Create שולחים בטוחים ב- EOP

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

אם אתה לקוח של Microsoft 365 עם תיבות דואר ב- Exchange Online או לקוח עצמאי של Exchange Online Protection (EOP) ללא תיבות דואר של Exchange Online, EOP מציע כמה דרכים להבטיח שהמשתמשים יקבלו דואר אלקטרוני משולחים מהימנים. באופן קולקטיבי, ניתן לחשוב על אפשרויות אלה כרשימות שולחים בטוחים.

רשימות השולחים הבטוחים הזמינות מתוארות ברשימה הבאה לפי הסדר המומלצ ביותר למומלץ ביותר:

  1. אפשר ערכים עבור תחומים וכתובות דואר אלקטרוני (כולל שולחים התחזות) ברשימת הדיירים המותרים/החסומים.
  2. כללי זרימת דואר (נקראים גם כללי תעבורה).
  3. שולחים בטוחים של Outlook (רשימת השולחים הבטוחים המאוחסנת בכל תיבת דואר המשפיעה רק על תיבת דואר זו).
  4. רשימת היתרי IP (סינון חיבורים)
  5. רשימות שולחים מותרים או רשימות תחומים מותרות (מדיניות למניעת דואר זבל)

שאר המאמר מכיל פרטים לגבי כל שיטה.

חשוב

הודעות המזוהות כתוכנות זדוניות* או דיוג בביטחון גבוה תמיד בהסגר, ללא קשר לאפשרויות רשימת השולחים הבטוחים שבה אתה משתמש. לקבלת מידע נוסף, ראה אבטחה כברירת מחדל ב- Office 365.

* המערכת מדלגת על סינון תוכנות זדוניות בתיבות דואר של SecOps המזוהות במדיניות המסירה המתקדמות. לקבלת מידע נוסף, ראה קביעת התצורה של מדיניות המסירה המתקדמות עבור הדמיות דיוג ומסירת דואר אלקטרוני של ספקים חיצוניים לתיבות דואר של SecOps.

הקפד לנטר היטב את החריגים שאתה מבצע בסינון הודעות זבל באמצעות רשימות שולחים בטוחות.

שלח תמיד הודעות ברשימות השולחים הבטוחים שלך ל- Microsoft לצורך ניתוח. לקבלת הוראות, ראה דיווח על דואר אלקטרוני טוב ל- Microsoft. אם ההודעות או מקורות ההודעות נקבעו להיות נדירים, Microsoft יכולה לאפשר את ההודעות באופן אוטומטי, ולא תצטרך לשמור באופן ידני את הערך ברשימות שולחים בטוחים.

במקום לאפשר דואר אלקטרוני, יש לך גם כמה אפשרויות לחסום דואר אלקטרוני ממקורות ספציפיים באמצעות רשימות שולחים חסומים. לקבלת מידע נוסף, ראה Create השולחים ב- EOP.

השתמש בהזנות 'אפשר' ברשימת החסימה/החסימה של הדייר

האפשרות המומלצת מספר אחת שלנו לאפשר דואר משולחים או תחומים היא רשימת התרה/חסימה של דיירים. לקבלת הוראות, ראה Create מאפשרות ערכים עבור תחומים וכתובות דואר אלקטרוני Create מאפשרות ערכים עבור שולחים התחזים.

רק אם אינך יכול להשתמש ברשימת ההיתרים/חסימה של הדייר מסיבה כלשהי, עליך לשקול להשתמש בשיטה אחרת כדי לאפשר שולחים.

שימוש בכללי זרימת דואר

הערה

לא ניתן להשתמש בכותרות הודעות בכללי זרימת דואר כדי להגדיר שולח פנימי כשולח בטוח. ההליכים בסעיף זה פועלים עבור שולחים חיצוניים בלבד.

כללי זרימת דואר ב- Exchange Online ו- EOP העצמאי משתמשים בתנאים וב החריגים לזיהוי הודעות, ופעולות כדי לציין מה יש לעשות בהודעות אלה. לקבלת מידע נוסף, ראה כללי זרימת דואר (כללי תעבורה) Exchange Online.

הדוגמה הבאה מניחה שאתה זקוק לדואר אלקטרוני מ- contoso.com כדי לדלג על סינון הודעות זבל. לשם כך, קבע את תצורת ההגדרות הבאות:

  1. תנאי: תחום השולח>contoso.com> .

  2. קבע תצורה של אחת מההגדרות הבאות:

    • תנאי כלל זרימת דואר: כותרות ההודעה>כוללות אחת ממילים אלה:

      • שם כותרת: Authentication-Results
      • ערך כותרת עליונה: dmarc=pass או dmarc=bestguesspass (הוספת שני הערכים).

      תנאי זה בודק את מצב אימות הדואר האלקטרוני של תחום הדואר האלקטרוני השולח כדי לוודא שהתחום השולח אינו מזוהה. לקבלת מידע נוסף אודות אימות דואר אלקטרוני, ראה SPF, DKIM ו- DMARC.

    • רשימת היתרי IP: ציין את כתובת ה- IP או טווח הכתובות המשמשים כמקור במדיניות מסנן החיבורים. לקבלת הוראות, ראה קביעת תצורה של סינון חיבורים.

      השתמש בהגדרה זו אם התחום השולח אינו משתמש באימות דואר אלקטרוני. היה מגביל ככל האפשר בכל הנוגע לכתובות ה- IP המשמשות כמקור ברשימת היתרי ה- IP. אנו ממליצים על טווח כתובות IP של /24 או פחות (עדיף פחות). אל תשתמש בטווחי כתובות IP השייכים לשירותים לצרכנים (לדוגמה, outlook.com) או תשתית משותפת.

    חשוב

    • לעולם אל תגדיר כללי זרימת דואר עם תחום השולח בלבד כתנה לדלג על סינון דואר זבל. פעולה זו תגדיל באופן משמעותי את הסבירות לכך שהתוקפים יוכלו להונות את התחום השולח (או להתחזות כתובת הדואר האלקטרוני המלאה), לדלג על כל סינון הודעות הזבל ולדלג על בדיקת אימות שולח כך שההודעה תגיע לתיבת הדואר הנכנס של הנמען.

    • אל תשתמש תחומים בבעלותך (נקראים גם תחומים מקובלים) או תחומים פופולריים (לדוגמה, microsoft.com) כתנאים בכללי זרימת דואר. פעולה זו נחשבת לסיכון גבוה מכיוון שהיא יוצרת הזדמנויות לתוקפים לשלוח דואר אלקטרוני שמסנן בדרך אחרת.

    • אם אתה מאפשר כתובת IP מאחורי שער תרגום כתובות רשת (NAT), עליך להכיר את השרתים המעורבים במאגר NAT כדי לדעת את הטווח של רשימת היתרי ה- IP שלך. כתובות IP ומשתתפים ב- NAT יכולים להשתנות. עליך לבדוק מעת לעת את ערכי רשימת היתרי ה- IP כחלק מהליכי התחזוקה הסטנדרטיים שלך.

  3. תנאים אופציונליים:

    • השולח>הוא פנימי/חיצוני>מחוץ לארגון: תנאי זה משתמע, אך ניתן להשתמש בו כדי לתעד שרתי דואר אלקטרוני מקומיים שייתכן שתצורתם לא נקבעה כראוי.
    • הנושא או גוף ההודעה>הנושא או גוף ההודעה כוללים כל אחת ממילים אלה><מילות מפתח>: אם באפשרותך להגביל את ההודעות עוד יותר באמצעות מילות מפתח או צירופי מילים בשורת הנושא או בגוף ההודעה, באפשרותך להשתמש במילים אלה כתנה.

  4. פעולה: קבע את תצורת שתי הפעולות הבאות בכלל:

    1. שינוי מאפייני ההודעה>הגדרת רמת מהימנות של דואר זבל (SCL)>עקוף סינון דואר זבל.

    2. שינוי מאפייני ההודעה>הגדר כותרת הודעה:

      • שם כותרת: לדוגמה, X-ETR.
      • ערך כותרת עליונה: לדוגמה, Bypass spam filtering for authenticated sender 'contoso.com'.

      אם יש לך יותר מתחום אחד בכלל, באפשרותך להתאים אישית את טקסט הכותרת, בהתאם לצורך.

כאשר הודעה מדלגת על סינון דואר זבל עקב כלל זרימת דואר, SFV:SKN ערך הערך מוחתם בכותרת X-Forefront-Antispam-Report . אם ההודעה היא ממקור שמופיע ברשימת היתרי ה- IP, נוסף IPV:CAL גם הערך. ערכים אלה יכולים לעזור לך בפתרון בעיות.

דוגמה להגדרות של כלל זרימת דואר ב- EAC החדש לעקיפת סינון דואר זבל.

שימוש בשולחים בטוחים של Outlook

זהירות

שיטה זו יוצרת סיכון גבוה לתוקפים שיעבירו בהצלחה דואר אלקטרוני לתיבת הדואר הנכנס שמסוננים בדרך אחרת; עם זאת, אם הודעה מערך ברשימות השולחים הבטוחים או התחומים הבטוחים של המשתמש נקבעת כתוכנות זדוניות או כהודעת דיוג מהימנות גבוהה, ההודעה תסנן.

במקום הגדרה ארגונית, משתמשים או מנהלי מערכת יכולים להוסיף את כתובות הדואר האלקטרוני של השולחים לרשימת השולחים הבטוחים בתיבת הדואר. לקבלת הוראות, ראה קביעת תצורה של הגדרות דואר זבל בתיבות Exchange Online דואר אלקטרוני ב- Office 365. ערכי רשימת השולחים הבטוחים בתיבת הדואר משפיעים על תיבת דואר זו בלבד.

שיטה זו אינה רצויה ברוב המקרים מאחר ששולחים יעקפו חלקים ממחסנית הסינון. למרות שאתה נותן אמון בשולח, השולח עדיין יכול להיחשף לסכנה ולשלוח תוכן זדוני. עליך לאפשר לסינון שלנו לבדוק כל הודעה ולאחר מכן לדווח ל- Microsoft על תוצאות חיוביות /שליליות מוטעות אם טעה. עקיפת ערימת הסינון מפריעה גם לצמיתות אוטומטי של אפס שעות (ZAP).

כאשר הודעות מדלגות על סינון הודעות זבל עקב ערכים ברשימת השולחים הבטוחים של המשתמש, שדה הכותרת X-Forefront-Antispam-ReportSFV:SFEיכיל את הערך , המציין כי סינון עבור דואר זבל, התחזות ודיוג (לא דיוג ברמת מהימנות גבוהה) הועבר.

הערות:

  • ב Exchange Online, השאלה אם הערכים ברשימת השולחים הבטוחים פועלים או אינם פועלים תלויים בפסק הדין ובפעולה במדיניות שזיהתה את ההודעה:
    • העבר הודעות לתיקיית דואר הזבל: ערכי תחום וערכים של כתובות דואר אלקטרוני של השולח יתכבדו. הודעות משולחים אלה אינן מועברות לתיקיה 'דואר זבל'.
    • העבר להסגר: ערכי תחום אינם מוערכים (הודעות משולחים אלה בהסגר). ערכי כתובות דואר אלקטרוני מוערכים (הודעות משולחים אלה אינן בהסגר) אם אחד מההצהרה הבאה מתקיים:
      • ההודעה אינה מזוהה כזדונית או כדיוג בביטחון גבוה (תוכנות זדוניות והודעות דיוג ברמת מהימנות גבוהה בהסגר).
      • כתובת הדואר האלקטרוני אינה מופיעה גם בערך בלוק ברשימת הדיירים אפשר/חסום.
  • ערכים עבור שולחים חסומים וקבוצות מחשבים חסומים נשמרים (הודעות משולחים אלה מועברות לתיקיה 'דואר זבל'). המערכת מתעלמת מהגדרות בטוחות של רשימת דיוור.

שימוש ברשימת היתרי ה- IP

זהירות

ללא אימות נוסף כגון כללי זרימת דואר, דואר אלקטרוני ממקורות ברשימת היתרי ה- IP מדלג על סינון הודעות זבל ואימות שולח (SPF, DKIM, DMARC). תוצאה זו יוצרת סיכון גבוה לתוקפים שיעבירו בהצלחה דואר אלקטרוני לתיבת הדואר הנכנס שמסוננים באופן אחר; עם זאת, אם הודעה מערך ברשימת היתרי ה- IP נקבעת כזדונית או כהודעת דיוג מהימנות גבוהה, ההודעה תסנן.

האפשרות הטובה ביותר הבאה היא להוסיף את שרת המקור של הדואר האלקטרוני או השרתים לרשימת היתרי ה- IP במדיניות מסנן החיבורים. לקבלת פרטים, ראה קביעת תצורה של סינון חיבורים ב- EOP.

הערות:

  • חשוב לשמור לפחות את מספר כתובות ה- IP המותרות, לכן הימנע משימוש בטווחים של כתובות IP שלמות כאשר הדבר אפשרי.
  • אל תשתמש בטווחי כתובות IP השייכים לשירותים לצרכנים (לדוגמה, outlook.com) או תשתית משותפת.
  • סקור באופן קבוע את הערכים ברשימת היתרי ה- IP והסר את הערכים שאינם דרושים לך עוד.

שימוש ברשימות שולחים מותרים או ברשימות תחומים מותרות

זהירות

שיטה זו יוצרת סיכון גבוה לתוקפים שיעבירו בהצלחה דואר אלקטרוני לתיבת הדואר הנכנס שמסוננים בדרך אחרת; עם זאת, אם הודעה מערך ברשימות השולחים המותרים או התחומים המותרים נקבעת כתוכנות זדוניות או דיוג בביטחון גבוה, ההודעה תלסנן.

אל תשתמש תחומים פופולריים (לדוגמה, microsoft.com) ברשימות תחומים מותרות.

האפשרות הכי פחות רצויה היא להשתמש ברשימות השולחים המותרים או ברשימות תחומים מותרים במדיניות למניעת דואר זבל. עליך להימנע מאפשרות זו אם הדבר אפשרי משום ששולחים עוקפים את כל הודעות הזבל, התחזות, הגנת דיוג (למעט דיוג ברמת מהימנות גבוהה) ואימות שולח (SPF, DKIM, DMARC). שיטה זו משמשת באופן מיטבי לבדיקות זמניות בלבד. ניתן למצוא את השלבים המפורטים בנושא קביעת תצורה של מדיניות למניעת דואר זבל בנושא EOP .

המגבלה המרבית עבור רשימות אלה היא כ- 1000 ערכים; למרות זאת, תוכל להזין 30 ערכים בלבד בפורטל. עליך להשתמש ב- PowerShell כדי להוסיף יותר מ- 30 ערכים.

הערה

נכון לספטמבר 2022, אם שולח, תחום או תחום מותרים קיימים בתחום מקובל בארגון שלך, שולח, תחום או תחום משנה אלה חייבים להעביר את ההבדקות לאימות דואר אלקטרוני כדי לדלג על סינון למניעת הודעות זבל.

שיקולים לדואר אלקטרוני בצובר

הודעת דואר אלקטרוני סטנדרטית מסוג SMTP מורכבת ממעטפה של הודעה ותוכן הודעה. מעטפת ההודעה מכילה מידע הנדרש לצורך שידור והצגה של ההודעה בין שרתי SMTP. תוכן ההודעה מכיל שדות כותרת הודעה (הנקראים במשותף כותרת ההודעה) וגוף ההודעה. מעטפת ההודעה מתוארת ב- RFC 5321, וכותרת ההודעה מתוארת ב- RFC 5322. הנמענים לעולם לא רואים את מעטפת ההודעה בפועל מכיוון שהיא נוצרת על-ידי תהליך שידור ההודעה, והיא אינה למעשה חלק מההודעה.

  • הכתובת 5321.MailFrom (המכונה גם כתובת MAIL FROM , שולח P1 או שולח מעטפה) היא כתובת הדואר האלקטרוני המשמשת בשידור SMTP של ההודעה. כתובת דואר אלקטרוני זו מתועדת בדרך כלל בשדה הכותרת של נתיב החזרה בכותרת ההודעה (למרות שניתן להקצות לשולח כתובת דואר אלקטרוני אחרת של נתיב החזרה). אם לא ניתן להעביר את ההודעה, זהו הנמען של דוח אי-המסירה (המכונה גם הודעת NDR או הודעת החזרה).
  • הכתובת 5322.From (המכונה גם כתובת 'מ' או השולח P2) היא כתובת הדואר האלקטרוני בשדה הכותרת 'מ', והיא כתובת הדואר האלקטרוני של השולח המוצגת ללקוחות דואר אלקטרוני.

לעתים קרובות, 5321.MailFrom הכתובות 5322.From והכתובות זהות (תקשורת בין אדם לאדם). עם זאת, כאשר דואר אלקטרוני נשלח בשמו של אדם אחר, הכתובות יכולות להיות שונות. מצב זה מתרחש לעתים קרובות עבור הודעות דואר אלקטרוני בצובר.

לדוגמה, נניח ש- Blue Yonder Airlines שכרה את 'נסיעות' של מארג'י כדי לשלוח הודעות דואר אלקטרוני לפרסום. ההודעה שתקבל בתיבת הדואר הנכנס שלך כוללת את המאפיינים הבאים:

  • הכתובת 5321.MailFrom היא blueyonder.airlines@margiestravel.com.
  • הכתובת 5322.From היא blueyonder@news.blueyonderairlines.com, שהיא מה שאתה רואה ב- Outlook.

רשימות שולחים בטוחים ורשימות תחומים בטוחות במדיניות למניעת דואר זבל ב- EOP בודקות רק את 5322.From הכתובות. אופן פעולה זה דומה לשולחים בטוחים של Outlook המשתמשים 5322.From בכתובת.

כדי למנוע סינון של הודעה זו, באפשרותך לבצע את השלבים הבאים:

  • הוסף blueyonder@news.blueyonderairlines.com (הכתובת 5322.From ) כשולח בטוח של Outlook.
  • השתמש בכלל זרימת דואר עם תנאי שמ מחפש הודעות (הכתובת blueyonder@news.blueyonderairlines.com ), (5322.From5321.MailFrom הכתובת) blueyonder.airlines@margiestravel.com או שניהם.