Защита от нежелательной почты в EOP
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Примечание.
Этот раздел предназначен для администраторов. Разделы для конечных пользователей см. в статьях Обзор фильтра нежелательной Email и Сведения о нежелательной почте и фишинге.
Exchange Online Protection (EOP) автоматически защищает входящие сообщения электронной почты от спама в организациях Microsoft 365 с почтовыми ящиками в Exchange Online и в автономных организациях EOP без почтовых ящиков Exchange Online.
Для сокращения нежелательной почты EOP включает защиту от нежелательной почты, которая использует собственные технологии фильтрации спама (также известные как фильтрация содержимого) для выявления и отделения нежелательной почты от допустимой электронной почты. Фильтрация нежелательной почты EOP учится на основе известных спама и фишинговых угроз, а также отзывов пользователей от нашей потребительской платформы, Outlook.com. Постоянные отзывы от администраторов и пользователей помогают гарантировать, что технологии EOP постоянно обучаются и совершенствуются.
В EOP применяется классификация сообщений с использованием следующих вердиктов фильтрации спама:
- Спам: сообщение получило уровень достоверности спама (SCL) 5 или 6.
- Спам с высоким уровнем достоверности: сообщение получило SCL 7, 8 или 9.
- Фишинг
- Фишинг с высоким уровнем достоверности. В рамках защиты по умолчанию сообщения, которые определены как фишинг с высокой достоверностью, всегда помещаются в карантин, и пользователи не могут выпускать собственные фишинговые сообщения с высоким уровнем достоверности, независимо от доступных параметров, настроенных администраторами.
- Массовый: источник сообщения выполнил или превысил пороговое значение настроенного уровня массовой жалобы (BCL).
Дополнительные сведения о защите от нежелательной почты см. в статье Часто задаваемые вопросы о защите от нежелательной почты.
В политике защиты от нежелательной почты по умолчанию и в пользовательских политиках защиты от нежелательной почты можно настроить действия на основе этих вердиктов. В стандартных и строгих предустановленных политиках безопасности действия уже настроены и неизменяемы, как описано в разделе Параметры политики защиты от нежелательной почты EOP.
Сведения о настройке политики защиты от нежелательной почты по умолчанию, а также о создании, изменении и удалении пользовательских политик защиты от нежелательной почты см. в статье Настройка политик защиты от нежелательной почты в Microsoft 365.
Совет
Если вы не согласны с вердиктом фильтрации спама, вы можете сообщить о сообщении корпорации Майкрософт как о ложном срабатывании (хорошее сообщение помечено как плохое) или ложноотрицательном (разрешено неправильное сообщение). Дополнительные сведения см. в разделе:
- Разделы справки сообщить о подозрительном сообщении электронной почты или файле в корпорацию Майкрософт?.
- Обработка блокируемых (ложноположительных) сообщений электронной почты с помощью Microsoft Defender для Office 365
- Обработка вредоносных сообщений электронной почты, доставляемых получателям (ложноотрицательных), с помощью Microsoft Defender для Office 365
Заголовки сообщений для защиты от нежелательной почты могут указать, почему сообщение было помечено как спам или почему в нем пропущена фильтрация спама. Дополнительные сведения см. в статье Заголовки сообщений о защите от нежелательной почты.
Вы не можете полностью отключить фильтрацию нежелательной почты в Microsoft 365, но вы можете использовать правила потока обработки почты Exchange (также известные как правила транспорта), чтобы обойти фильтрацию нежелательной почты по входящим сообщениям (например, если вы направляете электронную почту через стороннюю службу защиты или устройство перед доставкой в Microsoft 365). Дополнительные сведения см. в статье Указание вероятности нежелательной почты (SCL) в сообщениях с помощью правил потока обработки почты
- Фишинговые сообщения с высоким доверительным уровнем по-прежнему фильтруются. Другие функции В EOP не затрагиваются (например, сообщения всегда проверяются на наличие вредоносных программ).
- Если вам нужно обойти фильтрацию нежелательной почты для почтовых ящиков SecOps или имитаций фишинга, не используйте правила потока почты. Дополнительные сведения см. в статье Настройка предоставления сторонней эмуляции фишинговых атак пользователям и доставки нефильтруемых сообщений в почтовые ящики SecOps.
В гибридных средах, где EOP защищает локальные почтовые ящики Exchange, необходимо настроить два правила потока обработки почты (также известные как правила транспорта) в локальной организации Exchange, чтобы распознавать заголовки нежелательной почты EOP, добавляемые в сообщения. Дополнительные сведения см. в статье Настройка EOP для доставки спама в папку нежелательной почты в гибридных средах.
Политики защиты от спама
Политики защиты от нежелательной почты управляют настраиваемыми параметрами фильтрации нежелательной почты. Важные параметры в политиках защиты от нежелательной почты описаны в следующих подразделах.
Совет
Сведения о параметрах политики защиты от нежелательной почты в политике по умолчанию, стандартной предустановленной политике безопасности и предустановке строгой политики безопасности см. в статье Параметры политики защиты от нежелательной почты EOP.
Фильтры получателей в политиках защиты от нежелательной почты
Фильтры получателей используют условия и исключения для определения внутренних получателей, к которым применяется политика. В пользовательских политиках требуется по крайней мере одно условие. Условия и исключения недоступны в политике по умолчанию (политика по умолчанию применяется ко всем получателям). Для условий и исключений можно использовать следующие фильтры получателей:
- Пользователи: один или несколько почтовых ящиков, почтовых пользователей или почтовых контактов в организации.
-
Группы.
- Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
- Указанные Группы Microsoft 365.
- Домены: один или несколько настроенных обслуживаемых доменов в Microsoft 365. Основной адрес электронной почты получателя находится в указанном домене.
Условие или исключение можно использовать только один раз, но условие или исключение могут содержать несколько значений:
Несколько значений одного условия или исключения используют логику OR (например, <recipient1> или <recipient2>):
- Условия. Если получатель соответствует любому из указанных значений, к нему применяется политика.
- Исключения. Если получатель соответствует любому из указанных значений, политика к ним не применяется.
Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.
Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:
- Пользователей:
romain@contoso.com
- Группы: Руководители
Политика применяется только в
romain@contoso.com
том случае, если он также является членом группы руководителей. В противном случае политика к нему не применяется.- Пользователей:
Пороговое значение массовой жалобы (BCL) в политиках защиты от нежелательной почты
EOP присваивает значение уровня массовых жалоб (BCL) входящим сообщениям от массовых отправителей. Сообщения от массовых отправителей также называются массовой почтой или серой почтой.
Дополнительные сведения о BCL см. в разделе Уровень массовой жалобы (BCL) в EOP.
Совет
По умолчанию параметр MarkAsSpamBulkMail в PowerShell находится On
в политиках защиты от нежелательной почты в Exchange Online PowerShell. Этот параметр значительно влияет на результаты решения о выполнении или превышении фильтра уровня массового соответствия (BCL):
- MarkAsSpamBulkMail включено: BCL, который больше или равен пороговому значению, преобразуется в SCL 6, соответствующий решению фильтрации спама, и в сообщении принимается действие для уровня массового соответствия (BCL) или превышения фильтрации.
- MarkAsSpamBulkMail имеет значение Off: сообщение помечено BCL, но не предпринимается никаких действий для выполнения или превышения решения фильтрации на уровне массового соответствия (BCL). По сути, пороговое значение BCL и массовый уровень соответствия (BCL) не имеют значения.
Свойства нежелательной почты в политиках защиты от нежелательной почты
Параметры тестового режима , параметры повышения оценки спама и большая часть параметров Пометить как спам являются частью расширенной фильтрации спама (ASF) в политиках защиты от нежелательной почты.
Эти параметры не настроены в политике защиты от нежелательной почты по умолчанию, а также в стандартных или строгих предустановленных политиках безопасности.
Полные сведения о параметрах ASF см. в разделе Параметры расширенного фильтра нежелательной почты (ASF) в EOP.
Другие параметры, доступные в этой категории:
- Содержит определенные языки. Сообщения на указанных языках автоматически определяются как спам.
- Из этих стран: сообщения из указанных стран автоматически определяются как спам.
Эти параметры не настроены в политике защиты от нежелательной почты по умолчанию, а также в стандартных или строгих предустановленных политиках безопасности.
Действия в политиках защиты от нежелательной почты
В пользовательских политиках защиты от нежелательной почты и политике защиты от нежелательной почты по умолчанию доступные действия для приговоров фильтрации спама описаны в следующей таблице.
- Метка проверка ( ✔ ) указывает, что действие доступно (не все действия доступны для всех вердиктов).
- Звездочка ( * ) после галочки указывает на действие по умолчанию для решения фильтра спама.
Действие Спам Спам с
высокой степенью
уверенностиФишинговое Фишинговое сообщение с
высокой
степеньюМассовая рассылка Переместить сообщение в папку нежелательной почты. Сообщение доставляется в почтовый ящик и перемещается в папку Нежелательная почта.¹ ✔* ✔* ✔ ² ✔* Добавить X-заголовок. Добавление X-заголовка в сообщение и доставка его в почтовый ящик.
Введите имя поля X-заголовка (не значение) в текстовом поле Add this X-header (Добавление этого X-заголовка ).
Для вердиктов нежелательной почты и спама с высоким уровнем достоверности сообщение перемещается в папку Нежелательная почта.¹✔ ✔ ✔ ✔ Добавить в начале строки "Тема" текст. Добавление текста в начало строки темы сообщения. Сообщение доставляется в почтовый ящик и перемещается в папку Нежелательная почта.¹
Введите текст в доступной строке темы префикса с этим текстовым полем.✔ ✔ ✔ ✔ Перенаправить сообщение на другой электронный адрес. Сообщение отправляется другим получателям вместо указанных адресатов.
Получатели указываются в поле Перенаправление на этот адрес электронной почты .✔ ✔ ✔ ✔ ✔ Удалить сообщение. Автоматически удаляется все сообщение, включая все вложения. ✔ ✔ ✔ ✔ Отправить сообщение на карантин. Сообщение отправляется на карантин, а не указанным получателям.
Вы выбираете или используете политику карантина по умолчанию для решения фильтрации нежелательной почты в появившемся поле Выбор политики карантина .⁴ Политики карантина определяют, что пользователи могут делать с сообщениями, помещенными в карантин, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Вы указываете, как долго сообщения хранятся в карантине в доступном поле Хранить спам в карантине в течение этого количества дней .✔ ✔ ✔* ✔* ⁵ ✔ Нет действий ✔ ¹ EOP использует собственный агент доставки потока почты для маршрутизации сообщений в папку Нежелательная почта вместо использования правила нежелательной почты в почтовом ящике. Параметр Enabled в командлете Set-MailboxJunkEmailConfiguration в Exchange Online PowerShell влияет на поток обработки почты в облачных почтовых ящиках. Дополнительные сведения см. в разделе Настройка параметров нежелательной почты в почтовых ящиках Exchange Online.
2 Для фишинга с высокой достоверностью действие Переместить сообщение в папку нежелательной почты фактически не рекомендуется. Хотя вы можете выбрать действие Переместить сообщение в папку нежелательной почты , фишинговые сообщения с высокой степенью достоверности всегда помещаются в карантин (что эквивалентно выбору сообщения карантина).
³ Это значение можно использовать в качестве условия в правилах потока обработки почты для фильтрации или маршрутизации сообщения.
⁴ Если решение по фильтрации спама помещает сообщения в карантин по умолчанию (сообщение карантина уже выбрано, когда вы перейдете на страницу), имя политики карантина по умолчанию отображается в поле Выбор политики карантина . Если изменить действие решения фильтрации нежелательной почты на Сообщение карантина, поле Выбор политики карантина по умолчанию будет пустым. Пустое значение означает, что используется политика карантина по умолчанию для этого вердикта. При последующем просмотре или изменении параметров политики защиты от нежелательной почты отображается имя политики карантина. Дополнительные сведения о политиках карантина, которые по умолчанию используются для вердиктов фильтра нежелательной почты, см. в разделе Параметры политики защиты от нежелательной почты EOP.
⁵ Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как фишинг с высокой достоверностью, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, вместо этого пользователям разрешено запрашивать освобождение их помещенных в карантин фишинговых сообщений с высокой степенью достоверности.
Внутриорганиционные сообщения для принятия мер. Определяет, применяются ли фильтрация нежелательной почты и соответствующие действия вердикта к внутренним сообщениям (сообщения, отправляемые между пользователями в организации). Действие, настроенное в политике для указанных вердиктов фильтра нежелательной почты, выполняется для сообщений, отправляемых между внутренними пользователями. Ниже представлены возможные значения.
- По умолчанию: это значение по умолчанию. Это значение совпадает с параметром Фишинговые сообщения с высокой достоверностью.
- Нет
- Фишинговые сообщения с высоким уровнем достоверности
- Фишинговые сообщения и фишинговые сообщения с высокой степенью достоверности
- Все фишинговые и спам-сообщения с высоким уровнем достоверности
- Все фишинговые и спам-сообщения
Значения по умолчанию, используемые в политике защиты от нежелательной почты по умолчанию и в стандартных и строгих предустановленных политиках безопасности, см. в разделе Сообщения внутри организации, чтобы принять меры при вводе в параметры политики защиты от нежелательной почты EOP.
Сколько дней хранить сообщение в карантине: указывает срок хранения сообщения в карантине, если в решении фильтра нежелательной почты указано действие Отправить сообщение на карантин. По истечении периода времени сообщение удаляется и не может быть восстановлено. Допустимые значения: от 1 до 30 дней.
Значения по умолчанию, которые используются в политике защиты от нежелательной почты по умолчанию и в стандартных и строгих предустановленных политиках безопасности, см. в статье Сохранение нежелательной почты в карантине в течение этого количества дней в параметрах политики защиты от нежелательной почты EOP.
Совет
Этот параметр также определяет срок хранения сообщений, помещенных на карантин политиками защиты от фишинга. Дополнительные сведения см. в разделе Хранение в карантине.
Автоматическая очистка нулевого часа (ZAP) в политиках защиты от нежелательной почты
ZAP для фишинга и ZAP для спама может действовать с сообщениями после их доставки в почтовые ящики Exchange Online. По умолчанию zap для фишинга и ZAP для спама включены, и мы рекомендуем оставить их включенными. Дополнительные сведения см. в разделе:
- Автоматическая очистка нулевого часа (ZAP) для фишинга
- Автоматическая очистка нулевого часа (ZAP) для фишинга с высокой достоверностью
- Автоматическая очистка за нулевой час (ZAP) для спама
Политики карантина в политиках защиты от нежелательной почты
Если вердикт в политике защиты от нежелательной почты настроен для карантина сообщений, политики карантина определяют, что пользователи могут делать с этими сообщениями, помещенными в карантин, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Разрешенные и заблокированные списки в политиках защиты от нежелательной почты
Политики защиты от нежелательной почты содержат следующие списки для разрешения или блокировки определенных отправителей или доменов:
- Список разрешенных отправителей
- Список разрешенных доменов
- Список заблокированных отправителей
- Список заблокированных доменов
Эти параметры не настроены в политике защиты от нежелательной почты по умолчанию, а также в стандартных или строгих предустановленных политиках безопасности.
Функциональные возможности этих списков были в значительной степени заменены следующими:
Блокировать записи для доменов и адресов электронной почты в разделе Создание записей блока для доменов и адресов электронной почты.
Основная причина использования списка заблокированных отправителей или списка заблокированных доменов в политиках защиты от нежелательной почты: блокировка записей в списке разрешенных и заблокированных клиентов также запрещает пользователям в организации отправлять сообщения электронной почты на эти адреса электронной почты или домены.
Отчеты о хорошем сообщении электронной почты в Корпорацию Майкрософт со страницы Отправки на портале Microsoft Defender (где можно выбрать разрешить сообщения электронной почты с похожими атрибутами, что создает необходимые временные записи в списке разрешенных и заблокированных клиентов).
Важно!
Сообщения из записей в списке разрешенных отправителей или списке разрешенных доменов обходят большую часть защиты электронной почты (за исключением вредоносных программ и фишинга с высокой достоверностью) и проверки проверки подлинности электронной почты (SPF, DKIM и DMARC). Записи в списке разрешенных отправителей или списке разрешенных доменов создают высокий риск успешной доставки электронной почты в папку "Входящие" злоумышленниками, которые в противном случае будут отфильтрованы. Эти списки лучше всего использовать только для временного тестирования.
Никогда не добавляйте общие домены (например, microsoft.com или office.com) в список разрешенных доменов. Злоумышленники могут легко отправлять поддельные сообщения из этих общих доменов в вашу организацию.
По состоянию на сентябрь 2022 г., если разрешенный отправитель, домен или поддомен находится в принятом домене в вашей организации, этот отправитель, домен или поддомен должен пройти проверку подлинности электронной почты, чтобы пропустить фильтрацию нежелательной почты.
Если вы собираетесь хранить разрешенную запись домена в списке в течение длительного периода времени, сообщите отправителю, чтобы убедиться, что его запись SPF обновлена с источниками электронной почты для своего домена, а политика в записи DMARC имеет значение
p=reject
.
Приоритет политик защиты от нежелательной почты
Если они включены, стандартные и строгие предустановленные политики безопасности применяются перед любыми пользовательскими политиками защиты от нежелательной почты или политикой по умолчанию (сначала всегда используется Strict). При создании нескольких настраиваемых политик защиты от нежелательной почты можно указать порядок их применения. Обработка политики останавливается после применения первой политики (политика с наивысшим приоритетом для этого получателя).
Дополнительные сведения о порядке приоритета и способах оценки нескольких политик см. в разделах Порядок и приоритет защиты электронной почты и Порядок приоритета для предустановленных политик безопасности и других политик.
Политика защиты от нежелательной почты по умолчанию
В каждой организации есть встроенная политика защиты от нежелательной почты с именем Default со следующими свойствами:
- Эта политика является стандартной (для свойства IsDefault задано значение
True
), и удалить стандартную политику невозможно. - Политика автоматически применяется ко всем получателям в организации, и ее нельзя отключить.
- Политика всегда применяется последней (значение приоритета — Наименьшее , изменить его невозможно).