Kolejność i pierwszeństwo ochrony poczty e-mail
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.
W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych przychodzące wiadomości e-mail mogą być oflagowane przez wiele form ochrony. Na przykład ochrona przed fałszowaniem dostępna dla wszystkich klientów platformy Microsoft 365 oraz ochrona przed personifikacją dostępna tylko dla Ochrona usługi Office 365 w usłudze Microsoft Defender klientów. Komunikaty przechodzą również przez wiele skanów wykrywania złośliwego oprogramowania, spamu, wyłudzania informacji itp. Biorąc pod uwagę wszystkie te działania, może wystąpić pewne zamieszanie co do tego, które zasady są stosowane.
Ogólnie rzecz biorąc, zasady stosowane do komunikatu są identyfikowane w nagłówku X-Forefront-Antispam-Report we właściwości CAT (Kategoria ). Aby uzyskać więcej informacji, zobacz Nagłówki wiadomości antyspamowych.
Istnieją dwa główne czynniki, które określają, które zasady są stosowane do komunikatu:
Kolejność przetwarzania dla typu ochrony poczty e-mail: ta kolejność nie jest konfigurowalna i jest opisana w poniższej tabeli:
*Te funkcje są dostępne tylko w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender.
Kolejność priorytetów zasad: kolejność priorytetów zasad jest wyświetlana na następującej liście:
Zasady ochrony przed spamem, ochrony przed złośliwym oprogramowaniem, ochrony przed wyłudzaniem informacji, bezpiecznych linków* i bezpiecznych załączników w ścisłych zasadach* zabezpieczeń wstępnie ustawionych (po włączeniu).
Zasady ochrony przed spamem, ochrony przed złośliwym oprogramowaniem, ochrony przed wyłudzaniem informacji, bezpiecznych linków* i bezpiecznych załączników w standardowych zasadach* zabezpieczeń (po włączeniu).
Ochrona przed wyłudzaniem informacji, bezpieczne linki i bezpieczne załączniki w zasadach oceny Ochrona usługi Office 365 w usłudze Defender (po włączeniu).
Niestandardowe zasady ochrony przed spamem, ochrony przed złośliwym oprogramowaniem, ochrony przed wyłudzaniem informacji, bezpiecznych linków* i bezpiecznych załączników* (po utworzeniu).
Zasady niestandardowe są przypisywane domyślną wartość priorytetu podczas tworzenia zasad (nowsze równa się wyższa), ale można zmienić wartość priorytetu w dowolnym momencie. Ta wartość priorytetu ma wpływ na kolejność stosowania niestandardowych zasad tego typu (antyspamowych, chroniących przed złośliwym oprogramowaniem, chroniących przed wyłudzaniem informacji itp.), ale nie ma wpływu na to, gdzie zasady niestandardowe są stosowane w ogólnej kolejności.
O równej wartości:
- Zasady bezpiecznych linków i bezpiecznych załączników w wstępnie ustawionych zasad* zabezpieczeń wbudowanej ochrony.
- Domyślne zasady ochrony przed złośliwym oprogramowaniem, ochrony przed spamem i ochrony przed wyłudzaniem informacji.
Można skonfigurować wyjątki od wbudowanych zasad zabezpieczeń wstępnie ustawionych zabezpieczeń, ale nie można skonfigurować wyjątków od domyślnych zasad (dotyczą one wszystkich adresatów i nie można ich wyłączyć).
*tylko Ochrona usługi Office 365 w usłudze Defender.
Kolejność priorytetów ma znaczenie, jeśli ten sam adresat jest celowo lub przypadkowo uwzględniony w wielu zasadach, ponieważ tylko pierwsze zasady tego typu (antyspamowe, chroniące przed złośliwym oprogramowaniem, chroniące przed wyłudzaniem informacji itp.) są stosowane do tego adresata, niezależnie od liczby innych zasad uwzględnionych przez odbiorcę. Nigdy nie ma scalania ani łączenia ustawień w wielu zasadach dla adresata. Adresat nie ma wpływu na ustawienia pozostałych zasad tego typu.
Na przykład grupa o nazwie "Contoso Executives" jest uwzględniona w następujących zasadach:
- Ścisłe wstępnie ustawione zasady zabezpieczeń
- Niestandardowe zasady ochrony przed spamem o wartości priorytetu 0 (najwyższy priorytet)
- Niestandardowe zasady ochrony przed spamem o wartości priorytetu 1.
Które ustawienia zasad ochrony przed spamem są stosowane do członków kierownictwa firmy Contoso? Ścisłe wstępnie ustawione zasady zabezpieczeń. Ustawienia niestandardowych zasad ochrony przed spamem są ignorowane dla członków kierownictwa firmy Contoso, ponieważ zasady zabezpieczeń Ścisłe ustawienia wstępne są zawsze stosowane jako pierwsze.
W innym przykładzie należy wziąć pod uwagę następujące niestandardowe zasady ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender, które mają zastosowanie do tych samych adresatów, oraz komunikat zawierający zarówno personifikację użytkownika, jak i fałszowanie:
Nazwa zasad | Priority (Priorytet) | Personifikacja użytkownika | Ochrona przed fałszowaniem |
---|---|---|---|
Zasady A | 1 | Włączone | Wyłączony |
Zasady B | 2 | Wyłączony | Włączone |
- Komunikat jest identyfikowany jako fałszowanie, ponieważ fałszowanie (5) jest oceniane przed personifikacją użytkownika (6) w kolejności przetwarzania dla typu ochrony poczty e-mail.
- Zasady A są stosowane jako pierwsze, ponieważ mają wyższy priorytet niż zasady B.
- Na podstawie ustawień w zasadach A nie jest podejmowana żadna akcja dotycząca komunikatu, ponieważ funkcja ochrony przed fałszowaniem jest wyłączona.
- Przetwarzanie zasad ochrony przed wyłudzaniem informacji zatrzymuje się dla wszystkich uwzględnionych adresatów, dlatego zasady B nigdy nie są stosowane do adresatów, którzy również znajdują się w zasadach A.
Aby upewnić się, że adresaci otrzymują żądane ustawienia ochrony, skorzystaj z następujących wytycznych dotyczących członkostwa w zasadach:
- Przypisz mniejszą liczbę użytkowników do zasad o wyższym priorytecie i większą liczbę użytkowników do zasad o niższym priorytecie. Pamiętaj, że zasady domyślne są zawsze stosowane jako ostatnie.
- Skonfiguruj zasady o wyższym priorytecie, aby miały bardziej rygorystyczne lub bardziej wyspecjalizowane ustawienia niż zasady o niższym priorytecie. Masz pełną kontrolę nad ustawieniami w zasadach niestandardowych i zasadach domyślnych, ale nie masz kontroli nad większością ustawień w wstępnie ustawionych zasadach zabezpieczeń.
- Rozważ użycie mniejszej liczby zasad niestandardowych (użyj zasad niestandardowych tylko dla użytkowników, którzy wymagają bardziej wyspecjalizowanych ustawień niż standardowe lub ścisłe wstępnie ustawione zasady zabezpieczeń lub zasady domyślne).
Dodatek
Ważne jest, aby zrozumieć, w jaki sposób użytkownik zezwala i blokuje, dzierżawcy zezwalają i blokują oraz filtrują werdykty stosu w ramach EOP i Ochrona usługi Office 365 w usłudze Defender wzajemnie się uzupełniają lub są ze sobą sprzeczne.
- Aby uzyskać informacje na temat filtrowania stosów i sposobu ich łączenia, zobacz Krok po kroku ochrona przed zagrożeniami w Ochrona usługi Office 365 w usłudze Microsoft Defender.
- Gdy stos filtrowania określi werdykt, dopiero wtedy zostaną ocenione zasady dzierżawy i ich skonfigurowane akcje.
- Jeśli ten sam adres e-mail lub domena istnieje na liście bezpiecznych nadawców użytkownika i na liście zablokowanych nadawców, pierwszeństwo ma lista Bezpiecznych nadawców.
- Jeśli ta sama jednostka (adres e-mail, domena, sfałszowana infrastruktura wysyłania, plik lub adres URL) istnieje w wpisie zezwalającym i wpisie bloku na liście dozwolonych/zablokowanych dzierżaw, pierwszeństwo ma wpis bloku.
Użytkownik zezwala i blokuje
Wpisy w kolekcji listy bezpiecznych użytkowników (lista Bezpiecznych nadawców, Lista bezpiecznych adresatów i Lista zablokowanych nadawców w każdej skrzynce pocztowej) mogą zastąpić niektóre werdykty stosu filtrowania zgodnie z opisem w poniższej tabeli:
Werdykt dotyczący filtrowania stosu | Lista bezpiecznych nadawców/adresatów użytkownika | Lista zablokowanych nadawców użytkownika |
---|---|---|
Złośliwego oprogramowania | Wygrane filtrów: Email poddane kwarantannie | Wygrane filtrów: Email poddane kwarantannie |
Wyłudzanie informacji o dużej pewności | Wygrane filtrów: Email poddane kwarantannie | Wygrane filtrów: Email poddane kwarantannie |
Wyłudzanie informacji | Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika | Dzierżawa wygrywa: odpowiednie zasady ochrony przed spamem określają akcję |
Spam o wysokim poziomie ufności | Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
Spam | Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
Zbiorczego | Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
Nie spam | Użytkownik wygrywa: Email dostarczane do skrzynki odbiorczej użytkownika | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
Aby uzyskać więcej informacji na temat ustawień zbierania bezpiecznych list i ochrony przed spamem w skrzynkach pocztowych użytkowników, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych.
Dzierżawa zezwala i blokuje
Dzierżawa zezwala, a bloki mogą zastąpić niektóre werdykty stosu filtrowania zgodnie z opisem w następujących tabelach:
Zaawansowane zasady dostarczania (pomijanie filtrowania dla wyznaczonych skrzynek pocztowych Usługi SecOps i adresów URL symulacji wyłudzania informacji):
Werdykt dotyczący filtrowania stosu Zezwalaj na zaawansowane zasady dostarczania Złośliwego oprogramowania Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wyłudzanie informacji o dużej pewności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Zbiorczego Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Reguły przepływu poczty programu Exchange (nazywane również regułami transportu):
Werdykt dotyczący filtrowania stosu Reguła przepływu poczty umożliwia* Bloki reguł przepływu poczty Złośliwego oprogramowania Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie z wyjątkiem złożonego routingu Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: akcja wyłudzania informacji w odpowiednich zasadach ochrony przed spamem Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Zbiorczego Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika * Organizacje korzystające z usługi zabezpieczeń lub urządzenia innej firmy przed platformą Microsoft 365 powinny rozważyć użycie uwierzytelniania odebranego łańcucha (ARC) (skontaktuj się z inną firmą w celu uzyskania dostępności) i rozszerzonego filtrowania łączników (znanego również jako pomijanie listy) zamiast reguły przepływu poczty SCL=-1. Te ulepszone metody zmniejszają problemy z uwierzytelnianiem poczty e-mail i zachęcają do ochrony przed zabezpieczeniami poczty e-mail .
Lista dozwolonych adresów IP i lista zablokowanych adresów IP w zasadach filtrowania połączeń:
Werdykt dotyczący filtrowania stosu Lista dozwolonych adresów IP Lista bloków adresów IP Złośliwego oprogramowania Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym Zbiorczego Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: Email porzucone w trybie dyskretnym Zezwalaj i blokuj ustawienia w zasadach ochrony przed spamem:
- Lista dozwolonych nadawców i domen.
- Zablokowany nadawca i lista domen.
- Blokuj komunikaty z określonych krajów/regionów lub w określonych językach.
- Blokuj wiadomości na podstawie ustawień zaawansowanego filtru spamu (ASF).
Werdykt dotyczący filtrowania stosu Zasady ochrony przed spamem umożliwiają Bloki zasad ochrony przed spamem Złośliwego oprogramowania Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Dzierżawa wygrywa: akcja wyłudzania informacji w odpowiednich zasadach ochrony przed spamem Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Zbiorczego Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Wygrane dzierżawy: Email dostarczane do folderu Email wiadomości-śmieci użytkownika Zezwalaj na wpisy na liście dozwolonych/zablokowanych dzierżaw:
Werdykt dotyczący filtrowania stosu adres/domena Email Złośliwego oprogramowania Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji o dużej pewności Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Spam o wysokim poziomie ufności Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Zbiorczego Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Nie spam Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw:
Werdykt dotyczący filtrowania stosu adres/domena Email Naciąganie Plik URL Złośliwego oprogramowania Wygrane filtrów: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Wyłudzanie informacji o dużej pewności Dzierżawa wygrywa: Email poddane kwarantannie Wygrane filtrów: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Wyłudzanie informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Spam o wysokim poziomie ufności Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Spam Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Zbiorczego Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie Nie spam Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: akcja fałszowania w odpowiednich zasadach ochrony przed wyłudzaniem informacji Dzierżawa wygrywa: Email poddane kwarantannie Dzierżawa wygrywa: Email poddane kwarantannie
Konflikt ustawień użytkownika i dzierżawy
W poniższej tabeli opisano sposób rozwiązywania konfliktów, jeśli na wiadomość e-mail mają wpływ zarówno ustawienia zezwalania/blokowania użytkownika, jak i ustawienia zezwalania/blokowania dzierżawy:
Typ zezwalania/blokowania dzierżawy | Lista bezpiecznych nadawców/adresatów użytkownika | Lista zablokowanych nadawców użytkownika |
---|---|---|
Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw dla:
|
Dzierżawa wygrywa: Email poddane kwarantannie | Dzierżawa wygrywa: Email poddane kwarantannie |
Blokuj wpisy dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw | Dzierżawa wygrywa: sfałszowanie akcji wywiadowczej w odpowiednich zasadach ochrony przed wyłudzaniem informacji | Dzierżawa wygrywa: sfałszowanie akcji wywiadowczej w odpowiednich zasadach ochrony przed wyłudzaniem informacji |
Zaawansowane zasady dostarczania | Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej | Wygrane dzierżawy: Email dostarczane do skrzynki pocztowej |
Blokuj ustawienia w zasadach ochrony przed spamem | Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
HonorUj zasady DMARC | Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
Bloki według reguł przepływu poczty | Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
Zezwala przez:
|
Użytkownik wygrywa: Email dostarczane do skrzynki pocztowej | Użytkownik wygrywa: Email dostarczane do folderu Email wiadomości-śmieci użytkownika |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla