Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
Все организации с облачными почтовыми ящиками предлагают несколько способов разрешения входящего сообщения электронной почты от доверенных отправителей. В совокупности эти параметры можно рассматривать как списки разрешений.
В следующем списке приведены доступные методы, позволяющие разрешить отправителей, в порядке от наиболее рекомендуемых к наименее рекомендуемым.
- Разрешить добавление записей для доменов и адресов электронной почты (включая подменённых отправителей) в список разрешений и блокировок клиента.
- Правила потока обработки почты для обмена (также известные как правила транспорта).
- Безопасные отправители Outlook (список надежных отправителей в каждом почтовом ящике, который влияет только на этот почтовый ящик).
- Список разрешенных IP-адресов в политике фильтра подключений по умолчанию.
- Списки разрешенных отправителей или списки разрешенных доменов в политиках защиты от нежелательной почты.
В следующих разделах подробно описан каждый метод формирования списка разрешений, включая Список разрешений и блокировок клиента, правила обработки почтового потока, список надежных отправителей Outlook, список разрешенных IP-адресов, а также списки разрешенных отправителей или доменов в политиках защиты от нежелательной почты.
Важно!
Сообщения, которые идентифицируются как вредоносные программы* или фишинг с высокой достоверностью, всегда помещаются в карантин, независимо от используемого параметра списка разрешений. Дополнительные сведения см. в статье Защита по умолчанию в Office 365.
* Фильтрация вредоносных программ не выполняется для почтовых ящиков SecOps, указанных в расширенной политике доставки. Дополнительные сведения см. в статье Настройка расширенной политики доставки для моделирования фишинга сторонних поставщиков и доставки электронной почты в почтовые ящики SecOps.
Внимательно следите за любыми исключениями фильтрации нежелательной почты с помощью разрешенных отправителей или списков разрешенных доменов.
Всегда отправляйте сообщения из списков разрешений в корпорацию Майкрософт для анализа. Инструкции см. в статье Отчет о хорошем сообщении электронной почты в Корпорацию Майкрософт. Если сообщения или источники сообщений считаются безопасными, корпорация Майкрософт может автоматически прекратить блокировку сообщений, и вам не нужно вручную поддерживать записи в ваших списках разрешений.
Вместо того чтобы разрешать электронную почту, вы также можете заблокировать электронную почту из определенных источников с помощью списков заблокированных отправителей. Дополнительные сведения см. в статье Создание списков блокировок отправителей.
Использование разрешенных записей в списке разрешенных и заблокированных клиентов
Наиболее рекомендуемый нами способ разрешить сообщения электронной почты от отправителей и доменов — использовать Список разрешений и блокировок клиента. Инструкции см. в разделах Создание разрешенных записей для доменов и адресов электронной почты и Создание разрешенных записей для подделанных отправителей.
Рассматривайте другие способы добавления в список разрешённых (правила обработки почтового потока, список надежных отправителей Outlook, список разрешённых IP-адресов или списки разрешённых отправителей и доменов в политиках защиты от нежелательной почты) только в том случае, если вы по какой-либо причине не можете использовать записи в списке разрешений и блокировок клиента.
Использование правил потока обработки почты
Примечание.
Вы не можете использовать заголовки сообщений и правила потока обработки почты для назначения внутреннего отправителя в качестве безопасного отправителя. Процедуры, описанные в этом разделе, работают только для внешних отправителей.
Правила потока обработки почты в Exchange Online используют условия и исключения для идентификации сообщений, а также действия, указывающие, что следует делать с этими сообщениями. Дополнительные сведения см. в статье Mail flow rules (transport rules) in Exchange Online.
В следующем примере предполагается, что вам нужна электронная почта от contoso.com, чтобы пропустить фильтрацию нежелательной почты. Настройте указанные ниже параметры.
Примените это правило, если (условие): домен отправителя>—> contoso.com.
Настройте один из следующих параметров:
Примените это правило, если (дополнительное условие): заголовки> сообщенийсодержат любое из следующих слов:
-
Введите текст (имя заголовка):
Authentication-Results -
Введите слова (значение заголовка):
dmarc=passилиdmarc=bestguesspass(добавьте оба значения).
Это условие проверяет статус аутентификации электронной почты для домена отправителя, чтобы убедиться, что домен отправителя не подменяется. Дополнительные сведения о проверке подлинности по электронной почте см. в разделе проверка подлинности Email.
-
Введите текст (имя заголовка):
Список разрешенных IP-адресов. Укажите исходный IP-адрес или диапазон адресов в политике фильтра подключений по умолчанию. Инструкции см. в разделе Настройка фильтрации подключений.
Используйте этот параметр, если отправляя домен не использует проверку подлинности по электронной почте. Будьте максимально строгими, когда дело доходит до исходных IP-адресов в списке разрешенных IP-адресов. Рекомендуется использовать диапазон IP-адресов /24 или меньше (лучше меньше). Не используйте диапазоны IP-адресов, принадлежащие службам потребителей (например, outlook.com) или общей инфраструктуре.
Важно!
Никогда не настраивайте правила обработки почтового потока, где единственным условием для обхода фильтрации нежелательной почты является домен отправителя. Это значительно повышает вероятность того, что злоумышленники могут:
- Подменить домен отправителя (или выдать себя за владельца полного адреса электронной почты).
- Пропустите фильтрацию нежелательной почты.
- Пропустите проверки проверки подлинности отправителя, чтобы сообщение поступило в папку "Входящие" получателя.
Не используйте домены, принадлежащие вам (также известные как обслуживаемые домены) или популярные домены (например, microsoft.com) в качестве условий в правилах потока обработки почты. Это позволяет злоумышленникам отправлять сообщения электронной почты, которые в противном случае будут отфильтрованы.
Если вы добавляете IP-адрес, находящийся за шлюзом трансляции сетевых адресов (NAT), в список разрешённых, необходимо знать все серверы, входящие в пул NAT. IP-адреса и участники NAT могут изменяться. Периодически проверяйте записи в списке разрешённых IP-адресов в рамках стандартного технического обслуживания.
Необязательные условия:
- Отправитель>является внутренним или внешним>За пределами организации. Это условие неявно, но его можно использовать для учета локальных почтовых серверов, которые могут быть неправильно настроены.
- Тема или текст>тема или текст включает любое из этих слов><ключевые> слова. Если вы можете дополнительно ограничить сообщения ключевыми словами или фразами в строке темы или тексте сообщения, эти слова можно использовать в качестве условия.
Выполните следующие действия: Настройте в правиле оба указанных ниже действия:
Изменение свойств> сообщенияустановка уровня достоверности нежелательной почты (SCL)>Обход фильтрации нежелательной почты.
Изменение свойств> сообщениязадайте заголовок сообщения:
-
Введите текст (имя заголовка): например,
X-ETR. -
Введите слова (значение заголовка): например,
Bypass spam filtering for authenticated sender 'contoso.com'.
Для правила потока обработки почты, включающего несколько доменов, можно настроить текст заголовка соответствующим образом.
-
Введите текст (имя заголовка): например,
Когда сообщение обходит фильтрацию нежелательной почты из-за правила обработки почтового потока, в заголовке SFV:SKN проставляется значение . Если сообщение получено из источника, который находится в списке разрешенных IP-адресов, значение IPV:CAL также добавляется. Эти значения помогут вам устранить неполадки.
Использование безопасных отправителей Outlook
Предостережение
Этот метод создает высокий риск успешной доставки электронной почты злоумышленниками, которые в противном случае были бы отфильтрованы. Сообщения, определенные как вредоносные программы или фишинг с высокой степенью достоверности, фильтруются. Дополнительные сведения см. в разделе Конфликт параметров пользователей и организации.
Вместо параметра организации пользователи или администраторы могут добавить адреса электронной почты отправителя в список надежных отправителей в почтовом ящике. Записи списка надежных отправителей в почтовом ящике влияют только на этот почтовый ящик. Инструкции пользователя см. в разделе "Добавление получателей сообщений электронной почты в список надежных отправителей". Инструкции администратора см. в разделе "Настройка параметров нежелательной почты" в облачных почтовых ящиках.
Этот метод не рекомендуется в большинстве случаев, так как отправители обходят части стека фильтрации. Хотя вы доверяете отправителю, он по-прежнему может быть скомпрометирован и отправлен вредоносное содержимое. Вы должны позволить нашим фильтрам проверять каждое сообщение, а затем сообщить в Microsoft о ложноположительном или ложноотрицательном результате, если мы ошиблись. Обход стека фильтрации также нарушает работу автоматической очистки при нулевом часе (ZAP). Если записи списка разрешений не работают должным образом, см. статью Устранение распространенных проблем с политикой защиты от нежелательной почты.
Когда фильтрация сообщений на спам пропускается из-за записей в списке безопасных отправителей пользователя, поле заголовка X-Forefront-Antispam-Report содержит значение SFV:SFE, что означает, что была пропущена фильтрация спама, подмены и фишинга (кроме фишинга с высокой степенью достоверности).
- В Exchange Online то, будут ли работать записи в списке надежных отправителей, зависит от вердикта и действия в политике, которая обнаружила это сообщение:
- Перемещение сообщений в папку "Нежелательная почта": записи доменов и адресов электронной почты отправителей учитываются. Сообщения от этих отправителей не перемещаются в папку Нежелательная Email.
-
Карантин. Записи домена не учитываются (сообщения от этих отправителей помещаются в карантин). Записи адресов электронной почты учитываются (сообщения от этих отправителей не отправляются на карантин), если выполняется одно из следующих условий:
- Сообщение не идентифицируется как вредоносное ПО или фишинг с высокой достоверностью (вредоносные и фишинговые сообщения с высокой степенью достоверности помещаются в карантин).
- Адрес электронной почты, URL-адрес или файл в сообщении электронной почты также не указан в записи блока в списке разрешенных и заблокированных клиентов.
- Записи для заблокированных отправителей и заблокированных доменов учитываются (сообщения от этих отправителей перемещаются в папку Нежелательная Email). Параметры списка безопасной рассылки игнорируются.
Использование списка разрешенных IP-адресов в политике фильтра подключений по умолчанию
Предостережение
Без другой проверки (например, с помощью правил потока обработки почты) электронная почта из источников в списке разрешенных IP-адресов пропускает фильтрацию нежелательной почты и проверку подлинности электронной почты отправителя (SPF, DKIM и DMARC). Этот метод создает высокий риск успешной доставки электронной почты злоумышленниками, которые в противном случае были бы отфильтрованы. Сообщения, определенные как вредоносные программы или фишинг с высокой степенью достоверности, фильтруются. Дополнительные сведения см. в разделе Конфликт параметров пользователей и организации.
Вы также можете добавить исходные почтовые серверы в список разрешенных IP-адресов в политике фильтра подключений по умолчанию. Дополнительные сведения см. в разделе Настройка фильтрации подключений.
- Важно свести число разрешенных IP-адресов к минимуму, поэтому по возможности не используйте целые диапазоны IP-адресов.
- Не используйте диапазоны IP-адресов, принадлежащие службам потребителей (например, outlook.com) или общей инфраструктуре.
- Регулярно просматривайте записи в списке разрешенных IP-адресов и удаляйте ненужные.
Использование списков разрешенных отправителей или списков разрешенных доменов в политиках защиты от нежелательной почты
Предостережение
Этот метод создает высокий риск успешной доставки электронной почты злоумышленниками, которые в противном случае были бы отфильтрованы. Сообщения, определенные как вредоносные программы или фишинг с высокой степенью достоверности, фильтруются. Дополнительные сведения см. в разделе Конфликт параметров пользователей и организации.
Не используйте популярные домены (например, microsoft.com) в списках разрешенных доменов.
Как правило, следует избегать использования разрешенных списков отправителей или списков разрешенных доменов в настраиваемых политиках защиты от нежелательной почты или в политике защиты от нежелательной почты по умолчанию. Этот вариант следует избегать, если это возможно , так как отправители обходят весь спам, спуфинги, защиту от фишинга (за исключением фишинга с высокой достоверностью) и проверку подлинности отправителя (SPF, DKIM, DMARC). Этот метод лучше всего использовать только для временного тестирования. Подробные инструкции по настройке разрешенных списков отправителей или списков разрешенных доменов см. в разделе "Настройка политик защиты от нежелательной почты".
Максимальное ограничение для этих списков составляет около 1000 записей, но на портале Microsoft Defender можно ввести не более 30 записей. Используйте PowerShell для добавления более 30 записей.
Примечание.
С сентября 2022 г. разрешенные отправители, домены или поддомены в обслуживаемых доменах вашей организации должны пройти проверку подлинности по электронной почте, чтобы пропустить фильтрацию нежелательной почты.
Рекомендации по массовой электронной почте
Стандартное сообщение ЭЛЕКТРОННОЙ почты SMTP может содержать разные адреса электронной почты отправителя, как описано в разделе Почему интернет-почта нуждается в проверке подлинности. При отправке электронной почты от имени другого пользователя адреса могут отличаться. Это часто происходит для массовых сообщений электронной почты.
Например, предположим, что Blue Yonder Airlines наняла Margie's Travel для отправки рекламных сообщений электронной почты. Сообщение, которое вы получаете в папке "Входящие", имеет следующие свойства:
- Адрес MAIL FROM (также известный как адрес
5321.MailFrom, отправитель P1 или отправитель в конверте) —blueyonder.airlines@margiestravel.com. - Адрес
5322.From"От" (также известный как адрес отправителя или отправитель P2) — этоblueyonder@news.blueyonderairlines.com, и именно его вы видите в Outlook.
Списки надежных отправителей и списки надежных доменов в политиках защиты от нежелательной почты проверяют только адреса в поле "От". Это поведение аналогично безопасному поведению отправителей Outlook, которые используют адрес From.
Чтобы предотвратить фильтрацию этого сообщения, можно выполнить следующие действия:
- Добавьте
blueyonder@news.blueyonderairlines.com(адрес from) в качестве безопасного отправителя Outlook. -
Используйте правило потока обработки почты с условием, которое ищет сообщения из
blueyonder@news.blueyonderairlines.com(адрес from),blueyonder.airlines@margiestravel.com(адрес MAIL FROM) или и то, и другое.