メール保護の順序と優先順位
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。
Exchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、メールボックスがExchange Onlineされていない場合、受信メールに複数の保護形式のフラグが設定される場合があります。 たとえば、すべての Microsoft 365 ユーザーが利用できるなりすまし対策保護や、Microsoft Defender for Office 365のお客様のみが利用できる偽装保護などです。 メッセージは、マルウェア、スパム、フィッシングなどの複数の検出スキャンも通過します。このすべてのアクティビティを考えると、どのポリシーが適用されるかについて混乱が発生する可能性があります。
一般に、メッセージに適用されるポリシーは、CAT (Category) プロパティの X-Forefront-Antispam-Report ヘッダーで識別されます。 詳細については、「スパム対策メッセージ ヘッダー」を参照してください。
メッセージに適用されるポリシーを決定する主な要因は 2 つあります。
電子メール保護の種類の処理順序: この順序は構成できません。次の表で説明します。
順序 メールの保護 カテゴリ 管理する場所 1 マルウェア CAT:MALW
EOP のマルウェア対策ポリシーを構成する 2 高確度のフィッシング CAT:HPHSH
EOP でのスパム対策ポリシーの構成 3 フィッシング詐欺 CAT:PHSH
EOP でのスパム対策ポリシーの構成 4 高確度スパム CAT:HSPM
EOP でのスパム対策ポリシーの構成 5 スプーフィング CAT:SPOOF
詳細については、「EOP のスプーフィング インテリジェンス分析」を参照してください。 6* ユーザー偽装 (保護されたユーザー) CAT:UIMP
詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。 7* ドメイン偽装 (保護されたドメイン) CAT:DIMP
詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。 8* メールボックス インテリジェンス (連絡先グラフ) CAT:GIMP
詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。 9 スパム CAT:SPM
EOP でのスパム対策ポリシーの構成 10 バルク CAT:BULK
EOP でのスパム対策ポリシーの構成 *これらの機能は、Microsoft Defender for Office 365のフィッシング対策ポリシーでのみ使用できます。
ポリシーの優先順位: ポリシーの優先順位が次の一覧に表示されます。
スパム対策、マルウェア対策、フィッシング対策、安全なリンク*、安全な添付ファイル* の各ポリシーは、 厳密な事前設定されたセキュリティ ポリシー (有効な場合) にあります。
標準の事前設定されたセキュリティ ポリシー (有効になっている場合) のスパム対策、マルウェア対策、フィッシング対策、安全なリンク*、安全な添付ファイル*の各ポリシー。
カスタムのスパム対策、マルウェア対策、フィッシング対策、安全なリンク*、および安全な添付ファイル* ポリシー (作成時)。
カスタム ポリシーには、ポリシーを作成するときに既定の優先度値が割り当てられます (新しい方が高くなります)、優先順位の値はいつでも変更できます。 この優先度の値は、その種類の カスタム ポリシー (スパム対策、マルウェア対策、フィッシング対策など) が適用される順序に影響しますが、カスタム ポリシーが全体的な順序で適用される場所には影響しません。
Defender for Office 365評価ポリシーのフィッシング対策、安全なリンク、安全な添付ファイル (有効な場合)。
等しい値の場合:
- 組み込みの保護プリセット セキュリティ ポリシーの安全なリンクと安全な添付ファイル ポリシー*。
- マルウェア対策、スパム対策、フィッシング対策の既定のポリシー。
組み込みの保護プリセット セキュリティ ポリシーに対して例外を構成できますが、既定のポリシーに対して例外を構成することはできません (すべての受信者に適用され、無効にすることはできません)。
*Defender for Office 365のみ。
受信者が含まれている他のポリシーの数に関係なく、その受信者に適用されるのは、その種類の最初のポリシー (スパム対策、マルウェア対策、フィッシング対策など) だけなので 、同じ受信者が意図的に、または意図せずに複数のポリシーに含まれている場合、優先順位が重要です。 受信者の複数のポリシーで設定をマージまたは結合することはありません。 受信者は、その種類の残りのポリシーの設定の影響を受けません。
たとえば、"Contoso Executives" という名前のグループは、次のポリシーに含まれています。
- 厳密な事前設定されたセキュリティ ポリシー
- 優先度の値が 0 (最も高い優先度) を持つカスタムスパム対策ポリシー
- 優先度値 1 のカスタムスパム対策ポリシー。
Contoso エグゼクティブのメンバーに適用されるスパム対策ポリシー設定はどれですか? 厳密な事前設定されたセキュリティ ポリシー。 カスタムスパム対策ポリシーの設定は、Contoso エグゼクティブのメンバーには無視されます。厳密な事前設定されたセキュリティ ポリシーは常に最初に適用されるためです。
別の例として、同じ受信者に適用されるMicrosoft Defender for Office 365の次のカスタム フィッシング対策ポリシーと、ユーザー偽装となりすましの両方を含むメッセージを考えてみましょう。
ポリシー名 | 優先度 | ユーザー偽装 | なりすまし対策 |
---|---|---|---|
ポリシー A | 1 | オン | オフ |
ポリシー B | 2 | オフ | オン |
- スプーフィング (5) は、電子メール保護の種類の処理の順序でユーザー偽装 (6) の前に評価されるため、メッセージはスプーフィングとして識別されます。
- ポリシー A は、ポリシー B よりも優先度が高いため、最初に適用されます。
- ポリシー A の設定に基づいて、スプーフィング対策がオフになっているため、メッセージに対してアクションは実行されません。
- フィッシング対策ポリシーの処理は、含まれているすべての受信者に対して停止するため、ポリシー B はポリシー A にも含まれている受信者には適用されません。
受信者が必要な保護設定を確実に取得できるようにするには、ポリシー メンバーシップに次のガイドラインを使用します。
- 優先度の高いポリシーには少数のユーザーを割り当て、優先度の低いポリシーには多数のユーザーを割り当てます。 既定のポリシーは常に最後に適用されます。
- 優先度の高いポリシーを構成して、優先順位の低いポリシーよりも厳密または特殊な設定を設定します。 カスタム ポリシーと既定のポリシーの設定を完全に制御できますが、事前設定されたセキュリティ ポリシーのほとんどの設定は制御されません。
- 使用するカスタム ポリシーの数を減らしてください (標準または厳密な事前設定のセキュリティ ポリシー、または既定のポリシーよりも特殊な設定を必要とするユーザーにのみカスタム ポリシーを使用します)。
付録
ユーザーが EOP でスタックの判定を許可およびブロックする方法、テナントの許可とブロック、フィルター処理を行う方法を理解し、相互に補完または矛盾Defender for Office 365することが重要です。
- スタックのフィルター処理とその組み合わせ方法については、「Microsoft Defender for Office 365での脅威の保護のステップ バイ ステップ」を参照してください。
- フィルター スタックが判定を決定した後は、テナント ポリシーと構成されたアクションのみが評価されます。
- ユーザーの差出人セーフ リストとブロックされた送信者リストに同じメール アドレスまたはドメインが存在する場合、差出人セーフ リストが優先されます。
- 許可エントリに同じエンティティ (メール アドレス、ドメイン、なりすまし送信インフラストラクチャ、ファイル、または URL) が存在し、テナント許可/ブロック リストのブロック エントリが存在する場合、ブロック エントリが優先されます。
ユーザーの許可とブロック
次の表に示すように、ユーザーの セーフリスト コレクション ([差出人セーフ リスト]、[安全な受信者] リスト、および各メールボックスの [ブロックされた送信者] リスト) のエントリは、いくつかのフィルター処理スタックの判定をオーバーライドできます。
スタックの判定のフィルター処理 | ユーザーの差出人セーフ リスト | ユーザーの [ブロックされた送信者] の一覧 |
---|---|---|
マルウェア | フィルターの優先: 検疫Email | フィルターの優先: 検疫Email |
高確度のフィッシング | フィルターの優先: 検疫Email | フィルターの優先: 検疫Email |
フィッシング詐欺 | ユーザーの優先: Emailユーザーの受信トレイに配信されます | テナントの優先: 該当するスパム対策ポリシーによってアクションが決定されます |
高確度スパム | ユーザーの優先: Emailユーザーの受信トレイに配信されます | テナントの優先: 該当するスパム対策ポリシーによってアクションが決定されます |
スパム | ユーザーの優先: Emailユーザーの受信トレイに配信されます | テナントの優先: 該当するスパム対策ポリシーによってアクションが決定されます |
バルク | ユーザーの優先: Emailユーザーの受信トレイに配信されます | ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email |
スパムではない | ユーザーの優先: Emailユーザーの受信トレイに配信されます | ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email |
ユーザー メールボックスのセーフリスト コレクションとスパム対策の設定の詳細については、「Exchange Online メールボックスで迷惑メール設定を構成する」を参照してください。
テナントの許可とブロック
テナントの許可とブロックは、次の表で説明するように、いくつかのフィルター処理スタックの判定をオーバーライドできます。
高度な配信ポリシー (指定された SecOps メールボックスとフィッシング シミュレーション URL のフィルター処理をスキップする):
スタックの判定のフィルター処理 高度な配信ポリシーの許可 マルウェア テナントの優先: メールボックスに配信Email 高確度のフィッシング テナントの優先: メールボックスに配信Email フィッシング詐欺 テナントの優先: メールボックスに配信Email 高確度スパム テナントの優先: メールボックスに配信Email スパム テナントの優先: メールボックスに配信Email バルク テナントの優先: メールボックスに配信Email スパムではない テナントの優先: メールボックスに配信Email Exchange メール フロー ルール (トランスポート ルールとも呼ばれます):
スタックの判定のフィルター処理 メール フロー ルールでは、* メール フロー ルール ブロック マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email 高確度のフィッシング フィルター優先: 複雑なルーティングを除いて検疫されたEmail フィルターの優先: 検疫Email フィッシング詐欺 テナントの優先: メールボックスに配信Email テナントの優先: 該当するスパム対策ポリシーでのフィッシングアクション 高確度スパム テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email スパム テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email バルク テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email スパムではない テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email * Microsoft 365 の前でサード パーティのセキュリティ サービスまたはデバイスを使用する組織では、SCL=-1 メール フロー ルールの代わりに 、Authenticated Received Chain (ARC) ( サード パーティに問い合わせて可用性を確保する ) とコネクタの拡張フィルター処理 (スキップ リストとも呼ばれます) の使用を検討する必要があります。 これらの改善された方法により、メール認証の問題が軽減され、 多層防御 のメール セキュリティが促進されます。
接続フィルター ポリシーの IP 許可リストと IP ブロック リスト:
スタックの判定のフィルター処理 IP 許可リスト IP ブロック リスト マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email 高確度のフィッシング フィルターの優先: 検疫Email フィルターの優先: 検疫Email フィッシング詐欺 テナントの優先: メールボックスに配信Email テナントの優先: サイレント ドロップEmail 高確度スパム テナントの優先: メールボックスに配信Email テナントの優先: サイレント ドロップEmail スパム テナントの優先: メールボックスに配信Email テナントの優先: サイレント ドロップEmail バルク テナントの優先: メールボックスに配信Email テナントの優先: サイレント ドロップEmail スパムではない テナントの優先: メールボックスに配信Email テナントの優先: サイレント ドロップEmail スパム対策ポリシーの設定を許可およびブロックする:
- 許可されている送信者とドメインの一覧。
- ブロックされた送信者とドメインの一覧。
- 特定の国/地域または特定の言語のメッセージをブロックします。
- 高度なスパム フィルター (ASF) 設定に基づいてメッセージをブロックします。
スタックの判定のフィルター処理 スパム対策ポリシーでは、 スパム対策ポリシー ブロック マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email 高確度のフィッシング フィルターの優先: 検疫Email フィルターの優先: 検疫Email フィッシング詐欺 テナントの優先: メールボックスに配信Email テナントの優先: 該当するスパム対策ポリシーでのフィッシングアクション 高確度スパム テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email スパム テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email バルク テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email スパムではない テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email [テナントの許可/ブロック] リストのエントリを許可します。
スタックの判定のフィルター処理 Email アドレス/ドメイン マルウェア フィルターの優先: 検疫Email 高確度のフィッシング フィルターの優先: 検疫Email フィッシング詐欺 テナントの優先: メールボックスに配信Email 高確度スパム テナントの優先: メールボックスに配信Email スパム テナントの優先: メールボックスに配信Email バルク テナントの優先: メールボックスに配信Email スパムではない テナントの優先: メールボックスに配信Email [テナントの許可/ブロック] リストのエントリをブロックします。
スタックの判定のフィルター処理 Email アドレス/ドメイン 偽装 File URL マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email テナントの優先: 検疫Email フィルターの優先: 検疫Email 高確度のフィッシング テナントの優先: 検疫Email フィルターの優先: 検疫Email テナントの優先: 検疫Email テナントの優先: 検疫Email フィッシング詐欺 テナントの優先: 検疫Email テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション テナントの優先: 検疫Email テナントの優先: 検疫Email 高確度スパム テナントの優先: 検疫Email テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション テナントの優先: 検疫Email テナントの優先: 検疫Email スパム テナントの優先: 検疫Email テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション テナントの優先: 検疫Email テナントの優先: 検疫Email バルク テナントの優先: 検疫Email テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション テナントの優先: 検疫Email テナントの優先: 検疫Email スパムではない テナントの優先: 検疫Email テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション テナントの優先: 検疫Email テナントの優先: 検疫Email
ユーザーとテナントの設定の競合
次の表は、ユーザーの許可/ブロック設定とテナントの許可/ブロック設定の両方によって電子メールが影響を受けた場合の競合の解決方法を示しています。
テナントの許可/ブロックの種類 | ユーザーの差出人セーフ リスト | ユーザーの [ブロックされた送信者] の一覧 |
---|---|---|
[テナントの許可/ブロック] リストで次のエントリをブロックします。
|
テナントの優先: 検疫Email | テナントの優先: 検疫Email |
テナント許可/ブロックリストでなりすまし送信者のエントリをブロックする | テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング インテリジェンス アクション | テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング インテリジェンス アクション |
高度な配信ポリシー | ユーザー優先: メールボックスに配信Email | テナントの優先: メールボックスに配信Email |
スパム対策ポリシーの設定をブロックする | ユーザー優先: メールボックスに配信Email | ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email |
DMARC ポリシーを適用する | ユーザー優先: メールボックスに配信Email | ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email |
メール フロー ルールによるブロック | ユーザー優先: メールボックスに配信Email | ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email |
次の方法で許可します。
|
ユーザー優先: メールボックスに配信Email | ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示