Ordning och prioritet för e-postskydd

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor kan inkommande e-post flaggas av flera former av skydd. Till exempel skydd mot förfalskning som är tillgängligt för alla Microsoft 365-kunder och personifieringsskydd som endast är tillgängligt för Microsoft Defender för Office 365 kunder. Meddelanden passerar också genom flera identifieringsgenomsökningar efter skadlig kod, skräppost, nätfiske osv. Med tanke på all denna aktivitet kan det uppstå viss förvirring om vilken princip som tillämpas.

I allmänhet identifieras en princip som tillämpas på ett meddelande i rubriken X-Forefront-Antispam-Report i egenskapen CAT (Kategori). Mer information finns i Meddelandehuvuden för skräppostskydd.

Det finns två viktiga faktorer som avgör vilken princip som tillämpas på ett meddelande:

• Bearbetningsordningen för e-postskyddstypen: Den här ordningen kan inte konfigureras och beskrivs i följande tabell:

  Ordning	Email skydd	Kategori	Var du ska hantera
  1	Malware	CAT:MALW	Konfigurera principer för skydd mot skadlig kod i EOP
  2	Nätfiske med hög konfidens	CAT:HPHSH	Konfigurera principer för skräppostskydd i EOP
  3	Fiske	CAT:PHSH	Konfigurera principer för skräppostskydd i EOP
  4	Skräppost med hög konfidens	CAT:HSPM	Konfigurera principer för skräppostskydd i EOP
  5	Kapning	CAT:SPOOF	Insikter om förfalskningsinformation i EOP
  6*	Personifiering av användare (skyddade användare)	CAT:UIMP	Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365
  7*	Domänpersonifiering (skyddade domäner)	CAT:DIMP	Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365
  8*	Postlådeinformation (kontaktdiagram)	CAT:GIMP	Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365
  9	Skräppost	CAT:SPM	Konfigurera principer för skräppostskydd i EOP
  10	Massutskick	CAT:BULK	Konfigurera principer för skräppostskydd i EOP

  ^*Dessa funktioner är endast tillgängliga i principer för skydd mot nätfiske i Microsoft Defender för Office 365.

• Prioritetsordningen för principer: Prioritetsordningen för principen visas i följande lista:

  1. Principerna för skräppostskydd, skadlig kod, skydd mot nätfiske, säkra länkar^* och säkra bifogade filer^* i den strikta förinställda säkerhetsprincipen (när den är aktiverad).

  2. Principerna för skräppostskydd, skadlig kod, skydd mot nätfiske, säkra länkar^* och säkra bifogade filer^* i standardprincipen för förinställd säkerhet (när den är aktiverad).

  3. Skydd mot nätfiske, säkra länkar och säkra bifogade filer i Defender för Office 365 utvärderingsprinciper (när det är aktiverat).

  4. Anpassade principer för skräppostskydd, skadlig kod, skydd mot nätfiske, säkra länkar^* och säkra bifogade filer^* (när de skapas).

     Anpassade principer tilldelas ett standardprioritetsvärde när du skapar principen (nyare är lika med högre), men du kan ändra prioritetsvärdet när som helst. Det här prioritetsvärdet påverkar ordningen som anpassade principer av den typen (skräppostskydd, skadlig kod, skydd mot nätfiske osv.) tillämpas, men påverkar inte var anpassade principer tillämpas i den övergripande ordningen.

  5. Av samma värde:

     • Principerna säkra länkar och säkra bifogade filer i den förinställda säkerhetsprincipen^* för inbyggt skydd.
     • Standardprinciperna för skydd mot skadlig kod, skräppost och skydd mot nätfiske.

     Du kan konfigurera undantag till den förinställda säkerhetsprincipen för inbyggt skydd, men du kan inte konfigurera undantag till standardprinciperna (de gäller för alla mottagare och du kan inte inaktivera dem).

  ^*Defender för Office 365 bara.

  Prioritetsordningen är viktig om du avsiktligt eller oavsiktligt har inkluderat samma mottagare i flera principer, eftersom endast den första principen av den typen (skräppostskydd, skadlig kod, skydd mot nätfiske osv.) tillämpas på mottagaren, oavsett hur många andra principer som mottagaren ingår i. Det går aldrig att slå samman eller kombinera inställningarna i flera principer för mottagaren. Mottagaren påverkas inte av inställningarna för återstående principer av den typen.

Gruppen med namnet "Contoso Executives" ingår till exempel i följande principer:

• Den strikta förinställda säkerhetsprincipen
• En anpassad princip för skräppostskydd med prioritetsvärdet 0 (högsta prioritet)
• En anpassad princip för skräppostskydd med prioritetsvärdet 1.

Vilka principinställningar för skräppostskydd tillämpas på medlemmarna i Contosos chefer? Den strikta förinställda säkerhetsprincipen. Inställningarna i de anpassade principerna för skräppostskydd ignoreras för medlemmarna i Contosos chefer, eftersom den strikta förinställda säkerhetsprincipen alltid tillämpas först.

Som ett annat exempel bör du överväga följande anpassade principer för skydd mot nätfiske i Microsoft Defender för Office 365 som gäller för samma mottagare och ett meddelande som innehåller både användarpersonifiering och förfalskning:

Principnamn	Prioritet	Personifiering av användare	Skydd mot förfalskning
Princip A	1	På	Av
Princip B	2	Av	På

1. Meddelandet identifieras som förfalskning eftersom förfalskning (5) utvärderas före användarpersonifiering (6) i bearbetningsordningen för e-postskyddstypen.
2. Princip A tillämpas först eftersom den har högre prioritet än princip B.
3. Baserat på inställningarna i Princip A vidtas ingen åtgärd för meddelandet eftersom förfalskningsskydd är inaktiverat.
4. Bearbetningen av principer för skydd mot nätfiske stoppas för alla inkluderade mottagare, så princip B tillämpas aldrig på mottagare som också finns i princip A.

Använd följande riktlinjer för principmedlemskap för att se till att mottagarna får de skyddsinställningar som du vill ha:

• Tilldela ett mindre antal användare till principer med högre prioritet och ett större antal användare till principer med lägre prioritet. Kom ihåg att standardprinciper alltid tillämpas sist.
• Konfigurera principer med högre prioritet så att de har striktare eller mer specialiserade inställningar än principer med lägre prioritet. Du har fullständig kontroll över inställningarna i anpassade principer och standardprinciper, men ingen kontroll över de flesta inställningar i förinställda säkerhetsprinciper.
• Överväg att använda färre anpassade principer (använd endast anpassade principer för användare som kräver mer specialiserade inställningar än standard- eller strikt förinställda säkerhetsprinciper eller standardprinciper).

Bilaga

Det är viktigt att förstå hur användare tillåter och blockerar, tillåter och blockerar klientorganisationer samt filtrerar stackutslag i EOP och Defender för Office 365 komplettera eller motsäga varandra.

• Information om filtreringsstackar och hur de kombineras finns i Stegvisa hotskydd i Microsoft Defender för Office 365.
• När filtreringsstacken har fastställt en bedömning utvärderas endast klientorganisationsprinciper och deras konfigurerade åtgärder.
• Om samma e-postadress eller domän finns i en användares lista över betrodda avsändare och listan Blockerade avsändare har listan Betrodda avsändare företräde.
• Om samma entitet (e-postadress, domän, falsk avsändarinfrastruktur, fil eller URL) finns i en tillåten post och en blockpost i listan Tillåt/blockera för klientorganisation prioriteras blockposten.

Användare tillåter och blockerar

Poster i en användares safelist-samling (listan Betrodda avsändare, listan Betrodda mottagare och listan Blockerade avsändare i varje postlåda) kan åsidosätta vissa filtreringsstackutlåtanden enligt beskrivningen i följande tabell:

Bedömning av filtreringsstack	Användarens lista över betrodda avsändare/mottagare	Användarens lista över blockerade avsändare
Malware	Filtret vinner: Email i karantän	Filtret vinner: Email i karantän
Nätfiske med hög konfidens	Filtret vinner: Email i karantän	Filtret vinner: Email i karantän
Fiske	Användaren vinner: Email levereras till användarens inkorg	Klientorganisationen vinner: Den tillämpliga principen för skräppostskydd avgör åtgärden
Skräppost med hög konfidens	Användaren vinner: Email levereras till användarens inkorg	Användaren vinner: Email levereras till användarens skräppostmapp Email
Skräppost	Användaren vinner: Email levereras till användarens inkorg	Användaren vinner: Email levereras till användarens skräppostmapp Email
Massutskick	Användaren vinner: Email levereras till användarens inkorg	Användaren vinner: Email levereras till användarens skräppostmapp Email
Inte skräppost	Användaren vinner: Email levereras till användarens inkorg	Användaren vinner: Email levereras till användarens skräppostmapp Email

Mer information om insamling av säkra listor och inställningar för skräppostskydd i användarpostlådor finns i Konfigurera inställningar för skräppost på Exchange Online postlådor.

Klientorganisation tillåter och blockerar

Klientorganisationen tillåter och block kan åsidosätta vissa filtreringsstackutlåtanden enligt beskrivningen i följande tabeller:

• Avancerad leveransprincip (hoppa över filtrering för avsedda SecOps-postlådor och URL:er för nätfiskesimulering):

  Bedömning av filtreringsstack	Tillåt avancerad leveransprincip
  Malware	Klientorganisationen vinner: Email levereras till postlådan
  Nätfiske med hög konfidens	Klientorganisationen vinner: Email levereras till postlådan
  Fiske	Klientorganisationen vinner: Email levereras till postlådan
  Skräppost med hög konfidens	Klientorganisationen vinner: Email levereras till postlådan
  Skräppost	Klientorganisationen vinner: Email levereras till postlådan
  Massutskick	Klientorganisationen vinner: Email levereras till postlådan
  Inte skräppost	Klientorganisationen vinner: Email levereras till postlådan

• Flödesregler för Exchange-e-post (kallas även transportregler):

  Bedömning av filtreringsstack	E-postflödesregeln tillåter*	Regelblock för e-postflöde
  Malware	Filtret vinner: Email i karantän	Filtret vinner: Email i karantän
  Nätfiske med hög konfidens	Filtret vinner: Email i karantän förutom vid komplex routning	Filtret vinner: Email i karantän
  Fiske	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Nätfiskeåtgärd i tillämplig princip för skräppostskydd
  Skräppost med hög konfidens	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email
  Skräppost	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email
  Massutskick	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email
  Inte skräppost	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email

  ^* Organisationer som använder en säkerhetstjänst eller enhet från tredje part framför Microsoft 365 bör överväga att använda autentiserad mottagen kedja (ARC) ( kontakta tredje part för tillgänglighet) och Utökad filtrering för anslutningsappar (kallas även hoppa över lista) i stället för en SCL=-1 e-postflödesregel. Dessa förbättrade metoder minskar problem med e-postautentisering och uppmuntrar skydd av djup e-postsäkerhet .

• Lista över tillåtna IP-adresser och IP-blockeringslistor i principer för anslutningsfilter:

  Bedömning av filtreringsstack	Lista över tillåtna IP-adresser	LISTA över IP-blockering
  Malware	Filtret vinner: Email i karantän	Filtret vinner: Email i karantän
  Nätfiske med hög konfidens	Filtret vinner: Email i karantän	Filtret vinner: Email i karantän
  Fiske	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email tyst borttagen
  Skräppost med hög konfidens	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email tyst borttagen
  Skräppost	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email tyst borttagen
  Massutskick	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email tyst borttagen
  Inte skräppost	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email tyst borttagen

• Tillåt och blockera inställningar i principer för skräppostskydd:

  • Tillåten avsändare och domänlista.
  • Spärrad avsändare och domänlista.
  • Blockera meddelanden från specifika länder/regioner eller på specifika språk.
  • Blockera meddelanden baserat på INSTÄLLNINGAR för avancerat skräppostfilter (ASF).

  Bedömning av filtreringsstack	Principen för skräppostskydd tillåter	Principblock för skräppostskydd
  Malware	Filtret vinner: Email i karantän	Filtret vinner: Email i karantän
  Nätfiske med hög konfidens	Filtret vinner: Email i karantän	Filtret vinner: Email i karantän
  Fiske	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Nätfiskeåtgärd i tillämplig princip för skräppostskydd
  Skräppost med hög konfidens	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email
  Skräppost	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email
  Massutskick	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email
  Inte skräppost	Klientorganisationen vinner: Email levereras till postlådan	Klientorganisationen vinner: Email levereras till användarens skräppostmapp Email

• Tillåt poster i listan Tillåt/blockera klientorganisation:

  Bedömning av filtreringsstack	Email adress/domän
  Malware	Filtret vinner: Email i karantän
  Nätfiske med hög konfidens	Filtret vinner: Email i karantän
  Fiske	Klientorganisationen vinner: Email levereras till postlådan
  Skräppost med hög konfidens	Klientorganisationen vinner: Email levereras till postlådan
  Skräppost	Klientorganisationen vinner: Email levereras till postlådan
  Massutskick	Klientorganisationen vinner: Email levereras till postlådan
  Inte skräppost	Klientorganisationen vinner: Email levereras till postlådan

• Blockera poster i listan Tillåt/blockera klientorganisation:

  Bedömning av filtreringsstack	Email adress/domän	Spolat	Fil	URL
  Malware	Filtret vinner: Email i karantän	Filtret vinner: Email i karantän	Klientorganisationen vinner: Email i karantän	Filtret vinner: Email i karantän
  Nätfiske med hög konfidens	Klientorganisationen vinner: Email i karantän	Filtret vinner: Email i karantän	Klientorganisationen vinner: Email i karantän	Klientorganisationen vinner: Email i karantän
  Fiske	Klientorganisationen vinner: Email i karantän	Klientorganisation vinner: Förfalskningsåtgärd i tillämplig princip för skydd mot nätfiske	Klientorganisationen vinner: Email i karantän	Klientorganisationen vinner: Email i karantän
  Skräppost med hög konfidens	Klientorganisationen vinner: Email i karantän	Klientorganisation vinner: Förfalskningsåtgärd i tillämplig princip för skydd mot nätfiske	Klientorganisationen vinner: Email i karantän	Klientorganisationen vinner: Email i karantän
  Skräppost	Klientorganisationen vinner: Email i karantän	Klientorganisation vinner: Förfalskningsåtgärd i tillämplig princip för skydd mot nätfiske	Klientorganisationen vinner: Email i karantän	Klientorganisationen vinner: Email i karantän
  Massutskick	Klientorganisationen vinner: Email i karantän	Klientorganisation vinner: Förfalskningsåtgärd i tillämplig princip för skydd mot nätfiske	Klientorganisationen vinner: Email i karantän	Klientorganisationen vinner: Email i karantän
  Inte skräppost	Klientorganisationen vinner: Email i karantän	Klientorganisation vinner: Förfalskningsåtgärd i tillämplig princip för skydd mot nätfiske	Klientorganisationen vinner: Email i karantän	Klientorganisationen vinner: Email i karantän

Konflikt mellan användar- och klientinställningar

I följande tabell beskrivs hur konflikter löses om ett e-postmeddelande påverkas av både inställningar för att tillåta/blockera användare och inställningar för tillåt/blockera klientorganisation:

Typ av tillåten/blockerad klientorganisation	Användarens lista över betrodda avsändare/mottagare	Användarens lista över blockerade avsändare
Blockera poster i listan Tillåt/blockera klientorganisation för: Email adresser och domäner Filer Webbadresser	Klientorganisationen vinner: Email i karantän	Klientorganisationen vinner: Email i karantän
Blockera poster för falska avsändare i listan Tillåt/blockera klientorganisation	Klientorganisation vinner: Förfalskningsinformationsåtgärd i tillämplig princip för skydd mot nätfiske	Klientorganisation vinner: Förfalskningsinformationsåtgärd i tillämplig princip för skydd mot nätfiske
Avancerad leveransprincip	Användaren vinner: Email levereras till postlådan	Klientorganisationen vinner: Email levereras till postlådan
Blockera inställningar i principer för skräppostskydd	Användaren vinner: Email levereras till postlådan	Användaren vinner: Email levereras till användarens skräppostmapp Email
Respektera DMARC-princip	Användaren vinner: Email levereras till postlådan	Användaren vinner: Email levereras till användarens skräppostmapp Email
Block efter e-postflödesregler	Användaren vinner: Email levereras till postlådan	Användaren vinner: Email levereras till användarens skräppostmapp Email
Tillåter genom att: E-postflödesregler Lista över tillåtna IP-adresser (princip för anslutningsfilter) Tillåten avsändare och domänlista (principer för skräppostskydd) Klientorganisationens Tillåt/blockera-lista	Användaren vinner: Email levereras till postlådan	Användaren vinner: Email levereras till användarens skräppostmapp Email