Часто задаваемые вопросы — защита от нежелательной почты

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Область применения

В этой статье содержатся часто задаваемые вопросы и ответы о защите от нежелательной почты для организаций Microsoft 365 с облачными почтовыми ящиками.

Вопросы и ответы, связанные в карантине, см. в статье Quarantine FAQ.

Вопросы и ответы о защите от вредоносных программ см. в разделе Часто задаваемые вопросы: Защита от вредоносных программ.

Вопросы и ответы о защите от спуфингов см. в статье Защита от спуфингом: вопросы и ответы.

Что происходит с сообщением, которое обнаруживается как спам, по умолчанию?

  • Входящие сообщения: Большая часть спама обнаруживается с помощью фильтрации подключений на границе службы, основанной на IP-адресе исходного почтового сервера. Политики защиты от нежелательной почты (также известные как политики фильтрации спама или политики фильтрации содержимого) проверяют и классифицируют сообщения как массовые, спам, спам с высоким уровнем достоверности, фишинг или фишинг с высокой достоверностью.

    Политики защиты от нежелательной почты используются в Standard и строгих предустановленных политиках безопасности. Вы можете создать настраиваемые политики защиты от нежелательной почты, которые применяются к определенным группам пользователей. Существует также политика защиты от нежелательной почты по умолчанию, которая применяется ко всем получателям, которые не указаны в предустановленных политиках безопасности Standard и Strict или в пользовательских политиках.

    По умолчанию сообщения, которые определены как спам, перемещаются в папку "Нежелательная Email" с помощью предустановленной политики безопасности Standard, настраиваемых политик защиты от нежелательной почты (можно настроить) и политики защиты от нежелательной почты по умолчанию (настраиваемой). В предустановленной политике безопасности строгая политика нежелательной почты помещаются в карантин.

    Дополнительные сведения см. в разделах Настройка политик защиты от нежелательной почты и Рекомендуемые параметры политики защиты от нежелательной почты.

    Важно!

    В средах, где встроенные функции безопасности для всех облачных почтовых ящиков защищают локальные почтовые ящики Exchange, необходимо настроить правила потока обработки почты Exchange (также известные как правила транспорта) в локальной организации Exchange, чтобы распознавать решения фильтрации спама из облака. Дополнительные сведения см. в статье Доставка обнаруженной в облаке нежелательной почты в папку "Нежелательная Email" в локальных почтовых ящиках.

    После создания правила в Microsoft 365 вручную в соответствии с правилом в локальной среде Exchange правило реплицируется в гибридных средах.

  • Исходящие сообщения: Сообщение либо направляется через пул доставки с высоким риском , либо возвращается отправителю в отчете о недоставке (также известном как сообщение о недоставке или отказе). Дополнительные сведения см. в разделе Защита от исходящего спама.

Что такое вариант нежелательной почты нулевого дня и как она обрабатывается службой?

Вариант спама нулевого дня — это первое поколение, ранее неизвестный вариант спама, который никогда не был захвачен или проанализирован, поэтому наши фильтры защиты от нежелательной почты пока не могут обнаружить его. После сбора и анализа пробы спама нулевого дня нашими аналитиками спама, если она соответствует критериям классификации спама, наши фильтры защиты от спама обновляются, чтобы обнаружить его, и он больше не считается "нулевым днем".

Примечание.

Если вы получили сообщение, которое может быть вариантом нежелательной почты нулевого дня, чтобы помочь нам улучшить службу, отправьте сообщение в корпорацию Майкрософт с помощью одного из методов, описанных в разделе Отправка сообщений и файлов в Корпорацию Майкрософт.

Необходимо ли настраивать службу, чтобы включить защиту от нежелательной почты?

Нет. Политика защиты от нежелательной почты по умолчанию защищает всех текущих и будущих получателей облака в организации Microsoft 365 после регистрации в службе и добавления домена.

Администратор может использовать следующие методы для дальнейшего улучшения защиты от нежелательной почты:

  • Добавьте пользователей в Standard и предустановленные политики безопасности Strict.
  • Измените параметры фильтрации нежелательной почты по умолчанию в политике защиты от нежелательной почты по умолчанию.
  • Создайте политики защиты от нежелательной почты, которые применяются к указанным пользователям, группам или доменам в вашей организации.

Дополнительные сведения см. в следующих статьях:

Если изменить политику защиты от нежелательной почты, сколько времени потребуется для того, чтобы изменения вступили в силу?

После сохранения изменений может потребоваться до 1 часа.

Если изменить группу рассылки, которая используется для область политики защиты от нежелательной почты, сколько времени потребуется, чтобы изменения вступили в силу для добавленных или удаленных участников группы?

Эта задержка не вызвана задержкой обновления политики. Скорее задержка вызвана задержкой расширения членства в группах и кэширования. Объекты правил для защиты от нежелательной почты и других правил политики угроз используют тот же механизм правил, который используется правилами потока обработки почты Exchange (также называемыми правилами транспорта), и, следовательно, наследуют одно и то же поведение оценки членства в группах.

При изменении членства в группах применяются две задержки:

  • Синхронизация изменений групп с Microsoft Entra на Exchange Online может занять до 2 часов.
  • Обновление кэшированного членства в группе в подсистеме правил транспорта может занять до 3 часов.

Хотя большинство изменений членства в группах отражаются в течение 2 часов, в худших случаях совокупная задержка может составлять до 5 часов. Если изменение политики должно быстро вступить в силу для конкретного пользователя, область политику отдельным лицам, а не группам.

Включается ли функция массовой фильтрации почты автоматически?

Обеспечивает ли служба фильтрацию URL-адресов?

Да, служба имеет фильтр URL-адресов, который проверяет URL-адреса в сообщениях. При обнаружении URL-адресов, связанных с известной нежелательной почтой или вредоносным содержимым, сообщение помечается как спам.

Клиенты с Microsoft Defender для Office 365 лицензий также получают защиту от безопасных ссылок. Дополнительные сведения см. в разделе Безопасные ссылки в Microsoft Defender для Office 365.

Как клиенты Microsoft 365 могут отправлять в корпорацию Майкрософт ложноположительные (плохие) и ложноотрицающие (хорошие) сообщения?

Можно ли получать отчеты о нежелательной почте?

Кто-то послал мне сообщение, и я не могу его найти. Я думаю, что, возможно, оно было распознано как нежелательная почта. Есть ли какое-нибудь средство, которое поможет найти это сообщение?

Да, средство трассировки сообщений позволяет отслеживать сообщения электронной почты по мере их прохождения через службу, чтобы узнать, что с ними произошло. Дополнительные сведения о том, как использовать средство трассировки сообщений, чтобы узнать, почему сообщение было помечено как спам, см. в статье Было ли сообщение помечено как спам?.

Ограничивает ли служба (ограничение скорости) мою почту, если пользователи отправляют исходящий спам?

Если более половины сообщений электронной почты, отправленных пользователем в течение определенного периода времени (например, за час), определяется как спам, пользователь блокирует отправку сообщений. В большинстве случаев исходящий спам направляется через пул доставки с высоким риском, что снижает вероятность добавления пула обычных исходящих IP-адресов в списки блокировок.

Уведомления отправляются автоматически, если пользователи блокируются из-за отправки исходящего спама или превышения ограничений на отправку. Дополнительные сведения см. в разделе Защита от исходящего спама.

Можно ли использовать сторонний поставщик защиты от нежелательной почты и вредоносных программ с Microsoft 365?

Да. Хотя рекомендуется указать запись MX непосредственно корпорации Майкрософт, мы понимаем, что есть законные бизнес-причины для перенаправления электронной почты в другое место, чем майкрософт.

  • Входящие. Измените записи MX, чтобы они указывали на поставщика сторонних поставщиков, который затем направляет сообщения в Microsoft 365 для доставки. Дополнительные сведения см. в статье Расширенная фильтрация соединителей в Exchange Online.
  • Исходящий трафик. Настройте маршрутизацию интеллектуальных узлов из Microsoft 365 к целевому поставщику, не относящемуся к корпорации Майкрософт.

Есть ли у корпорации Майкрософт какая-либо документация о том, как защитить себя от фишинговых сообщений?

При анализе нежелательных и вредоносных сообщений определяется их отправитель или они передаются в правоохранительные органы?

Служба фокусируется на обнаружении и удалении спама и вредоносных программ, хотя иногда мы можем расследовать особенно опасные или разрушительные кампании и преследовать виновных. Это может включать в себя работу с нашими юридическими и цифровыми подразделениями по борьбе с преступностью, чтобы снять ботнет, заблокировать использование службы спама (если они используют ее для отправки исходящей электронной почты) и передать информацию правоохранительным органам для уголовного преследования.

Какие рекомендации для исходящей почты помогают обеспечить доставку почты?

Рекомендации по отправке исходящих сообщений электронной почты в статье Внешние отправители — устранение неполадок электронной почты, отправленной в Microsoft 365 , и следующие рекомендации.

  • Исходный домен электронной почты должен разрешаться в DNS. Например, если отправитель user@fabrikam, домен fabrikam разрешается на IP-адрес 192.168.43.10.

    Если у отправляющего домена нет A-записи и записи MX в DNS, служба направляет сообщение через пул доставки с более высоким риском независимо от содержимого сообщения. Дополнительные сведения о пуле доставки с высоким риском см. в разделе Пул доставки с высоким риском для исходящих сообщений.

  • Исходный почтовый сервер должен иметь обратную запись DNS (PTR): например, если ip-адрес источника электронной почты — 192.168.43.10, обратная запись DNS будет иметь значение 43-10.any.icann.org.

  • Команды HELO/EHLO и MAIL FROM должны быть согласованными, присутствовать и использовать доменное имя, а не IP-адрес. Команда HELO/EHLO должна быть настроена так, чтобы она соответствовала обратному DNS отправляющего IP-адреса. Этот параметр позволяет гарантировать, что домен остается неизменным в разных частях заголовков сообщений.

  • Убедитесь, что в DNS настроены правильные записи SPF: записи SPF являются механизмом проверки того, что почта, отправленная из домена, действительно поступает из этого домена и не подделываются. Дополнительные сведения о записях SPF см. по следующим ссылкам.

  • Подписывание электронной почты с помощью DKIM, подписывание с помощью неограниченной канонизации. Если отправитель хочет подписать свои сообщения с помощью почты, идентифицированной ключами домена (DKIM), и он хочет отправить исходящую почту через службу, он должен подписать с помощью алгоритма канонизации заголовка. Подписывание с помощью строгой канонизации заголовков может привести к аннулированию подписи при прохождении через службу.

  • Владельцы домена должны иметь точную информацию в базе данных WHOIS. Эта конфигурация определяет владельцев домена и способ связи с ними путем ввода стабильной родительской компании, точки связи и серверов имен.

  • Формат исходящих сообщений. Когда сообщения создают отчеты о недоставке (также известные как NDR или отказ сообщений), отправители должны следовать формату отказов, как указано в RFC 3464.

  • Удаление неисправных адресов электронной почты для несуществующих пользователей. Если вы получаете недоставку о том, что адрес электронной почты больше не используется, удалите несуществующий псевдоним электронной почты из списка. Со временем адреса электронной почты изменяются, а иногда люди отказываются от них.

  • Используйте программу Outlook.com служб интеллектуальной сетевой передачи данных (SNDS). Дополнительные сведения см. в разделе Интеллектуальная сетевая служба данных.

Разделы справки отключить фильтрацию спама?

Если вы используете службу защиты сторонних разработчиков или устройство для сканирования электронной почты перед ее доставкой в Microsoft 365, вы можете использовать правило потока обработки почты (также известное как правило транспорта), чтобы обойти фильтрацию нежелательной почты для входящих сообщений. Инструкции см . в статье Использование правил потока обработки почты для установки уровня достоверности нежелательной почты (SCL) в сообщениях. Проверку на наличие вредоносных программ и фишинговых сообщений с высокой степенью достоверности нельзя пропустить.

Если вы используете службу защиты сторонних разработчиков или устройство для сканирования электронной почты перед доставкой в Microsoft 365, следует также включить расширенную фильтрацию для соединителей (также известную как пропустить список), чтобы функции обнаружения, создания отчетов и исследований в Microsoft 365 могли правильно определять источники сообщений. Дополнительные сведения см. в разделе Расширенная фильтрация для соединителей.

Если вам нужно обойти фильтрацию нежелательной почты для почтовых ящиков SecOps или имитаций фишинга, не используйте правила потока почты. Дополнительные сведения см. в статье Настройка доставки сторонних симуляций фишинга пользователям и нефильтрованных сообщений в почтовые ящики SecOps.

Почему моя законная электронная почта помечена как спам?

По нескольким причинам допустимое сообщение электронной почты может быть неправильно помечено как спам ( ложноположительный результат). В следующей таблице описаны наиболее распространенные причины и что с ними делать.

Причина Сведения Решение
сбой проверки подлинности Email Сообщение не удалось проверить SPF, DKIM или DMARC, что привело к сбою составной проверки подлинности (compauth). Microsoft 365 обрабатывает сообщения, не прошли проверку подлинности, с большим подозрением. Убедитесь, что SPF, DKIM и DMARC правильно настроены для отправляющего домена.
Репутация отправителя Отправляющий IP-адрес или домен имеет плохую репутацию из-за исторических жалоб на спам, записей в списке блокировок или низкого объема отправки. Проверьте, находится ли ОТПРАВляющий IP-адрес в списках блокировок сторонних корпораций. Убедитесь, что IP-адрес отправителя имеет действительную обратную запись DNS (PTR). Если отправитель является внешним, попросите его проверка свою репутацию в Microsoft SNDS.
Триггеры содержимого сообщения Текст сообщения, тема или вложения содержат характеристики, связанные со спамом. Например, вы можете:
  • Чрезмерное количество ссылок
  • Средства сокращения URL-адресов
  • Теги форм
  • Внедренные скрипты
  • Содержимое только для изображений
Просмотрите содержимое сообщения. Проверьте, включены ли какие-либо параметры расширенного фильтра нежелательной почты (ASF) в соответствующей политике защиты от нежелательной почты, которая может помечать содержимое. Например, вы можете:
  • Пустые сообщения
  • Теги Embed в HTML
  • JavaScript или VBScript в HTML
Пороговое значение уровня массовой жалобы (BCL) Сообщение было классифицировано как массовое , так как BCL отправителя выполнил или превысил пороговое значение, настроенное в политике защиты от нежелательной почты. Массовая почта (также известная как серая почта) включает информационные бюллетени, рекламные акции и маркетинговые сообщения, на которые пользователь ранее согласился. Массовая почта не совпадает со спамом. См. статью Как исправить массовое использование электронной почты в папку Нежелательная Email? в этой статье.
Переопределения пользователей или организаций Правило потока обработки почты Exchange (правило транспорта), политика защиты от нежелательной почты или список заблокированных отправителей Outlook настроены для обработки отправителя или домена как спама.
  • Ознакомьтесь с правилами потока обработки почты на странице Правила в Центре администрирования Exchange по адресу https://admin.exchange.microsoft.com/#/transportrules.
  • Проверьте применимую политику защиты от нежелательной почты для заблокированных отправителей и доменов.
  • Попросите пользователя проверка список заблокированных отправителей в Outlook.
Помехи фильтрации сторонних корпораций Служба безопасности электронной почты сторонних поставщиков направляет сообщения в Microsoft 365, но исходные IP-адреса будут потеряны. Microsoft 365 оценивает IP-адрес посредника вместо истинного источника, что может привести к сбоям SPF и проверки подлинности. Настройте расширенную фильтрацию для соединителей (также известный как пропустить список) для входящего соединителя, чтобы сохранить исходный IP-адрес.

Как исследовать ложноположительный результат

  1. Изучите заголовки сообщений: просмотрите X-Forefront-Antispam-Report заголовок для уровня достоверности спама (SCL), уровня массовой жалобы (BCL) и решения фильтрации. Проверьте заголовок Authentication-Results для результатов SPF, DKIM и DMARC.

    Дополнительные сведения о интерпретации заголовков защиты от нежелательной почты см. в разделе Заголовки сообщений защиты от нежелательной почты.

  2. Использование трассировки сообщений. В Центре администрирования Exchange перейдите в разделТрассировкасообщений потока> почты, чтобы отследить сообщение и узнать, какое правило фильтрации или политика помечают его.

  3. Ознакомьтесь с Обозреватель угроз или обнаружением в режиме реального времени (требуется Microsoft Defender для Office 365). Используйте Обозреватель угроз, чтобы найти сообщение и просмотреть сведения о технологии обнаружения, доставке и переопределении.

  4. Отправьте сообщение в корпорацию Майкрософт: сообщите о ложном срабатывании в корпорацию Майкрософт для анализа. Для получения дополнительной информации см. Отчет о сообщениях и файлах в Microsoft.

Предотвращение ложных срабатываний в будущем

Предостережение

Списки разрешений создают высокий риск успешной доставки злоумышленниками вредоносных сообщений электронной почты, которые в противном случае были бы отфильтрованы. Используйте разрешенные записи осторожно и только при необходимости. Сообщения, помеченные как вредоносные программы или фишинг с высокой степенью достоверности, всегда фильтруются независимо от записей списка разрешенных.

Используйте следующие методы (в порядке предпочтения), чтобы предотвратить пометку допустимых сообщений электронной почты:

  1. Устранение первопричины. Если ложноположительный результат вызван ошибками проверки подлинности, исправьте конфигурацию SPF, DKIM или DMARC. Если это вызвано содержимым, обратитесь к отправителю, чтобы настроить содержимое сообщения.

  2. Сообщите о ложном срабатывании. Используйте страницу Отправки на портале Microsoft Defender, чтобы отправить сообщение в Корпорацию Майкрософт. При необходимости корпорация Майкрософт создает запись разрешения в списке разрешенных и заблокированных клиентов. Дополнительные сведения см. в статье Отчет о хорошей электронной почте в Корпорацию Майкрософт.

  3. Создание записи в списке разрешенных и заблокированных клиентов. Временно разрешите отправителю, домену или URL-адресу во время проверки отправки корпорацией Майкрософт. Дополнительные сведения см. в разделе Список разрешенных и заблокированных клиентов.

  4. Используйте правила потока обработки почты (с осторожностью). Создайте правило потока обработки почты, чтобы задать для SCL значение -1 для сообщений от определенного отправителя, но только в том случае, если вы уверены, что отправитель является допустимым. Дополнительные сведения см . в разделе Использование правил потока обработки почты для задания SCL в сообщениях.

Полное пошаговое руководство см. в статье Как обрабатывать допустимые сообщения электронной почты, которые блокируются (ложноположительные срабатывания).

В чем разница между спамом и спамом с высоким уровнем достоверности?

Фильтрация нежелательной почты Microsoft 365 назначает уровень достоверности нежелательной почты (SCL) каждому входящему сообщению. Сообщения с SCL 5 или 6 классифицируются как спам, а сообщения с SCL 7, 8 или 9 — как спам с высокой достоверностью. Полную разбивку значений SCL и их действия по умолчанию см. в разделе Уровень достоверности нежелательной почты (SCL).

Ключевые различия

Спам (SCL 5-6) Спам с высоким уровнем достоверности (SCL 7-9)
Уровень вероятности Умеренная вероятность нежелательной почты. Высокая вероятность нежелательной почты.
Действие по умолчанию (политика по умолчанию) Перейдите в папку "Нежелательная Email". Перейдите в папку "Нежелательная Email".
Действие по умолчанию (Standard предустановленная политика) Перейдите в папку "Нежелательная Email". Карантин.
Действие по умолчанию (строгая предустановленная политика) Карантин. Карантин.
Переопределения пользователей Пользователи могут получать данные из нежелательной Email и добавлять их в безопасные отправители. Пользователи могут получать данные из Email нежелательной почты (политика по умолчанию) или запрашивать освобождение из карантина (предустановленные политики).
Администратор настраивается Да. Действие можно настроить в политиках защиты от нежелательной почты. Да. Действие можно настроить в политиках защиты от нежелательной почты.
Общие триггеры Шаблоны рекламного контента, подозрительные ссылки, низкая репутация отправителя. Известные подписи нежелательной почты, фишинговые характеристики, внедренные скрипты, совпадения правил ASF (например, пустые сообщения, теги форм, JavaScript в HTML).

Действие для вердиктов спама и спама с высоким уровнем достоверности настраивается в политиках защиты от нежелательной почты. Дополнительные сведения см. в разделах Настройка политик защиты от нежелательной почты и Рекомендуемые параметры политики защиты от нежелательной почты.

Как исправить массовое сообщение электронной почты, отправляемые в папку "Нежелательная Email"?

Массовая электронная почта (также известная как серая почта) включает информационные бюллетени, маркетинговые сообщения и рекламные акции, которые пользователи согласились получать. В отличие от спама, массовая электронная почта обычно от законных отправителей, но характеристики объема и содержимого могут напоминать спам.

Microsoft 365 назначает каждому входящему сообщению уровень жалоб (BCL). Значение BCL колеблется в диапазоне от 0 (маловероятное массовое) до 9 (скорее всего, массовый). Полную разбивку значений BCL см. в разделе Уровень массовой жалобы (BCL).

Если список BCL сообщения соответствует или превышает пороговое значение массовой электронной почты, установленное в применимой политике защиты от нежелательной почты, сообщение обрабатывается как массовое и применяется настроенное действие (по умолчанию переместите в папку Нежелательная Email).

Шаг 1. Определение порогового значения BCL и сообщения BCL

  1. Найдите текущее пороговое значение BCL. Проверьте значение порогового значения массовой электронной почты в применимой политике защиты от нежелательной почты. Пороговые значения BCL по умолчанию для каждого типа политики см. в разделе Уровень массовой жалобы (BCL). Инструкции по просмотру порогового значения см. в статье Открытие аналитических сведений о массовых отправителях на портале Microsoft Defender.

  2. Найдите значение BCL сообщения: проверьте заголовки сообщений и найдите заголовок X-Microsoft-Antispam . Значение BCL: указывает уровень массовой жалобы, назначенный сообщению. Например, вы можете:

    X-Microsoft-Antispam: BCL:5;
    

Шаг 2. Выбор исправления

В зависимости от ситуации используйте один или несколько из следующих методов:

Если в папку "Нежелательная Email" идет слишком много допустимых массовых сообщений, повысьйте пороговое значение BCL в применимой политике защиты от нежелательной почты. Большее значение означает, что меньше сообщений классифицируются как массовые. Вы также можете использовать аналитические сведения о массовых отправителях , чтобы имитировать влияние изменений пороговых значений перед их применением. Дополнительные сведения см . в разделах Настройка массовой электронной почты и Настройка политик защиты от нежелательной почты.

Примечание.

Параметры в Standard или Строгие предустановленные политики безопасности переопределяют настраиваемые параметры политики защиты от нежелательной почты для получателей, включенных в эти политики.

Вариант Б. Изменение действия массовой электронной почты

По умолчанию сообщения, которые соответствуют пороговой массе, перемещаются в папку "Нежелательная Email". Вы можете изменить это действие на Нет, если хотите, чтобы массовое сообщение электронной почты доставлялось в папку "Входящие". Дополнительные сведения см. в статье Настройка политик защиты от нежелательной почты.

  • Microsoft Defender портале. В политике>> защиты от нежелательной почты для параметра Уровень удовлетворенной или превышенной жалобы (BCL) установите значение Нет действия или другое предпочтительное действие.

  • PowerShell:

    Set-HostedContentFilterPolicy -Identity "<Policy Name>" -BulkSpamAction NoAction
    

Вариант В. Разрешить отправку определенных массовых отправителей

Если проблема ограничена определенным отправителем:

  1. Уровень организации. Сообщите сообщение как не нежелательное. Используйте страницу Отправки на портале Microsoft Defender по адресу, https://security.microsoft.com/reportsubmission чтобы сообщить о сообщении как ложноположительное. Во время отправки можно также создать запись разрешения для отправителя в списке разрешенных и заблокированных клиентов. Дополнительные сведения см. в статье Отчет о хорошей электронной почте в Корпорацию Майкрософт.

  2. Уровень пользователя. Добавление в безопасные отправители. Пользователь может добавить отправителя в список надежных отправителей в Outlook или Outlook в Интернете. Сообщения от надежных отправителей не доставляются в папку "Нежелательная Email". Дополнительные сведения см. в статье Использование фильтров нежелательной Email для управления видимых сообщений.

    Администраторы могут использовать PowerShell для добавления отправителей в список надежных отправителей в облачных почтовых ящиках. Дополнительные сведения см. в разделе Настройка коллекции списков безопасности в почтовом ящике.

    Предостережение

    Не добавляйте домены в списки надежных отправителей. Затем злоумышленники могут успешно доставить электронную почту из тех доменов, которые в противном случае будут отфильтрованы.

Вариант D. Использование папки "Рекламные акции" (предварительная версия)

Если это доступно в вашей организации, вы можете направить массовую электронную почту, которая ниже порогового значения BCL, в выделенную папку Рекламные акции , а не папку "Входящие".

Дополнительные сведения см. в статье Доставка массовой почты ниже порогового значения BCL в папку Рекламные акции.

Вариант E. Использование аналитических сведений о массовых отправителях

Используйте аналитические сведения о массовых отправителях на портале Microsoft Defender, чтобы определить основных отправителей, отправляющих почту в вашу организацию. Эта аналитика помогает определить, для каких отправителей следует разрешать, блокировать или настраивать пороговые значения.

Дополнительные сведения см. в статье Аналитика массовых отправителей.

Рабочий процесс диагностики

Используйте следующий рабочий процесс для диагностики и устранения проблем с массовой маршрутизацией электронной почты:

Is the email going to Junk Email folder?
│
├─ Yes → Check message headers for BCL value
│        │
│        ├─ BCL ≥ threshold → Message classified as Bulk
│        │   │
│        │   ├─ Raise BCL threshold in anti-spam policy (Option A)
│        │   ├─ Change Bulk action to No action (Option B)
│        │   └─ Allow specific sender (Option C)
│        │
│        └─ BCL < threshold → Not a bulk issue; check SCL value
│            │
│            ├─ SCL 5-6 → Classified as Spam (see "Why was my legitimate email flagged as spam?")
│            └─ SCL 7-9 → Classified as High confidence spam
│
└─ No → Email is delivering correctly