إنشاء قوائم المرسلين الآمنة في EOP

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على

• Exchange Online Protection
• خطة 1 وخطة 2 من Microsoft Defender لـ Office 365
• Microsoft 365 Defender

إذا كنت عميلا Microsoft 365 مع علب بريد في Exchange Online أو عميل Exchange Online Protection مستقل (EOP) بدون علب بريد Exchange Online، فإن EOP يوفر طرقا متعددة لضمان تلقي المستخدمين للبريد الإلكتروني من المرسلين الموثوق بهم. تتضمن هذه الخيارات قواعد تدفق البريد Exchange (المعروفة أيضا بقواعد النقل)، Outlook خزينة المرسلين، وقائمة السماح ب IP (تصفية الاتصال)، وقوائم المرسلين المسموح بها أو قوائم المجالات المسموح بها في نهج مكافحة البريد العشوائي. بشكل جماعي، يمكنك التفكير في هذه الخيارات كقوائم مرسلين آمنة.

يتم وصف قوائم المرسلين الآمنة المتوفرة في القائمة التالية بالترتيب من الموصى به إلى الأقل توصية:

1. قواعد تدفق البريد
2. المرسلون Outlook خزينة
3. قائمة السماح ل IP (تصفية الاتصال)
4. قوائم المرسلين المسموح بها أو قوائم المجالات المسموح بها (نهج مكافحة البريد العشوائي)

تسمح قواعد تدفق البريد بأكبر قدر من المرونة لضمان السماح بالرسائل الصحيحة فقط. إن قوائم المجالات المسموح بها والمرسلين المسموح بها في نهج مكافحة البريد العشوائي ليست آمنة مثل قائمة السماح ب IP، لأن مجال البريد الإلكتروني الخاص بالمرسل قد تم تزييفه بسهولة. ولكن، تمثل قائمة السماح ل IP أيضا خطرا، لأن البريد الإلكتروني من أي مجال يتم إرساله من عنوان IP هذا سيتجاوز تصفية البريد العشوائي.

هام

• يتم دائما عزل الرسائل التي يتم تعريفها على أنها برامج ضارة أو تصيد احتيالي عالي الثقة، بغض النظر عن خيار قائمة المرسلين الآمن الذي تستخدمه. لمزيد من المعلومات، راجع "الأمان" بشكل افتراضي في Office 365.

• كن حذرا لمراقبة أي استثناءات تقوم بها عن كثب لتصفية البريد العشوائي باستخدام قوائم المرسلين الآمنة.

• بينما يمكنك استخدام قوائم المرسلين الآمنة للمساعدة في النتائج الإيجابية الخاطئة (تم وضع علامة سيئة على البريد الإلكتروني)، يجب مراعاة استخدام قوائم المرسلين الآمنة كحل مؤقت يجب تجنبه إن أمكن. لا نوصي بإدارة الإيجابيات الخاطئة باستخدام قوائم المرسلين الآمنة، لأن استثناءات تصفية البريد العشوائي يمكن أن تفتح مؤسستك للانتحال والهجمات الأخرى. إذا كنت تعتمد على استخدام قوائم المرسلين الآمنة لإدارة النتائج الإيجابية الخاطئة، يجب أن تكون حذرا والاحتفاظ برسائل التقرير والملفات الموضوع إلى Microsoft على استعداد.

• للسماح لمجال بإرسال بريد إلكتروني غير مصادق عليه (تجاوز الحماية من الانتحال) ولكن دون تجاوز الحماية من البريد العشوائي والحماية الأخرى، يمكنك استخدام التحليل الذكي للانتحال وقائمة السماح/الحظر للمستأجر.

• EOP و Outlook فحص خصائص الرسالة المختلفة لتحديد مرسل الرسالة. لمزيد من المعلومات، راجع قسم "اعتبارات البريد الإلكتروني المجمع " لاحقا في هذه المقالة.

في المقابل، لديك أيضا العديد من الخيارات لحظر البريد الإلكتروني من مصادر معينة باستخدام قوائم المرسلين المحظورة. لمزيد من المعلومات، راجع إنشاء قوائم مرسلي الحظر في EOP.

(مستحسن) استخدام قواعد تدفق البريد

ملاحظة

لا يمكنك استخدام رؤوس الرسائل وقواعد تدفق البريد لتعيين مرسل داخلي كمرسل آمن. تعمل الإجراءات الواردة في هذا المقطع للمرسلين الخارجيين فقط.

تستخدم قواعد تدفق البريد في Exchange Online وEOP المستقلة الشروط والاستثناءات لتعريف الرسائل والإجراءات لتحديد ما يجب فعله لتلك الرسائل. لمزيد من المعلومات، راجع قواعد تدفق البريد (قواعد النقل) في Exchange Online.

يفترض المثال التالي أنك بحاجة إلى بريد إلكتروني من contoso.com لتخطي تصفية البريد العشوائي. للقيام بذلك، قم بتكوين الإعدادات التالية:

1. الشرط: مجال > المرسل > contoso.com.

2. تكوين أي من الإعدادات التالية:

   • شرط قاعدة تدفق البريد: يتضمن رأس > الرسالة أي من هذه الكلمات > اسم الرأس: Authentication-Results > قيمة الرأس: dmarc=pass أو dmarc=bestguesspass.

     يتحقق هذا الشرط من حالة مصادقة البريد الإلكتروني لمجال إرسال البريد الإلكتروني للتأكد من عدم انتحال مجال الإرسال. لمزيد من المعلومات حول مصادقة البريد الإلكتروني، راجع SPF وDKIM وDMARC.

   • قائمة السماح ل IP: حدد عنوان IP المصدر أو نطاق العنوان في نهج عامل تصفية الاتصال.

     استخدم هذا الإعداد إذا لم يستخدم مجال الإرسال مصادقة البريد الإلكتروني. كن مقيدا قدر الإمكان عندما يتعلق الأمر بعناوين IP المصدر في قائمة السماح ب IP. نوصي بأن يكون نطاق عنوان IP /24 أو أقل (أقل أفضل). لا تستخدم نطاقات عناوين IP التي تنتمي إلى خدمات المستهلكين (على سبيل المثال، outlook.com) أو البنية الأساسية المشتركة.

   هام

   • لا تقم بتكوين قواعد تدفق البريد مع مجال المرسل فقط كشرط لتخطي تصفية البريد العشوائي. سيؤدي القيام بذلك إلى زيادة احتمالية قيام المهاجمين بانتحال مجال الإرسال (أو انتحال عنوان البريد الإلكتروني الكامل)، وتخطي كل تصفية البريد العشوائي، وتخطي عمليات التحقق من مصادقة المرسل حتى تصل الرسالة إلى علبة الوارد الخاصة بالمستلم.

   • لا تستخدم المجالات التي تملكها (المعروفة أيضا بالمجالات المقبولة) أو المجالات الشائعة (على سبيل المثال، microsoft.com) كشروط في قواعد تدفق البريد. يعتبر القيام بذلك خطرا كبيرا لأنه يخلق فرصا للمهاجمين لإرسال البريد الإلكتروني الذي سيتم تصفيته بخلاف ذلك.

   • إذا سمحت بعنوان IP خلف بوابة ترجمة عناوين الشبكة (NAT)، فستحتاج إلى معرفة الخوادم المشاركة في تجمع NAT من أجل معرفة نطاق قائمة السماح ل IP. يمكن تغيير عناوين IP والمشاركين في NAT. تحتاج إلى التحقق بشكل دوري من إدخالات قائمة السماح ل IP كجزء من إجراءات الصيانة القياسية.

3. الشروط الاختيارية:

   • المرسل > داخلي/خارجي > خارج المؤسسة: هذا الشرط ضمني، ولكن لا بأس من استخدامه لحساب خوادم البريد الإلكتروني المحلية التي قد لا تكون مكونة بشكل صحيح.
   • الموضوع أو النص الأساسي > يتضمن الموضوع أو النص الأساسي أيا من هذه الكلمات > <keywords>: إذا كان بإمكانك تقييد الرسائل بشكل أكبر بواسطة الكلمات الأساسية أو العبارات في سطر الموضوع أو نص الرسالة، يمكنك استخدام هذه الكلمات كشرط.

4. الإجراء: تكوين كلا الإجراءين في القاعدة:

   1. تعديل خصائص > الرسالة تعيين مستوى الثقة بالبريد العشوائي (SCL) > تجاوز تصفية البريد العشوائي.

   2. تعديل خصائص > الرسالة تعيين رأس رسالة: تعيين رأس <CustomHeaderName> الرسالة إلى القيمة<CustomHeaderValue>.

      على سبيل المثال، X-ETR: Bypass spam filtering for authenticated sender 'contoso.com'. إذا كان لديك أكثر من مجال واحد في القاعدة، يمكنك تخصيص نص الرأس حسب الاقتضاء.

      عندما تتخطى رسالة تصفية البريد العشوائي بسبب قاعدة تدفق البريد، يتم طابع قيمة القيمة SFV:SKN في رأس X-Forefront-Antispam-Report . إذا كانت الرسالة من مصدر موجود في قائمة السماح ب IP، فستضاف القيمة IPV:CAL أيضا. يمكن أن تساعدك هذه القيم في استكشاف الأخطاء وإصلاحها.

      

استخدام المرسلين Outlook خزينة

تنبيه

يؤدي هذا الأسلوب إلى حدوث خطر كبير من قيام المهاجمين بتسليم البريد الإلكتروني بنجاح إلى علبة الوارد التي سيتم تصفيتها بخلاف ذلك؛ ومع ذلك، لا تمنع قوائم خزينة المرسلين أو خزينة المجالات الخاصة بالمستخدم تصفية البرامج الضارة أو رسائل التصيد الاحتيالي عالية الثقة.

بدلا من إعداد المؤسسة، يمكن للمستخدمين أو المسؤولين إضافة عناوين البريد الإلكتروني للمرسلين إلى قائمة المرسلين خزينة في علبة البريد. للحصول على الإرشادات، راجع تكوين إعدادات البريد الإلكتروني غير الهام على علب بريد Exchange Online في Office 365. هذا غير مرغوب فيه في معظم الحالات لأن المرسلين سيتجاوزون أجزاء من مكدس التصفية. على الرغم من أنك تثق بالمرسل، إلا أنه لا يزال من الممكن اختراق المرسل وإرسال محتوى ضار. من الأفضل أن تسمح لعوامل التصفية لدينا بالقيام بما هو مطلوب للتحقق من كل رسالة ثم الإبلاغ عن الإيجابية/السلبية الخاطئة إلى Microsoft إذا أخطأت عوامل التصفية لدينا. كما يتداخل تجاوز مكدس التصفية مع ZAP.

عندما تتخطى الرسائل تصفية البريد العشوائي بسبب قائمة المرسلين خزينة الخاصة بالمستخدم، سيحتوي حقل رأس X-Forefront-Antispam-Report على القيمةSFV:SFE، مما يشير إلى تجاوز تصفية البريد العشوائي والانتحال والتصيد الاحتيالي.

استخدام قائمة السماح ل IP

إذا لم تتمكن من استخدام قواعد تدفق البريد كما هو موضح سابقا، فإن الخيار الأفضل التالي هو إضافة خادم البريد الإلكتروني المصدر أو الخوادم إلى قائمة السماح ب IP في نهج عامل تصفية الاتصال. للحصول على التفاصيل، راجع تكوين تصفية الاتصال في EOP.

الملاحظات:

• من المهم أن تحافظ على الحد الأدنى لعدد عناوين IP المسموح بها، لذا تجنب استخدام نطاقات عناوين IP بأكملها كلما أمكن ذلك.
• لا تستخدم نطاقات عناوين IP التي تنتمي إلى خدمات المستهلكين (على سبيل المثال، outlook.com) أو البنية الأساسية المشتركة.
• راجع الإدخالات في قائمة السماح ل IP بانتظام وقم بإزالة الإدخالات التي لم تعد بحاجة إليها.

تنبيه

بدون التحقق الإضافي مثل قواعد تدفق البريد، يتخطى البريد الإلكتروني الوارد من المصادر في قائمة السماح ب IP تصفية البريد العشوائي وتدقيقات مصادقة المرسل (SPF وDKIM وDMARC). يؤدي ذلك إلى حدوث خطر كبير من قيام المهاجمين بتسليم البريد الإلكتروني بنجاح إلى علبة الوارد التي سيتم تصفيتها بخلاف ذلك؛ ومع ذلك، لا تمنع قائمة السماح ل IP تصفية البرامج الضارة أو رسائل التصيد الاحتيالي عالية الثقة.

استخدام قوائم المرسلين المسموح بها أو قوائم المجالات المسموح بها

الخيار الأقل مرغوبا فيه هو استخدام قائمة المرسلين المسموح بهم أو قائمة المجالات المسموح بها في نهج مكافحة البريد العشوائي. يجب تجنب هذا الخيار إن أمكن على الإطلاق لأن المرسلين يتجاوزون كل رسائل البريد العشوائي والانتحال وحماية التصيد الاحتيالي ومصادقة المرسل (SPF وDKIM وDMARC). يتم استخدام هذا الأسلوب بشكل أفضل للاختبار المؤقت فقط. يمكن العثور على الخطوات المفصلة في تكوين نهج مكافحة البريد العشوائي في موضوع EOP .

الحد الأقصى لهذه القوائم هو حوالي 1000 إدخال؛ على الرغم من ذلك، ستتمكن فقط من إدخال 30 إدخالا في المدخل. يجب استخدام PowerShell لإضافة أكثر من 30 إدخالا.

تنبيه

• يؤدي هذا الأسلوب إلى حدوث خطر كبير من قيام المهاجمين بتسليم البريد الإلكتروني بنجاح إلى علبة الوارد التي سيتم تصفيتها بخلاف ذلك؛ ومع ذلك، فإن المرسلين المسموح بهم أو قوائم المجالات المسموح بها لا تمنع تصفية البرامج الضارة أو رسائل التصيد الاحتيالي عالية الثقة.

• لا تستخدم المجالات التي تملكها (المعروفة أيضا بالمجالات المقبولة) أو المجالات الشائعة (على سبيل المثال، microsoft.com) في قوائم المجالات المسموح بها.

اعتبارات البريد الإلكتروني المجمع

تتكون رسالة البريد الإلكتروني SMTP القياسية من مغلف رسالة ومحتوى رسالة. يحتوي مغلف الرسالة على معلومات مطلوبة لنقل الرسالة وتسليمها بين خوادم SMTP. يحتوي محتوى الرسالة على حقول رأس الرسالة (تسمى بشكل جماعي رأس الرسالة) والنص الأساسي للرسالة. يتم وصف مغلف الرسالة في RFC 5321، ويتم وصف رأس الرسالة في RFC 5322. لا يرى المستلمون مغلف الرسالة الفعلي لأنه تم إنشاؤه بواسطة عملية إرسال الرسالة، وهو في الواقع ليس جزءا من الرسالة.

• 5321.MailFrom العنوان (المعروف أيضا بعنوان MAIL FROM أو مرسل P1 أو مرسل المغلف) هو عنوان البريد الإلكتروني المستخدم في إرسال SMTP للرسالة. يتم عادة تسجيل عنوان البريد الإلكتروني هذا في حقل رأس مسار الإرجاع في رأس الرسالة (على الرغم من أنه من الممكن للمرسل تعيين عنوان بريد إلكتروني مختلف لمسار الإرجاع ). إذا تعذر تسليم الرسالة، فسيكون هو المستلم لتقرير عدم التسليم (المعروف أيضا ب NDR أو رسالة إعلام البريد المرتد).
• 5322.From (المعروف أيضا باسم عنوان "من" أو "مرسل P2") هو عنوان البريد الإلكتروني في حقل رأس "من"، وهو عنوان البريد الإلكتروني للمرسل الذي يتم عرضه في عملاء البريد الإلكتروني.

في كثير من الأحيان، تكون 5321.MailFrom العناوين والعناوين 5322.From هي نفسها (الاتصال من شخص إلى شخص). ومع ذلك، عند إرسال البريد الإلكتروني نيابة عن شخص آخر، يمكن أن تكون العناوين مختلفة. يحدث هذا الأمر في أغلب الأحيان لرسائل البريد الإلكتروني المجمعة.

على سبيل المثال، افترض أن شركة Blue Yonder Airlines قد عينت Margie's Travel لإرسال إعلانات البريد الإلكتروني الخاصة بها. تحتوي الرسالة التي تتلقاها في علبة الوارد على الخصائص التالية:

• العنوان 5321.MailFrom blueyonder.airlines@margiestravel.com.
• العنوان 5322.From blueyonder@news.blueyonderairlines.com، وهو ما ستراه في Outlook.

خزينة قوائم المرسلين وقوائم المجالات الآمنة في نهج مكافحة البريد العشوائي في EOP فحص العناوين فقط5322.From، وهذا مشابه Outlook خزينة المرسلين الذين يستخدمون 5322.From العنوان.

لمنع تصفية هذه الرسالة، يمكنك اتخاذ الخطوات التالية:

• أضف blueyonder@news.blueyonderairlines.com (5322.Fromالعنوان) كمرسل Outlook خزينة.
• استخدم قاعدة تدفق البريد بشرط يبحث عن رسائل من blueyonder@news.blueyonderairlines.com ( 5322.From العنوان أو blueyonder.airlines@margiestravel.com (أو 5321.MailFromكليهما).