Microsoft 365.
-
Wprowadź tekst (nazwa nagłówka):
Lista dozwolonych adresów IP: określ źródłowy adres IP lub zakres adresów w zasadach filtru połączeń. Aby uzyskać instrukcje, zobacz Konfigurowanie filtrowania połączeń.
Użyj tego ustawienia, jeśli domena wysyłająca nie używa uwierzytelniania poczty e-mail. Być tak restrykcyjne, jak to możliwe, jeśli chodzi o źródłowe adresy IP na liście dozwolonych adresów IP. Zalecamy użycie zakresu adresów IP o wartości /24 lub mniejszej (mniej jest lepsze). Nie używaj zakresów adresów IP należących do usług konsumenckich (na przykład outlook.com) ani infrastruktur udostępnionych.
Ważna
Nigdy nie konfiguruj reguł przepływu poczty tylko z domeną nadawcy jako warunkiem pominięcia filtrowania spamu. Spowoduje to znaczne zwiększenie prawdopodobieństwa, że osoby atakujące będą mogły podszywać się pod domenę wysyłającą (lub personifikować pełny adres e-mail), pominąć filtrowanie spamu i pominąć sprawdzanie uwierzytelniania nadawcy, aby wiadomość dotarła do skrzynki odbiorczej odbiorcy.
Nie używaj domen, których jesteś właścicielem (nazywanych również akceptowanymi domenami) ani popularnych domen (na przykład microsoft.com) jako warunków w regułach przepływu poczty, ponieważ stwarza ono możliwość wysyłania wiadomości e-mail przez osoby atakujące, które w przeciwnym razie byłyby filtrowane.
Jeśli zezwolisz na adres IP, który znajduje się za bramą translatora adresów sieciowych (NAT), musisz znać serwery, które są zaangażowane w pulę translatora adresów sieciowych. Adresy IP i uczestnicy translatora adresów sieciowych mogą ulec zmianie. Należy okresowo sprawdzać wpisy listy dozwolonych adresów IP w ramach standardowych procedur konserwacji.
Warunki opcjonalne:
- Nadawca>jest wewnętrzny/zewnętrzny>Poza organizacją: ten warunek jest niejawny, ale można go używać do obsługi kont lokalnych serwerów poczty e-mail, które mogą nie być poprawnie skonfigurowane.
- Temat lub treść>temat lub treść zawiera dowolny z tych wyrazów><>słowa kluczowe: jeśli możesz dodatkowo ograniczyć komunikaty według słów kluczowych lub fraz w wierszu tematu lub treści wiadomości, możesz użyć tych słów jako warunku.
Wykonaj następujące (akcje): skonfiguruj obie następujące akcje w regule:
Modyfikowanie właściwości> komunikatuustawianie poziomu ufności spamu (SCL)>Pomijanie filtrowania spamu.
Modyfikowanie właściwości> komunikatuustaw nagłówek komunikatu:
-
Wprowadź tekst (nazwa nagłówka): na przykład
X-ETR
. -
Wprowadź wyrazy (wartość nagłówka): na przykład
Bypass spam filtering for authenticated sender 'contoso.com'
.
W przypadku więcej niż jednej domeny w regule można odpowiednio dostosować tekst nagłówka.
-
Wprowadź tekst (nazwa nagłówka): na przykład
Gdy wiadomość pomija filtrowanie spamu z powodu reguły przepływu poczty, wartość SFV:SKN
jest ostemplowana w nagłówku X-Forefront-Antispam-Report . Jeśli komunikat pochodzi ze źródła, które znajduje się na liście dozwolonych adresów IP, wartość IPV:CAL
zostanie również dodana. Te wartości mogą pomóc w rozwiązywaniu problemów.
Korzystanie z bezpiecznych nadawców programu Outlook
Uwaga
Ta metoda stwarza wysokie ryzyko, że osoby atakujące pomyślnie dostarczają wiadomość e-mail do skrzynki odbiorczej, która w przeciwnym razie zostałaby przefiltrowana. Komunikaty, które są określane jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania, są filtrowane. Aby uzyskać więcej informacji, zobacz Konflikt ustawień użytkownika i dzierżawy.
Zamiast ustawienia organizacyjnego użytkownicy lub administratorzy mogą dodawać adresy e-mail nadawcy do listy Bezpieczni nadawcy w skrzynce pocztowej. Wpisy listy bezpiecznych nadawców w skrzynce pocztowej mają wpływ tylko na tę skrzynkę pocztową. Aby uzyskać instrukcje, zobacz następujące artykuły:
- Użytkownicy: dodaj adresatów moich wiadomości e-mail do listy bezpiecznych nadawców.
- Administratorzy: skonfiguruj ustawienia wiadomości-śmieci w skrzynkach pocztowych usługi Exchange Online na platformie Microsoft 365.
Ta metoda nie jest pożądana w większości sytuacji, ponieważ nadawcy pomijają części stosu filtrowania. Mimo że nadawca jest zaufany, nadal można naruszyć bezpieczeństwo nadawcy i wysłać złośliwą zawartość. Należy zezwolić naszym filtrom na sprawdzanie każdej wiadomości, a następnie zgłaszanie wyników fałszywie dodatnich/ujemnych firmie Microsoft , jeśli się mylą. Pomijanie stosu filtrowania zakłóca również automatyczne przeczyszczanie o wartości zero godzin (ZAP).
Gdy wiadomości pomijają filtrowanie spamu z powodu wpisów na liście bezpiecznych nadawców użytkownika, pole nagłówka X-Forefront-Antispam-Report zawiera wartość SFV:SFE
, która wskazuje, że filtrowanie pod kątem spamu, fałszowania i wyłudzania informacji (nie jest to wyłudzanie informacji o wysokim poziomie zaufania) zostało pominięte.
- W usłudze Exchange Online to, czy wpisy na liście Bezpiecznych nadawców działają, czy nie, zależy od werdyktu i działania zasad, które zidentyfikowały komunikat:
- Przenieś wiadomości do folderu Wiadomości-śmieci: wpisy domeny i wpisy adresów e-mail nadawcy są honorowane. Wiadomości od tych nadawców nie są przenoszone do folderu Wiadomości-śmieci.
-
Kwarantanna: wpisy domeny nie są honorowane (komunikaty od tych nadawców są poddawane kwarantannie). Wpisy adresów e-mail są honorowane (wiadomości od tych nadawców nie są poddawane kwarantannie), jeśli jedno z następujących stwierdzeń jest prawdziwe:
- Wiadomość nie jest identyfikowana jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania (złośliwe oprogramowanie i wiadomości wyłudzające informacje o wysokim poziomie zaufania są poddawane kwarantannie).
- Adres e-mail nie znajduje się również w wpisie bloku na liście dozwolonych/zablokowanych dzierżaw.
- Wpisy dla zablokowanych nadawców i zablokowanych domen są honorowane (wiadomości od tych nadawców są przenoszone do folderu Wiadomości-śmieci). Ustawienia bezpiecznej listy adresowej są ignorowane.
Używanie listy dozwolonych adresów IP
Uwaga
Bez dodatkowej weryfikacji, takiej jak reguły przepływu poczty, poczta e-mail ze źródeł na liście dozwolonych adresów IP pomija filtrowanie spamu i uwierzytelnianie nadawcy (SPF, DKIM, DMARC). Ta metoda stwarza wysokie ryzyko, że osoby atakujące pomyślnie dostarczają wiadomość e-mail do skrzynki odbiorczej, która w przeciwnym razie zostałaby przefiltrowana. Komunikaty, które są określane jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania, są filtrowane. Aby uzyskać więcej informacji, zobacz Konflikt ustawień użytkownika i dzierżawy.
Następną najlepszą opcją jest dodanie źródłowych serwerów poczty e-mail do listy dozwolonych adresów IP w zasadach filtru połączeń. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie filtrowania połączeń w ramach EOP.
- Ważne jest, aby zachować minimalną liczbę dozwolonych adresów IP, więc unikaj używania całych zakresów adresów IP zawsze, gdy jest to możliwe.
- Nie używaj zakresów adresów IP należących do usług konsumenckich (na przykład outlook.com) ani infrastruktur udostępnionych.
- Regularnie przeglądaj wpisy na liście dozwolonych adresów IP i usuwaj wpisy, których już nie potrzebujesz.
Używanie list dozwolonych nadawców lub list dozwolonych domen
Uwaga
Ta metoda stwarza wysokie ryzyko, że osoby atakujące pomyślnie dostarczają wiadomość e-mail do skrzynki odbiorczej, która w przeciwnym razie zostałaby przefiltrowana. Komunikaty, które są określane jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania, są filtrowane. Aby uzyskać więcej informacji, zobacz Konflikt ustawień użytkownika i dzierżawy.
Nie używaj popularnych domen (na przykład microsoft.com) na listach dozwolonych domen.
Najmniej pożądaną opcją jest użycie list dozwolonych nadawców lub list dozwolonych domen w niestandardowych zasadach ochrony przed spamem lub w domyślnych zasadach ochrony przed spamem. Należy unikać tej opcji, jeśli w ogóle jest to możliwe , ponieważ nadawcy pomijają wszystkie spam, fałszowanie, ochronę przed wyłudzaniem informacji (z wyjątkiem wyłudzania informacji o wysokim poziomie zaufania) i uwierzytelnianie nadawcy (SPF, DKIM, DMARC). Ta metoda jest najlepiej używana tylko do testowania tymczasowego. Szczegółowe kroki można znaleźć w temacie Konfigurowanie zasad ochrony przed spamem w usłudze EOP.
Maksymalny limit dla tych list wynosi około 1000 wpisów, ale można wprowadzić maksymalnie 30 wpisów w portalu usługi Microsoft Defender. Użyj programu PowerShell, aby dodać więcej niż 30 wpisów.
Uwaga
Od września 2022 r., jeśli dozwolony nadawca, domena lub domena podrzędna znajduje się w akceptowanej domenie w organizacji, nadawca, domena lub poddomena muszą przejść testy uwierzytelniania poczty e-mail , aby pominąć filtrowanie antyspamowe.
Zagadnienia dotyczące zbiorczej poczty e-mail
Standardowa wiadomość e-mail SMTP może zawierać różne adresy e-mail nadawcy zgodnie z opisem w temacie Dlaczego internetowa wiadomość e-mail wymaga uwierzytelniania. Gdy wiadomość e-mail jest wysyłana w imieniu innej osoby, adresy mogą być inne. Ten warunek występuje często w przypadku zbiorczych wiadomości e-mail.
Załóżmy na przykład, że Blue Yonder Airlines zatrudniły Margie's Travel do wysyłania anonsowanych wiadomości e-mail. Komunikat otrzymywany w skrzynce odbiorczej ma następujące właściwości:
- Adres MAIL FROM (znany również jako
5321.MailFrom
adres, nadawca P1 lub nadawca koperty) toblueyonder.airlines@margiestravel.com
. - Adres Od (znany również jako
5322.From
adres lub nadawca P2) toblueyonder@news.blueyonderairlines.com
, który jest widoczny w programie Outlook.
Listy bezpiecznych nadawców i listy bezpiecznych domen w zasadach ochrony przed spamem w ramach operacji EOP sprawdzają tylko adresy z. To zachowanie jest podobne do bezpiecznych nadawców programu Outlook korzystających z adresu From.
Aby zapobiec filtrowaniu tego komunikatu, możesz wykonać następujące kroki:
- Dodaj
blueyonder@news.blueyonderairlines.com
(adres z) jako bezpiecznego nadawcę programu Outlook. -
Użyj reguły przepływu poczty z warunkiem, który wyszuka wiadomości z
blueyonder@news.blueyonderairlines.com
adresu (z adresu),blueyonder.airlines@margiestravel.com
(adresu MAIL FROM) lub obu tych elementów.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla