Защита по умолчанию в облачных организациях

"Безопасный по умолчанию" — это термин, используемый для определения параметров по умолчанию, которые являются наиболее безопасными насколько это возможно.

Однако безопасность должна быть сбалансирована с производительностью. Этот баланс включает в себя:

• Удобство использования. Параметры не должны ставить под вопрос производительность пользователей.
• Риск. Безопасность может блокировать важные действия.
• Устаревшие параметры. Некоторые конфигурации для более старых продуктов и компонентов, возможно, потребуется сохранить по бизнес-причинам, даже если новые, современные параметры улучшены.

Все организации с облачными почтовыми ящиками автоматически получают защиту электронной почты. Эта защита включает в себя:

• Email с подозреваемыми вредоносными программами автоматически помещается в карантин. Политика карантина, используемая политикой защиты от вредоносных программ, определяет, уведомляются ли получатели. Дополнительные сведения см. в разделе Настройка политик защиты от вредоносных программ.
• Email, идентифицированные как фишинг с высокой достоверностью, помещается в карантин из-за защиты по умолчанию и действия, настроенного для фишинга с высокой достоверностью в соответствующей политике защиты от нежелательной почты.

Дополнительные сведения см. в статье Встроенные функции безопасности для всех облачных почтовых ящиков.

Так как корпорация Майкрософт хочет обеспечить безопасность наших клиентов по умолчанию, некоторые переопределения организации не применяются для вредоносных программ или фишинга с высокой степенью достоверности. Эти переопределения включают:

• Списки разрешенных отправителей или списки разрешенных доменов в политиках защиты от нежелательной почты.
• Надежные отправители Outlook.
• Список разрешенных IP-адресов в политике фильтра подключений по умолчанию.
• Правила потока обработки почты для обмена (также известные как правила транспорта).

Используйте отправки администратора, чтобы временно разрешить определенные сообщения, заблокированные Microsoft 365.

Дополнительные сведения об этих переопределениях см. в статье Создание списков разрешенных отправителей.

Параметр "Безопасность" по умолчанию не является параметром, который можно включить или отключить. Именно так наша фильтрация сохраняет потенциально опасные или нежелательные сообщения из ваших почтовых ящиков. Вредоносные и фишинговые сообщения с высокой степенью достоверности должны быть помещены в карантин. По умолчанию только администраторы могут управлять сообщениями, помещенными в карантин как вредоносные программы или фишинг с высокой степенью достоверности, а также сообщать майкрософт о ложноположительных результатах из карантина. Дополнительные сведения см. в статье Управление сообщениями и файлами в карантине с правами администратора.

Дополнительная информация

Защита по умолчанию означает, что мы выполняем те же действия для сообщений, которые вы выполняли бы, если бы вы знали, что сообщение было вредоносным, даже если вы настроили исключения, которые в противном случае разрешали бы доставку сообщения. Мы всегда использовали этот подход для вредоносных программ, и теперь мы расширяем этот подход для фишинговых сообщений с высокой степенью достоверности.

Наши данные указывают, что пользователь в 30 раз чаще щелкает вредоносную ссылку в сообщениях в папке "Нежелательная Email" по сравнению с карантином. Наши данные также указывают на низкую частоту ложноположительных результатов (хорошие сообщения помечены как плохие). Администраторы могут разрешать любые ложные срабатывания с помощью отправки администратором.

Мы также определили, что список разрешенных отправителей и разрешенных доменов в политиках защиты от нежелательной почты, а безопасные отправители в Outlook слишком широки и причиняют больше вреда, чем пользы.

Иными словами, как служба безопасности, мы действуем от вашего имени, чтобы предотвратить компрометацию пользователей.

Исключения

Рекомендуется использовать переопределения только в следующих сценариях:

• Имитация фишинга. Имитация атак помогает выявить уязвимых пользователей до того, как реальная атака повлияет на вашу организацию. Чтобы предотвратить фильтрацию сообщений имитации фишинга, см. статью Настройка симуляции фишинга сторонних поставщиков в расширенной политике доставки.
• Почтовые ящики security/SecOps: выделенные почтовые ящики, используемые командами безопасности для получения нефильтрованных сообщений (как хороших, так и плохих). Затем Команды могут проверить, содержат ли они вредоносное содержимое. Дополнительные сведения см. в разделе Настройка почтовых ящиков SecOps в расширенной политике доставки.
• Фильтры, не относящиеся к корпорации Майкрософт. Защита по умолчанию применяется только в том случае, если запись MX для вашего домена указывает на Microsoft 365 (например, contoso.mail.protection.outlook.com). Если запись MX для вашего домена указывает на службу или устройство, не являющуюся корпорацией Майкрософт, следующие сценарии могут привести к доставке сообщений, обнаруженных политиками защиты от нежелательной почты как фишинг с высокой достоверностью.
  • Правила обмена потоками почты для обхода фильтрации нежелательной почты.
  • Отправители, указанные в списке надежных отправителей в почтовых ящиках пользователей.
  • Разрешить записи в списке разрешенных и заблокированных клиентов.
  • Отправители, указанные в списке разрешенных отправителей и в списке разрешенных доменов в политиках защиты от нежелательной почты.
• Ложные срабатывания. Чтобы временно разрешить определенные сообщения, заблокированные Microsoft 365, используйте отправку администратора. По умолчанию разрешены записи для доменов и адресов электронной почты, файлов и URL-адресов в течение 30 дней. В течение этих 30 дней корпорация Майкрософт учится на разрешенных записях и удаляет их или автоматически расширяет их. По умолчанию срок действия записей для подделанных отправителей не истечет.