Поделиться через


Настройка политик защиты от спама в EOP

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online входящие почтовые сообщения автоматически защищаются от спама посредством EOP. Служба EOP использует политики защиты от нежелательной почты (также называемые политиками фильтрации спама или политиками фильтрации контента) в рамках общей защиты от нежелательной почты в организации. Дополнительные сведения см. в статье Защита от нежелательной почты.

Совет

Рекомендуется включить и добавить всех пользователей в Standard и (или) строгие предустановленные политики безопасности. Дополнительные сведения см. в разделе Настройка политик защиты.

Политика защиты от нежелательной почты по умолчанию автоматически применяется ко всем получателям в организации. Для большей детализации можно также создать настраиваемые политики защиты от нежелательной почты, которые применяются к определенным пользователям, группам или доменам.

Политики защиты от нежелательной почты можно настроить на портале Microsoft Defender или в PowerShell (Exchange Online PowerShell для организаций Microsoft 365 с почтовыми ящиками в Exchange Online; автономный EOP PowerShell для организаций без Exchange Online почтовых ящиков).

Совет

В качестве компаньона к этой статье ознакомьтесь с руководством по настройке анализатора безопасности , чтобы ознакомиться с рекомендациями и научиться укреплять защиту, повышать соответствие требованиям и уверенно перемещаться по ландшафту кибербезопасности. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке анализатора безопасности в Центр администрирования Microsoft 365.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы сразу перейти к странице Политики защиты от нежелательной почты, используйте ссылку https://security.microsoft.com/antispam.

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

    • разрешения Exchange Online:

      • Добавление, изменение и удаление политик. Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
      • Доступ только для чтения к политикам: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
    • Microsoft Entra разрешения. Членство в ролях "Глобальный администратор*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

  • Рекомендуемые параметры политик защиты от спама см. в разделе Параметры политики защиты от нежелательной почты EOP.

    Совет

    Параметры в политиках защиты от нежелательной почты по умолчанию или пользовательских политиках защиты от нежелательной почты игнорируются, если получатель также включен в Standard или строгие предустановленные политики безопасности. Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.

  • Вы не можете полностью отключить фильтрацию нежелательной почты, но вы можете использовать правила потока почты Exchange (также известные как правила транспорта) для обхода большинства фильтров нежелательной почты по входящим сообщениям (например, если вы направляете электронную почту через стороннюю службу защиты или устройство перед доставкой в Microsoft 365). Дополнительные сведения см. в статье Указание вероятности нежелательной почты (SCL) в сообщениях с помощью правил потока обработки почты

  • Уведомления конечных пользователей о нежелательной почте в политиках защиты от нежелательной почты заменяются уведомлениями о карантине в политиках карантина. Уведомления о карантине содержат сведения о сообщениях, помещенных на карантин всеми поддерживаемыми функциями защиты (а не только решениями политики защиты от спама и политики защиты от фишинга). Дополнительные сведения см. в разделе Анатомия политики карантина.

Создание политик защиты от нежелательной почты с помощью портала Microsoft Defender

  1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.

  2. На странице Политики защиты от нежелательной почты выберите Создатьполитику , а затем выберите Входящий в раскрывающемся списке, чтобы запустить мастер политики защиты от нежелательной почты.

  3. На странице Имя новой политики настройте указанные ниже параметры.

    • Имя. Укажите уникальное, описательное имя политики.
    • Описание. По желанию введите описание политики.

    Завершив работу на странице Имя политики , нажмите кнопку Далее.

  4. На странице Пользователи, группы и домены определите внутренних получателей, к которым применяется политика (условия получателя):

    • Пользователи: указанные почтовые ящики, почтовые пользователи, почтовые контакты или общедоступные папки с поддержкой почты.
    • Группы.
      • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
      • Указанные Группы Microsoft 365.
    • Домены: все получатели в организации с основной адрес электронной почты в указанном принятом домене.

    Щелкните соответствующее поле, начните вводить значение, затем выберите нужное значение в списке результатов. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

    Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей или групп введите звездочку (*), чтобы просмотреть все доступные значения.

    Условие можно использовать только один раз, но условие может содержать несколько значений:

    • Несколько значений одного условия используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, к нему применяется политика.

    • Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

      • Пользователей: romain@contoso.com
      • Группы: Руководители

      Политика применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. В противном случае политика к нему не применяется.

    • Исключить этих пользователей, группы и домены. Чтобы добавить исключения для внутренних получателей, к которым применяется политика (исключение получателей), выберите этот параметр и настройте исключения.

      Исключение можно использовать только один раз, но исключение может содержать несколько значений:

      • Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, политика к нему не применяется.
      • Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.

    Завершив работу на странице Пользователи, группы и домены , нажмите кнопку Далее.

  5. На странице Свойств массовой электронной почты & свойств нежелательной почты настройте следующие параметры:

    • Раздел Пороговое значение массовой электронной почты. Ползунок указывает уровень массовой жалобы (BCL) сообщения, который должен быть выполнен или превышен для активации указанного действия для решения о выполнении или превышении фильтрации нежелательной почты для уровня BCL, настроенного на следующей странице. Высокое значение указывает, что сообщение является менее желательным (больше похоже на спам) Дополнительные сведения о BCL см. в разделе Уровень массовой жалобы (BCL) в EOP.

    • Раздел свойств нежелательной почты:

      • Повышение оценки нежелательной почты, Пометить как спам* и Тестовый режим: настройки улучшенного фильтра нежелательной почты (ASF), отключенные по умолчанию.

        Подробнее об этих настройках см. в разделе Дополнительные параметры фильтра спама в EOP

        * Параметры Содержит определенные языки и Из этих стран не являются частью ASF.

      • Содержит определенные языки: выберите Вкл. или Выкл . в раскрывающемся списке. Если включить этот параметр, появится поле. Начните вводить в нем название языка. Появится отфильтрованный список поддерживаемых языков. Найдя нужный язык, выберите его. Повторите этот шаг нужное количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

      • Из этих стран: выберите Вкл . или Выкл . в раскрывающемся списке. Если включить этот параметр, появится поле. Начните вводить в поле имя страны или региона. Появится отфильтрованный список поддерживаемых стран и регионов. Когда вы найдете нужную страну или регион, выберите ее. Повторите этот шаг нужное количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

      По завершении работы на странице Пороговое значение массовой электронной почты & свойств нежелательной почты нажмите кнопку Далее.

  6. На странице Действия настройте следующие параметры:

    • Раздел Действия с сообщениями. Просмотрите или выберите действие, которое необходимо выполнить для сообщений на основе вердиктов фильтрации спама:

      • Спам
      • Нежелательная почта с высокой вероятностью
      • Фишинг
      • Фишинг с высокой вероятностью
      • Достигнут или превышен уровень массового соответствия (BCL)

      Доступные действия для приговоров фильтрации нежелательной почты описаны в разделе Действия в политиках защиты от нежелательной почты.

      Совет

      Если решение фильтрации нежелательной почты помещает сообщения в карантин по умолчанию (сообщение карантина уже выбрано, когда вы перейдете на страницу), имя политики карантина по умолчанию отображается в поле Выбор политики карантина . Если изменить действие решения фильтрации нежелательной почты на Сообщение карантина, поле Выбор политики карантина по умолчанию будет пустым. Пустое значение означает, что используется политика карантина по умолчанию для этого вердикта. При последующем просмотре или изменении параметров политики защиты от нежелательной почты отображается имя политики карантина. Дополнительные сведения о политиках карантина, которые по умолчанию используются для вердиктов фильтра нежелательной почты, см. в разделе Параметры политики защиты от нежелательной почты EOP.

      Для фишинга с высокой достоверностью действие Переместить сообщение в папку нежелательной Email фактически не рекомендуется. Хотя вы можете выбрать действие Переместить сообщение в папку "Нежелательная Email", фишинговые сообщения с высокой степенью достоверности всегда помещаются в карантин (что эквивалентно выбору сообщения карантина).

      Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как фишинг с высокой степенью достоверности, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, вместо этого пользователям разрешено запрашивать освобождение их помещенных в карантин фишинговых сообщений с высокой степенью достоверности.

    • Внутриорганиционные сообщения для принятия мер. Определяет, применяются ли фильтрация нежелательной почты и соответствующие действия вердикта к внутренним сообщениям (сообщения, отправляемые между пользователями в организации). Ниже представлены возможные значения.

      • По умолчанию: это значение по умолчанию. Это значение совпадает с параметром Фишинговые сообщения с высокой достоверностью.
      • Нет
      • Фишинговые сообщения с высоким уровнем достоверности
      • Фишинговые сообщения и фишинговые сообщения с высокой степенью достоверности
      • Все фишинговые и спам-сообщения с высоким уровнем достоверности
      • Все фишинговые и спам-сообщения
    • Сколько дней хранить сообщение в карантине: указывает срок хранения сообщения в карантине, если в решении фильтра нежелательной почты указано действие Отправить сообщение на карантин. По истечении периода времени сообщение удаляется и не может быть восстановлено. Допустимые значения: от 1 до 30 дней.

      Совет

      Значение по умолчанию — 15 дней в политиках защиты от нежелательной почты, создаваемых в PowerShell. Значение по умолчанию — 30 дней в политиках защиты от нежелательной почты, создаваемых на портале Microsoft Defender.

      Этот параметр также определяет срок хранения сообщений, помещенных на карантин политиками защиты от фишинга. Дополнительные сведения см. в разделе Хранение в карантине.

    • Добавить этот текст X-заголовка. Это поле является обязательным и доступным только при выборе действия Добавить Х-заголовок для решения фильтра нежелательной почты. Указываемое значение является полем заголовка name, добавляемым в заголовок сообщения. Поле заголовка value всегда имеет значение This message appears to be spam.

      Значение может содержать до 255 символов и не может содержать пробелы и двоеточия (:).

      Например, если ввести значение X-This-is-my-custom-header, в сообщение добавляется Х-заголовок X-This-is-my-custom-header: This message appears to be spam.

      Если ввести значение, содержащее пробелы или двоеточия (:), введенное значение игнорируется, а в сообщение добавляется стандартный X-заголовок (X-This-Is-Spam: This message appears to be spam.).

    • Вставьте этот текст перед строкой темы. Это поле является обязательным и доступным только при выборе действия Добавить в начале строки "Тема" текст для решения фильтра нежелательной почты. Введите текст, который нужно добавить в начале строки темы сообщения.

    • Перенаправить на этот электронный адрес. Это поле является обязательным и доступным только при выборе действия Перенаправить сообщение на другой электронный адрес для решения фильтра нежелательной почты. Введите адрес электронной почты, на который нужно отправить сообщение. Вы можете указать несколько значений, разделив их точками с запятой (;).

    • Раздел Советы по безопасности. По умолчанию выбран параметр Включить советы по безопасности, но вы можете отключить советы по безопасности, очистив поле проверка.

    • Раздел автоматической очистки (ZAP) нулевого часа :

    Завершив работу на странице Действия , нажмите кнопку Далее.

  7. На странице Разрешить список блокировки & можно настроить отправителей сообщений по адресу электронной почты или домену электронной почты, которым разрешено пропускать фильтрацию нежелательной почты.

    В разделе Разрешенные можно указать разрешенных отправителей и разрешенные домены. В разделе Заблокированные можно указать заблокированных отправителей и заблокированные домены.

    Максимальное ограничение для этих списков составляет около 1000 записей, но на портале Defender можно ввести только 30 записей. Используйте Exchange Online PowerShell, чтобы добавить более 30 записей.

    Действия по добавлению записей в оба списка одинаковы:

    1. Выберите ссылку для списка, который требуется настроить:

      • Дозволенный>Отправители: выберите Управление (nn) отправителем.
      • Дозволенный>Домены. Выберите Разрешить домены.
      • Блокированный>Отправители: выберите Управление (nn) отправителем.
      • Блокированный>Домены. Выберите Блокировать домены.
    2. В открываемом всплывающем элементе выполните следующие действия.

      1. Выберите Добавить отправителей или Добавить домены.
      2. Во всплывающем окне Добавление отправителей или Добавление доменов введите адрес электронной почты отправителя в поле Отправитель или домен в поле Домен . По мере того, как вы вводите буквы, значение появляется ниже поля ввода. Завершив ввод значения, выберите значение под полем.
      3. Повторите этот шаг нужное количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

      По завершении во всплывающем окне Добавление отправителей или Добавление доменов выберите Добавить отправителей или Добавить домены.

      Вернитесь к первому всплывающему элементу, где перечислены добавленные отправители или домены.

      Чтобы изменить список записей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

      Используйте поле Поиск для поиска записей во всплывающем элементе.

      Чтобы добавить записи, выберите Добавить отправителей или Добавить домены и повторите предыдущие шаги.

      Чтобы удалить записи, выполните одно из следующих действий.

      • Выберите одну или несколько записей, выбрав круглое поле проверка, которое отображается в пустой области рядом со значением отправителя или домена.
      • Выделите все записи одновременно, выбрав круглое поле проверка, которое отображается в пустой области рядом с заголовком столбца.

      Завершив работу с всплывающей кнопкой, нажмите кнопку Готово , чтобы вернуться на страницу списка блокировки разрешить & .

    Завершив работу на странице Список блокировок Разрешить & , нажмите кнопку Далее.

  8. На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

    Завершив работу на странице Рецензирование , выберите Создать.

  9. На странице Создание новой политики защиты от нежелательной почты можно выбрать ссылки, чтобы просмотреть политику, просмотреть политики защиты от нежелательной почты и узнать больше о политиках защиты от нежелательной почты.

    Завершив работу на странице Создание новой политики защиты от нежелательной почты , нажмите кнопку Готово.

    На странице Политики защиты от нежелательной почты отобразится новая политика.

Использование портала Microsoft Defender для просмотра сведений о политике защиты от нежелательной почты

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.

На странице Политики защиты от нежелательной почты в списке политик отображаются следующие свойства:

  • Название
  • Состояние: значения:
    • Всегда включено для политики защиты от нежелательной почты по умолчанию (например, политика защиты от нежелательной почты (по умолчанию)).
    • Включено или выключено для других политик защиты от нежелательной почты.
  • Приоритет. Дополнительные сведения см. в разделе Установка приоритета настраиваемых политик защиты от нежелательной почты .
  • Тип: одно из следующих значений для политик защиты от нежелательной почты:
    • Шаблоны защиты для политик защиты от нежелательной почты, связанных с Standard и строгими предустановленными политиками безопасности.
    • Настраиваемая политика защиты от нежелательной почты
    • Пусто для политики защиты от нежелательной почты по умолчанию (например, политика защиты от нежелательной почты (по умолчанию)).

Чтобы изменить список политик с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Используйте поле Поиск и соответствующее значение для поиска определенных политик.

Выберите политику защиты от нежелательной почты, щелкнув в любом месте строки, кроме поля проверка рядом с именем, чтобы открыть всплывающее окно сведений о политике.

Совет

Чтобы просмотреть сведения о других политиках защиты от нежелательной почты, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего меню.

Использование портала Microsoft Defender для принятия мер в отношении политик защиты от нежелательной почты

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.

На странице Политики защиты от нежелательной почты выберите политику защиты от нежелательной почты в списке, щелкнув в любом месте строки, кроме поля проверка рядом с именем. Некоторые или все следующие действия доступны в открываемом всплывающем меню со сведениями:

  • Измените параметры политики, щелкнув Изменить в каждом разделе (пользовательские политики или политика по умолчанию).
  • Включение или отключение (только пользовательские политики)
  • Повышение приоритета или уменьшение приоритета (только для пользовательских политик)
  • Удаление политики (только пользовательские политики)

Всплывающий элемент сведений о настраиваемой политике защиты от нежелательной почты.

Действия описаны в следующих подразделах.

Изменение политик защиты от нежелательной почты с помощью портала Microsoft Defender

После выбора политики защиты от нежелательной почты по умолчанию или настраиваемой политики, щелкнув в любом месте строки, кроме поля проверка рядом с именем, параметры политики отображаются во всплывающем всплывающем окне сведений. Выберите Изменить в каждом разделе, чтобы изменить параметры в разделе. Дополнительные сведения о параметрах см. в разделе Создание политик защиты от нежелательной почты ранее в этой статье.

Для политики по умолчанию нельзя изменить имя политики, и нет фильтров получателей для настройки (политика применяется ко всем получателям). Но вы можете изменить все остальные параметры в политике.

Для политик защиты от нежелательной почты с именами Standard Предустановленная политика безопасности и Строгая предустановленная политика безопасности, связанные с предустановленными политиками безопасности, вы не можете изменить параметры политики во всплывающем меню сведений. Вместо этого выберите Просмотреть предустановленные политики безопасности во всплывающем окне сведений, чтобы перейти на страницу Предустановленные политики безопасности , https://security.microsoft.com/presetSecurityPolicies чтобы изменить предустановленные политики безопасности.

Совет

Аналитические сведения о массовых отправителях в настоящее время находятся в предварительной версии, доступны не во всех организациях и могут быть изменены.

Если в нижней части раздела Пороговое значение для массовой электронной почты & свойств нежелательной почты в всплывающем меню сведений о политике защиты от нежелательной почты по умолчанию или настраиваемой политике защиты от нежелательной почты, в разделе Пороговое значение массовой почты содержится информация о количестве сообщений, обнаруженных как массовые на всех уровнях BCL всеми политиками защиты от нежелательной почты за последние 60 дней.

  • По умолчанию аналитика массовых отправителей показывает количество сообщений, которые были доставлены и определены как массовые с текущим пороговым значением BCL политики защиты от нежелательной почты.

    Сведения о массовых отправителях в разделе Пороговое значение массовой электронной почты политики защиты от нежелательной почты, в котором отображаются сообщения, идентифицированные как массовые на текущем уровне BCL.

  • Если уменьшить пороговое значение массовой электронной почты, аналитика отправителей изменится, чтобы показать, сколько сообщений будет доставлено меньше и сколько сообщений будет определено как массовые. Аналитика также показывает, сколько идентификаторов массовых сообщений, скорее всего, будут ложноположительными (хорошее сообщение электронной почты идентифицируется как плохое).

    Сведения о массовых отправителях в разделе Пороговое значение массовой электронной почты политики защиты от нежелательной почты, в котором отображаются сообщения, идентифицированные как массовые после снижения текущего уровня BCL.

  • Если увеличить пороговое значение массовой электронной почты, аналитика отправителей изменится, чтобы показать, сколько сообщений будет доставлено и сколько меньше сообщений будет идентифицировано как массовые. Аналитика также показывает, сколько идентификаторов массовых сообщений, скорее всего, будут ложноотрицательными (доставлено неправильное сообщение электронной почты).

    Сведения о массовых отправителях в разделе Пороговое значение массовой электронной почты политики защиты от нежелательной почты, в котором отображаются сообщения, идентифицированные как массовые после увеличения текущего уровня BCL.

Если выбрать Просмотреть аналитические сведения о массовых отправителях, вы перейдете на страницу аналитики main массовых отправителей. Дополнительные сведения см. в статье Аналитика массовых отправителей в Exchange Online Protection.

Использование портала Microsoft Defender для включения или отключения политик защиты от нежелательной почты

Вы не можете отключить политику защиты от нежелательной почты по умолчанию (она всегда включена).

Вы не можете включить или отключить политики защиты от нежелательной почты, связанные с Standard и строгими предустановленными политиками безопасности. Вы включаете или отключаете Standard или строгие предустановленные политики безопасности на странице Предустановленные политики безопасности по адресу https://security.microsoft.com/presetSecurityPolicies.

После выбора включенной настраиваемой политики защиты от нежелательной почты (значение Состояниевключено), щелкнув в любом месте строки, кроме поля проверка рядом с именем, выберите Отключить в верхней части всплывающего окна сведений о политике.

Выбрав отключенную настраиваемую политику защиты от нежелательной почты (значение СостояниеВыкл.), щелкнув в любом месте строки, кроме поля проверка рядом с именем, выберите Включить в верхней части всплывающего окна сведений о политике.

Завершив работу во всплывающем окне сведений о политике, нажмите кнопку Закрыть.

На странице Политики защиты от нежелательной почты для параметра Состояние политики теперь задано значение Включено или Выключено.

Используйте портал Microsoft Defender, чтобы задать приоритет настраиваемых политик защиты от нежелательной почты.

Политики защиты от нежелательной почты обрабатываются в том порядке, в котором они отображаются на странице Политики защиты от нежелательной почты :

  • Политика защиты от нежелательной почты с именем Strict Preset Security Policy , связанная с политикой безопасности strict preset, всегда применяется первым (если включена политика безопасности strict preset).
  • Политика защиты от нежелательной почты с именем Standard Предустановленная политика безопасности, связанная с предустановленной политикой безопасности Standard, всегда применяется далее (если включена предустановленная политика безопасности Standard).
  • Пользовательские политики защиты от нежелательной почты применяются далее в порядке приоритета (если они включены):
    • Более низкое значение приоритета указывает на более высокий приоритет (0 — самый высокий).
    • По умолчанию создается новая политика защиты от нежелательной почты с приоритетом, который ниже существующей пользовательской политики защиты от нежелательной почты (первый — 0, следующий — 1 и т. д.).
    • Ни одна из двух политик защиты от нежелательной почты не может иметь одинаковое значение приоритета.
  • Политика защиты от нежелательной почты по умолчанию всегда имеет значение приоритета Самый низкий, и вы не можете изменить его.

Защита от нежелательной почты останавливается для получателя после применения первой политики (политика с наивысшим приоритетом для этого получателя). Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.

Выбрав настраиваемую политику защиты от нежелательной почты, щелкнув в любом месте строки, кроме поля проверка рядом с именем, вы можете увеличить или уменьшить приоритет политики во всплывающем окне сведений, который откроется:

  • Настраиваемая политика со значением приоритета 0 на странице Политики защиты от нежелательной почты имеет действие Уменьшить приоритет в верхней части всплывающего окна сведений.
  • Настраиваемая политика с наименьшим приоритетом (наивысшее значение приоритета, например 3) содержит действие Увеличить приоритет в верхней части всплывающего окна сведений.
  • Если у вас есть три или более политик, политики между приоритетом 0 и наименьшим приоритетом имеют как действия Увеличение приоритета, так и Уменьшение приоритета в верхней части всплывающего окна сведений.

Завершив работу во всплывающем окне сведений о политике, нажмите кнопку Закрыть.

На странице Политики защиты от нежелательной почты порядок политики в списке соответствует обновленному значению Priority .

Удаление настраиваемых политик защиты от нежелательной почты с помощью портала Microsoft Defender

Вы не можете удалить политику защиты от нежелательной почты по умолчанию или политики защиты от нежелательной почты с именем Standard Предустановленная политика безопасности и Строгая предустановленная политика безопасности, связанные с предустановленными политиками безопасности.

Выбрав настраиваемую политику защиты от нежелательной почты, щелкнув в любом месте строки, кроме поля проверка рядом с именем, выберите Удалить политику в верхней части всплывающего окна, а затем выберите Да в открывшемся диалоговом окне предупреждения.

На странице Политики защиты от нежелательной почты удаленная политика больше не отображается.

Использование Exchange Online PowerShell или автономного EOP PowerShell для настройки политик защиты от спама

В PowerShell основные элементы политики защиты от нежелательной почты:

  • Политика фильтрации нежелательной почты: указывает защиту от нежелательной почты для включения или отключения, действия, применяемые для этих мер защиты, и другие параметры.
  • Правило фильтрации нежелательной почты: указывает приоритет и фильтры получателей (к которым применяется политика) для связанной политики фильтрации нежелательной почты.

Разница между этими двумя элементами не очевидна при управлении политиками защиты от нежелательной почты на портале Microsoft Defender:

  • При создании политики на портале Defender вы фактически создаете правило фильтрации нежелательной почты и связанную политику фильтрации нежелательной почты одновременно, используя одно и то же имя для обоих.
  • При изменении политики на портале Defender параметры, связанные с именем, приоритетом, включенными или отключенными фильтрами и фильтрами получателей, изменяют правило фильтрации нежелательной почты. Все остальные параметры меняют соответствующую политику фильтрации нежелательной почты.
  • При удалении политики на портале Defender правило фильтрации нежелательной почты и связанная политика фильтрации нежелательной почты удаляются одновременно.

В Exchange Online PowerShell разница между политиками фильтрации нежелательной почты и правилами фильтрации нежелательной почты очевидна. Вы управляете политиками фильтрации нежелательной почты с помощью командлетов *-HostedContentFilterPolicy , а правила фильтрации нежелательной почты — с помощью командлетов *-HostedContentFilterRule .

  • В PowerShell сначала создается политика фильтрации нежелательной почты, а затем — правило фильтрации нежелательной почты, которое определяет связанную политику, к которой применяется правило.
  • В PowerShell параметры политики и правила фильтрации нежелательной почты настраиваются отдельно.
  • При удалении политики фильтрации нежелательной почты с помощью PowerShell соответствующее правило не удаляется автоматически, и наоборот.

Важным параметром, доступным только в PowerShell, является параметр MarkAsSpamBulkMail , который On по умолчанию. Последствия этого параметра описаны в разделе Создание политик защиты от нежелательной почты ранее в этой статье.

Создание политик защиты от нежелательной почты с помощью PowerShell

Процесс создания политики защиты от нежелательной почты в PowerShell состоит из двух этапов.

  1. Создание политики фильтрации нежелательной почты.
  2. Создание правила фильтрации нежелательной почты, указывающего политику, к которой оно применяется.

Примечание.

  • Вы можете создать правило фильтрации нежелательной почты и назначить ему имеющуюся, несвязанную политику фильтрации нежелательной почты. Правило фильтрации нежелательной почты невозможно связать с несколькими политиками.
  • Вы можете настроить следующие параметры для новых политик фильтрации нежелательной почты в PowerShell, которые недоступны на портале Microsoft Defender до создания политики:
    • Создайте новую политику как отключенную (включено$false в командлете New-HostedContentFilterRule ).
    • Задайте приоритет политики во время создания (номер>приоритета<) в командлете New-HostedContentFilterRule.
  • Новая политика фильтрации нежелательной почты, созданная в PowerShell, не отображается на портале Microsoft Defender, пока вы не назначите ее правилу фильтрации нежелательной почты.

Шаг 1. Создание политики фильтрации нежелательной почты с помощью PowerShell

Чтобы создать политику фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

New-HostedContentFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>

В этом примере показано создание политики фильтрации нежелательной почты с именем Contoso Executives (Руководители Contoso) и следующими параметрами:

  • Помещать на карантин сообщения, когда фильтр спама принимает решение, что это спам или нежелательная почта с высокой вероятностью, и использовать политику карантина по умолчанию для сообщений на карантине (не используются параметры SpamQuarantineTag или HighConfidenceSpamQuarantineTag).
  • BCL со значением 7, 8 или 9 активирует в отношении массовой рассылки действие, указанное в решении фильтра спама.
New-HostedContentFilterPolicy -Name "Contoso Executives" -HighConfidenceSpamAction Quarantine -SpamAction Quarantine -BulkThreshold 6

Дополнительные сведения о синтаксисе и параметрах см. в статье New-HostedContentFilterPolicy.

Совет

Подробные инструкции по указанию политики карантина, используемой в политике фильтрации спама, см. в разделе Использование PowerShell для указания политики карантина в политиках защиты от спама.

Шаг 2. Создание правила фильтрации нежелательной почты с помощью PowerShell

Чтобы создать правило фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

New-HostedContentFilterRule -Name "<RuleName>" -HostedContentFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

В этом примере создается правило фильтрации нежелательной почты с именем Contoso Executives (Руководители Contoso) и следующими параметрами:

  • С этим правилом связана политика фильтрации нежелательной почты под названием Contoso Executives (Руководители Contoso).
  • Правило применяется к участникам группы Contoso Executives (Руководители Contoso).
New-HostedContentFilterRule -Name "Contoso Executives" -HostedContentFilterPolicy "Contoso Executives" -SentToMemberOf "Contoso Executives Group"

Дополнительные сведения о синтаксисе и параметрах см. в статье New-HostedContentFilterRule.

Просмотр политик фильтрации нежелательной почты с помощью PowerShell

Чтобы вернуть сводный список всех политик фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и выполните следующую команду:

Get-HostedContentFilterPolicy

Чтобы вернуть подробные сведения о конкретной политике фильтрации нежелательной почты, используйте следующий синтаксис:

Get-HostedContentFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

В этом примере возвращаются значения всех свойств политики фильтрации нежелательной почты с именем Executives (Руководители).

Get-HostedContentFilterPolicy -Identity "Executives" | Format-List

Дополнительные сведения о синтаксисе и параметрах см. в статье Get-HostedContentFilterPolicy.

Просмотр правил фильтрации нежелательной почты с помощью PowerShell

Чтобы просмотреть существующие правила фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

Get-HostedContentFilterRule [-Identity "<RuleIdentity>] [-State <Enabled | Disabled]

Чтобы получить сводный список всех правил фильтрации нежелательной почты, выполните следующую команду:

Get-HostedContentFilterRule

Чтобы отфильтровать список по включенным или отключенным правилам, выполните следующие команды:

Get-HostedContentFilterRule -State Disabled
Get-HostedContentFilterRule -State Enabled

Чтобы получить подробные сведения об определенном правиле фильтрации нежелательной почты, используйте следующий синтаксис:

Get-HostedContentFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

В этом примере возвращаются значения всех свойств правила фильтрации нежелательной почты с именем Contoso Executives (Руководители Contoso).

Get-HostedContentFilterRule -Identity "Contoso Executives" | Format-List

Дополнительные сведения о синтаксисе и параметрах см. в статье Get-HostedContentFilterRule.

Изменение политик фильтрации нежелательной почты с помощью PowerShell

За исключением следующих элементов при изменении политики фильтрации нежелательной почты в PowerShell доступны такие же параметры, как и при создании политики, описанной в разделе Шаг 1. Создание политики фильтрации нежелательной почты с помощью PowerShell выше в этой статье.

  • Параметр MakeDefault, преобразующий указанную политику в политику по умолчанию (применяется ко всем пользователям, всегда имеет минимальный приоритет, и ее нельзя удалить), доступен только при изменении политики фильтрации нежелательной почты в PowerShell.
  • Вы не можете переименовать политику фильтрации нежелательной почты (командлет Set-HostedContentFilterPolicy не содержит параметра Name). При переименовании политики защиты от нежелательной почты на портале Microsoft Defender вы только переименоваете правило фильтрации нежелательной почты.

Чтобы изменить политику фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

Set-HostedContentFilterPolicy -Identity "<PolicyName>" <Settings>

Дополнительные сведения о синтаксисе и параметрах см. в статье Set-HostedContentFilterPolicy.

Совет

Подробные инструкции по указанию политики карантина, используемой в политике фильтрации спама, см. в разделе Использование PowerShell для указания политики карантина в политиках защиты от спама.

Изменение правил фильтрации нежелательной почты с помощью PowerShell

При изменении правила фильтрации нежелательной почты в PowerShell недоступен только параметр Enabled, позволяющий создать отключенное правило. Сведения о включении и отключении существующих правил фильтрации нежелательной почты, см. в следующем разделе.

В ином случае при изменении правила фильтрации нежелательной почты в PowerShell никакие дополнительные параметры не используются. Такие же параметры доступны при создании правила, как описано в разделе Шаг 2. Создание правила фильтрации нежелательной почты с помощью PowerShell выше в этой статье.

Чтобы изменить правило фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

Set-HostedContentFilterRule -Identity "<RuleName>" <Settings>

В этом примере проводится переименование существующего правила фильтрации нежелательной почты с именем {Fabrikam Spam Filter}.

Set-HostedContentFilterRule -Identity "{Fabrikam Spam Filter}" -Name "Fabrikam Spam Filter"

Дополнительные сведения о синтаксисе и параметрах см. в статье Set-HostedContentFilterRule.

Включение и отключение правил фильтрации нежелательной почты с помощью PowerShell

При включении и отключении правила фильтрации нежелательной почты в PowerShell включается и отключается вся политика защиты от нежелательной почты (правило фильтрации нежелательной почты и назначенная политика фильтрации нежелательной почты). Вы не можете включить или отключить политику защиты от нежелательной почты, используемую по умолчанию (она всегда применяется для всех получателей).

Чтобы включить или отключить правило фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

<Enable-HostedContentFilterRule | Disable-HostedContentFilterRule> -Identity "<RuleName>"

В этом примере отключается правило фильтрации нежелательной почты с именем Marketing Department (Отдел маркетинга).

Disable-HostedContentFilterRule -Identity "Marketing Department"

В этом примере включается то же правило.

Enable-HostedContentFilterRule -Identity "Marketing Department"

Дополнительные сведения о синтаксисе и параметрах см. в статьях Enable-HostedContentFilterRule и Disable-HostedContentFilterRule.

Установка приоритета для правил фильтрации нежелательной почты с помощью PowerShell

Максимальный приоритет, который можно задать для правила, — 0. Минимальное значение зависит от количества правил. Например, если у вас есть пять правил, вы можете использовать значения 0–4. Изменение приоритета существующего правила оказывает каскадное влияние на другие правила. Например, если вы измените приоритет правила на 2, когда у вас есть пять настраиваемых правил (с приоритетами от 0 до 4), то для существующего правила с приоритетом 2 будет задан приоритет 3, а для правила с приоритетом 3 будет задан приоритет 4.

Чтобы задать приоритет правила фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

Set-HostedContentFilterRule -Identity "<RuleName>" -Priority <Number>

В этом примере для правила Marketing Department задается приоритет 2. Все правила с приоритетом не больше 2 понижаются на один ранг (значения приоритета увеличиваются на 1).

Set-HostedContentFilterRule -Identity "Marketing Department" -Priority 2

Примечание.

  • Чтобы задать приоритет нового правила при его создании, используйте вместо этого параметр Priority командлета New-HostedContentFilterRule.

  • Политика фильтрации нежелательной почты, используемая по умолчанию, не имеет соответствующего правила фильтрации нежелательной почты и всегда имеет неизменяемое значение приоритета Минимальный.

Удаление политик фильтрации нежелательной почты с помощью PowerShell

При удалении политики фильтрации нежелательной почты с помощью PowerShell соответствующее правило не удаляется.

Чтобы удалить политику фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

Remove-HostedContentFilterPolicy -Identity "<PolicyName>"

В этом примере удаляется политика фильтрации нежелательной почты с именем Marketing Department (Отдел маркетинга).

Remove-HostedContentFilterPolicy -Identity "Marketing Department"

Дополнительные сведения о синтаксисе и параметрах см. в статье Remove-HostedContentFilterPolicy.

Настройка политик фильтрации нежелательной почты с помощью PowerShell

При удалении правила фильтрации нежелательной почты с помощью PowerShell соответствующая политика не удаляется.

Чтобы удалить правило фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

Remove-HostedContentFilterRule -Identity "<PolicyName>"

В этом примере удаляется правило фильтрации нежелательной почты с именем Marketing Department (Отдел маркетинга).

Remove-HostedContentFilterRule -Identity "Marketing Department"

Дополнительные сведения о синтаксисе и параметрах см. в статье Remove-HostedContentFilterRule.

Как проверить, что эти процедуры выполнены?

Отправка сообщения GTUBE для проверки параметров политики защиты от нежелательной почты

Примечание.

Эти действия будут выполнены только в том случае, если в организации электронной почты, из которой вы отправляете сообщение GTUBE, исходящие сообщения не сканируются на спам. Если это так, вы не сможете отправить тестовое сообщение.

Общий тест на спам (GTUBE) — это текстовая строка, включаемая в тестовое сообщение для проверки параметров защиты от нежелательной почты организации. Сообщение GTUBE похоже на текстовый файл Европейского института исследования антивирусных программ (EICAR) для тестирования параметров вредоносных программ.

Добавьте в сообщение электронной почты следующий текст GTUBE в виде одной строки, без пробелов и разрывов строки:

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X