Udostępnij za pośrednictwem

Tworzenie list bezpiecznych nadawców w ramach EOP

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w usłudze Microsoft Defender XDR dla usługi Office 365 Plan 2? Użyj 90-dniowej wersji próbnej usługi Defender for Office 365 w centrum wersji próbnej portalu Usługi Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Jeśli jesteś klientem platformy Microsoft 365 z skrzynkami pocztowymi w usłudze Exchange Online lub autonomicznym klientem usługi Exchange Online Protection (EOP) bez skrzynek pocztowych usługi Exchange Online, usługa EOP oferuje wiele sposobów zapewnienia, że użytkownicy otrzymają wiadomości e-mail od zaufanych nadawców. Łącznie można traktować te opcje jako listy bezpiecznych nadawców.

Poniższa lista zawiera dostępne metody zezwalania nadawcom w ramach operacji EOP od najbardziej zalecanych do najmniej zalecanych:

  1. Zezwalaj na wpisy dla domen i adresów e-mail (w tym sfałszowanych nadawców) na liście dozwolonych/zablokowanych dzierżaw.
  2. Reguły przepływu poczty programu Exchange (nazywane również regułami transportu).
  3. Bezpieczni nadawcy programu Outlook (lista Bezpiecznych nadawców w każdej skrzynce pocztowej, która dotyczy tylko tej skrzynki pocztowej).
  4. Lista dozwolonych adresów IP (filtrowanie połączeń)
  5. Listy dozwolonych nadawców lub listy dozwolonych domen (zasady ochrony przed spamem)

Pozostała część tego artykułu zawiera szczegółowe informacje o każdej metodzie.

Ważna

Komunikaty, które są identyfikowane jako złośliwe oprogramowanie* lub wyłudzanie informacji o wysokim poziomie zaufania, są zawsze poddawane kwarantannie, niezależnie od używanej opcji listy bezpiecznych nadawców. Aby uzyskać więcej informacji, zobacz Zabezpieczanie domyślnie w usłudze Office 365.

* Filtrowanie złośliwego oprogramowania jest pomijane w skrzynkach pocztowych Usługi SecOps, które są identyfikowane w zaawansowanych zasadach dostarczania. Aby uzyskać więcej informacji, zobacz Konfigurowanie zaawansowanych zasad dostarczania dla symulacji wyłudzania informacji innych firm i dostarczania wiadomości e-mail do skrzynek pocztowych SecOps.

Należy zachować ostrożność, aby ściśle monitorować wszelkie wyjątki występujące w przypadku filtrowania spamu przy użyciu list bezpiecznych nadawców.

Zawsze przesyłaj wiadomości na listach bezpiecznych nadawców do firmy Microsoft w celu analizy. Aby uzyskać instrukcje, zobacz Raportowanie dobrej wiadomości e-mail do firmy Microsoft. Jeśli komunikaty lub źródła wiadomości zostaną uznane za niegroźne, firma Microsoft może automatycznie zezwolić na komunikaty i nie będzie konieczne ręczne utrzymywanie wpisu na listach bezpiecznych nadawców.

Zamiast zezwalać na pocztę e-mail, masz również kilka opcji blokowania poczty e-mail z określonych źródeł przy użyciu zablokowanych list nadawców. Aby uzyskać więcej informacji, zobacz Create block sender lists in EOP (Tworzenie list nadawców blokowych w ramach EOP).

Używanie wpisów zezwalania na liście dozwolonych/zablokowanych dzierżaw

Zalecaną opcją numer jeden do zezwalania na pocztę od nadawców lub domen jest lista dozwolonych/zablokowanych dzierżaw. Aby uzyskać instrukcje, zobacz Tworzenie wpisów zezwalania dla domen i adresów e-mail oraz Tworzenie wpisów dozwolonych dla sfałszowanych nadawców.

Tylko wtedy, gdy z jakiegoś powodu nie możesz użyć listy dozwolonych/zablokowanych dzierżaw, rozważ użycie innej metody zezwalania nadawcom.

Używanie reguł przepływu poczty

Uwaga

Nie można użyć nagłówków wiadomości i reguł przepływu poczty, aby wyznaczyć wewnętrznego nadawcę jako bezpiecznego nadawcę. Procedury w tej sekcji działają tylko dla nadawców zewnętrznych.

Reguły przepływu poczty w usłudze Exchange Online i autonomicznej operacji EOP używają warunków i wyjątków do identyfikowania komunikatów oraz akcji określających, co należy zrobić z tymi wiadomościami. Aby uzyskać więcej informacji, zobacz Reguły przepływu poczty (reguły transportu) w usłudze Exchange Online.

W poniższym przykładzie założono, że potrzebujesz wiadomości e-mail z contoso.com, aby pominąć filtrowanie spamu. Skonfiguruj następujące ustawienia:

  1. Zastosuj tę regułę, jeśli (warunek): domena nadawcy>jest> contoso.com.

  2. Skonfiguruj jedno z następujących ustawień:

    • Zastosuj tę regułę, jeśli (dodatkowy warunek): nagłówki wiadomościzawierają dowolne z następujących wyrazów>:

      • Wprowadź tekst (nazwa nagłówka): Authentication-Results
      • Wprowadź wyrazy (wartość nagłówka): dmarc=pass lub dmarc=bestguesspass (dodaj obie wartości).

      Ten warunek sprawdza stan uwierzytelniania poczty e-mail wysyłanej domeny poczty e-mail, aby upewnić się, że domena wysyłająca nie jest sfałszowana. Aby uzyskać więcej informacji na temat uwierzytelniania za pomocą poczty e-mail, zobacz Uwierzytelnianie za pomocą poczty e-mail na platformie Microsoft 365.

    • Lista dozwolonych adresów IP: określ źródłowy adres IP lub zakres adresów w zasadach filtru połączeń. Aby uzyskać instrukcje, zobacz Konfigurowanie filtrowania połączeń.

      Użyj tego ustawienia, jeśli domena wysyłająca nie używa uwierzytelniania poczty e-mail. Być tak restrykcyjne, jak to możliwe, jeśli chodzi o źródłowe adresy IP na liście dozwolonych adresów IP. Zalecamy użycie zakresu adresów IP o wartości /24 lub mniejszej (mniej jest lepsze). Nie używaj zakresów adresów IP należących do usług konsumenckich (na przykład outlook.com) ani infrastruktur udostępnionych.

    Ważna

    • Nigdy nie konfiguruj reguł przepływu poczty tylko z domeną nadawcy jako warunkiem pominięcia filtrowania spamu. Spowoduje to znaczne zwiększenie prawdopodobieństwa, że osoby atakujące będą mogły podszywać się pod domenę wysyłającą (lub personifikować pełny adres e-mail), pominąć filtrowanie spamu i pominąć sprawdzanie uwierzytelniania nadawcy, aby wiadomość dotarła do skrzynki odbiorczej odbiorcy.

    • Nie używaj domen, których jesteś właścicielem (nazywanych również akceptowanymi domenami) ani popularnych domen (na przykład microsoft.com) jako warunków w regułach przepływu poczty, ponieważ stwarza ono możliwość wysyłania wiadomości e-mail przez osoby atakujące, które w przeciwnym razie byłyby filtrowane.

    • Jeśli zezwolisz na adres IP, który znajduje się za bramą translatora adresów sieciowych (NAT), musisz znać serwery, które są zaangażowane w pulę translatora adresów sieciowych. Adresy IP i uczestnicy translatora adresów sieciowych mogą ulec zmianie. Należy okresowo sprawdzać wpisy listy dozwolonych adresów IP w ramach standardowych procedur konserwacji.

  3. Warunki opcjonalne:

    • Nadawca>jest wewnętrzny/zewnętrzny>Poza organizacją: ten warunek jest niejawny, ale można go używać do obsługi kont lokalnych serwerów poczty e-mail, które mogą nie być poprawnie skonfigurowane.
    • Temat lub treść>temat lub treść zawiera dowolny z tych wyrazów><>słowa kluczowe: jeśli możesz dodatkowo ograniczyć komunikaty według słów kluczowych lub fraz w wierszu tematu lub treści wiadomości, możesz użyć tych słów jako warunku.

  4. Wykonaj następujące (akcje): skonfiguruj obie następujące akcje w regule:

    1. Modyfikowanie właściwości> komunikatuustawianie poziomu ufności spamu (SCL)>Pomijanie filtrowania spamu.

    2. Modyfikowanie właściwości> komunikatuustaw nagłówek komunikatu:

      • Wprowadź tekst (nazwa nagłówka): na przykład X-ETR.
      • Wprowadź wyrazy (wartość nagłówka): na przykład Bypass spam filtering for authenticated sender 'contoso.com'.

      W przypadku więcej niż jednej domeny w regule można odpowiednio dostosować tekst nagłówka.

Gdy wiadomość pomija filtrowanie spamu z powodu reguły przepływu poczty, wartość SFV:SKN jest ostemplowana w nagłówku X-Forefront-Antispam-Report . Jeśli komunikat pochodzi ze źródła, które znajduje się na liście dozwolonych adresów IP, wartość IPV:CAL zostanie również dodana. Te wartości mogą pomóc w rozwiązywaniu problemów.

Przykładowe ustawienia reguły przepływu poczty w nowej usłudze EAC z pominięciem filtrowania spamu.

Korzystanie z bezpiecznych nadawców programu Outlook

Uwaga

Ta metoda stwarza wysokie ryzyko, że osoby atakujące pomyślnie dostarczają wiadomość e-mail do skrzynki odbiorczej, która w przeciwnym razie zostałaby przefiltrowana. Komunikaty, które są określane jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania, są filtrowane. Aby uzyskać więcej informacji, zobacz Konflikt ustawień użytkownika i dzierżawy.

Zamiast ustawienia organizacyjnego użytkownicy lub administratorzy mogą dodawać adresy e-mail nadawcy do listy Bezpieczni nadawcy w skrzynce pocztowej. Wpisy listy bezpiecznych nadawców w skrzynce pocztowej mają wpływ tylko na tę skrzynkę pocztową. Aby uzyskać instrukcje, zobacz następujące artykuły:

Ta metoda nie jest pożądana w większości sytuacji, ponieważ nadawcy pomijają części stosu filtrowania. Mimo że nadawca jest zaufany, nadal można naruszyć bezpieczeństwo nadawcy i wysłać złośliwą zawartość. Należy zezwolić naszym filtrom na sprawdzanie każdej wiadomości, a następnie zgłaszanie wyników fałszywie dodatnich/ujemnych firmie Microsoft , jeśli się mylą. Pomijanie stosu filtrowania zakłóca również automatyczne przeczyszczanie o wartości zero godzin (ZAP).

Gdy wiadomości pomijają filtrowanie spamu z powodu wpisów na liście bezpiecznych nadawców użytkownika, pole nagłówka X-Forefront-Antispam-Report zawiera wartość SFV:SFE, która wskazuje, że filtrowanie pod kątem spamu, fałszowania i wyłudzania informacji (nie jest to wyłudzanie informacji o wysokim poziomie zaufania) zostało pominięte.

  • W usłudze Exchange Online to, czy wpisy na liście Bezpiecznych nadawców działają, czy nie, zależy od werdyktu i działania zasad, które zidentyfikowały komunikat:
    • Przenieś wiadomości do folderu Wiadomości-śmieci: wpisy domeny i wpisy adresów e-mail nadawcy są honorowane. Wiadomości od tych nadawców nie są przenoszone do folderu Wiadomości-śmieci.
    • Kwarantanna: wpisy domeny nie są honorowane (komunikaty od tych nadawców są poddawane kwarantannie). Wpisy adresów e-mail są honorowane (wiadomości od tych nadawców nie są poddawane kwarantannie), jeśli jedno z następujących stwierdzeń jest prawdziwe:
      • Wiadomość nie jest identyfikowana jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania (złośliwe oprogramowanie i wiadomości wyłudzające informacje o wysokim poziomie zaufania są poddawane kwarantannie).
      • Adres e-mail nie znajduje się również w wpisie bloku na liście dozwolonych/zablokowanych dzierżaw.
  • Wpisy dla zablokowanych nadawców i zablokowanych domen są honorowane (wiadomości od tych nadawców są przenoszone do folderu Wiadomości-śmieci). Ustawienia bezpiecznej listy adresowej są ignorowane.

Używanie listy dozwolonych adresów IP

Uwaga

Bez dodatkowej weryfikacji, takiej jak reguły przepływu poczty, poczta e-mail ze źródeł na liście dozwolonych adresów IP pomija filtrowanie spamu i uwierzytelnianie nadawcy (SPF, DKIM, DMARC). Ta metoda stwarza wysokie ryzyko, że osoby atakujące pomyślnie dostarczają wiadomość e-mail do skrzynki odbiorczej, która w przeciwnym razie zostałaby przefiltrowana. Komunikaty, które są określane jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania, są filtrowane. Aby uzyskać więcej informacji, zobacz Konflikt ustawień użytkownika i dzierżawy.

Następną najlepszą opcją jest dodanie źródłowych serwerów poczty e-mail do listy dozwolonych adresów IP w zasadach filtru połączeń. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie filtrowania połączeń w ramach EOP.

  • Ważne jest, aby zachować minimalną liczbę dozwolonych adresów IP, więc unikaj używania całych zakresów adresów IP zawsze, gdy jest to możliwe.
  • Nie używaj zakresów adresów IP należących do usług konsumenckich (na przykład outlook.com) ani infrastruktur udostępnionych.
  • Regularnie przeglądaj wpisy na liście dozwolonych adresów IP i usuwaj wpisy, których już nie potrzebujesz.

Używanie list dozwolonych nadawców lub list dozwolonych domen

Uwaga

Ta metoda stwarza wysokie ryzyko, że osoby atakujące pomyślnie dostarczają wiadomość e-mail do skrzynki odbiorczej, która w przeciwnym razie zostałaby przefiltrowana. Komunikaty, które są określane jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania, są filtrowane. Aby uzyskać więcej informacji, zobacz Konflikt ustawień użytkownika i dzierżawy.

Nie używaj popularnych domen (na przykład microsoft.com) na listach dozwolonych domen.

Najmniej pożądaną opcją jest użycie list dozwolonych nadawców lub list dozwolonych domen w niestandardowych zasadach ochrony przed spamem lub w domyślnych zasadach ochrony przed spamem. Należy unikać tej opcji, jeśli w ogóle jest to możliwe , ponieważ nadawcy pomijają wszystkie spam, fałszowanie, ochronę przed wyłudzaniem informacji (z wyjątkiem wyłudzania informacji o wysokim poziomie zaufania) i uwierzytelnianie nadawcy (SPF, DKIM, DMARC). Ta metoda jest najlepiej używana tylko do testowania tymczasowego. Szczegółowe kroki można znaleźć w temacie Konfigurowanie zasad ochrony przed spamem w usłudze EOP.

Maksymalny limit dla tych list wynosi około 1000 wpisów, ale można wprowadzić maksymalnie 30 wpisów w portalu usługi Microsoft Defender. Użyj programu PowerShell, aby dodać więcej niż 30 wpisów.

Uwaga

Od września 2022 r., jeśli dozwolony nadawca, domena lub domena podrzędna znajduje się w akceptowanej domenie w organizacji, nadawca, domena lub poddomena muszą przejść testy uwierzytelniania poczty e-mail , aby pominąć filtrowanie antyspamowe.

Zagadnienia dotyczące zbiorczej poczty e-mail

Standardowa wiadomość e-mail SMTP może zawierać różne adresy e-mail nadawcy zgodnie z opisem w temacie Dlaczego internetowa wiadomość e-mail wymaga uwierzytelniania. Gdy wiadomość e-mail jest wysyłana w imieniu innej osoby, adresy mogą być inne. Ten warunek występuje często w przypadku zbiorczych wiadomości e-mail.

Załóżmy na przykład, że Blue Yonder Airlines zatrudniły Margie's Travel do wysyłania anonsowanych wiadomości e-mail. Komunikat otrzymywany w skrzynce odbiorczej ma następujące właściwości:

  • Adres MAIL FROM (znany również jako 5321.MailFrom adres, nadawca P1 lub nadawca koperty) to blueyonder.airlines@margiestravel.com.
  • Adres Od (znany również jako 5322.From adres lub nadawca P2) to blueyonder@news.blueyonderairlines.com, który jest widoczny w programie Outlook.

Listy bezpiecznych nadawców i listy bezpiecznych domen w zasadach ochrony przed spamem w ramach operacji EOP sprawdzają tylko adresy z. To zachowanie jest podobne do bezpiecznych nadawców programu Outlook korzystających z adresu From.

Aby zapobiec filtrowaniu tego komunikatu, możesz wykonać następujące kroki:

  • Dodaj blueyonder@news.blueyonderairlines.com (adres z) jako bezpiecznego nadawcę programu Outlook.
  • Użyj reguły przepływu poczty z warunkiem, który wyszuka wiadomości z blueyonder@news.blueyonderairlines.com adresu (z adresu), blueyonder.airlines@margiestravel.com (adresu MAIL FROM) lub obu tych elementów.