Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны рекомендации по Exchange Online для обеспечения безопасности и соответствия требованиям в образовательных учреждениях.
Sender Policy Framework
Платформа политики отправителей (SPF) — это метод проверки подлинности электронной почты, который помогает проверить почту, отправленную из вашей организации Microsoft 365, чтобы предотвратить подделанных отправителей. SPF использует запись TXT в DNS для определения допустимых источников почты. Для домена "onmicrosoft.com" корпорация Майкрософт уже настроила эту платформу.
Запись SPF для личного домена, например "contoso.com", используя только настройку Exchange Online (не гибридную), запись SPF: v=spf1 include:spf.protection.outlook.com –all
Настройте SPF для определения допустимых источников электронной почты для домена Microsoft 365.
Почта, определяемая domainKeys
DomainKeys Identified Mail (DKIM) позволяет добавлять цифровые подписи в сообщения электронной почты в заголовке сообщения. Как и SPF, DKIM использует записи DNS. DKIM должен быть включен для всех доменов.
Настройте DKIM для подписи почты из домена Microsoft 365.
Проверка подлинности сообщений на основе домена
Проверка подлинности сообщений на основе домена (DMARC) проверяет подлинность отправителей и гарантирует, что целевые почтовые системы могут проверять сообщения. DMARC должен быть опубликован для всех доменов второго уровня. DMARC определяет поведение при сбое SPF и DKIM и должно быть установлено на сбой (p=reject). DMARC также настраивается с помощью записей DNS.
Настройте DMARC для проверки домена от адреса для отправителей в Microsoft 365.
Проверка подлинности по протоколу простого протокола передачи почты
Проверка подлинности по протоколу SMTP иногда используется приложениями за пределами Outlook, которые отправляют сообщения электронной почты, так как эти приложения могут не использовать MFA. По возможности рекомендуется отключить проверку подлинности SMTP.
Включение или отключение отправки SMTP с проверкой подлинности клиента (SMTP AUTH) в Exchange Online
Общий доступ к контактам и календарю
Папки контактов не должны быть общими для всех доменов.
Сведения о календаре не должны предоставляться всем доменам.
В EAC перейдите к разделу Организация / Общий доступ / Индивидуальный общий доступ. Для всех политик выберите Управление доменами , а для всех правил общего доступа убедитесь, что параметр Общий доступ со всеми доменами не выбран.
Предупреждения внешнего отправителя
Рекомендуется, чтобы все входящие внешние сообщения были легко определены как таковые путем добавления в строку темы [EXTERNAL] и /или заголовка в тексте сообщения. Получатели оповещений о том, что сообщение электронной почты, которое они получают, от внешней сущности, должны повысить осведомленность о попытках фишинга.
Существует два варианта пометки сообщений электронной почты от внешних отправителей, что делает их мгновенно узнаваемыми. Во-первых, это правило потока почты, которое, например, добавляет в поле темы значение [EXTERNAL].
Защита от потери данных
Настройте политики защиты от потери данных (DLP) в Purview для Exchange Online. Эти политики гарантируют, что информация, конфиденциальная для организации, не выдается по электронной почте. Например, рекомендуется использовать политику, которая блокирует отправку персональных данных по электронной почте, которая может быть обязательным требованием вашей организации.
Условия и действия защиты от потери данных для Exchange Online.
Типы файлов вложений
Используйте общие фильтры вложений в Defender, чтобы фильтровать сообщения электронной почты по типу файла вложений, например exe, cmd, ps1, ve и других файлов типа "нажми и запускай".
Сканирование вредоносных программ
Используйте Microsoft Defender для поиска вредоносных программ. Обнаруженные вредоносные программы должны быть удалены, а не помещены в карантин.
Защита от фишинга
Определите политики, включая автоматическую очистку нулевого часа (ZAP), защиту от фишинга и защиту олицетворения в Defender для Office 365 (MDO) и Exchange Online Protection (EOP).
Списки разрешенных IP-адресов
Хотя Microsoft Defender поддерживает создание списков разрешенных IP-адресов и списков безопасности для отправителей электронной почты, эти списки не следует использовать, так как они обходят защиту SPF, DKIM и DMARC.
Аудит почтовых ящиков и ведение журнала аудита
Политика аудита по умолчанию регистрирует определенные действия администратора и не должна быть отключена.
Кроме того, регистрируется активность пользователей из служб Microsoft 365, которую необходимо включить, чтобы обеспечить реагирование на инциденты и обнаружение угроз.
Защита от входящего спама
Фильтры нежелательной почты в Microsoft Defender должны быть включены, перемещены в папку нежелательной почты или помещены в карантин. Однако разрешенные домены не следует добавлять в политики защиты от нежелательной почты для входящего трафика.
Защита связи
Защита от вредоносных ссылок в электронной почте обеспечивает сравнение URL-адресов с списком блокировок. Кроме того, необходимо проверить прямые ссылки для скачивания на наличие вредоносных программ, а также включить отслеживание щелчков пользователей по вредоносным ссылкам.
Дальнейшие действия
Теперь, когда вы завершили Exchange Online раздел соответствия требованиям, вы можете перейти к последнему разделу в Exchange Online для общих почтовых ящиков, адресных книг и клиентов.