Twórca listy bezpiecznych nadawców w ramach EOP

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Jeśli jesteś klientem platformy Microsoft 365 z skrzynkami pocztowymi w Exchange Online lub autonomicznym klientem Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych, usługa EOP oferuje wiele sposobów zapewnienia, że użytkownicy otrzymają wiadomości e-mail od zaufanych nadawców. Łącznie można traktować te opcje jako listy bezpiecznych nadawców.

Dostępne listy bezpiecznych nadawców są opisane na poniższej liście w kolejności od najbardziej zalecanych do najmniej zalecanych:

  1. Zezwalaj na wpisy dla domen i adresów e-mail (w tym sfałszowanych nadawców) na liście dozwolonych/zablokowanych dzierżaw.
  2. Reguły przepływu poczty (nazywane również regułami transportu).
  3. Bezpieczni nadawcy programu Outlook (lista Bezpiecznych nadawców przechowywana w każdej skrzynce pocztowej, która dotyczy tylko tej skrzynki pocztowej).
  4. Lista dozwolonych adresów IP (filtrowanie połączeń)
  5. Listy dozwolonych nadawców lub listy dozwolonych domen (zasady ochrony przed spamem)

Pozostała część tego artykułu zawiera szczegółowe informacje o każdej metodzie.

Ważna

Komunikaty, które są identyfikowane jako złośliwe oprogramowanie* lub wyłudzanie informacji o wysokim poziomie zaufania, są zawsze poddawane kwarantannie, niezależnie od używanej opcji listy bezpiecznych nadawców. Aby uzyskać więcej informacji, zobacz Domyślne zabezpieczanie w Office 365.

* Filtrowanie złośliwego oprogramowania jest pomijane w skrzynkach pocztowych Usługi SecOps, które są identyfikowane w zaawansowanych zasadach dostarczania. Aby uzyskać więcej informacji, zobacz Konfigurowanie zaawansowanych zasad dostarczania dla symulacji wyłudzania informacji innych firm i dostarczania wiadomości e-mail do skrzynek pocztowych SecOps.

Należy zachować ostrożność, aby ściśle monitorować wszelkie wyjątki występujące w przypadku filtrowania spamu przy użyciu list bezpiecznych nadawców.

Zawsze przesyłaj wiadomości na listach bezpiecznych nadawców do firmy Microsoft w celu analizy. Aby uzyskać instrukcje, zobacz Raportowanie dobrej wiadomości e-mail do firmy Microsoft. Jeśli komunikaty lub źródła wiadomości zostaną uznane za niegroźne, firma Microsoft może automatycznie zezwolić na komunikaty i nie będzie konieczne ręczne utrzymywanie wpisu na listach bezpiecznych nadawców.

Zamiast zezwalać na pocztę e-mail, masz również kilka opcji blokowania poczty e-mail z określonych źródeł przy użyciu zablokowanych list nadawców. Aby uzyskać więcej informacji, zobacz Twórca listy nadawców blokowych w EOP.

Używanie wpisów zezwalania na liście dozwolonych/zablokowanych dzierżaw

Zalecaną opcją numer jeden do zezwalania na pocztę od nadawców lub domen jest lista dozwolonych/zablokowanych dzierżaw. Aby uzyskać instrukcje, zobacz Twórca zezwalać na wpisy dla domen i adresów e-mail oraz Twórca zezwalać na wpisy dla sfałszowanych nadawców.

Tylko wtedy, gdy z jakiegoś powodu nie możesz użyć listy dozwolonych/zablokowanych dzierżaw, rozważ użycie innej metody zezwalania nadawcom.

Używanie reguł przepływu poczty

Uwaga

Nie można użyć nagłówków wiadomości i reguł przepływu poczty, aby wyznaczyć wewnętrznego nadawcę jako bezpiecznego nadawcę. Procedury w tej sekcji działają tylko dla nadawców zewnętrznych.

Reguły przepływu poczty w Exchange Online i autonomicznej operacji EOP używają warunków i wyjątków do identyfikowania komunikatów oraz akcji określających, co należy zrobić z tymi wiadomościami. Aby uzyskać więcej informacji, zobacz Reguły przepływu poczty (reguły transportu) w Exchange Online.

W poniższym przykładzie założono, że potrzebujesz wiadomości e-mail z contoso.com, aby pominąć filtrowanie spamu. W tym celu skonfiguruj następujące ustawienia:

  1. Warunek: Domena nadawcy>jest> contoso.com.

  2. Skonfiguruj jedno z następujących ustawień:

    • Warunek reguły przepływu poczty: nagłówki wiadomościzawierają dowolne z następujących wyrazów>:

      • Nazwa nagłówka: Authentication-Results
      • Wartość nagłówka: dmarc=pass lub dmarc=bestguesspass (dodaj obie wartości).

      Ten warunek sprawdza stan uwierzytelniania poczty e-mail wysyłanej domeny poczty e-mail, aby upewnić się, że domena wysyłająca nie jest sfałszowana. Aby uzyskać więcej informacji na temat uwierzytelniania poczty e-mail, zobacz SPF, DKIM i DMARC.

    • Lista dozwolonych adresów IP: określ źródłowy adres IP lub zakres adresów w zasadach filtru połączeń. Aby uzyskać instrukcje, zobacz Konfigurowanie filtrowania połączeń.

      Użyj tego ustawienia, jeśli domena wysyłająca nie używa uwierzytelniania poczty e-mail. Być tak restrykcyjne, jak to możliwe, jeśli chodzi o źródłowe adresy IP na liście dozwolonych adresów IP. Zalecamy użycie zakresu adresów IP o wartości /24 lub mniejszej (mniej jest lepsze). Nie używaj zakresów adresów IP należących do usług konsumenckich (na przykład outlook.com) ani infrastruktur udostępnionych.

    Ważna

    • Nigdy nie konfiguruj reguł przepływu poczty tylko z domeną nadawcy jako warunkiem pominięcia filtrowania spamu. Spowoduje to znaczne zwiększenie prawdopodobieństwa, że osoby atakujące będą mogły podszywać się pod domenę wysyłającą (lub personifikować pełny adres e-mail), pominąć filtrowanie spamu i pominąć sprawdzanie uwierzytelniania nadawcy, aby wiadomość dotarła do skrzynki odbiorczej odbiorcy.

    • Nie używaj domen, których jesteś właścicielem (nazywanych również akceptowanymi domenami) ani popularnych domen (na przykład microsoft.com) jako warunków w regułach przepływu poczty. Jest to uznawane za wysokie ryzyko, ponieważ stwarza możliwość wysyłania wiadomości e-mail przez osoby atakujące, które w przeciwnym razie byłyby filtrowane.

    • Jeśli zezwolisz na adres IP, który znajduje się za bramą translatora adresów sieciowych (NAT), musisz znać serwery, które są zaangażowane w pulę translatora adresów sieciowych, aby poznać zakres listy dozwolonych adresów IP. Adresy IP i uczestnicy translatora adresów sieciowych mogą ulec zmianie. Należy okresowo sprawdzać wpisy listy dozwolonych adresów IP w ramach standardowych procedur konserwacji.

  3. Warunki opcjonalne:

    • Nadawca>jest wewnętrzny/zewnętrzny>Poza organizacją: ten warunek jest niejawny, ale można go używać do obsługi kont lokalnych serwerów poczty e-mail, które mogą nie być poprawnie skonfigurowane.
    • Temat lub treść>temat lub treść zawiera dowolny z tych wyrazów><>słowa kluczowe: jeśli możesz dodatkowo ograniczyć komunikaty według słów kluczowych lub fraz w wierszu tematu lub treści wiadomości, możesz użyć tych słów jako warunku.

  4. Akcja: Skonfiguruj obie następujące akcje w regule:

    1. Modyfikowanie właściwości> komunikatuustawianie poziomu ufności spamu (SCL)>Pomijanie filtrowania spamu.

    2. Modyfikowanie właściwości> komunikatuustaw nagłówek komunikatu:

      • Nazwa nagłówka: na przykład X-ETR.
      • Wartość nagłówka: na przykład Bypass spam filtering for authenticated sender 'contoso.com'.

      Jeśli w regule znajduje się więcej niż jedna domena, możesz odpowiednio dostosować tekst nagłówka.

Gdy wiadomość pomija filtrowanie spamu z powodu reguły przepływu poczty, wartość SFV:SKN jest ostemplowana w nagłówku X-Forefront-Antispam-Report . Jeśli komunikat pochodzi ze źródła, które znajduje się na liście dozwolonych adresów IP, wartość IPV:CAL zostanie również dodana. Te wartości mogą pomóc w rozwiązywaniu problemów.

Przykładowe ustawienia reguły przepływu poczty w nowej usłudze EAC z pominięciem filtrowania spamu.

Korzystanie z bezpiecznych nadawców programu Outlook

Uwaga

Ta metoda stwarza wysokie ryzyko, że osoby atakujące pomyślnie dostarczają wiadomość e-mail do skrzynki odbiorczej, która w przeciwnym razie zostałaby przefiltrowana. Jeśli jednak wiadomość z wpisu na listach bezpiecznych nadawców lub bezpiecznych domen użytkownika zostanie określona jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania, wiadomość zostanie przefiltrowana.

Zamiast ustawienia organizacyjnego użytkownicy lub administratorzy mogą dodawać adresy e-mail nadawcy do listy Bezpieczni nadawcy w skrzynce pocztowej. Aby uzyskać instrukcje, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych w Office 365. Wpisy listy bezpiecznych nadawców w skrzynce pocztowej mają wpływ tylko na tę skrzynkę pocztową.

Ta metoda nie jest pożądana w większości sytuacji, ponieważ nadawcy pomijają części stosu filtrowania. Mimo że nadawca jest zaufany, nadal można naruszyć bezpieczeństwo nadawcy i wysłać złośliwą zawartość. Należy zezwolić naszym filtrom na sprawdzanie każdej wiadomości, a następnie zgłaszanie wyników fałszywie dodatnich/ujemnych firmie Microsoft , jeśli się mylą. Pomijanie stosu filtrowania zakłóca również automatyczne przeczyszczanie o wartości zero godzin (ZAP).

Gdy wiadomości pomijają filtrowanie spamu z powodu wpisów na liście bezpiecznych nadawców użytkownika, pole nagłówka X-Forefront-Antispam-Report będzie zawierać wartość SFV:SFE, która wskazuje, że filtrowanie pod kątem spamu, fałszowania i wyłudzania informacji (nie ma dużego zaufania) zostało pominięte.

Uwagi:

  • W Exchange Online to, czy wpisy na liście Bezpiecznych nadawców działają, czy nie działają, zależy od werdyktu i działania zasad, które zidentyfikowały komunikat:
    • Przenieś wiadomości do folderu Email-śmieci: wpisy domeny i wpisy adresów e-mail nadawcy są honorowane. Wiadomości od tych nadawców nie są przenoszone do folderu Junk Email.
    • Kwarantanna: wpisy domeny nie są honorowane (komunikaty od tych nadawców są poddawane kwarantannie). Email wpisy adresów są honorowane (wiadomości od tych nadawców nie są poddawane kwarantannie), jeśli jedno z następujących stwierdzeń jest prawdziwe:
      • Wiadomość nie jest identyfikowana jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania (złośliwe oprogramowanie i wiadomości wyłudzające informacje o wysokim poziomie zaufania są poddawane kwarantannie).
      • Adres e-mail nie znajduje się również w wpisie bloku na liście dozwolonych/zablokowanych dzierżaw.
  • Wpisy zablokowanych nadawców i zablokowanych domen są honorowane (komunikaty od tych nadawców są przenoszone do folderu Junk Email). Ustawienia bezpiecznej listy adresowej są ignorowane.

Używanie listy dozwolonych adresów IP

Uwaga

Bez dodatkowej weryfikacji, takiej jak reguły przepływu poczty, poczta e-mail ze źródeł na liście dozwolonych adresów IP pomija filtrowanie spamu i uwierzytelnianie nadawcy (SPF, DKIM, DMARC). W wyniku tego osoba atakująca może pomyślnie dostarczyć wiadomość e-mail do skrzynki odbiorczej, która w przeciwnym razie zostałaby przefiltrowana. Jeśli jednak komunikat z wpisu na liście dozwolonych adresów IP zostanie uznany za złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania, komunikat zostanie odfiltrowany.

Następną najlepszą opcją jest dodanie źródłowego serwera poczty e-mail lub serwerów do listy dozwolonych adresów IP w zasadach filtru połączeń. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie filtrowania połączeń w ramach EOP.

Uwagi:

  • Ważne jest, aby zachować minimalną liczbę dozwolonych adresów IP, więc unikaj używania całych zakresów adresów IP zawsze, gdy jest to możliwe.
  • Nie używaj zakresów adresów IP należących do usług konsumenckich (na przykład outlook.com) ani infrastruktur udostępnionych.
  • Regularnie przeglądaj wpisy na liście dozwolonych adresów IP i usuwaj wpisy, których już nie potrzebujesz.

Używanie list dozwolonych nadawców lub list dozwolonych domen

Uwaga

Ta metoda stwarza wysokie ryzyko, że osoby atakujące pomyślnie dostarczają wiadomość e-mail do skrzynki odbiorczej, która w przeciwnym razie zostałaby przefiltrowana. Jeśli jednak wiadomość z wpisu na listach dozwolonych nadawców lub dozwolonych domen zostanie określona jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania, wiadomość zostanie odfiltrowana.

Nie używaj popularnych domen (na przykład microsoft.com) na listach dozwolonych domen.

Najmniej pożądaną opcją jest użycie list dozwolonych nadawców lub list dozwolonych domen w zasadach ochrony przed spamem. Należy unikać tej opcji, jeśli w ogóle jest to możliwe , ponieważ nadawcy pomijają wszystkie spam, fałszowanie, ochronę przed wyłudzaniem informacji (z wyjątkiem wyłudzania informacji o wysokim poziomie zaufania) i uwierzytelnianie nadawcy (SPF, DKIM, DMARC). Ta metoda jest najlepiej używana tylko do testowania tymczasowego. Szczegółowe kroki można znaleźć w temacie Konfigurowanie zasad ochrony przed spamem w temacie EOP .

Maksymalny limit dla tych list wynosi około 1000 wpisów; chociaż w portalu będzie można wprowadzić tylko 30 wpisów. Aby dodać więcej niż 30 wpisów, należy użyć programu PowerShell.

Uwaga

Od września 2022 r., jeśli dozwolony nadawca, domena lub domena podrzędna znajduje się w akceptowanej domenie w organizacji, nadawca, domena lub poddomena muszą przejść testy uwierzytelniania poczty e-mail , aby pominąć filtrowanie antyspamowe.

Zagadnienia dotyczące zbiorczej poczty e-mail

Standardowa wiadomość e-mail SMTP składa się z koperty wiadomości i zawartości wiadomości. Koperta wiadomości zawiera informacje wymagane do przesyłania i dostarczania komunikatu między serwerami SMTP. Zawartość wiadomości zawiera pola nagłówka wiadomości (łącznie nazywane nagłówkiem komunikatu) i treść komunikatu. Koperta komunikatu jest opisana w dokumencie RFC 5321, a nagłówek komunikatu jest opisany w dokumencie RFC 5322. Adresaci nigdy nie widzą rzeczywistej koperty wiadomości, ponieważ jest ona generowana przez proces transmisji komunikatów i w rzeczywistości nie jest częścią wiadomości.

  • Adres 5321.MailFrom (znany również jako adres MAIL FROM , nadawca P1 lub nadawca koperty) to adres e-mail używany podczas transmisji wiadomości przez protokół SMTP. Ten adres e-mail jest zwykle rejestrowany w polu nagłówek Return-Path w nagłówku wiadomości (chociaż nadawca może wyznaczyć inny adres e-mail ze ścieżką powrotną ). Jeśli nie można dostarczyć wiadomości, jest to adresat raportu o braku dostarczenia (znany również jako komunikat NDR lub bounce).
  • Adres 5322.From (znany również jako adres od lub nadawca P2) jest adresem e-mail w polu Od nagłówka i jest adresem e-mail nadawcy wyświetlanym w klientach poczty e-mail.

Często adresy 5321.MailFrom i 5322.From są takie same (komunikacja między osobami). Jednak gdy wiadomość e-mail jest wysyłana w imieniu innej osoby, adresy mogą być inne. Dzieje się tak najczęściej w przypadku zbiorczych wiadomości e-mail.

Załóżmy na przykład, że Blue Yonder Airlines zatrudniła Margie's Travel do wysyłania anonsowanych wiadomości e-mail. Komunikat otrzymywany w skrzynce odbiorczej ma następujące właściwości:

  • Adres 5321.MailFrom to blueyonder.airlines@margiestravel.com.
  • Adres 5322.From to blueyonder@news.blueyonderairlines.com, który jest widoczny w programie Outlook.

Listy bezpiecznych nadawców i listy bezpiecznych domen w zasadach ochrony przed spamem w usłudze EOP sprawdzają tylko 5322.From adresy. To zachowanie jest podobne do bezpiecznych nadawców programu Outlook korzystających z 5322.From tego adresu.

Aby zapobiec filtrowaniu tego komunikatu, możesz wykonać następujące kroki:

  • Dodaj blueyonder@news.blueyonderairlines.com ( 5322.From adres) jako bezpiecznego nadawcę programu Outlook.
  • Użyj reguły przepływu poczty z warunkiem, który wyszuka wiadomości z blueyonder@news.blueyonderairlines.com ( 5322.From adresu), blueyonder.airlines@margiestravel.com ( 5321.MailFrom adresu) lub obu tych elementów.