Поделиться через


В чем разница между нежелательной и массовой электронной почтой в EOP?

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online клиенты иногда спрашивают: "В чем разница между нежелательной почтой и массовой электронной почтой?" В этой статье объясняется разница и описываются элементы управления, доступные в EOP.

  • Нежелательная почта — это спам, который является нежелательным и универсальным нежелательным сообщением (при правильной идентификации). EOP отклоняет спам на основе репутации исходного почтового сервера. Если сообщение проходит проверку исходного IP-адреса, оно продолжает фильтрацию нежелательной почты. Если сообщение классифицируется как спам или спам с высоким уровнем достоверности путем фильтрации спама, то, что происходит с сообщением, зависит от вердикта и политики защиты от нежелательной почты, которая обнаружила сообщение.

    Действия по умолчанию, выполняемые со спамом и сообщениями со спамом с высоким уровнем достоверности в политике защиты от нежелательной почты по умолчанию и в стандартных и строгих предустановленных политиках безопасности, см. в параметрах политики защиты от нежелательной почты EOP.

    В политике защиты от нежелательной почты по умолчанию и в пользовательских политиках защиты от нежелательной почты можно настроить действие для принятия решений по фильтрации спама. Инструкции см . в разделе Настройка политик защиты от нежелательной почты в EOP.

    Если вы не согласны с решением о фильтрации нежелательной почты, вы можете сообщить о сообщениях как нежелательных или хороших в корпорацию Майкрософт несколькими способами, как описано в разделе Отправка сообщений и файлов в Корпорацию Майкрософт.

  • Массовая электронная почта (также известная как серая почта) сложнее классифицировать. В то время как спам является постоянной угрозой, массовая электронная почта часто является одноразовой рекламой или маркетинговыми сообщениями. Некоторые пользователи хотят, чтобы массовые сообщения электронной почты (и на самом деле, они намеренно зарегистрировались для их получения), в то время как другие пользователи считают массовую электронную почту спамом. Например, некоторые пользователи хотят получать рекламные сообщения от корпорации Contoso или приглашения на предстоящую конференцию по кибербезопасности, в то время как другие пользователи считают эти же сообщения спамом.

    Дополнительные сведения о том, как определяется массовое сообщение электронной почты, см. в разделе Уровень массовой жалобы (BCL) в EOP.

Управление массовыми сообщениями электронной почты

Из-за смешанной реакции на массовую электронную почту не существует универсального руководства, которое применяется ко всем организациям.

Политики защиты от нежелательной почты имеют пороговое значение BCL по умолчанию, которое используется для идентификации массовой электронной почты как нежелательной почты, а также определенное действие для выполнения этих массовых сообщений. Дополнительные сведения см. в следующих статьях:

Еще один вариант, который легко не заметить: если пользователь жалуется на получение массовой электронной почты, но сообщения от авторитетных отправителей, которые проходят фильтрацию спама в EOP, убедитесь, что пользователь проверяет возможность отмены подписки в массовом сообщении электронной почты.

Настройка массовой электронной почты

Администраторы могут следовать рекомендуемым значениям порогового значения или выбрать пороговое значение для массовых операций, которое соответствует потребностям организации.

Настройка массовой электронной почты в организациях с помощью Exchange Online Protection

Совет

Аналитические сведения о массовых отправителях в настоящее время находятся в предварительной версии, доступны не во всех организациях и могут быть изменены.

В организациях с EOP, если в нижней части порогового значения массовой электронной почты выбрать изменить пороговое значение и свойства нежелательной почты & в всплывающем элементе подробных сведений о политике защиты от нежелательной почты по умолчанию или настраиваемой политике защиты от нежелательной почты, выбранной на странице Политики защиты от нежелательной почты по адресу https://security.microsoft.com/antispam, в разделе Пороговое значение массовой электронной почты содержатся сведения о массовых отправителях: сведения о количестве сообщений, обнаруженных как массовые на всех уровнях BCL всеми политиками защиты от нежелательной почты за последние 60 дней.

  • По умолчанию аналитика массовых отправителей показывает количество сообщений, которые были доставлены и определены как массовые с текущим пороговым значением BCL политики защиты от нежелательной почты.

    Сведения о массовых отправителях в разделе Пороговое значение массовой электронной почты политики защиты от нежелательной почты, в котором отображаются сообщения, идентифицированные как массовые на текущем уровне BCL.

  • Если уменьшить пороговое значение массовой электронной почты, аналитика отправителей изменится, чтобы показать, сколько сообщений будет доставлено меньше и сколько сообщений будет определено как массовые. Аналитика также показывает, сколько идентификаторов массовых сообщений, скорее всего, будут ложноположительными (хорошее сообщение электронной почты идентифицируется как плохое).

    Сведения о массовых отправителях в разделе Пороговое значение массовой электронной почты политики защиты от нежелательной почты, в котором отображаются сообщения, идентифицированные как массовые после снижения текущего уровня BCL.

  • Если увеличить пороговое значение массовой электронной почты, аналитика отправителей изменится, чтобы показать, сколько сообщений будет доставлено и сколько меньше сообщений будет идентифицировано как массовые. Аналитика также показывает, сколько идентификаторов массовых сообщений, скорее всего, будут ложноотрицательными (доставлено неправильное сообщение электронной почты).

    Сведения о массовых отправителях в разделе Пороговое значение массовой электронной почты политики защиты от нежелательной почты, в котором отображаются сообщения, идентифицированные как массовые после увеличения текущего уровня BCL.

Если выбрать Просмотр аналитических сведений о массовых отправителях , вы перейдете на главную страницу аналитики массовых отправителей . Дополнительные сведения см. в статье Аналитика массовых отправителей в Exchange Online Protection.

Настройка массовой электронной почты в организациях с помощью Defender для Office 365 плана 1 или плана 2

Если у вас есть Defender для Office 365 плана 1 или плана 2, вы можете использовать отчет о состоянии защиты от угроз , чтобы определить нужных и нежелательных массовых отправителей:

  1. Откройте отчет о состоянии защиты от угроз по адресу https://security.microsoft.com/reports/TPSAggregateReportATP.

  2. Выберите Просмотр данных по спаму по электронной почте > и Разбивка диаграмм по технологии обнаружения.

  3. Выберите Фильтр. В открывавшемся всплывающем окне Фильтры выберите только Массовые в разделе Обнаружение .

    Используйте ползунок Уровень массовой жалобы , чтобы отфильтровать массовые обнаружения по значению BCL.

    По завершении во всплывающем окне Фильтры нажмите кнопку Применить.

  4. На странице Состояние защиты от угроз выберите одно из массовых сообщений из таблицы сведений под диаграммой, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом.

    Во всплывающем окне сведений о сообщении выберите Открыть сущность электронной почты в верхней части всплывающего окна, чтобы просмотреть сведения о сообщении на странице Сущность электронной почты в Microsoft Defender для Office 365.

  5. Определив нужных и нежелательных отправителей, настройте пороговое значение для массовой рассылки в политике защиты от нежелательной почты по умолчанию и в пользовательских политиках защиты от нежелательной почты. Если некоторые массовые отправители не соответствуют пороговой величине, сообщите о сообщениях в корпорацию Майкрософт для анализа.

Настройка массовой электронной почты в организациях с помощью Defender для Office 365 (план 2)

С сентября 2022 г. клиенты Microsoft Defender для Office 365 плана 2 могут получить доступ к BCL из расширенной охоты. Эта функция позволяет администраторам просмотреть всех отправителей, отправивших почту в организацию, соответствующие значения BCL и количество полученных сообщений электронной почты. Вы можете детализировать массовые отправители, используя другие столбцы в таблице EmailEvents схемы совместной работы & электронной почты . Дополнительные сведения см. в разделе EmailEvents.

Например, если в политиках защиты от нежелательной почты компания Contoso устанавливает пороговое значение 7, получатели Contoso получают сообщения электронной почты от всех отправителей в папке "Входящие", если значение BCL равно 6 или меньше. Администраторы могут выполнить следующий запрос, чтобы получить список всех массовых отправителей в организации:

EmailEvents
| where BulkComplaintLevel >= 1 and Timestamp > datetime(2022-09-XXT00:00:00Z)
| summarize count() by SenderMailFromAddress, BulkComplaintLevel

Этот запрос позволяет администраторам определять нужных и нежелательных отправителей. Если массовый отправитель имеет оценку BCL, превышающую пороговое значение, администраторы могут сообщать о сообщениях отправителя корпорации Майкрософт для анализа. Это действие также добавляет отправителя в качестве разрешенной записи в список разрешенных и заблокированных клиентов.

Организации без Defender для Office 365 (план 2) могут бесплатно опробовать функции XDR в Microsoft Defender для Office 365 (план 2). Используйте 90-дневную оценку Defender для Office 365 по адресу https://security.microsoft.com/atpEvaluation. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.