Создание списков разрешенных отправителей для облачных почтовых ящиков

Все организации с облачными почтовыми ящиками предлагают несколько способов разрешения входящего сообщения электронной почты от доверенных отправителей. В совокупности эти параметры можно рассматривать как списки разрешений.

В следующем списке содержатся доступные методы, позволяющие разрешить отправителям от наиболее рекомендуемых до наименее рекомендуемых.

1. Разрешить записи для доменов и адресов электронной почты (включая подделанных отправителей) в списке разрешенных и заблокированных клиентов.
2. Правила потока обработки почты для обмена (также известные как правила транспорта).
3. Безопасные отправители Outlook (список надежных отправителей в каждом почтовом ящике, который влияет только на этот почтовый ящик).
4. Список разрешенных IP-адресов в политике фильтра подключений по умолчанию.
5. Списки разрешенных отправителей или списки разрешенных доменов в политиках защиты от нежелательной почты.

Остальная часть этой статьи содержит сведения о каждом методе.

Использование разрешенных записей в списке разрешенных и заблокированных клиентов

Наш номер один рекомендуемый вариант для разрешения почты от отправителей или доменов — список разрешенных и заблокированных клиентов. Инструкции см. в разделах Создание разрешенных записей для доменов и адресов электронной почты и Создание разрешенных записей для подделанных отправителей.

Учитывайте различные методы разрешения, только если по какой-либо причине не удается использовать записи разрешения в списке разрешенных и заблокированных клиентов.

Использование правил потока обработки почты

Правила потока обработки почты в Exchange Online используют условия и исключения для идентификации сообщений, а также действия, указывающие, что следует делать с этими сообщениями. Дополнительные сведения см. в статье Mail flow rules (transport rules) in Exchange Online.

В следующем примере предполагается, что вам нужна электронная почта от contoso.com, чтобы пропустить фильтрацию нежелательной почты. Настройте указанные ниже параметры.

1. Примените это правило, если (условие): домен отправителя>contoso.com> .

2. Настройте один из следующих параметров:

   • Примените это правило, если (дополнительное условие): заголовки> сообщенийсодержат любое из следующих слов:

     • Введите текст (имя заголовка): Authentication-Results
     • Введите слова (значение заголовка): dmarc=pass или dmarc=bestguesspass (добавьте оба значения).

     Это условие проверяет состояние проверки подлинности электронной почты для домена отправляющей почты, чтобы убедиться, что отправляющий домен не подделываются. Дополнительные сведения о проверке подлинности по электронной почте см. в разделе проверка подлинности Email.

   • Список разрешенных IP-адресов. Укажите исходный IP-адрес или диапазон адресов в политике фильтра подключений по умолчанию. Инструкции см. в разделе Настройка фильтрации подключений.

     Используйте этот параметр, если отправляя домен не использует проверку подлинности по электронной почте. Будьте максимально строгими, когда дело доходит до исходных IP-адресов в списке разрешенных IP-адресов. Рекомендуется использовать диапазон IP-адресов /24 или меньше (лучше меньше). Не используйте диапазоны IP-адресов, принадлежащие службам потребителей (например, outlook.com) или общей инфраструктуре.

   Важно!

   • Никогда не настраивайте правила потока обработки почты с только доменом отправителя в качестве условия для пропуска фильтрации нежелательной почты. Это значительно повышает вероятность того, что злоумышленники могут:

     • Подделывая отправляя домен (или олицетворяйте полный адрес электронной почты).
     • Пропустите фильтрацию нежелательной почты.
     • Пропустите проверки проверки подлинности отправителя, чтобы сообщение поступило в папку "Входящие" получателя.

   • Не используйте домены, принадлежащие вам (также известные как обслуживаемые домены) или популярные домены (например, microsoft.com) в качестве условий в правилах потока обработки почты. Это позволяет злоумышленникам отправлять сообщения электронной почты, которые в противном случае будут отфильтрованы.

   • Если вы разрешаете IP-адрес за шлюзом преобразования сетевых адресов (NAT), необходимо знать все серверы, участвующие в пуле NAT. IP-адреса и участники NAT могут изменяться. Периодически проверка записи списка разрешенных IP-адресов в рамках стандартных процедур обслуживания.

3. Необязательные условия:

   • Отправитель>является внутренним или внешним>За пределами организации. Это условие неявно, но его можно использовать для учета локальных почтовых серверов, которые могут быть неправильно настроены.
   • Тема или текст>тема или текст включает любое из этих слов><ключевые> слова. Если вы можете дополнительно ограничить сообщения ключевыми словами или фразами в строке темы или тексте сообщения, эти слова можно использовать в качестве условия.

4. Выполните следующие действия (действия). Настройте в правиле оба следующих действия:

   1. Изменение свойств> сообщенияустановка уровня достоверности нежелательной почты (SCL)>Обход фильтрации нежелательной почты.

   2. Изменение свойств> сообщениязадайте заголовок сообщения:

      • Введите текст (имя заголовка): например, X-ETR.
      • Введите слова (значение заголовка): например, Bypass spam filtering for authenticated sender 'contoso.com'.

      Для нескольких доменов в правиле можно настроить текст заголовка соответствующим образом.

Когда сообщение пропускает фильтрацию нежелательной почты из-за правила потока обработки почты, SFV:SKN значение помечется в заголовке X-Forefront-Antispam-Report . Если сообщение получено из источника, который находится в списке разрешенных IP-адресов, значение IPV:CAL также добавляется. Эти значения помогут вам устранить неполадки.

Использование безопасных отправителей Outlook

Вместо параметра организации пользователи или администраторы могут добавить адреса электронной почты отправителя в список надежных отправителей в почтовом ящике. Записи списка надежных отправителей в почтовом ящике влияют только на этот почтовый ящик. Инструкции см. в следующих статьях:

• Пользователи. Добавьте получателей моих сообщений электронной почты в список надежных отправителей.
• Администраторы. Настройка параметров нежелательной почты в облачных почтовых ящиках.

Этот метод не рекомендуется в большинстве случаев, так как отправители обходят части стека фильтрации. Хотя вы доверяете отправителю, он по-прежнему может быть скомпрометирован и отправлен вредоносное содержимое. Вы должны позволить нашим фильтрам проверка каждое сообщение, а затем сообщить майкрософт о ложном срабатывании или негативе, если мы ошиблись. Обход стека фильтрации также мешает автоматической очистке (ZAP) нулевого часа.

Когда сообщения пропускают фильтрацию нежелательной почты из-за записей в списке надежных отправителей пользователя, поле заголовка X-Forefront-Antispam-Report содержит значение SFV:SFE, указывающее, что фильтрация по спаму, спуфингам и фишингу (фишинг с высокой степенью достоверности) была обойдена.

• В Exchange Online, зависит от того, работают ли записи в списке надежных отправителей, зависит от вердикта и действия в политике, которая идентифицирует сообщение:
  • Перемещение сообщений в папку "Нежелательная Email". Записи домена и адреса электронной почты отправителя соблюдаются. Сообщения от этих отправителей не перемещаются в папку Нежелательная Email.
  • Карантин. Записи домена не учитываются (сообщения от этих отправителей помещаются в карантин). Email записи адресов учитываются (сообщения от этих отправителей не помещаются в карантин), если выполняется одно из следующих инструкций:
    • Сообщение не идентифицируется как вредоносное ПО или фишинг с высокой достоверностью (вредоносные и фишинговые сообщения с высокой степенью достоверности помещаются в карантин).
    • Адрес электронной почты, URL-адрес или файл в сообщении электронной почты также не указан в записи блока в списке разрешенных и заблокированных клиентов.
• Записи для заблокированных отправителей и заблокированных доменов учитываются (сообщения от этих отправителей перемещаются в папку Нежелательная Email). Параметры списка безопасной рассылки игнорируются.

Использование списка разрешенных IP-адресов в политике фильтра подключений по умолчанию

Следующий лучший вариант — добавить исходные почтовые серверы в список разрешенных IP-адресов в политике фильтра подключений по умолчанию. Дополнительные сведения см. в разделе Настройка фильтрации подключений.

• Важно свести число разрешенных IP-адресов к минимуму, поэтому по возможности не используйте целые диапазоны IP-адресов.
• Не используйте диапазоны IP-адресов, принадлежащие службам потребителей (например, outlook.com) или общей инфраструктуре.
• Регулярно просматривайте записи в списке разрешенных IP-адресов и удаляйте ненужные.

Использование списков разрешенных отправителей или списков разрешенных доменов в политиках защиты от нежелательной почты

Наименее желательным вариантом является использование списков разрешенных отправителей или списков разрешенных доменов в пользовательских политиках защиты от нежелательной почты или в политике защиты от нежелательной почты по умолчанию. Этот вариант следует избегать, если это возможно , так как отправители обходят весь спам, спуфинги, защиту от фишинга (за исключением фишинга с высокой достоверностью) и проверку подлинности отправителя (SPF, DKIM, DMARC). Этот метод лучше всего использовать только для временного тестирования. Подробные инструкции см. в разделе Настройка политик защиты от нежелательной почты.

Максимальное ограничение для этих списков составляет около 1000 записей, но на портале Microsoft Defender можно ввести не более 30 записей. Используйте PowerShell для добавления более 30 записей.

Рекомендации по массовой электронной почте

Стандартное сообщение ЭЛЕКТРОННОЙ почты SMTP может содержать разные адреса электронной почты отправителя, как описано в разделе Почему интернет-почта нуждается в проверке подлинности. При отправке электронной почты от имени другого пользователя адреса могут отличаться. Это часто происходит для массовых сообщений электронной почты.

Например, предположим, что Blue Yonder Airlines наняла Margie's Travel для отправки рекламных сообщений электронной почты. Сообщение, которое вы получаете в папке "Входящие", имеет следующие свойства:

• Адрес MAIL FROM (также известный 5321.MailFrom как адрес, отправитель P1 или отправитель конверта) имеет значение [email protected].
• Адрес From (также известный 5322.From как адрес или отправитель P2) — , [email protected]который отображается в Outlook.

Списки надежных отправителей и списки надежных доменов в политиках защиты от нежелательной почты проверяют только адреса из. Это поведение аналогично безопасному поведению отправителей Outlook, которые используют адрес From.

Чтобы предотвратить фильтрацию этого сообщения, можно выполнить следующие действия:

• Добавьте [email protected] (адрес from) в качестве безопасного отправителя Outlook.
• Используйте правило потока обработки почты с условием, которое ищет сообщения из [email protected] (адрес from), [email protected] (адрес MAIL FROM) или и то, и другое.