Create listas de remetentes seguros no EOP

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Se você for um cliente do Microsoft 365 com caixas de correio em Exchange Online ou um cliente EOP (Proteção do Exchange Online autônomo) sem caixas de correio Exchange Online, o EOP oferece várias maneiras de garantir que os usuários recebam emails de remetentes confiáveis. Coletivamente, você pode pensar nessas opções como listas de remetentes seguros.

As listas de remetentes seguros disponíveis são descritas na lista a seguir, na ordem da mais recomendada até a menos recomendada:

  1. Permitir entradas para domínios e endereços de email (incluindo remetentes falsificados) na Lista de Permissões/Blocos do Locatário.
  2. Regras de fluxo de email (também conhecidas como regras de transporte).
  3. Remetentes seguros do Outlook (a lista remetentes seguros armazenada em cada caixa de correio que afeta apenas essa caixa de correio).
  4. Lista de permissões de IP (filtragem de conexão)
  5. Listas de remetentes permitidas ou listas de domínio permitidas (políticas anti-spam)

O restante deste artigo contém detalhes sobre cada método.

Importante

As mensagens identificadas como malware* ou phishing de alta confiança são sempre colocadas em quarentena, independentemente da opção de lista de remetentes seguros que você usa. Para obter mais informações, consulte Proteger por padrão em Office 365.

* A filtragem de malware é ignorada nas caixas de correio SecOps que são identificadas na política de entrega avançada. Para obter mais informações, consulte Configurar a política de entrega avançada para simulações de phishing de terceiros e entrega de email para caixas de correio SecOps.

Tenha cuidado para monitorar de perto todas as exceções que você fizer à filtragem de spam usando listas de remetentes seguras.

Sempre envie mensagens em suas listas de remetentes seguros para a Microsoft para análise. Para obter instruções, consulte Relatar um bom email para a Microsoft. Se as mensagens ou fontes de mensagem forem determinadas como benignas, a Microsoft poderá permitir automaticamente as mensagens e você não precisará manter manualmente a entrada em listas de remetentes seguros.

Em vez de permitir o email, você também tem várias opções para bloquear o email de fontes específicas usando listas de remetente bloqueadas. Para obter mais informações, confira Criar listas de bloqueios de remetentes no EOP.

Usar entradas de permissão na Lista de Permissões/Blocos do Locatário

Nossa opção recomendada número um para permitir emails de remetentes ou domínios é a Lista de Permissões/Blocos do Locatário. Para obter instruções, consulte Create permitir entradas para domínios e endereços de email e Create permitir entradas para remetentes falsificados.

Somente se você não puder usar a Lista de Permissões/Blocos do Locatário por algum motivo, você considerará usar um método diferente para permitir remetentes.

Usar regras de fluxo de email

Observação

Você não pode usar cabeçalhos de mensagem e regras de fluxo de email para designar um remetente interno como um remetente seguro. Os procedimentos nesta seção funcionam apenas para remetentes externos.

Regras de fluxo de email em Exchange Online e EOP autônomo usam condições e exceções para identificar mensagens e ações para especificar o que deve ser feito com essas mensagens. Para obter mais informações, consulte Regras de fluxo de email (regras de transporte) no Exchange Online.

O exemplo a seguir pressupõe que você precisa de email de contoso.com para ignorar a filtragem de spam. Para fazer isso, configure as seguintes configurações:

  1. Condição: o domínio do remetente>é> contoso.com.

  2. Configure uma das seguintes configurações:

    • Condição da regra de fluxo de email: os cabeçalhos>de mensagem incluem qualquer uma dessas palavras:

      • Nome do cabeçalho: Authentication-Results
      • Valor do cabeçalho: dmarc=pass ou dmarc=bestguesspass (adicione os dois valores).

      Essa condição verifica o status de autenticação de email do domínio de envio de email para garantir que o domínio de envio não esteja sendo falsificado. Para obter mais informações sobre autenticação por email, consulte SPF, DKIM e DMARC.

    • Lista de permissões de IP: especifique o endereço IP de origem ou o intervalo de endereços na política de filtro de conexão. Para obter instruções, consulte Configurar a filtragem de conexão.

      Use essa configuração se o domínio de envio não usar autenticação por email. Seja o mais restritivo possível quando se trata dos endereços IP de origem na Lista de Permissões de IP. Recomendamos um intervalo de endereços IP de /24 ou menos (menos é melhor). Não use intervalos de endereço IP que pertençam a serviços de consumidor (por exemplo, outlook.com) ou infraestruturas compartilhadas.

    Importante

    • Nunca configure regras de fluxo de email apenas com o domínio do remetente como a condição para ignorar a filtragem de spam. Isso aumentará significativamente a probabilidade de que os invasores possam falsificar o domínio de envio (ou representar o endereço de email completo), ignorar toda a filtragem de spam e ignorar verificações de autenticação do remetente para que a mensagem chegue na caixa de entrada do destinatário.

    • Não use domínios que você possui (também conhecidos como domínios aceitos) ou domínios populares (por exemplo, microsoft.com) como condições nas regras de fluxo de email. Isso é considerado de alto risco porque cria oportunidades para os invasores enviarem emails que, de outra forma, seriam filtrados.

    • Se você permitir um endereço IP por trás de um gateway NAT (conversão de endereço de rede), você precisará conhecer os servidores envolvidos no pool nat para saber o escopo da lista de permissões de IP. Endereços IP e participantes do NAT podem ser alterados. Você precisa marcar periodicamente as entradas da Lista de Permissões de IP como parte de seus procedimentos de manutenção padrão.

  3. Condições opcionais:

    • O remetente>é interno/externo>Fora da organização: essa condição está implícita, mas não há problema em usá-la para contabilitar servidores de email locais que podem não estar configurados corretamente.
    • O assunto ou o corpo>assunto ou corpo inclui qualquer uma dessas palavras><palavras-chave>: se você puder restringir ainda mais as mensagens por palavras-chave ou frases na linha de assunto ou corpo da mensagem, você poderá usar essas palavras como condição.

  4. Ação: configurar as duas ações a seguir na regra:

    1. Modificar as propriedades> da mensagemdefinir o nível de confiança de spam (SCL)>Ignorar a filtragem de spam.

    2. Modificar as propriedades> da mensagemdefinir um cabeçalho de mensagem:

      • Nome do cabeçalho: por exemplo, X-ETR.
      • Valor do cabeçalho: por exemplo, Bypass spam filtering for authenticated sender 'contoso.com'.

      Se você tiver mais de um domínio na regra, poderá personalizar o texto do cabeçalho conforme apropriado.

Quando uma mensagem ignora a filtragem de spam devido a uma regra de fluxo de email, o valor do valor SFV:SKN é carimbado no cabeçalho X-Forefront-Antispam-Report . Se a mensagem for de uma fonte que está na Lista de Permissões de IP, o valor IPV:CAL também será adicionado. Esses valores podem ajudá-lo na solução de problemas.

Exemplo de configurações de regra de fluxo de email no novo EAC para ignorar a filtragem de spam.

Usar remetentes seguros do Outlook

Cuidado

Esse método cria um alto risco de invasores entregarem emails com êxito para a caixa de entrada que, de outra forma, seriam filtrados; no entanto, se uma mensagem de uma entrada nas listas de Remetentes Seguros ou Domínios Seguros do usuário for determinada como malware ou phishing de alta confiança, a mensagem será filtrada.

Em vez de uma configuração organizacional, usuários ou administradores podem adicionar os endereços de email do remetente à lista Remetentes Seguros na caixa de correio. Para obter instruções, consulte Configurar configurações de lixo eletrônico em caixas de correio Exchange Online em Office 365. As entradas de lista de remetentes seguros na caixa de correio afetam somente essa caixa de correio.

Esse método não é desejável na maioria das situações, pois os remetentes ignorarão partes da pilha de filtragem. Embora você confie no remetente, o remetente ainda pode ser comprometido e enviar conteúdo mal-intencionado. Você deve deixar nossos filtros marcar cada mensagem e, em seguida, relatar o falso positivo/negativo para a Microsoft se erramos. Ignorar a pilha de filtragem também interfere no ZAP (limpeza automática) de zero hora.

Quando as mensagens ignoram a filtragem de spam devido a entradas na lista remetentes seguros de um usuário, o campo cabeçalho X-Forefront-Antispam-Report conterá o valor SFV:SFE, o que indica que a filtragem para spam, falsificação e phishing (não phishing de alta confiança) foi ignorada.

Observações:

  • Em Exchange Online, se as entradas na lista remetentes seguros funcionam ou não dependem do veredicto e da ação na política que identificou a mensagem:
    • Mover mensagens para a pasta Junk Email: entradas de domínio e entradas de endereço de email do remetente são honradas. As mensagens desses remetentes não são movidas para a pasta Junk Email.
    • Quarentena: as entradas de domínio não são honradas (as mensagens desses remetentes estão em quarentena). Email entradas de endereço são honradas (as mensagens desses remetentes não estão em quarentena) se uma das seguintes instruções for verdadeira:
      • A mensagem não é identificada como malware ou phishing de alta confiança (malware e mensagens de phishing de alta confiança estão em quarentena).
      • O endereço de email também não está em uma entrada de bloco na Lista de Permissões/Blocos do Locatário.
  • As entradas para remetentes bloqueados e domínios bloqueados são honradas (as mensagens desses remetentes são movidas para a pasta Junk Email). As configurações de lista de email segura são ignoradas.

Usar a Lista de Permissões de IP

Cuidado

Sem verificação adicional, como regras de fluxo de email, o email de fontes na Lista de Permissões de IP ignora verificações de filtragem de spam e autenticação de remetente (SPF, DKIM, DMARC). Esse resultado cria um alto risco de invasores entregarem emails com êxito para a caixa de entrada que, de outra forma, seriam filtrados; no entanto, se uma mensagem de uma entrada na Lista de Permissões de IP for determinada como malware ou phishing de alta confiança, a mensagem será filtrada.

A próxima melhor opção é adicionar o servidor de email de origem ou servidores à Lista de Permissões de IP na política de filtro de conexão. Para obter detalhes, consulte Configurar a filtragem de conexão no EOP.

Observações:

  • É importante manter o número de endereços IP permitidos no mínimo, portanto, evite usar intervalos de endereços IP inteiros sempre que possível.
  • Não use intervalos de endereço IP que pertençam a serviços de consumidor (por exemplo, outlook.com) ou infraestruturas compartilhadas.
  • Examine regularmente as entradas na Lista de Permissões de IP e remova as entradas que você não precisa mais.

Usar listas de remetente permitidas ou listas de domínio permitidas

Cuidado

Esse método cria um alto risco de invasores entregarem emails com êxito para a caixa de entrada que, de outra forma, seriam filtrados; no entanto, se uma mensagem de uma entrada nas listas de domínios permitidos ou remetentes permitidos for determinada como malware ou phishing de alta confiança, a mensagem será filtrada.

Não use domínios populares (por exemplo, microsoft.com) em listas de domínio permitidas.

A opção menos desejável é usar as listas de remetentes permitidas ou listas de domínio permitidas em políticas anti-spam. Você deve evitar essa opção se possível porque os remetentes ignoram todos os spams, falsificações, proteção contra phishing (exceto phishing de alta confiança) e autenticação de remetente (SPF, DKIM, DMARC). Esse método é melhor usado apenas para testes temporários. As etapas detalhadas podem ser encontradas em Configurar políticas anti-spam no tópico EOP .

O limite máximo para essas listas é de aproximadamente 1000 entradas; embora, você só poderá inserir 30 entradas no portal. Você deve usar o PowerShell para adicionar mais de 30 entradas.

Observação

A partir de setembro de 2022, se um remetente, domínio ou subdomínio permitido estiver em um domínio aceito em sua organização, esse remetente, domínio ou subdomínio deverá passar verificações de autenticação por email para ignorar a filtragem anti-spam.

Considerações sobre email em massa

Uma mensagem de email SMTP padrão consiste em um envelope de mensagem e conteúdo de mensagem. O envelope de mensagem contém informações necessárias para transmitir e entregar a mensagem entre servidores SMTP. O conteúdo da mensagem contém campos de cabeçalho de mensagem (chamado coletivamente de cabeçalho de mensagem) e o corpo da mensagem. O envelope de mensagem é descrito no RFC 5321 e o cabeçalho da mensagem é descrito no RFC 5322. Os destinatários nunca veem o envelope de mensagem real porque ele é gerado pelo processo de transmissão de mensagens e não faz parte da mensagem.

  • O 5321.MailFrom endereço (também conhecido como endereço MAIL FROM , remetente P1 ou remetente de envelope) é o endereço de email usado na transmissão SMTP da mensagem. Esse endereço de email normalmente é registrado no campo cabeçalho Caminho de Retorno no cabeçalho da mensagem (embora seja possível que o remetente designe um endereço de email return-path diferente). Se a mensagem não puder ser entregue, será o destinatário do relatório de não entrega (também conhecido como NDR ou mensagem de retorno).
  • O 5322.From endereço (também conhecido como o remetente From ou P2) é o endereço de email no campo De cabeçalho e é o endereço de email do remetente exibido em clientes de email.

Com frequência, os 5321.MailFrom endereços e 5322.From são os mesmos (comunicação de pessoa para pessoa). No entanto, quando o email é enviado em nome de outra pessoa, os endereços podem ser diferentes. Isso acontece com mais frequência para mensagens de email em massa.

Por exemplo, suponha que a Blue Yonder Airlines contratou a Margie's Travel para enviar mensagens de email publicitárias. A mensagem recebida na caixa de entrada tem as seguintes propriedades:

  • O 5321.MailFrom endereço é blueyonder.airlines@margiestravel.com.
  • O 5322.From endereço é blueyonder@news.blueyonderairlines.com, que é o que você vê no Outlook.

Listas de remetentes seguros e listas de domínio seguras em políticas anti-spam no EOP inspecionam apenas os 5322.From endereços. Esse comportamento é semelhante aos Remetentes Seguros do Outlook que usam o 5322.From endereço.

Para evitar que essa mensagem seja filtrada, você pode seguir as seguintes etapas:

  • Adicione blueyonder@news.blueyonderairlines.com (o endereço) como um Remetente Seguro do 5322.From Outlook.
  • Use uma regra de fluxo de email com uma condição que procura mensagens de blueyonder@news.blueyonderairlines.com (o 5322.From endereço), blueyonder.airlines@margiestravel.com (o 5321.MailFrom endereço) ou ambos.