الإنشاء قوائم المرسلين الآمنة في EOP

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

إذا كنت عميل Microsoft 365 مع علب بريد في Exchange Online أو عميل Exchange Online Protection مستقل (EOP) دون Exchange Online علب البريد، فإن EOP يقدم طرقا متعددة لضمان تلقي المستخدمين للبريد الإلكتروني من المرسلين الموثوق بهم. بشكل جماعي، يمكنك التفكير في هذه الخيارات كقوائم مرسلين آمنة.

يتم وصف قوائم المرسل الآمن المتوفرة في القائمة التالية بالترتيب من الأكثر موصى به إلى الأقل موصى به:

1. السماح بإدخالات المجالات وعناوين البريد الإلكتروني (بما في ذلك المرسلون الذين تم تزييف هوياتهم) في قائمة السماح/الحظر للمستأجر.
2. قواعد تدفق البريد (المعروفة أيضا باسم قواعد النقل).
3. المرسلون الموثوقون في Outlook (قائمة المرسلين الموثوقين المخزنة في كل علبة بريد تؤثر على علبة البريد هذه فقط).
4. قائمة السماح ب IP (تصفية الاتصال)
5. قوائم المرسلين المسموح بها أو قوائم المجال المسموح بها (نهج مكافحة البريد العشوائي)

تحتوي بقية هذه المقالة على تفاصيل حول كل أسلوب.

هام

يتم دائما عزل الرسائل التي يتم تعريفها على أنها برامج ضارة^* أو تصيد احتيالي عالي الثقة، بغض النظر عن خيار قائمة المرسل الآمن الذي تستخدمه. لمزيد من المعلومات، راجع تأمين بشكل افتراضي في Office 365.

^* يتم تخطي تصفية البرامج الضارة على علب بريد SecOps التي تم تحديدها في نهج التسليم المتقدم. لمزيد من المعلومات، راجع تكوين نهج التسليم المتقدم لمحاكاة التصيد الاحتيالي من جهة خارجية وتسليم البريد الإلكتروني إلى علب بريد SecOps.

كن حذرا لمراقبة أي استثناءات تجريها عن كثب لتصفية البريد العشوائي باستخدام قوائم المرسلين الآمنة.

أرسل دائما الرسائل في قوائم المرسلين الآمنة إلى Microsoft للتحليل. للحصول على الإرشادات، راجع الإبلاغ عن بريد إلكتروني جيد إلى Microsoft. إذا تم تحديد أن الرسائل أو مصادر الرسائل حميدة، فيمكن ل Microsoft السماح بالرسائل تلقائيا، ولن تحتاج إلى الاحتفاظ بالإدخال يدويا في قوائم المرسلين الآمنة.

بدلا من السماح بالبريد الإلكتروني، لديك أيضا العديد من الخيارات لحظر البريد الإلكتروني من مصادر معينة باستخدام قوائم المرسلين المحظورة. لمزيد من المعلومات، راجع الإنشاء قوائم مرسلي الحظر في EOP.

استخدام إدخالات السماح في قائمة السماح/الحظر للمستأجر

الخيار رقم واحد الموصى به للسماح بالبريد من المرسلين أو المجالات هو قائمة السماح/الحظر للمستأجر. للحصول على الإرشادات، راجع الإنشاء السماح بإدخالات المجالات وعناوين البريد الإلكترونيالإنشاء السماح بإدخالات المرسلين الذين تم تزييف هوياتهم.

فقط إذا لم تتمكن من استخدام قائمة السماح/الحظر للمستأجر لسبب ما، يجب أن تفكر في استخدام طريقة مختلفة للسماح للمرسلين.

استخدام قواعد تدفق البريد

ملاحظة

لا يمكنك استخدام رؤوس الرسائل وقواعد تدفق البريد لتعيين مرسل داخلي كمرسل آمن. تعمل الإجراءات الواردة في هذا القسم مع المرسلين الخارجيين فقط.

تستخدم قواعد تدفق البريد في Exchange Online وEOP المستقل الشروط والاستثناءات لتحديد الرسائل والإجراءات لتحديد ما يجب القيام به لتلك الرسائل. لمزيد من المعلومات، راجع قواعد تدفق البريد (قواعد النقل) في Exchange Online.

يفترض المثال التالي أنك بحاجة إلى بريد إلكتروني من contoso.com لتخطي تصفية البريد العشوائي. للقيام بذلك، قم بتكوين الإعدادات التالية:

1. الشرط:مجال>المرسل> contoso.com.

2. تكوين أي من الإعدادات التالية:

   • شرط قاعدة تدفق البريد: تتضمن رؤوس الرسائل>أيا من هذه الكلمات:

     • اسم العنوان: Authentication-Results
     • قيمة الرأس: dmarc=pass أو dmarc=bestguesspass (إضافة كلتا القيمتين).

     يتحقق هذا الشرط من حالة مصادقة البريد الإلكتروني لمجال إرسال البريد الإلكتروني للتأكد من عدم تزييف مجال الإرسال. لمزيد من المعلومات حول مصادقة البريد الإلكتروني، راجع SPFوDKIMوDMARC.

   • قائمة السماح ب IP: حدد عنوان IP المصدر أو نطاق العنوان في نهج عامل تصفية الاتصال. للحصول على الإرشادات، راجع تكوين تصفية الاتصال.

     استخدم هذا الإعداد إذا لم يستخدم مجال الإرسال مصادقة البريد الإلكتروني. كن مقيدا قدر الإمكان عندما يتعلق الأمر بعناوين IP المصدر في قائمة السماح ب IP. نوصي نطاق عنوان IP من /24 أو أقل (أقل هو الأفضل). لا تستخدم نطاقات عناوين IP التي تنتمي إلى خدمات المستهلك (على سبيل المثال، outlook.com) أو البنى الأساسية المشتركة.

   هام

   • لا تقم أبدا بتكوين قواعد تدفق البريد مع مجال المرسل فقط كشرط لتخطي تصفية البريد العشوائي. سيؤدي القيام بذلك إلى زيادة احتمالية أن يتمكن المهاجمون من انتحال مجال الإرسال (أو انتحال هوية عنوان البريد الإلكتروني الكامل)، وتخطي جميع تصفية البريد العشوائي، وتخطي عمليات التحقق من مصادقة المرسل حتى تصل الرسالة إلى علبة الوارد الخاصة بالمستلم.

   • لا تستخدم المجالات التي تملكها (المعروفة أيضا باسم المجالات المقبولة) أو المجالات الشائعة (على سبيل المثال، microsoft.com) كشروط في قواعد تدفق البريد. يعتبر القيام بذلك خطرا كبيرا لأنه يخلق فرصا للمهاجمين لإرسال البريد الإلكتروني الذي سيتم تصفيته بخلاف ذلك.

   • إذا سمحت بعنوان IP خلف بوابة ترجمة عنوان الشبكة (NAT)، فستحتاج إلى معرفة الخوادم المشاركة في تجمع NAT لمعرفة نطاق قائمة السماح ب IP. يمكن تغيير عناوين IP والمشاركين في NAT. تحتاج إلى التحقق بشكل دوري من إدخالات قائمة السماح ب IP كجزء من إجراءات الصيانة القياسية.

3. الشروط الاختيارية:

   • المرسل>داخلي/خارجي>خارج المؤسسة: هذا الشرط ضمني، ولكن لا بأس من استخدامه لحساب خوادم البريد الإلكتروني المحلية التي قد لا يتم تكوينها بشكل صحيح.
   • الموضوع أو النص الأساسي>يتضمن الموضوع أو النص أي من هذه الكلمات><>الكلمات الأساسية: إذا كان بإمكانك تقييد الرسائل بشكل أكبر حسب الكلمات الأساسية أو العبارات في سطر الموضوع أو نص الرسالة، يمكنك استخدام هذه الكلمات كشرط.

4. الإجراء: تكوين كلا الإجراءين التاليين في القاعدة:

   1. تعديل خصائص> الرسالةتعيين مستوى ثقة البريد العشوائي (SCL)>تجاوز تصفية البريد العشوائي.

   2. تعديل خصائص> الرسالةتعيين رأس رسالة:

      • اسم العنوان: على سبيل المثال، X-ETR.
      • قيمة العنوان: على سبيل المثال، Bypass spam filtering for authenticated sender 'contoso.com'.

      إذا كان لديك أكثر من مجال واحد في القاعدة، يمكنك تخصيص نص الرأس حسب الاقتضاء.

عندما تتخطى رسالة تصفية البريد العشوائي بسبب قاعدة تدفق البريد، يتم ختم قيمة القيمة SFV:SKN في رأس X-Forefront-Antispam-Report . إذا كانت الرسالة من مصدر موجود في قائمة السماح ب IP، تتم إضافة القيمة IPV:CAL أيضا. يمكن أن تساعدك هذه القيم في استكشاف الأخطاء وإصلاحها.

استخدام مرسلي Outlook الآمنين

الحذر

ينشئ هذا الأسلوب خطرا كبيرا من قيام المهاجمين بتسليم البريد الإلكتروني بنجاح إلى علبة الوارد التي سيتم تصفيتها بخلاف ذلك؛ ومع ذلك، إذا تم تحديد رسالة من إدخال في قوائم المرسلين الآمنين أو المجالات الآمنة للمستخدم على أنها برامج ضارة أو تصيد احتيالي عالي الثقة، فسيتم تصفية الرسالة.

بدلا من إعداد المؤسسة، يمكن للمستخدمين أو المسؤولين إضافة عناوين البريد الإلكتروني للمرسل إلى قائمة المرسلين الآمنين في علبة البريد. للحصول على الإرشادات، راجع تكوين إعدادات البريد الإلكتروني غير الهام على علب بريد Exchange Online في Office 365. تؤثر إدخالات قائمة المرسلين الآمنة في علبة البريد على علبة البريد هذه فقط.

هذا الأسلوب غير مرغوب فيه في معظم الحالات لأن المرسلين سيتجاوزون أجزاء من مكدس التصفية. على الرغم من أنك تثق بالمرسل، إلا أنه لا يزال من الممكن اختراق المرسل وإرسال محتوى ضار. يجب أن تسمح لعوامل التصفية الخاصة بنا بالتحقق من كل رسالة ثم الإبلاغ عن الإيجابي/السلبي الخاطئ إلى Microsoft إذا أخطأنا في ذلك. كما أن تجاوز مكدس التصفية يتداخل مع الإزالة التلقائية للساعة الصفرية (ZAP).

عندما تتخطى الرسائل تصفية البريد العشوائي بسبب الإدخالات في قائمة المرسلين الآمنين للمستخدم، سيحتوي حقل رأس X-Forefront-Antispam-Report على القيمة SFV:SFE، مما يشير إلى أنه تم تجاوز التصفية للبريد العشوائي والانتحال والتصيد الاحتيالي (وليس التصيد الاحتيالي عالي الثقة).

ملاحظات:

• في Exchange Online، يعتمد ما إذا كانت الإدخالات في قائمة المرسلين الآمنين تعمل أم لا على الحكم والإجراء في النهج الذي حدد الرسالة:
  • نقل الرسائل إلى مجلد البريد الإلكتروني غير الهام: يتم احترام إدخالات المجال وإدخالات عنوان البريد الإلكتروني للمرسل. لا يتم نقل الرسائل الواردة من هؤلاء المرسلين إلى مجلد البريد الإلكتروني غير الهام.
  • العزل: لا يتم احترام إدخالات المجال (يتم عزل الرسائل الواردة من هؤلاء المرسلين). يتم احترام إدخالات عنوان البريد الإلكتروني (لا يتم عزل الرسائل الواردة من هؤلاء المرسلين) إذا كانت أي من العبارات التالية صحيحة:
    • لم يتم تحديد الرسالة على أنها برامج ضارة أو تصيد احتيالي عالي الثقة (يتم عزل البرامج الضارة ورسائل التصيد الاحتيالي عالية الثقة).
    • عنوان البريد الإلكتروني ليس أيضا في إدخال كتلة في قائمة السماح/الحظر للمستأجر.
• يتم احترام إدخالات المرسلين المحظورين والمجالات المحظورة (يتم نقل الرسائل من هؤلاء المرسلين إلى مجلد البريد الإلكتروني غير الهام). يتم تجاهل إعدادات القائمة البريدية الآمنة.

استخدام قائمة السماح ب IP

الحذر

بدون التحقق الإضافي مثل قواعد تدفق البريد، يتخطى البريد الإلكتروني من المصادر في قائمة السماح ب IP تصفية البريد العشوائي وعمليات التحقق من مصادقة المرسل (SPF وDKIM وDMARC). تنشئ هذه النتيجة خطرا كبيرا من قيام المهاجمين بتسليم البريد الإلكتروني بنجاح إلى علبة الوارد التي سيتم تصفيتها بخلاف ذلك؛ ومع ذلك، إذا تم تحديد رسالة من إدخال في قائمة السماح ب IP على أنها برامج ضارة أو تصيد احتيالي عالي الثقة، فسيتم تصفية الرسالة.

الخيار الأفضل التالي هو إضافة خادم البريد الإلكتروني المصدر أو الخوادم إلى قائمة السماح ب IP في نهج عامل تصفية الاتصال. للحصول على التفاصيل، راجع تكوين تصفية الاتصال في EOP.

ملاحظات:

• من المهم أن تحتفظ بعدد عناوين IP المسموح بها كحد أدنى، لذا تجنب استخدام نطاقات عناوين IP بأكملها كلما أمكن ذلك.
• لا تستخدم نطاقات عناوين IP التي تنتمي إلى خدمات المستهلك (على سبيل المثال، outlook.com) أو البنى الأساسية المشتركة.
• راجع الإدخالات في قائمة السماح ب IP بانتظام وأزل الإدخالات التي لم تعد بحاجة إليها.

استخدام قوائم المرسلين المسموح بها أو قوائم المجال المسموح بها

الحذر

ينشئ هذا الأسلوب خطرا كبيرا من قيام المهاجمين بتسليم البريد الإلكتروني بنجاح إلى علبة الوارد التي سيتم تصفيتها بخلاف ذلك؛ ومع ذلك، إذا تم تحديد رسالة من إدخال في قوائم المرسلين المسموح بها أو المجالات المسموح بها على أنها برامج ضارة أو تصيد احتيالي عالي الثقة، فسيتم تصفية الرسالة.

لا تستخدم المجالات الشائعة (على سبيل المثال، microsoft.com) في قوائم المجالات المسموح بها.

الخيار الأقل المرغوب فيه هو استخدام قوائم المرسلين المسموح بها أو قوائم المجال المسموح بها في نهج مكافحة البريد العشوائي. يجب تجنب هذا الخيار إذا كان ذلك ممكنا على الإطلاق لأن المرسلين يتجاوزون جميع البريد العشوائي والتزييف وحماية التصيد الاحتيالي (باستثناء التصيد الاحتيالي عالي الثقة) ومصادقة المرسل (SPF وDKIM وDMARC). يتم استخدام هذا الأسلوب على أفضل نحو للاختبار المؤقت فقط. يمكن العثور على الخطوات التفصيلية في تكوين نهج مكافحة البريد العشوائي في موضوع EOP .

الحد الأقصى لهذه القوائم هو حوالي 1000 إدخال؛ على الرغم من ذلك، ستتمكن فقط من إدخال 30 إدخالا في المدخل. يجب استخدام PowerShell لإضافة أكثر من 30 إدخالا.

ملاحظة

اعتبارا من سبتمبر 2022، إذا كان المرسل أو المجال أو المجال الفرعي المسموح به في مجال مقبول في مؤسستك، فيجب على هذا المرسل أو المجال أو المجال الفرعي تمرير عمليات التحقق من مصادقة البريد الإلكتروني من أجل تخطي تصفية مكافحة البريد العشوائي.

اعتبارات البريد الإلكتروني المجمع

تتكون رسالة البريد الإلكتروني SMTP القياسية من مغلف رسالة ومحتوى رسالة. يحتوي مغلف الرسالة على معلومات مطلوبة لنقل الرسالة وتسليمها بين خوادم SMTP. يحتوي محتوى الرسالة على حقول رأس الرسالة (تسمى بشكل جماعي رأس الرسالة) ونص الرسالة. يتم وصف مغلف الرسالة في RFC 5321، ويتم وصف رأس الرسالة في RFC 5322. لا يرى المستلمون مغلف الرسالة الفعلي لأنه تم إنشاؤه بواسطة عملية إرسال الرسالة، وهو ليس في الواقع جزءا من الرسالة.

• 5321.MailFrom العنوان (المعروف أيضا بعنوان MAIL FROM أو مرسل P1 أو مرسل المغلف) هو عنوان البريد الإلكتروني المستخدم في إرسال SMTP للرسالة. عادة ما يتم تسجيل عنوان البريد الإلكتروني هذا في حقل عنوان Return-Path في رأس الرسالة (على الرغم من أنه من الممكن للمرسل تعيين عنوان بريد إلكتروني مختلف ل Return-Path ). إذا تعذر تسليم الرسالة، فهي مستلم تقرير عدم التسليم (المعروف أيضا باسم NDR أو رسالة المرتد).
• 5322.From العنوان (المعروف أيضا باسم عنوان من أو مرسل P2) هو عنوان البريد الإلكتروني في حقل رأس من، وهو عنوان البريد الإلكتروني للمرسل الذي يتم عرضه في عملاء البريد الإلكتروني.

في كثير من الأحيان، تكون العناوين 5321.MailFrom و 5322.From هي نفسها (الاتصال من شخص إلى شخص). ومع ذلك، عند إرسال البريد الإلكتروني نيابة عن شخص آخر، يمكن أن تكون العناوين مختلفة. يحدث هذا في معظم الأحيان لرسائل البريد الإلكتروني المجمعة.

على سبيل المثال، افترض أن Blue Yonder Airlines قد استأجرت Margie's Travel لإرسال رسائل بريد إلكتروني إعلانية. تحتوي الرسالة التي تتلقاها في علبة الوارد على الخصائص التالية:

• 5321.MailFrom العنوان هو blueyonder.airlines@margiestravel.com.
• 5322.From العنوان هو blueyonder@news.blueyonderairlines.com، وهو ما تراه في Outlook.

تقوم قوائم المرسلين الآمنة وقوائم المجال الآمنة في نهج مكافحة البريد العشوائي في EOP بفحص العناوين 5322.From فقط. يشبه هذا السلوك "المرسلون الموثوقون في Outlook" الذين يستخدمون 5322.From العنوان.

لمنع تصفية هذه الرسالة، يمكنك اتخاذ الخطوات التالية:

• أضف blueyonder@news.blueyonderairlines.com ( 5322.From العنوان) كمرسل آمن في Outlook.
• استخدم قاعدة تدفق البريد بشرط يبحث عن رسائل من blueyonder@news.blueyonderairlines.com ( 5322.From العنوان) blueyonder.airlines@margiestravel.com أو ( 5321.MailFrom العنوان) أو كليهما.