EOP'de güvenilir gönderen listelerini İçerik Oluşturucu

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Exchange Online posta kutuları olan bir Microsoft 365 müşterisiyseniz veya Exchange Online posta kutusu olmayan tek başına Exchange Online Protection (EOP) müşterisiyseniz, EOP kullanıcıların güvenilir gönderenlerden e-posta almasını sağlamanın birden çok yolunu sunar. Toplu olarak, bu seçenekleri güvenilir gönderen listeleri olarak düşünebilirsiniz.

Kullanılabilir güvenilir gönderen listeleri, en çok önerilenden en az önerilene kadar aşağıdaki listede açıklanmıştır:

  1. Kiracı İzin Ver/Engelle Listesi'nde etki alanları ve e-posta adresleri (sahte gönderenler dahil) için girişlere izin verin.
  2. Posta akışı kuralları (taşıma kuralları olarak da bilinir).
  3. Outlook Güvenilir Gönderenler (yalnızca bu posta kutusunu etkileyen her posta kutusunda depolanan Güvenilir Gönderenler listesi).
  4. IP İzin Ver Listesi (bağlantı filtreleme)
  5. İzin verilen gönderen listeleri veya izin verilen etki alanı listeleri (istenmeyen posta önleme ilkeleri)

Bu makalenin geri kalanında her yöntemle ilgili ayrıntılar yer alır.

Önemli

Kötü amaçlı yazılım* veya yüksek güvenilirlikli kimlik avı olarak tanımlanan iletiler, kullandığınız güvenilir gönderen listesi seçeneğine bakılmaksızın her zaman karantinaya alınır. Daha fazla bilgi için bkz. Office 365'de varsayılan olarak güvenlidir.

* Gelişmiş teslim ilkesinde tanımlanan SecOps posta kutularında kötü amaçlı yazılım filtreleme atlanır. Daha fazla bilgi için bkz. Üçüncü taraf kimlik avı simülasyonları ve SecOps posta kutularına e-posta teslimi için gelişmiş teslim ilkesini yapılandırma.

Güvenilir gönderen listelerini kullanarak istenmeyen posta filtrelemesinde yaptığınız özel durumları yakından izlemeye dikkat edin.

Her zaman güvenilir gönderen listelerinizdeki iletileri analiz için Microsoft'a gönderin. Yönergeler için bkz. Microsoft'a iyi e-posta bildirme. İletilerin veya ileti kaynaklarının zararsız olduğu belirlenirse, Microsoft iletilere otomatik olarak izin verebilir ve girişi güvenli gönderen listelerinde el ile tutmanız gerekmez.

E-postaya izin vermek yerine, engellenen gönderen listelerini kullanarak belirli kaynaklardan gelen e-postaları engellemek için çeşitli seçenekleriniz de vardır. Daha fazla bilgi için bkz. EOP'de gönderen listelerini engelleme İçerik Oluşturucu.

Kiracı İzin Ver/Engelle Listesindeki izin verme girdilerini kullanma

Gönderenlerden veya etki alanlarından gelen postalara izin vermek için önerilen bir numaralı seçenek Kiracı İzin Ver/Engelle Listesi'dir. Yönergeler için bkz. Etki alanları ve e-posta adresleri için girişlere izin İçerik Oluşturucu ve sahte gönderenler için girişlere izin İçerik Oluşturucu.

Yalnızca Kiracı İzin Ver/Engelle Listesi'ni bir nedenle kullanamıyorsanız gönderenlere izin vermek için farklı bir yöntem kullanmayı düşünmelisiniz.

Posta akışı kurallarını kullanma

Not

bir iç göndereni güvenilir gönderen olarak belirtmek için ileti üst bilgilerini ve posta akışı kurallarını kullanamazsınız. Bu bölümdeki yordamlar yalnızca dış gönderenler için geçerlidir.

Exchange Online ve tek başına EOP'deki posta akışı kuralları, iletileri tanımlamak için koşulları ve özel durumları ve bu iletilere ne yapılması gerektiğini belirten eylemleri kullanır. Daha fazla bilgi için bkz. Exchange Online'de Posta akışı kuralları (aktarım kuralları).

Aşağıdaki örnekte, istenmeyen posta filtrelemeyi atlamak için contoso.com e-postasına ihtiyacınız olduğu varsayılır. Bunu yapmak için aşağıdaki ayarları yapılandırın:

  1. Koşul: Gönderen>etki alanı> contoso.com.

  2. Aşağıdaki ayarlardan birini yapılandırın:

    • Posta akışı kuralı koşulu: İleti üst bilgileri>şu sözcüklerden herhangi birini içerir:

      • Üst bilgi adı: Authentication-Results
      • Üst bilgi değeri: dmarc=pass veya dmarc=bestguesspass (her iki değeri de ekleyin).

      Bu koşul, gönderen etki alanının yanıltılmadığından emin olmak için gönderen e-posta etki alanının e-posta kimlik doğrulama durumunu denetler. E-posta kimlik doğrulaması hakkında daha fazla bilgi için bkz. SPF, DKIM ve DMARC.

    • IP İzin Verme Listesi: Bağlantı filtresi ilkesinde kaynak IP adresini veya adres aralığını belirtin. Yönergeler için bkz. Bağlantı filtrelemeyi yapılandırma.

      Gönderen etki alanı e-posta kimlik doğrulaması kullanmıyorsa bu ayarı kullanın. IP İzin Ver Listesindeki kaynak IP adresleri söz konusu olduğunda mümkün olduğunca kısıtlayıcı olun. /24 veya daha az BIR IP adresi aralığı öneririz (daha azı daha iyidir). Tüketici hizmetlerine (örneğin, outlook.com) veya paylaşılan altyapılara ait IP adresi aralıklarını kullanmayın.

    Önemli

    • İstenmeyen posta filtrelemeyi atlamak için koşul olarak posta akışı kurallarını hiçbir zaman yalnızca gönderen etki alanıyla yapılandırmayın. Bunun yapılması, saldırganların gönderen etki alanını taklit etme (veya tam e-posta adresinin kimliğine bürünme), tüm istenmeyen posta filtrelemesini atlama ve iletinin alıcının Gelen Kutusu'na ulaşması için gönderen kimlik doğrulama denetimlerini atlama olasılığını önemli ölçüde artırır.

    • Sahip olduğunuz etki alanlarını (kabul edilen etki alanları olarak da bilinir) veya popüler etki alanlarını (örneğin, microsoft.com) posta akışı kurallarında koşul olarak kullanmayın. Bunu yapmak, saldırganların başka türlü filtrelenecek e-posta gönderme fırsatları oluşturması nedeniyle yüksek risk olarak kabul edilir.

    • Ağ adresi çevirisi (NAT) ağ geçidinin arkasındaki bir IP adresine izin verirseniz, IP İzin Verme Listenizin kapsamını bilmek için NAT havuzuna dahil olan sunucuları bilmeniz gerekir. IP adresleri ve NAT katılımcıları değişebilir. Standart bakım yordamlarınızın bir parçası olarak IP İzin Ver Listesi girdilerinizi düzenli aralıklarla denetlemeniz gerekir.

  3. İsteğe bağlı koşullar:

    • Gönderen>iç/dış>Kuruluş dışında: Bu koşul örtülüdür, ancak doğru yapılandırılmamış olabilecek şirket içi e-posta sunucularını hesaba eklemek için bu koşulu kullanabilirsiniz.
    • Konu veya gövde>konu veya gövde bu sözcüklerden>< herhangi birini içeriranahtar sözcükler: İletileri> konu satırında veya ileti gövdesinde anahtar sözcüklere veya tümceciklere göre daha fazla kısıtlayabilirseniz, bu sözcükleri koşul olarak kullanabilirsiniz.

  4. Eylem: Kuralda aşağıdaki eylemlerin ikisini de yapılandırın:

    1. İleti özelliklerini> değiştirmeistenmeyen posta güvenilirlik düzeyini (SCL)> ayarlamaİstenmeyen posta filtrelemeyi atla.

    2. İleti özelliklerini> değiştirmebir ileti üst bilgisi ayarlayın:

      • Üst bilgi adı: Örneğin, X-ETR.
      • Üst bilgi değeri: Örneğin, Bypass spam filtering for authenticated sender 'contoso.com'.

      Kuralda birden fazla etki alanınız varsa, üst bilgi metnini uygun şekilde özelleştirebilirsiniz.

Bir ileti posta akışı kuralı nedeniyle istenmeyen posta filtrelemeyi atladığında, değer SFV:SKN değeri X-Forefront-Antispam-Report üst bilgisine damgalanır. İleti IP İzin Verme Listesi'nde bulunan bir kaynaktan geliyorsa, değer IPV:CAL de eklenir. Bu değerler sorun giderme konusunda size yardımcı olabilir.

İstenmeyen posta filtrelemesini atlamak için yeni EAC'deki örnek posta akışı kuralı ayarları.

Outlook Güvenilir Gönderenlerini kullanma

Dikkat

Bu yöntem, saldırganların Gelen Kutusu'na e-postayı başarıyla teslim etme riski oluşturur ve aksi takdirde filtrelenebilir; ancak, kullanıcının Güvenilir Gönderenler veya Güvenli Etki Alanları listelerindeki bir girdiden gelen bir iletinin kötü amaçlı yazılım veya yüksek güvenilirlikli kimlik avı olduğu belirlenirse, ileti filtrelenir.

Kuruluş ayarı yerine, kullanıcılar veya yöneticiler gönderen e-posta adreslerini posta kutusunda Güvenilir Gönderenler listesine ekleyebilir. Yönergeler için bkz. Office 365 Exchange Online posta kutularında gereksiz e-posta ayarlarını yapılandırma. Posta kutusunda Güvenilir Gönderenler listesi girdileri yalnızca bu posta kutusunu etkiler.

Gönderenler filtreleme yığınının bölümlerini atlayacağı için çoğu durumda bu yöntem tercih edilmez. Gönderene güvenseniz de, gönderen gizliliği tehlikeye girebilir ve kötü amaçlı içerik gönderebilir. Filtrelerimizin her iletiyi denetlemesine izin vermeli ve yanlış pozitif/negatifi yanlış aldıysak Microsoft'a bildirmelisiniz . Filtreleme yığınının atlanması da sıfır saatlik otomatik temizlemeyi (ZAP) engeller.

İletiler, kullanıcının Güvenilir Gönderenler listesindeki girdiler nedeniyle istenmeyen posta filtrelemeyi atladığında, X-Forefront-Antispam-Report üst bilgi alanı, istenmeyen posta, kimlik sahtekarlığı ve kimlik avı (yüksek güvenilirlikli kimlik avı değil) için filtrelemenin atlandığını gösteren değerini SFV:SFEiçerir.

Notlar:

  • Exchange Online'da, Güvenilir Gönderenler listesindeki girdilerin çalışıp çalışmadığı, iletiyi tanımlayan ilkedeki karara ve eyleme bağlıdır:
    • İletileri Gereksiz Email klasörüne taşıma: Etki alanı girdileri ve gönderen e-posta adresi girişleri kabul edilir. Bu gönderenlerden gelen iletiler Gereksiz Email klasörüne taşınmaz.
    • Karantina: Etki alanı girişleri kabul edilmez (bu gönderenlerden gelen iletiler karantinaya alınır). aşağıdaki deyimlerden biri doğruysa Email adres girdileri kabul edilir (bu gönderenlerden gelen iletiler karantinaya alınamaz):
      • İleti kötü amaçlı yazılım veya yüksek güvenilirlikli kimlik avı olarak tanımlanmamaktadır (kötü amaçlı yazılım ve yüksek güvenilirlikli kimlik avı iletileri karantinaya alınır).
      • E-posta adresi, Kiracı İzin Ver/Engelle Listesi'ndeki bir blok girdisinde de yer almıyor.
  • Engellenen gönderenler ve engellenen etki alanları için girdiler kabul edilir (bu gönderenlerden gelen iletiler Gereksiz Email klasörüne taşınır). Güvenli posta listesi ayarları yoksayılır.

IP İzin Ver Listesini Kullanma

Dikkat

Posta akışı kuralları gibi ek doğrulama olmadan IP İzin Ver Listesindeki kaynaklardan gelen e-postalar istenmeyen posta filtreleme ve gönderen kimlik doğrulaması (SPF, DKIM, DMARC) denetimlerini atlar. Bu sonuç, saldırganların Gelen Kutusu'na e-postayı başarıyla teslim etme riski oluşturur ve aksi takdirde filtrelenebilir; Ancak, IP İzin Ver Listesindeki bir girdiden gelen bir iletinin kötü amaçlı yazılım veya yüksek güvenilirlikli kimlik avı olduğu belirlenirse, ileti filtrelenir.

Bir sonraki en iyi seçenek, kaynak e-posta sunucusunu veya sunucuları bağlantı filtresi ilkesindeki IP İzin Verme Listesi'ne eklemektir. Ayrıntılar için bkz . EOP'de bağlantı filtrelemeyi yapılandırma.

Notlar:

  • İzin verilen IP adreslerinin sayısını en az düzeyde tutmanız önemlidir, bu nedenle mümkün olduğunda tüm IP adresi aralıklarını kullanmaktan kaçının.
  • Tüketici hizmetlerine (örneğin, outlook.com) veya paylaşılan altyapılara ait IP adresi aralıklarını kullanmayın.
  • IP İzin Ver Listesindeki girdileri düzenli olarak gözden geçirin ve artık ihtiyacınız olmayan girdileri kaldırın.

İzin verilen gönderen listelerini veya izin verilen etki alanı listelerini kullanma

Dikkat

Bu yöntem, saldırganların Gelen Kutusu'na e-postayı başarıyla teslim etme riski oluşturur ve aksi takdirde filtrelenebilir; ancak, izin verilen gönderenler veya izin verilen etki alanları listelerindeki bir girdiden gelen bir iletinin kötü amaçlı yazılım veya yüksek güvenilirlikli kimlik avı olduğu belirlenirse, ileti filtrelenir.

İzin verilen etki alanı listelerinde popüler etki alanlarını (örneğin, microsoft.com) kullanmayın.

İstenmeyen en az seçenek, istenmeyen posta önleme ilkelerinde izin verilen gönderen listelerini veya izin verilen etki alanı listelerini kullanmaktır. Gönderenler tüm istenmeyen posta, kimlik sahtekarlığı, kimlik avı koruması (yüksek güvenilirlikli kimlik avı hariç) ve gönderen kimlik doğrulamasını (SPF, DKIM, DMARC) atladığından mümkünse bu seçenekten kaçınmalısınız. Bu yöntem yalnızca geçici test için en iyi şekilde kullanılır. Ayrıntılı adımlar EOP'de istenmeyen posta önleme ilkelerini yapılandırma konusunda bulunabilir.

Bu listeler için en yüksek sınır yaklaşık 1000 giriştir; ancak portala yalnızca 30 giriş girebilirsiniz. 30'dan fazla girdi eklemek için PowerShell'i kullanmanız gerekir.

Not

Eylül 2022 itibarıyla, izin verilen bir gönderen, etki alanı veya alt etki alanı kuruluşunuzda kabul edilen bir etki alanındaysa , istenmeyen posta önleme filtrelemesini atlamak için bu gönderenin, etki alanının veya alt etki alanının e-posta kimlik doğrulaması denetimlerini geçirmesi gerekir.

Toplu e-posta ile ilgili dikkat edilmesi gerekenler

Standart smtp e-posta iletisi, ileti zarfı ve ileti içeriğinden oluşur. İleti zarfı, iletiyi SMTP sunucuları arasında iletmek ve teslim etmek için gereken bilgileri içerir. İleti içeriği, ileti üst bilgisi alanlarını (topluca ileti üst bilgisi olarak adlandırılır) ve ileti gövdesini içerir. İleti zarfı RFC 5321'de ve ileti üst bilgisi RFC 5322'de açıklanmıştır. İleti iletim işlemi tarafından oluşturulduğundan ve iletinin bir parçası olmadığından alıcılar gerçek ileti zarfını hiçbir zaman görmez.

  • Adres 5321.MailFrom ( POSTA KIMDEN adresi, P1 gönderen veya zarf gönderen olarak da bilinir), iletinin SMTP iletiminde kullanılan e-posta adresidir. Bu e-posta adresi genellikle ileti üst bilgisindeki Dönüş Yolu üst bilgisi alanına kaydedilir (ancak gönderenin farklı bir Dönüş Yolu e-posta adresi belirlemesi mümkündür). İleti teslim edilemiyorsa, teslim edilemedi raporunun alıcısıdır (NDR veya geri dönen ileti olarak da bilinir).
  • Adres 5322.From ( Kimden adresi veya P2 göndereni olarak da bilinir) Kimden üst bilgisi alanındaki e-posta adresidir ve gönderenin e-posta istemcilerinde görüntülenen e-posta adresidir.

Ve adresleri sıklıkla 5321.MailFrom5322.From aynıdır (kişiden kişiye iletişim). Ancak, başka biri adına e-posta gönderildiğinde, adresler farklı olabilir. Bu durum en sık toplu e-posta iletileri için gerçekleşir.

Örneğin, Blue Yonder Airlines'ın reklam e-posta iletileri göndermek için Margie'nin Seyahat'ini kiraladığını varsayalım. Gelen Kutunuzda aldığınız ileti aşağıdaki özelliklere sahiptir:

  • Adres 5321.MailFrom şeklindedir blueyonder.airlines@margiestravel.com.
  • Adres 5322.From , blueyonder@news.blueyonderairlines.comOutlook'ta gördüğünüz adrestir.

EOP'deki istenmeyen posta önleme ilkelerindeki güvenilir gönderen listeleri ve güvenli etki alanı listeleri yalnızca 5322.From adresleri inceler. Bu davranış, adresi kullanan Outlook Güvenilir Gönderenleri'ne 5322.From benzer.

Bu iletinin filtrelenmesini önlemek için aşağıdaki adımları uygulayabilirsiniz:

  • Outlook Güvenilir 5322.From Göndereni olarak (adresi) ekleyin blueyonder@news.blueyonderairlines.com .
  • (Adres), (5322.From5321.MailFrom adres) blueyonder.airlines@margiestravel.com veya her ikisinden blueyonder@news.blueyonderairlines.com gelen iletilerin aranması koşuluyla bir posta akışı kuralı kullanın.