Kolejność i pierwszeństwo ochrony poczty e-mail

Artykuł
04/26/2024
Dotyczy:

✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych przychodzące wiadomości e-mail mogą być oflagowane przez wiele form ochrony. Na przykład ochrona przed fałszowaniem dostępna dla wszystkich klientów platformy Microsoft 365 oraz ochrona przed personifikacją dostępna tylko dla Ochrona usługi Office 365 w usłudze Microsoft Defender klientów. Komunikaty przechodzą również przez wiele skanów wykrywania złośliwego oprogramowania, spamu, wyłudzania informacji itp. Biorąc pod uwagę wszystkie te działania, może wystąpić pewne zamieszanie co do tego, które zasady są stosowane.

Ogólnie rzecz biorąc, zasady stosowane do komunikatu są identyfikowane w nagłówku X-Forefront-Antispam-Report we właściwości CAT (Kategoria ). Aby uzyskać więcej informacji, zobacz Nagłówki wiadomości antyspamowych.

Istnieją dwa główne czynniki, które określają, które zasady są stosowane do komunikatu:

Kolejność przetwarzania dla typu ochrony poczty e-mail: ta kolejność nie jest konfigurowalna i jest opisana w poniższej tabeli:

Zamówienia	ochrona Email	Kategoria	Gdzie zarządzać
1	Złośliwego oprogramowania	`CAT:MALW`	Konfigurowanie zasad ochrony przed złośliwym oprogramowaniem w ramach EOP
2	Wyłudzanie informacji o dużej pewności	`CAT:HPHSH`	Konfigurowanie zasad ochrony przed spamem w ramach EOP
3	Wyłudzanie informacji	`CAT:PHSH`	Konfigurowanie zasad ochrony przed spamem w ramach EOP
4	Spam o wysokim poziomie ufności	`CAT:HSPM`	Konfigurowanie zasad ochrony przed spamem w ramach EOP
5	Fałszowanie	`CAT:SPOOF`	Fałszowanie szczegółowych informacji wywiadowczych w ramach EOP
6^*	Personifikacja użytkownika (użytkownicy chronieni)	`CAT:UIMP`	Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender
7^*	Personifikacja domeny (domeny chronione)	`CAT:DIMP`	Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender
8^*	Analiza skrzynki pocztowej (wykres kontaktowy)	`CAT:GIMP`	Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender
9	Spam	`CAT:SPM`	Konfigurowanie zasad ochrony przed spamem w ramach EOP
10	Zbiorczego	`CAT:BULK`	Konfigurowanie zasad ochrony przed spamem w ramach EOP

^*Te funkcje są dostępne tylko w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender.

Kolejność priorytetów zasad: kolejność priorytetów zasad jest wyświetlana na następującej liście:
1. Zasady ochrony przed spamem, ochrony przed złośliwym oprogramowaniem, ochrony przed wyłudzaniem informacji, bezpiecznych linków^* i bezpiecznych załączników w ścisłych zasadach^* zabezpieczeń wstępnie ustawionych (po włączeniu).
2. Zasady ochrony przed spamem, ochrony przed złośliwym oprogramowaniem, ochrony przed wyłudzaniem informacji, bezpiecznych linków^* i bezpiecznych załączników w standardowych zasadach^* zabezpieczeń (po włączeniu).
3. Ochrona przed wyłudzaniem informacji, bezpieczne linki i bezpieczne załączniki w zasadach oceny Ochrona usługi Office 365 w usłudze Defender (po włączeniu).
4. Niestandardowe zasady ochrony przed spamem, ochrony przed złośliwym oprogramowaniem, ochrony przed wyłudzaniem informacji, bezpiecznych linków^* i bezpiecznych załączników^* (po utworzeniu).
  
  Zasady niestandardowe są przypisywane domyślną wartość priorytetu podczas tworzenia zasad (nowsze równa się wyższa), ale można zmienić wartość priorytetu w dowolnym momencie. Ta wartość priorytetu ma wpływ na kolejność stosowania niestandardowych zasad tego typu (antyspamowych, chroniących przed złośliwym oprogramowaniem, chroniących przed wyłudzaniem informacji itp.), ale nie ma wpływu na to, gdzie zasady niestandardowe są stosowane w ogólnej kolejności.
5. O równej wartości:
  - Zasady bezpiecznych linków i bezpiecznych załączników w wstępnie ustawionych zasad^* zabezpieczeń wbudowanej ochrony.
  - Domyślne zasady ochrony przed złośliwym oprogramowaniem, ochrony przed spamem i ochrony przed wyłudzaniem informacji.
  Można skonfigurować wyjątki od wbudowanych zasad zabezpieczeń wstępnie ustawionych zabezpieczeń, ale nie można skonfigurować wyjątków od domyślnych zasad (dotyczą one wszystkich adresatów i nie można ich wyłączyć).
^*tylko Ochrona usługi Office 365 w usłudze Defender.

Kolejność priorytetów ma znaczenie, jeśli ten sam adresat jest celowo lub przypadkowo uwzględniony w wielu zasadach, ponieważ tylko pierwsze zasady tego typu (antyspamowe, chroniące przed złośliwym oprogramowaniem, chroniące przed wyłudzaniem informacji itp.) są stosowane do tego adresata, niezależnie od liczby innych zasad uwzględnionych przez odbiorcę. Nigdy nie ma scalania ani łączenia ustawień w wielu zasadach dla adresata. Adresat nie ma wpływu na ustawienia pozostałych zasad tego typu.

Na przykład grupa o nazwie "Contoso Executives" jest uwzględniona w następujących zasadach:

Ścisłe wstępnie ustawione zasady zabezpieczeń
Niestandardowe zasady ochrony przed spamem o wartości priorytetu 0 (najwyższy priorytet)
Niestandardowe zasady ochrony przed spamem o wartości priorytetu 1.

Które ustawienia zasad ochrony przed spamem są stosowane do członków kierownictwa firmy Contoso? Ścisłe wstępnie ustawione zasady zabezpieczeń. Ustawienia niestandardowych zasad ochrony przed spamem są ignorowane dla członków kierownictwa firmy Contoso, ponieważ zasady zabezpieczeń Ścisłe ustawienia wstępne są zawsze stosowane jako pierwsze.

W innym przykładzie należy wziąć pod uwagę następujące niestandardowe zasady ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender, które mają zastosowanie do tych samych adresatów, oraz komunikat zawierający zarówno personifikację użytkownika, jak i fałszowanie:

Nazwa zasad	Priority (Priorytet)	Personifikacja użytkownika	Ochrona przed fałszowaniem
Zasady A	1	Włączone	Wyłączony
Zasady B	2	Wyłączony	Włączone

Komunikat jest identyfikowany jako fałszowanie, ponieważ fałszowanie (5) jest oceniane przed personifikacją użytkownika (6) w kolejności przetwarzania dla typu ochrony poczty e-mail.
Zasady A są stosowane jako pierwsze, ponieważ mają wyższy priorytet niż zasady B.
Na podstawie ustawień w zasadach A nie jest podejmowana żadna akcja dotycząca komunikatu, ponieważ funkcja ochrony przed fałszowaniem jest wyłączona.
Przetwarzanie zasad ochrony przed wyłudzaniem informacji zatrzymuje się dla wszystkich uwzględnionych adresatów, dlatego zasady B nigdy nie są stosowane do adresatów, którzy również znajdują się w zasadach A.

Aby upewnić się, że adresaci otrzymują żądane ustawienia ochrony, skorzystaj z następujących wytycznych dotyczących członkostwa w zasadach:

Przypisz mniejszą liczbę użytkowników do zasad o wyższym priorytecie i większą liczbę użytkowników do zasad o niższym priorytecie. Pamiętaj, że zasady domyślne są zawsze stosowane jako ostatnie.
Skonfiguruj zasady o wyższym priorytecie, aby miały bardziej rygorystyczne lub bardziej wyspecjalizowane ustawienia niż zasady o niższym priorytecie. Masz pełną kontrolę nad ustawieniami w zasadach niestandardowych i zasadach domyślnych, ale nie masz kontroli nad większością ustawień w wstępnie ustawionych zasadach zabezpieczeń.
Rozważ użycie mniejszej liczby zasad niestandardowych (użyj zasad niestandardowych tylko dla użytkowników, którzy wymagają bardziej wyspecjalizowanych ustawień niż standardowe lub ścisłe wstępnie ustawione zasady zabezpieczeń lub zasady domyślne).

Dodatek

Ważne jest, aby zrozumieć, w jaki sposób użytkownik zezwala i blokuje, dzierżawcy zezwalają i blokują oraz filtrują werdykty stosu w ramach EOP i Ochrona usługi Office 365 w usłudze Defender wzajemnie się uzupełniają lub są ze sobą sprzeczne.

Aby uzyskać informacje na temat filtrowania stosów i sposobu ich łączenia, zobacz Krok po kroku ochrona przed zagrożeniami w Ochrona usługi Office 365 w usłudze Microsoft Defender.
Gdy stos filtrowania określi werdykt, dopiero wtedy zostaną ocenione zasady dzierżawy i ich skonfigurowane akcje.
Jeśli ten sam adres e-mail lub domena istnieje na liście bezpiecznych nadawców użytkownika i na liście zablokowanych nadawców, pierwszeństwo ma lista Bezpiecznych nadawców.
Jeśli ta sama jednostka (adres e-mail, domena, sfałszowana infrastruktura wysyłania, plik lub adres URL) istnieje w wpisie zezwalającym i wpisie bloku na liście dozwolonych/zablokowanych dzierżaw, pierwszeństwo ma wpis bloku.

Użytkownik zezwala i blokuje

Wpisy w kolekcji listy bezpiecznych użytkowników (lista Bezpiecznych nadawców, Lista bezpiecznych adresatów i Lista zablokowanych nadawców w każdej skrzynce pocztowej) mogą zastąpić niektóre werdykty stosu filtrowania zgodnie z opisem w poniższej tabeli:

Werdykt dotyczący filtrowania stosu	Lista bezpiecznych nadawców/adresatów użytkownika	Lista zablokowanych nadawców użytkownika
Złośliwego oprogramowania	Wygrane filtrów: Email poddane kwarantannie	Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji o dużej pewności	Wygrane filtrów: Email poddane kwarantannie	Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji	Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika	Dzierżawa wygrywa: odpowiednie zasady ochrony przed spamem określają akcję
Spam o wysokim poziomie ufności	Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika	Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Spam	Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika	Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Zbiorczego	Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika	Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Nie spam	Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika	Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika

Aby uzyskać więcej informacji na temat ustawień zbierania bezpiecznych list i ochrony przed spamem w skrzynkach pocztowych użytkowników, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych.

Dzierżawa zezwala i blokuje

Dzierżawa zezwala, a bloki mogą zastąpić niektóre werdykty stosu filtrowania zgodnie z opisem w następujących tabelach:

Zaawansowane zasady dostarczania (pomijanie filtrowania dla wyznaczonych skrzynek pocztowych Usługi SecOps i adresów URL symulacji wyłudzania informacji):

Werdykt dotyczący filtrowania stosu	Zezwalaj na zaawansowane zasady dostarczania
Złośliwego oprogramowania	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
Wyłudzanie informacji o dużej pewności	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
Wyłudzanie informacji	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
Spam o wysokim poziomie ufności	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
Spam	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
Zbiorczego	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
Nie spam	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej

Reguły przepływu poczty programu Exchange (nazywane również regułami transportu):

Werdykt dotyczący filtrowania stosu	Reguła przepływu poczty umożliwia^*	Bloki reguł przepływu poczty
Złośliwego oprogramowania	Wygrane filtrów: Email poddane kwarantannie	Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji o dużej pewności	Wygrane filtrów: Email poddane kwarantannie z wyjątkiem złożonego routingu	Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Dzierżawa wygrywa: akcja wyłudzania informacji w odpowiednich zasadach ochrony przed spamem
Spam o wysokim poziomie ufności	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Spam	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Zbiorczego	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Nie spam	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika

^* Organizacje korzystające z usługi zabezpieczeń lub urządzenia innej firmy przed platformą Microsoft 365 powinny rozważyć użycie uwierzytelniania odebranego łańcucha (ARC) (skontaktuj się z inną firmą w celu uzyskania dostępności) i rozszerzonego filtrowania łączników (znanego również jako pomijanie listy) zamiast reguły przepływu poczty SCL=-1. Te ulepszone metody zmniejszają problemy z uwierzytelnianiem poczty e-mail i zachęcają do ochrony przed zabezpieczeniami poczty e-mail .

Lista dozwolonych adresów IP i lista zablokowanych adresów IP w zasadach filtrowania połączeń:

Werdykt dotyczący filtrowania stosu	Lista dozwolonych adresów IP	Lista bloków adresów IP
Złośliwego oprogramowania	Wygrane filtrów: Email poddane kwarantannie	Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji o dużej pewności	Wygrane filtrów: Email poddane kwarantannie	Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Dzierżawa wygrywa: Email porzucone w trybie dyskretnym
Spam o wysokim poziomie ufności	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Dzierżawa wygrywa: Email porzucone w trybie dyskretnym
Spam	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Dzierżawa wygrywa: Email porzucone w trybie dyskretnym
Zbiorczego	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Dzierżawa wygrywa: Email porzucone w trybie dyskretnym
Nie spam	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Dzierżawa wygrywa: Email porzucone w trybie dyskretnym

Zezwalaj i blokuj ustawienia w zasadach ochrony przed spamem:

Lista dozwolonych nadawców i domen.
Zablokowany nadawca i lista domen.
Blokuj komunikaty z określonych krajów/regionów lub w określonych językach.
Blokuj wiadomości na podstawie ustawień zaawansowanego filtru spamu (ASF).

Werdykt dotyczący filtrowania stosu	Zasady ochrony przed spamem umożliwiają	Bloki zasad ochrony przed spamem
Złośliwego oprogramowania	Wygrane filtrów: Email poddane kwarantannie	Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji o dużej pewności	Wygrane filtrów: Email poddane kwarantannie	Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Dzierżawa wygrywa: akcja wyłudzania informacji w odpowiednich zasadach ochrony przed spamem
Spam o wysokim poziomie ufności	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Spam	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Zbiorczego	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Nie spam	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej	Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika

Zezwalaj na wpisy na liście dozwolonych/zablokowanych dzierżaw:

Werdykt dotyczący filtrowania stosu	adres/domena Email
Złośliwego oprogramowania	Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji o dużej pewności	Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
Spam o wysokim poziomie ufności	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
Spam	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
Zbiorczego	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
Nie spam	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej

Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw:

Werdykt dotyczący filtrowania stosu	adres/domena Email	Naciąganie	Plik	URL
Złośliwego oprogramowania	Wygrane filtrów: Email poddane kwarantannie	Wygrane filtrów: Email poddane kwarantannie	Dzierżawa wygrywa: Email poddane kwarantannie	Wygrane filtrów: Email poddane kwarantannie
Wyłudzanie informacji o dużej pewności	Dzierżawa wygrywa: Email poddane kwarantannie	Wygrane filtrów: Email poddane kwarantannie	Dzierżawa wygrywa: Email poddane kwarantannie	Dzierżawa wygrywa: Email poddane kwarantannie
Wyłudzanie informacji	Dzierżawa wygrywa: Email poddane kwarantannie	Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji	Dzierżawa wygrywa: Email poddane kwarantannie	Dzierżawa wygrywa: Email poddane kwarantannie
Spam o wysokim poziomie ufności	Dzierżawa wygrywa: Email poddane kwarantannie	Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji	Dzierżawa wygrywa: Email poddane kwarantannie	Dzierżawa wygrywa: Email poddane kwarantannie
Spam	Dzierżawa wygrywa: Email poddane kwarantannie	Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji	Dzierżawa wygrywa: Email poddane kwarantannie	Dzierżawa wygrywa: Email poddane kwarantannie
Zbiorczego	Dzierżawa wygrywa: Email poddane kwarantannie	Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji	Dzierżawa wygrywa: Email poddane kwarantannie	Dzierżawa wygrywa: Email poddane kwarantannie
Nie spam	Dzierżawa wygrywa: Email poddane kwarantannie	Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji	Dzierżawa wygrywa: Email poddane kwarantannie	Dzierżawa wygrywa: Email poddane kwarantannie

Konflikt ustawień użytkownika i dzierżawy

W poniższej tabeli opisano sposób rozwiązywania konfliktów, jeśli na wiadomość e-mail mają wpływ zarówno ustawienia zezwalania/blokowania użytkownika, jak i ustawienia zezwalania/blokowania dzierżawy:

Typ zezwalania/blokowania dzierżawy	Lista bezpiecznych nadawców/adresatów użytkownika	Lista zablokowanych nadawców użytkownika
Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw dla: adresy i domeny Email Pliki Adresy URL	Dzierżawa wygrywa: Email poddane kwarantannie	Dzierżawa wygrywa: Email poddane kwarantannie
Blokuj wpisy dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw	Dzierżawa wygrywa: sfałszowanie akcji wywiadowczej w odpowiednich zasadach ochrony przed wyłudzaniem informacji	Dzierżawa wygrywa: sfałszowanie akcji wywiadowczej w odpowiednich zasadach ochrony przed wyłudzaniem informacji
Zaawansowane zasady dostarczania	Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej	Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej
Blokuj ustawienia w zasadach ochrony przed spamem	Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej	Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
HonorUj zasady DMARC	Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej	Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Bloki według reguł przepływu poczty	Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej	Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika
Zezwala przez: Reguły przepływu poczty Lista dozwolonych adresów IP (zasady filtrowania połączeń) Lista dozwolonych nadawców i domen (zasady ochrony przed spamem) Lista dozwolonych/zablokowanych dzierżaw	Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej	Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika