Поделиться через


Порядок и приоритет защиты электронной почты

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection (EOP) без Exchange Online почтовых ящиков входящие сообщения электронной почты могут быть помечены несколькими формами защиты. Например, защита от спуфингов, доступная всем клиентам Microsoft 365, и защита от олицетворения, доступная только для Microsoft Defender для Office 365 клиентов. Сообщения также проходят несколько проверок на наличие вредоносных программ, спама, фишинга и т. д. Учитывая все это действие, может возникнуть некоторая путаница в отношении того, какая политика применяется.

Как правило, политика, применяемая к сообщению, определяется в заголовке X-Forefront-Antispam-Report в свойстве CAT (Category). Дополнительные сведения см. в статье Заголовки сообщений о защите от нежелательной почты.

Существует два основных фактора, определяющих, какая политика применяется к сообщению:

  • Порядок обработки для типа защиты электронной почты. Этот порядок не настраивается и описан в следующей таблице:

    Порядок защита Email Категория Где управлять
    1 Вредоносная программа CAT:MALW Настройка политик защиты от вредоносных программ в EOP
    2 Фишинг с высокой вероятностью CAT:HPHSH Настройка политик защиты от спама в EOP
    3 Фишинг CAT:PHSH Настройка политик защиты от спама в EOP
    4 Нежелательная почта с высокой вероятностью CAT:HSPM Настройка политик защиты от спама в EOP
    5 Спуфинг CAT:SPOOF Аналитика спуфинга в EOP
    6* Олицетворение пользователя (защищенные пользователи) CAT:UIMP Настройка политик защиты от фишинга в Microsoft Defender для Office 365
    7* Олицетворение домена (защищенные домены) CAT:DIMP Настройка политик защиты от фишинга в Microsoft Defender для Office 365
    8* Аналитика почтовых ящиков (граф контактов) CAT:GIMP Настройка политик защиты от фишинга в Microsoft Defender для Office 365
    9 Спам CAT:SPM Настройка политик защиты от спама в EOP
    10 Массовая рассылка CAT:BULK Настройка политик защиты от спама в EOP

    *Эти функции доступны только в политиках защиты от фишинга в Microsoft Defender для Office 365.

  • Порядок приоритетов политик. Порядок приоритета политики показан в следующем списке:

    1. Политики защиты от нежелательной почты, защиты от вредоносных программ, защиты от фишинга, безопасных ссылок* и безопасных* вложений в предустановленной политике безопасности Strict (если она включена).

    2. Политики защиты от нежелательной почты, защиты от вредоносных программ, защиты от фишинга, безопасных ссылок* и безопасных* вложений в стандартной предустановленной политике безопасности (если она включена).

    3. Пользовательские политики защиты от нежелательной почты, вредоносных программ, фишинга, безопасных ссылок* и безопасных* вложений (при создании).

      Пользовательским политикам присваивается значение приоритета по умолчанию при создании политики (более новое значение равно более высокому), но вы можете изменить значение приоритета в любое время. Это значение приоритета влияет на порядок применения пользовательских политик этого типа (защита от нежелательной почты, защита от вредоносных программ, защита от фишинга и т. д.), но не влияет на то, где применяются пользовательские политики в общем порядке.

    4. Защита от фишинга, безопасные ссылки и безопасные вложения в Defender для Office 365 политики оценки (если они включены).

    5. Равное значение:

      • Политики безопасных ссылок и безопасных вложений в предустановленной политике* безопасности встроенной защиты.
      • Политики по умолчанию для защиты от вредоносных программ, нежелательной почты и фишинга.

      Вы можете настроить исключения для предустановленной политики безопасности встроенной защиты, но нельзя настроить исключения для политик по умолчанию (они применяются ко всем получателям, и вы не можете отключить их).

    *только Defender для Office 365.

    Приоритет имеет значение, если один и тот же получатель намеренно или непреднамеренно включен в несколько политик, так как к нему применяется только первая политика этого типа (защита от нежелательной почты, защита от вредоносных программ, защита от фишинга и т. д.), независимо от количества других политик, в которые включен получатель. Для получателя никогда не происходит слияние или объединение параметров в нескольких политиках. На получателя не влияют параметры остальных политик этого типа.

Например, группа с именем Contoso Executives включена в следующие политики:

  • Строгая предустановленная политика безопасности
  • Настраиваемая политика защиты от нежелательной почты со значением приоритета 0 (наивысший приоритет)
  • Настраиваемая политика защиты от нежелательной почты со значением приоритета 1.

Какие параметры политики защиты от нежелательной почты применяются к членам руководителей Contoso? Строгая предустановленная политика безопасности. Параметры в пользовательских политиках защиты от нежелательной почты игнорируются для членов contoso Executives, так как сначала всегда применяется предустановленная политика безопасности Strict.

В качестве другого примера рассмотрим следующие настраиваемые политики защиты от фишинга в Microsoft Defender для Office 365, которые применяются к тем же получателям, и сообщение, содержащее как олицетворение пользователя, так и спуфингом:

Имя политики Priority Олицетворение пользователя Защита от спуфингов
Политика A 1 Вкл. Выкл.
Политика B 2 Выкл. Вкл.
  1. Сообщение определяется как спуфингой, так как спуфингой (5) оценивается перед олицетворением пользователя (6) в порядке обработки для типа защиты электронной почты.
  2. Политика А применяется в первую очередь, так как она имеет более высокий приоритет, чем политика Б.
  3. В зависимости от параметров в политике A никакие действия с сообщением не принимаются, так как защита от спуфингов отключена.
  4. Обработка политик защиты от фишинга прекращается для всех включенных получателей, поэтому политика Б никогда не применяется к получателям, которые также находятся в политике А.

Чтобы убедиться, что получатели получают нужные параметры защиты, используйте следующие рекомендации по членству в политиках:

  • Назначьте меньшее число пользователей политикам с более высоким приоритетом, а большее число пользователей — политикам с более низким приоритетом. Помните, что политики по умолчанию всегда применяются последним.
  • Настройте политики с более высоким приоритетом для более строгих или более специализированных параметров, чем политики с более низким приоритетом. Вы имеете полный контроль над параметрами в пользовательских политиках и политиках по умолчанию, но не контролируете большинство параметров в предустановленных политиках безопасности.
  • Рекомендуется использовать меньше настраиваемых политик (используйте пользовательские политики только для пользователей, которым требуются более специализированные параметры, чем стандартные или строгие предустановленные политики безопасности или политики по умолчанию).

Приложение

Важно понимать, как пользователь разрешает и блокирует, клиент разрешает и блоки, а также как решения стека фильтрации в EOP и Defender для Office 365 дополняют или противоречат друг другу.

  • Сведения о фильтрации стеков и их объединении см. в статье Пошаговая защита от угроз в Microsoft Defender для Office 365.
  • После того как стек фильтрации определит вердикт, только после этого оцениваются политики клиента и их настроенные действия.
  • Если один и тот же адрес электронной почты или домен существует в списке надежных отправителей пользователя и заблокированных отправителях, приоритет имеет список надежных отправителей.
  • Если одна и та же сущность (адрес электронной почты, домен, подделаная инфраструктура отправки, файл или URL-адрес) существует в записи разрешения, а запись блока в списке разрешенных и заблокированных клиентов имеет приоритет.

Пользователь разрешает и блокирует

Записи в коллекции списков безопасности пользователя (список надежных отправителей, список надежных получателей и список заблокированных отправителей в каждом почтовом ящике) могут переопределять некоторые вердикты стека фильтрации, как описано в следующей таблице.

Вердикт стека фильтрации Список надежных отправителей и получателей пользователя Список заблокированных отправителей пользователя
Вредоносная программа Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин
Фишинг с высокой вероятностью Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин
Фишинг Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя Клиент выигрывает: действие определяется применимой политикой защиты от нежелательной почты.
Нежелательная почта с высокой вероятностью Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя Клиент выигрывает: действие определяется применимой политикой защиты от нежелательной почты.
Спам Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя Клиент выигрывает: действие определяется применимой политикой защиты от нежелательной почты.
Массовая рассылка Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
Не спам Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
  • В Exchange Online разрешение домена в списке надежных отправителей может не работать, если сообщение помещено в карантин в соответствии с любым из следующих условий:

Дополнительные сведения о сборе списков безопасности и параметрах защиты от нежелательной почты в почтовых ящиках пользователей см. в статье Настройка параметров нежелательной почты в почтовых ящиках Exchange Online.

Клиент разрешает и блокирует

Клиент позволяет и блоки могут переопределять некоторые решения стека фильтрации, как описано в следующих таблицах:

  • Расширенная политика доставки (пропустить фильтрацию для назначенных почтовых ящиков SecOps и URL-адреса имитации фишинга):

    Вердикт стека фильтрации Расширенная политика доставки разрешает
    Вредоносная программа Клиент выигрывает: Email доставлены в почтовый ящик
    Фишинг с высокой вероятностью Клиент выигрывает: Email доставлены в почтовый ящик
    Фишинг Клиент выигрывает: Email доставлены в почтовый ящик
    Нежелательная почта с высокой вероятностью Клиент выигрывает: Email доставлены в почтовый ящик
    Спам Клиент выигрывает: Email доставлены в почтовый ящик
    Массовая рассылка Клиент выигрывает: Email доставлены в почтовый ящик
    Не спам Клиент выигрывает: Email доставлены в почтовый ящик
  • Правила потока обработки почты exchange (также известные как правила транспорта):

    Вердикт стека фильтрации Правило потока обработки почты разрешает* Блоки правил потока обработки почты
    Вредоносная программа Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин
    Фишинг с высокой вероятностью Фильтрация побед: Email карантине, за исключением сложной маршрутизации Фильтрация побед: Email помещена в карантин
    Фишинг Клиент выигрывает: Email доставлены в почтовый ящик Клиент выигрывает: действие фишинга в применимой политике защиты от нежелательной почты
    Нежелательная почта с высокой вероятностью Клиент выигрывает: Email доставлены в почтовый ящик Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
    Спам Клиент выигрывает: Email доставлены в почтовый ящик Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
    Массовая рассылка Клиент выигрывает: Email доставлены в почтовый ящик Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
    Не спам Клиент выигрывает: Email доставлены в почтовый ящик Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя

    * Организациям, которые используют стороннюю службу безопасности или устройство перед Microsoft 365, следует рассмотреть возможность использования цепочки получения с проверкой подлинности (ARC) ( обратитесь к стороннему поставщику за доступностью) и расширенной фильтрации для соединителей (также известной как пропустить список) вместо правила потока обработки почты SCL=-1. Эти улучшенные методы позволяют сократить проблемы с проверкой подлинности электронной почты и способствовать глубокой защите электронной почты.

  • Список разрешенных IP-адресов и список заблокированных IP-адресов в политиках фильтрации подключений:

    Вердикт стека фильтрации Список разрешенных IP-адресов Список блокировок IP-адресов
    Вредоносная программа Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин
    Фишинг с высокой вероятностью Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин
    Фишинг Клиент выигрывает: Email доставлены в почтовый ящик Клиент побеждает: Email автоматически удален
    Нежелательная почта с высокой вероятностью Клиент выигрывает: Email доставлены в почтовый ящик Клиент побеждает: Email автоматически удален
    Спам Клиент выигрывает: Email доставлены в почтовый ящик Клиент побеждает: Email автоматически удален
    Массовая рассылка Клиент выигрывает: Email доставлены в почтовый ящик Клиент побеждает: Email автоматически удален
    Не спам Клиент выигрывает: Email доставлены в почтовый ящик Клиент побеждает: Email автоматически удален
  • Разрешить и заблокировать параметры в политиках защиты от нежелательной почты:

    Вердикт стека фильтрации Политика защиты от нежелательной почты разрешает Блоки политики защиты от нежелательной почты
    Вредоносная программа Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин
    Фишинг с высокой вероятностью Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин
    Фишинг Клиент выигрывает: Email доставлены в почтовый ящик Клиент выигрывает: действие фишинга в применимой политике защиты от нежелательной почты
    Нежелательная почта с высокой вероятностью Клиент выигрывает: Email доставлены в почтовый ящик Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
    Спам Клиент выигрывает: Email доставлены в почтовый ящик Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
    Массовая рассылка Клиент выигрывает: Email доставлены в почтовый ящик Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
    Не спам Клиент выигрывает: Email доставлены в почтовый ящик Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
  • Разрешить записи в списке разрешенных и заблокированных клиентов. Существует два типа разрешенных записей:

    • На уровне сообщения допускаются записи, действующие для всего сообщения, независимо от сущностей в сообщении. Разрешенные записи для адреса электронной почты и доменов — это разрешенные записи на уровне сообщений.
    • Разрешенные записи на уровне сущностей действуют в соответствии с вердиктом фильтрации сущностей. Разрешенные записи для URL-адресов, поддельных отправителей и файлов — это разрешенные записи на уровне сущности. Чтобы переопределить вредоносные программы и вердикты фишинга с высокой степенью достоверности, необходимо использовать разрешенные записи на уровне сущности, которые можно создать путем отправки только из-за защиты по умолчанию в Microsoft 365.
    Вердикт стека фильтрации адрес или домен Email
    Вредоносная программа Фильтрация побед: Email помещена в карантин
    Фишинг с высокой вероятностью Фильтрация побед: Email помещена в карантин
    Фишинг Клиент выигрывает: Email доставлены в почтовый ящик
    Нежелательная почта с высокой вероятностью Клиент выигрывает: Email доставлены в почтовый ящик
    Спам Клиент выигрывает: Email доставлены в почтовый ящик
    Массовая рассылка Клиент выигрывает: Email доставлены в почтовый ящик
    Не спам Клиент выигрывает: Email доставлены в почтовый ящик
  • Блокируются записи в списке разрешенных и заблокированных клиентов:

    Вердикт стека фильтрации адрес или домен Email Обманывать File URL-адрес
    Вредоносная программа Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин Клиент выигрывает: Email карантин Фильтрация побед: Email помещена в карантин
    Фишинг с высокой вероятностью Клиент выигрывает: Email карантин Фильтрация побед: Email помещена в карантин Клиент выигрывает: Email карантин Клиент выигрывает: Email карантин
    Фишинг Клиент выигрывает: Email карантин Клиент выигрывает: подделывает действие в применимой политике защиты от фишинга Клиент выигрывает: Email карантин Клиент выигрывает: Email карантин
    Нежелательная почта с высокой вероятностью Клиент выигрывает: Email карантин Клиент выигрывает: подделывает действие в применимой политике защиты от фишинга Клиент выигрывает: Email карантин Клиент выигрывает: Email карантин
    Спам Клиент выигрывает: Email карантин Клиент выигрывает: подделывает действие в применимой политике защиты от фишинга Клиент выигрывает: Email карантин Клиент выигрывает: Email карантин
    Массовая рассылка Клиент выигрывает: Email карантин Клиент выигрывает: подделывает действие в применимой политике защиты от фишинга Клиент выигрывает: Email карантин Клиент выигрывает: Email карантин
    Не спам Клиент выигрывает: Email карантин Клиент выигрывает: подделывает действие в применимой политике защиты от фишинга Клиент выигрывает: Email карантин Клиент выигрывает: Email карантин

Конфликт параметров пользователя и клиента

В следующей таблице описано, как устраняются конфликты, если на сообщение электронной почты влияют параметры разрешения и блокировки пользователя и разрешения или блокировки клиента.

Тип разрешения или блокировки клиента Список надежных отправителей и получателей пользователя Список заблокированных отправителей пользователя
Блокируйте записи в списке разрешенных и заблокированных клиентов для следующих элементов:
  • Email адреса и домены
  • Файлы
  • URL-адреса
Клиент выигрывает: Email карантин Клиент выигрывает: Email карантин
Блокировка записей для подделанных отправителей в списке разрешенных и заблокированных клиентов Клиент побеждает: действие аналитики спуфинга в применимой политике защиты от фишинга Клиент побеждает: действие аналитики спуфинга в применимой политике защиты от фишинга
Расширенная политика доставки Пользователь выигрывает: Email доставлены в почтовый ящик Клиент выигрывает: Email доставлены в почтовый ящик
Блокировка параметров в политиках защиты от нежелательной почты Пользователь выигрывает: Email доставлены в почтовый ящик Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
Соблюдение политики DMARC Пользователь выигрывает: Email доставлены в почтовый ящик Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
Блокировки по правилам потока обработки почты Пользователь выигрывает: Email доставлены в почтовый ящик Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
Разрешает:
  • Правила потока обработки почты
  • Список разрешенных IP-адресов (политика фильтра подключения)
  • Список разрешенных отправителей и доменов (политики защиты от нежелательной почты)
  • Список разрешенных и заблокированных клиентов
Пользователь выигрывает: Email доставлены в почтовый ящик Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя