Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
Во всех организациях с облачными почтовыми ящиками несколько функций защиты могут помечать входящие сообщения электронной почты. Например, защита от спуфингом, доступная всем клиентам Microsoft 365, и защита от олицетворения, доступная для Microsoft Defender только для Office 365 клиентов. Сообщения также проходят несколько проверок на наличие вредоносных программ, спама, фишинга и т. д. Учитывая все это действие, может возникнуть некоторая путаница в отношении того, какая политика применяется.
Как правило, политика, применяемая к сообщению, определяется в заголовке X-Forefront-Antispam-Report в свойстве CAT (Category). Дополнительные сведения см. в статье Заголовки сообщений о защите от нежелательной почты.
Существует два основных фактора, определяющих, какая политика применяется к сообщению:
Порядок обработки для типа защиты электронной почты. Этот порядок не настраивается и описан в следующей таблице:
Порядок защита Email Категория Где управлять 1 Вредоносная программа CAT:MALWНастройка политик защиты от вредоносных программ 2 Фишинг с высокой вероятностью CAT:HPHSHНастройка политик защиты от нежелательной почты 3 Фишинг CAT:PHSHНастройка политик защиты от нежелательной почты 4 Нежелательная почта с высокой вероятностью CAT:HSPMНастройка политик защиты от нежелательной почты 5 Спуфинг CAT:SPOOFАналитика спуфинга 6* Олицетворение пользователя (защищенные пользователи) CAT:UIMPНастройка политик защиты от фишинга в Microsoft Defender для Office 365 7* Олицетворение домена (защищенные домены) CAT:DIMPНастройка политик защиты от фишинга в Microsoft Defender для Office 365 8* Аналитика почтовых ящиков (граф контактов) CAT:GIMPНастройка политик защиты от фишинга в Microsoft Defender для Office 365 9 Спам CAT:SPMНастройка политик защиты от нежелательной почты 10 Массовая рассылка CAT:BULKНастройка политик защиты от нежелательной почты *Эти функции доступны только в политиках защиты от фишинга в Microsoft Defender для Office 365.
Порядок приоритетов политик. Порядок приоритета политики показан в следующем списке:
Политики защиты от нежелательной почты, защиты от вредоносных программ, защиты от фишинга, безопасных ссылок* и безопасных* вложений в предустановленной политике безопасности Strict (если она включена).
Политики защиты от нежелательной почты, защиты от вредоносных программ, защиты от фишинга, безопасных ссылок* и безопасных* вложений в предустановленной политике безопасности Standard (если она включена).
Защита от фишинга, безопасные ссылки и безопасные вложения в Defender для Office 365 политики оценки (если они включены).
Пользовательские политики защиты от нежелательной почты, вредоносных программ, фишинга, безопасных ссылок* и безопасных* вложений (при создании).
Пользовательским политикам угроз присваивается значение приоритета по умолчанию при создании политики (более новая версия равна большему), но вы можете изменить значение приоритета в любое время. Это значение приоритета влияет на порядок приложений для политики угроз этого типа (защита от нежелательной почты, защита от вредоносных программ, защита от фишинга и т. д.). Значение приоритета не влияет на то, где применяются пользовательские политики угроз в порядке обработки, как описано в предыдущей таблице.
Равное значение:
- Политики безопасных ссылок и безопасных вложений в предустановленной политике* безопасности встроенной защиты.
- Политики по умолчанию для защиты от вредоносных программ, нежелательной почты и фишинга.
Вы можете настроить исключения для предустановленной политики безопасности встроенной защиты, но нельзя настроить исключения для политик угроз по умолчанию (они применяются ко всем получателям, и вы не можете отключить их).
*Только defender для Office 365.
Важно!
Приоритет имеет значение, если один и тот же получатель намеренно или непреднамеренно включается в несколько политик, так как к нему применяется только первая политика этого типа (защита от нежелательной почты, вредоносные программы, защита от фишинга и т. д.) независимо от количества других политик, в которые включен получатель. Для получателя никогда не происходит слияние или объединение параметров в нескольких политиках. На получателя не влияют параметры остальных политик этого типа.
Например, группа с именем Contoso Executives включена в следующие политики:
- Строгая предустановленная политика безопасности
- Настраиваемая политика защиты от нежелательной почты со значением приоритета 0 (наивысший приоритет)
- Настраиваемая политика защиты от нежелательной почты со значением приоритета 1.
Какие параметры политики защиты от нежелательной почты применяются к членам руководителей Contoso? Строгая предустановленная политика безопасности. Параметры в пользовательских политиках защиты от нежелательной почты игнорируются для членов contoso Executives, так как сначала всегда применяется предустановленная политика безопасности Strict.
В качестве другого примера рассмотрим следующие настраиваемые политики защиты от фишинга в Microsoft Defender для Office 365, которые применяются к тем же получателям, и сообщение, содержащее как олицетворение пользователя, так и спуфингом:
| Имя политики | Priority | Олицетворение пользователя | Защита от спуфингов |
|---|---|---|---|
| Политика A | 1 | Вкл. | Выкл. |
| Политика B | 2 | Выкл. | Вкл. |
- Сообщение определяется как спуфингой, так как спуфингой (5) оценивается перед олицетворением пользователя (6) в порядке обработки для типа защиты электронной почты.
- Политика А применяется в первую очередь, так как она имеет более высокий приоритет, чем политика Б.
- В зависимости от параметров в политике A никакие действия с сообщением не принимаются, так как защита от спуфингов отключена.
- Обработка политик защиты от фишинга прекращается для всех включенных получателей, поэтому политика Б никогда не применяется к получателям, которые также находятся в политике А.
Чтобы убедиться, что получатели получают нужные параметры защиты, используйте следующие рекомендации по членству в политиках:
- Назначьте меньшее число пользователей политикам с более высоким приоритетом, а большее число пользователей — политикам с более низким приоритетом. Помните, что политики угроз по умолчанию всегда применяются последним.
- Настройте политики с более высоким приоритетом для более строгих или более специализированных параметров, чем политики с более низким приоритетом. Вы имеете полный контроль над параметрами в пользовательских политиках угроз и политиках угроз по умолчанию, но не контролируете большинство параметров в предустановленных политиках безопасности.
- Рекомендуется использовать меньше настраиваемых политик (используйте пользовательские политики только для пользователей, которым требуются более специализированные параметры, чем Standard или строгие предустановленные политики безопасности или политики угроз по умолчанию).
Приложение
Важно понимать, как пользователь разрешает и блокирует, организация разрешает и блокирует, а также фильтрует вердикты стека во встроенных функциях безопасности для всех облачных почтовых ящиков и в Defender для Office 365 дополняют или противоречат друг другу.
- Сведения о фильтрации стеков и их объединении см. в статье Пошаговая защита от угроз в Microsoft Defender для Office 365.
- После того как стек фильтрации определит вердикт, только после этого оцениваются политики организации и их настроенные действия.
- Если один и тот же адрес электронной почты или домен существует в списке надежных отправителей пользователя и заблокированных отправителях, приоритет имеет список надежных отправителей.
- Если одна и та же сущность (адрес электронной почты, домен, подделаная инфраструктура отправки, файл или URL-адрес) существует в записи разрешения, а запись блока в списке разрешенных и заблокированных клиентов имеет приоритет.
- Для вредоносных программ и фишинга с высокой достоверностью нельзя создавать записи разрешения непосредственно в списке разрешенных и заблокированных клиентов. Вместо этого используйте страницу Отправки по адресу, https://security.microsoft.com/reportsubmission чтобы отправить электронное письмо, вложение или URL-адрес в корпорацию Майкрософт. После нажатия кнопки Я подтвердил, что она чиста, вы можете выбрать Разрешить это сообщение, Разрешить этот файл или Разрешить этот URL-адрес , чтобы создать запись разрешения для доменов и адресов электронной почты, файлов или URL-адресов.
- Если вы используете тип файла в фильтре Распространенные вложения в политиках защиты от вредоносных программ, разрешение одного и того же файла в списке разрешенных и заблокированных клиентов или правила потока обработки почты Exchange (также известные как правила транспорта) не переопределяет вердикт.
Пользователь разрешает и блокирует
Записи в коллекции списков безопасности пользователя (список надежных отправителей, список надежных получателей и список заблокированных отправителей в каждом почтовом ящике) могут переопределять некоторые вердикты стека фильтрации, как описано в следующей таблице.
| Вердикт стека фильтрации | Список надежных отправителей и получателей пользователя | Список заблокированных отправителей пользователя |
|---|---|---|
| Вредоносная программа | Фильтрация побед: Email помещена в карантин | Фильтрация побед: Email помещена в карантин |
| Фишинг с высокой вероятностью | Фильтрация побед: Email помещена в карантин | Фильтрация побед: Email помещена в карантин |
| Фишинг | Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя | Организация выигрывает: действие определяется применимой политикой защиты от нежелательной почты. |
| Нежелательная почта с высокой вероятностью | Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя | Организация выигрывает: действие определяется применимой политикой защиты от нежелательной почты. |
| Спам | Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя | Организация выигрывает: действие определяется применимой политикой защиты от нежелательной почты. |
| Массовая рассылка | Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя | Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя |
| Не спам | Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя | Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя |
- В Exchange Online разрешение домена в списке надежных отправителей может не работать, если в одном из следующих сценариев сообщение помещено в карантин:
- Сообщение идентифицируется как вредоносное ПО или фишинг с высокой степенью достоверности (вредоносные программы и фишинговые сообщения с высокой степенью достоверности помещаются в карантин).
- Действия в политиках защиты от нежелательной почты настраиваются для карантина, а не для перемещения почты в папку "Нежелательная Email".
- Адрес электронной почты, URL-адрес или файл в сообщении электронной почты также находится в записи блока в списке разрешенных и заблокированных клиентов.
Дополнительные сведения о сборе списков безопасности и параметрах защиты от нежелательной почты в почтовых ящиках пользователей см. в статье Настройка параметров нежелательной почты в облачных почтовых ящиках.
Организация разрешает и блокирует
Организация позволяет и блоки могут переопределять некоторые решения стека фильтрации, как описано в следующих таблицах:
Расширенная политика доставки (пропустить фильтрацию для назначенных почтовых ящиков SecOps и URL-адреса имитации фишинга):
Вердикт стека фильтрации Расширенная политика доставки разрешает Вредоносная программа Организация выигрывает: Email доставлены в почтовый ящик Фишинг с высокой вероятностью Организация выигрывает: Email доставлены в почтовый ящик Фишинг Организация выигрывает: Email доставлены в почтовый ящик Нежелательная почта с высокой вероятностью Организация выигрывает: Email доставлены в почтовый ящик Спам Организация выигрывает: Email доставлены в почтовый ящик Массовая рассылка Организация выигрывает: Email доставлены в почтовый ящик Не спам Организация выигрывает: Email доставлены в почтовый ящик Правила потока обработки почты exchange (также известные как правила транспорта):
Вердикт стека фильтрации Правило потока обработки почты разрешает* Блоки правил потока обработки почты Вредоносная программа Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин Фишинг с высокой вероятностью Фильтрация побед: Email карантине, за исключением сложной маршрутизации Фильтрация побед: Email помещена в карантин Фишинг Организация выигрывает: Email доставлены в почтовый ящик Фильтр побед: действие фишинга в применимой политике защиты от нежелательной почты Нежелательная почта с высокой вероятностью Организация выигрывает: Email доставлены в почтовый ящик Фильтрация побед: Email доставлена в папку "Нежелательная Email" пользователя Спам Организация выигрывает: Email доставлены в почтовый ящик Фильтрация побед: Email доставлена в папку "Нежелательная Email" пользователя Массовая рассылка Организация выигрывает: Email доставлены в почтовый ящик Фильтрация побед: Email доставлена в папку "Нежелательная Email" пользователя Не спам Организация выигрывает: Email доставлены в почтовый ящик Организация выигрывает: Email доставлены в папку "Нежелательная Email" пользователя * Организациям, которые используют службу безопасности или устройство сторонних разработчиков перед Microsoft 365, следует рассмотреть возможность использования цепочки получения с проверкой подлинности (ARC) ( обратитесь в службу для доступности) и расширенной фильтрации соединителей (также известной как пропустить список) вместо правила потока обработки почты SCL=-1. Эти улучшенные методы позволяют сократить проблемы с проверкой подлинности электронной почты и способствовать глубокой защите электронной почты.
Список разрешенных IP-адресов и список блокировок IP-адресов при фильтрации подключений:
Вердикт стека фильтрации Список разрешенных IP-адресов Список блокировок IP-адресов Вредоносная программа Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин Фишинг с высокой вероятностью Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин Фишинг Организация выигрывает: Email доставлены в почтовый ящик Организация выигрывает: Email автоматически упал Нежелательная почта с высокой вероятностью Организация выигрывает: Email доставлены в почтовый ящик Организация выигрывает: Email автоматически упал Спам Организация выигрывает: Email доставлены в почтовый ящик Организация выигрывает: Email автоматически упал Массовая рассылка Организация выигрывает: Email доставлены в почтовый ящик Организация выигрывает: Email автоматически упал Не спам Организация выигрывает: Email доставлены в почтовый ящик Организация выигрывает: Email автоматически упал Разрешить и заблокировать параметры в политиках защиты от нежелательной почты:
- Список разрешенных отправителей и доменов.
- Список заблокированных отправителей и доменов.
- Блокировать сообщения из определенных стран или регионов или на определенных языках.
- Блокировать сообщения на основе параметров расширенного фильтра нежелательной почты (ASF) в политиках защиты от нежелательной почты.
Вердикт стека фильтрации Политика защиты от нежелательной почты разрешает Блоки политики защиты от нежелательной почты Вредоносная программа Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин Фишинг с высокой вероятностью Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин Фишинг Организация выигрывает: Email доставлены в почтовый ящик Организация выигрывает: действие фишинга в применимой политике защиты от нежелательной почты Нежелательная почта с высокой вероятностью Организация выигрывает: Email доставлены в почтовый ящик Организация выигрывает: Email доставлены в папку "Нежелательная Email" пользователя Спам Организация выигрывает: Email доставлены в почтовый ящик Организация выигрывает: Email доставлены в папку "Нежелательная Email" пользователя Массовая рассылка Организация выигрывает: Email доставлены в почтовый ящик Организация выигрывает: Email доставлены в папку "Нежелательная Email" пользователя Не спам Организация выигрывает: Email доставлены в почтовый ящик Организация выигрывает: Email доставлены в папку "Нежелательная Email" пользователя Разрешить записи в списке разрешенных и заблокированных клиентов. Существует два типа разрешенных записей:
- На уровне сообщения допускаются записи, действующие для всего сообщения, независимо от сущностей в сообщении. Разрешенные записи для адреса электронной почты и доменов — это разрешенные записи на уровне сообщений. Они позволяют переопределять массовые и нежелательные вердикты, а также фишинговые вердикты с высокой степенью достоверности из моделей машинного обучения.
- Разрешенные записи на уровне сущностей действуют в соответствии с вердиктом фильтрации сущностей. Разрешенные записи для URL-адресов, поддельных отправителей и файлов — это разрешенные записи на уровне сущности. Чтобы переопределить вредоносные программы и вердикты фишинга с высокой степенью достоверности, необходимо использовать разрешенные записи на уровне сущности, которые можно создать путем отправки только из-за параметра Secure по умолчанию.
Вердикт стека фильтрации адрес или домен Email Вредоносная программа Фильтрация побед: Email помещена в карантин Фишинг с высокой вероятностью Фильтрация побед: Email помещена в карантин Фишинг Организация выигрывает: Email доставлены в почтовый ящик Нежелательная почта с высокой вероятностью Организация выигрывает: Email доставлены в почтовый ящик Спам Организация выигрывает: Email доставлены в почтовый ящик Массовая рассылка Организация выигрывает: Email доставлены в почтовый ящик Не спам Организация выигрывает: Email доставлены в почтовый ящик Блокируются записи в списке разрешенных и заблокированных клиентов:
Вердикт стека фильтрации адрес или домен Email Обманывать File URL-адрес Вредоносная программа Фильтрация побед: Email помещена в карантин Фильтрация побед: Email помещена в карантин Организация победила: Email помещены в карантин Фильтрация побед: Email помещена в карантин Фишинг с высокой вероятностью Организация победила: Email помещены в карантин Фильтрация побед: Email помещена в карантин Организация победила: Email помещены в карантин Организация победила: Email помещены в карантин Фишинг Организация победила: Email помещены в карантин Организация побеждает: подделывает действие в применимой политике защиты от фишинга Организация победила: Email помещены в карантин Организация победила: Email помещены в карантин Нежелательная почта с высокой вероятностью Организация победила: Email помещены в карантин Организация побеждает: подделывает действие в применимой политике защиты от фишинга Организация победила: Email помещены в карантин Организация победила: Email помещены в карантин Спам Организация победила: Email помещены в карантин Организация побеждает: подделывает действие в применимой политике защиты от фишинга Организация победила: Email помещены в карантин Организация победила: Email помещены в карантин Массовая рассылка Организация победила: Email помещены в карантин Организация побеждает: подделывает действие в применимой политике защиты от фишинга Организация победила: Email помещены в карантин Организация победила: Email помещены в карантин Не спам Организация победила: Email помещены в карантин Организация побеждает: подделывает действие в применимой политике защиты от фишинга Организация победила: Email помещены в карантин Организация победила: Email помещены в карантин
При конфликте параметров пользователя и организации
В следующей таблице описано, как разрешаются конфликты, если параметры разрешения и блокировки пользователя и параметры разрешения и блокировки организации влияют на сообщение.
| Тип разрешения или блокировки организации | Список надежных отправителей и получателей пользователя | Список заблокированных отправителей пользователя |
|---|---|---|
Блокируйте записи в списке разрешенных и заблокированных клиентов для следующих элементов:
|
Организация победила: Email помещены в карантин | Организация победила: Email помещены в карантин |
| Блокировка записей для подделанных отправителей в списке разрешенных и заблокированных клиентов | Организация побеждает: действие спуфинга в применимой политике защиты от фишинга | Организация побеждает: действие спуфинга в применимой политике защиты от фишинга |
| Расширенная политика доставки | Пользователь выигрывает: Email доставлены в почтовый ящик | Организация выигрывает: Email доставлены в почтовый ящик |
| Блокировка параметров в политиках защиты от нежелательной почты | Пользователь выигрывает: Email доставлены в почтовый ящик | Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя |
| Соблюдение политики DMARC | Пользователь выигрывает: Email доставлены в почтовый ящик | Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя |
| Блокировки по правилам потока обработки почты | Пользователь выигрывает: Email доставлены в почтовый ящик | Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя |
Разрешает:
|
Пользователь выигрывает: Email доставлены в почтовый ящик | Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя |