Вопросы и ответы о защите от нежелательной почты

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Область применения

В этой статье содержатся часто задаваемые вопросы и ответы о защите от нежелательной почты для организаций Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection организаций без Exchange Online почтовых ящиков.

Вопросы и ответы, связанные в карантине, см. в статье Quarantine FAQ.

Вопросы и ответы о защите от вредоносных программ см. в разделе Часто задаваемые вопросы о защите от вредоносных программ.

Вопросы и ответы о защите от спуфингов см. в статье Защита от спуфингом: вопросы и ответы.

Что происходит с сообщением, которое обнаруживается как спам, по умолчанию?

  • Входящие сообщения: Большая часть спама обнаруживается с помощью фильтрации подключений на границе службы, основанной на IP-адресе исходного почтового сервера. Политики защиты от нежелательной почты (также известные как политики фильтрации спама или политики фильтрации содержимого) проверяют и классифицируют сообщения как массовые, спам, спам с высоким уровнем достоверности, фишинг или фишинг с высокой достоверностью.

    Политики защиты от нежелательной почты используются в стандартных и строгих предустановленных политиках безопасности. Вы можете создать настраиваемые политики защиты от нежелательной почты, которые применяются к определенным группам пользователей. Существует также политика защиты от нежелательной почты по умолчанию, которая применяется ко всем получателям, которые не указаны в стандартных и строгих предустановленных политиках безопасности или в пользовательских политиках.

    По умолчанию сообщения, которые идентифицируются как спам, перемещаются в папку "Нежелательная Email" с помощью стандартной предустановленной политики безопасности, настраиваемых политик защиты от нежелательной почты (настраивается) и политики защиты от нежелательной почты по умолчанию (настраиваемой). В предустановленной политике безопасности строгая политика нежелательной почты помещаются в карантин.

    Дополнительные сведения см. в разделах Настройка политик защиты от нежелательной почты и Рекомендуемые параметры политики защиты от нежелательной почты.

    Важно!

    В гибридных развертываниях, где EOP защищает локальные почтовые ящики Exchange, необходимо настроить два правила потока обработки почты Exchange (также известные как правила транспорта) в локальной организации Exchange для обнаружения заголовков фильтрации нежелательной почты EOP, добавляемых в сообщения. Дополнительные сведения см. в статье Настройка EOP для доставки спама в папку нежелательной почты в гибридных средах.

  • Исходящие сообщения: Сообщение либо направляется через пул доставки с высоким риском , либо возвращается отправителю в отчете о недоставке (также известном как сообщение о недоставке или отказе). Дополнительные сведения о защите от исходящего спама см. в разделе Элементы управления исходящим спамом.

Что такое вариант нежелательной почты нулевого дня и как она обрабатывается службой?

Вариант спама нулевого дня — это первое поколение, ранее неизвестный вариант спама, который никогда не был захвачен или проанализирован, поэтому наши фильтры защиты от спама пока не имеют никакой информации для его обнаружения. После сбора и анализа пробы спама нулевого дня нашими аналитиками спама, если она соответствует критериям классификации спама, наши фильтры защиты от спама обновляются, чтобы обнаружить его, и он больше не считается "нулевым днем".

Примечание.

Если вы получаете сообщение, которое может быть вариантом нежелательной почты нулевого дня, чтобы помочь нам улучшить службу, отправьте сообщение в Корпорацию Майкрософт с помощью одного из методов, описанных в разделе Отправка сообщений и файлов в Майкрософт.

Необходимо ли настраивать службу, чтобы включить защиту от нежелательной почты?

Нет. Политика защиты от нежелательной почты по умолчанию защищает всех текущих и будущих получателей в организации Microsoft 365 после регистрации в службе и добавления домена. Единственным исключением является ранее описанное требование для автономных клиентов EOP в гибридных средах.

Администратор может использовать следующие методы для дальнейшего улучшения защиты от нежелательной почты:

  • Добавьте пользователей в стандартные и строгие предустановленные политики безопасности.
  • Измените параметры фильтрации нежелательной почты по умолчанию в политике защиты от нежелательной почты по умолчанию.
  • Создайте политики защиты от нежелательной почты, которые применяются к указанным пользователям, группам или доменам в вашей организации.

Дополнительные сведения см. в следующих статьях:

Если изменить политику защиты от нежелательной почты, сколько времени потребуется для того, чтобы изменения вступили в силу?

Сохранение изменений может занять до 1 часа, чтобы эти изменения вступили в силу.

Включается ли функция массовой фильтрации почты автоматически?

Обеспечивает ли служба фильтрацию URL-адресов?

Да, служба имеет фильтр URL-адресов, который проверяет URL-адреса в сообщениях. При обнаружении URL-адресов, связанных с известной нежелательной почтой или вредоносным содержимым, сообщение помечается как спам.

Клиенты с Microsoft Defender XDR для Office 365 лицензий также получают защиту от безопасных ссылок. Дополнительные сведения см. в разделе Безопасные ссылки в Microsoft Defender для Office 365.

Как клиенты Microsoft 365 могут отправлять в корпорацию Майкрософт ложноположительные (плохие) и ложноотрицающие (хорошие) сообщения?

Можно ли получать отчеты о нежелательной почте?

Кто-то послал мне сообщение, и я не могу его найти. Я думаю, что, возможно, оно было распознано как нежелательная почта. Есть ли какое-нибудь средство, которое поможет найти это сообщение?

Да, средство трассировки сообщений позволяет отслеживать сообщения электронной почты по мере их прохождения через службу, чтобы узнать, что с ними произошло. Дополнительные сведения о том, как использовать средство трассировки сообщений, чтобы узнать, почему сообщение было помечено как спам, см. в статье Было ли сообщение помечено как спам?

Ограничивает ли служба (ограничение скорости) мою почту, если пользователи отправляют исходящий спам?

Если более половины почты, отправленной пользователем через службу в течение определенного периода времени (например, в час), определяется EOP как спам, пользователь блокирует отправку сообщений. В большинстве случаев, если исходящее сообщение определяется как спам, оно направляется через пул доставки с высоким риском, что снижает вероятность добавления обычного пула исходящих IP-адресов в список блокировок.

Уведомления отправляются автоматически, если пользователи блокируются из-за отправки исходящего спама или превышения ограничений на отправку. Дополнительные сведения см. в разделе Защита от исходящего спама в EOP.

Можно ли использовать стороннего поставщика по защите от нежелательной почты и вредоносных программ с Microsoft 365?

Да. Хотя рекомендуется указать запись MX непосредственно корпорации Майкрософт, мы понимаем, что есть законные бизнес-причины для перенаправления электронной почты в другое место, чем майкрософт.

  • Входящие. Измените записи MX, чтобы они указывали на стороннего поставщика, а затем перенаправьте сообщения в EOP для дополнительной обработки. Дополнительные сведения см. в статье Расширенная фильтрация соединителей в Exchange Online.
  • Исходящий трафик. Настройте маршрутизацию интеллектуальных узлов из Microsoft 365 к стороннему поставщику назначения.

Есть ли у корпорации Майкрософт какая-либо документация о том, как защитить себя от фишинговых сообщений?

При анализе нежелательных и вредоносных сообщений определяется их отправитель или они передаются в правоохранительные органы?

Служба фокусируется на обнаружении и удалении спама и вредоносных программ, хотя иногда мы можем расследовать особенно опасные или разрушительные кампании и преследовать виновных. Это может включать в себя работу с нашими юридическими и цифровыми подразделениями по борьбе с преступностью, чтобы снять ботнет, заблокировать использование службы спама (если они используют ее для отправки исходящей электронной почты) и передать информацию правоохранительным органам для уголовного преследования.

Какие рекомендации для исходящей почты помогают обеспечить доставку почты?

Рекомендации по отправке исходящих сообщений электронной почты в статье Внешние отправители. Устранение неполадок электронной почты, отправляемой в Microsoft 365 , и следующие рекомендации.

  • Исходный домен электронной почты должен разрешаться в DNS. Например, если отправитель user@fabrikam, домен fabrikam разрешается на IP-адрес 192.168.43.10.

    Если у отправляющего домена нет A-записи и записи MX в DNS, служба направляет сообщение через пул доставки с более высоким риском независимо от содержимого сообщения. Дополнительные сведения о пуле доставки с высоким риском см. в разделе Пул доставки с высоким риском для исходящих сообщений.

  • Исходный почтовый сервер должен иметь обратную запись DNS (PTR): например, если исходный IP-адрес электронной почты — 192.168.43.10, обратная запись DNS будет иметь значение 43-10.any.icann.org.'

  • Команды HELO/EHLO и MAIL FROM должны быть согласованными, присутствовать и использовать доменное имя, а не IP-адрес. Команда HELO/EHLO должна быть настроена так, чтобы она соответствовала обратному DNS отправляющего IP-адреса. Этот параметр позволяет гарантировать, что домен остается неизменным в разных частях заголовков сообщений.

  • Убедитесь, что в DNS настроены правильные записи SPF: записи SPF являются механизмом проверки того, что почта, отправленная из домена, действительно поступает из этого домена и не подделываются. Дополнительные сведения о записях SPF см. по следующим ссылкам.

  • Подписывание электронной почты с помощью DKIM, подписывание с помощью неограниченной канонизации. Если отправитель хочет подписать свои сообщения с помощью почты, идентифицированной ключами домена (DKIM), и он хочет отправить исходящую почту через службу, он должен подписать с помощью алгоритма канонизации заголовка. Подписывание с помощью строгой канонизации заголовков может привести к аннулированию подписи при прохождении через службу.

  • Владельцы домена должны иметь точную информацию в базе данных WHOIS. Эта конфигурация определяет владельцев домена и способ связи с ними путем ввода стабильной родительской компании, точки связи и серверов имен.

  • Формат исходящих сообщений. Когда сообщения создают отчеты о недоставке (также известные NDR или сообщения о отказе), отправители должны соответствовать формату отказа, указанному в RFC 3464.

  • Удаление неисправных адресов электронной почты для несуществующих пользователей. Если вы получаете недоставку о том, что адрес электронной почты больше не используется, удалите несуществующий псевдоним электронной почты из списка. Со временем адреса электронной почты изменяются, а иногда люди отказываются от них.

  • Используйте программу Outlook.com служб интеллектуальной сетевой передачи данных (SNDS). Дополнительные сведения см. в разделе Интеллектуальная сетевая служба данных.

Разделы справки отключить фильтрацию спама?

Если вы используете стороннюю службу защиты или устройство для сканирования электронной почты перед ее доставкой в Microsoft 365, вы можете использовать правило потока обработки почты (также известное как правило транспорта), чтобы обойти фильтрацию нежелательной почты для входящих сообщений. Инструкции см . в статье Использование правил потока обработки почты для установки уровня достоверности нежелательной почты (SCL) в сообщениях. Проверку на наличие вредоносных программ и фишинговых сообщений с высокой степенью достоверности нельзя пропустить.

Если вы используете стороннюю службу защиты или устройство для сканирования электронной почты перед доставкой в Microsoft 365, следует также включить расширенную фильтрацию для соединителей (также известный как пропустить список), чтобы функции обнаружения, отчетности и исследования в Microsoft 365 могли правильно определять источники сообщений. Дополнительные сведения см. в разделе Расширенная фильтрация для соединителей.

Если вам нужно обойти фильтрацию нежелательной почты для почтовых ящиков SecOps или имитаций фишинга, не используйте правила потока почты. Дополнительные сведения см. в статье Настройка предоставления сторонней эмуляции фишинговых атак пользователям и доставки нефильтруемых сообщений в почтовые ящики SecOps.