Rekkefølgen og prioriteten til e-postbeskyttelse

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, kan innkommende e-post bli flagget av flere former for beskyttelse. Beskyttelse mot forfalskning som for eksempel er tilgjengelig for alle Microsoft 365-kunder, og representasjonsbeskyttelse som bare er tilgjengelig for Microsoft Defender for Office 365 kunder. Meldinger går også gjennom søk etter skadelig programvare, søppelpost, phishing osv. Gitt all denne aktiviteten, kan det være litt forvirring om hvilken policy som brukes.

Generelt identifiseres en policy som brukes på en melding, i toppteksten X-Forefront-Antispam-Report i CAT-egenskapen (kategori ). Hvis du vil ha mer informasjon, kan du se meldingshoder for søppelpost.

Det finnes to viktige faktorer som bestemmer hvilken policy som skal brukes på en melding:

• Behandlingsrekkefølgen for beskyttelsestypen for e-post: Denne bestillingen kan ikke konfigureres, og er beskrevet i tabellen nedenfor:

  Rekkefølge	E-postbeskyttelse	Kategori	Hvor du administrerer
  1	Malware	CAT:MALW	Konfigurere policyer for skadelig programvare i EOP
  2	Phishing med høy konfidens	CAT:HPHSH	Konfigurer policyer for søppelpost i EOP
  3	Phishing	CAT:PHSH	Konfigurer policyer for søppelpost i EOP
  4	Søppelpost med høy konfidens	CAT:HSPM	Konfigurer policyer for søppelpost i EOP
  5	Etterligning	CAT:SPOOF	Spoof intelligence insight in EOP
  6*	Brukerrepresentasjon (beskyttede brukere)	CAT:UIMP	Konfigurer policyer for anti-phishing i Microsoft Defender for Office 365
  7*	Domenerepresentasjon (beskyttede domener)	CAT:DIMP	Konfigurer policyer for anti-phishing i Microsoft Defender for Office 365
  8*	Postboksintelligens (kontaktgraf)	CAT:GIMP	Konfigurer policyer for anti-phishing i Microsoft Defender for Office 365
  9	Søppelpost	CAT:SPM	Konfigurer policyer for søppelpost i EOP
  10	Masseutsendelse	CAT:BULK	Konfigurer policyer for søppelpost i EOP

  ^*Disse funksjonene er bare tilgjengelige i policyer for anti-phishing i Microsoft Defender for Office 365.

• Prioritetsrekkefølgen for policyer: Policyprioritetsrekkefølgen vises i følgende liste:

  1. Policyene for søppelpost, skadelig programvare, anti-phishing, klarerte koblinger^* og klarerte^* vedlegg i sikkerhetspolicyen Nøyaktig forhåndsinnstilt (når aktivert).

  2. Policyene for søppelpost, skadelig programvare, anti-phishing, klarerte koblinger^* og klarerte^* vedlegg i standardpolicyen for forhåndsinnstilte sikkerhetspolicyer (når aktivert).

  3. Anti-phishing, klarerte koblinger og klarerte vedlegg i evalueringspolicyer for Defender for Office 365 (når aktivert).

  4. Egendefinerte policyer for søppelpost, skadelig programvare, anti-phishing, klarerte koblinger^* og klarerte vedlegg (når de opprettes^* ).

     Egendefinerte policyer tilordnes en standard prioritetsverdi når du oppretter policyen (nyere er lik høyere), men du kan når som helst endre prioritetsverdien. Denne prioritetsverdien påvirker rekkefølgen som egendefinerte policyer av denne typen (søppelpost, skadelig programvare, anti-phishing osv.) brukes, men påvirker ikke hvor egendefinerte policyer brukes i den totale rekkefølgen.

  5. Av lik verdi:

     • Policyer for klarerte koblinger og klarerte vedlegg i den forhåndsinnstilte sikkerhetspolicyen^* for beskyttelse for beskyttelse.
     • Standardpolicyene for skadelig programvare, søppelpost og anti-phishing.

     Du kan konfigurere unntak fra den forhåndsinnstilte sikkerhetspolicyen for innebygd beskyttelse, men du kan ikke konfigurere unntak for standardpolicyene (de gjelder for alle mottakere, og du kan ikke deaktivere dem).

  ^*bare Defender for Office 365.

  Prioritetsrekkefølgen er viktig hvis du har samme mottaker med hensikt eller utilsiktet inkludert i flere policyer, fordi bare den første policyen av denne typen (søppelpost, skadelig programvare, anti-phishing osv.) brukes på denne mottakeren, uavhengig av hvor mange andre policyer mottakeren er inkludert i. Det finnes aldri en sammenslåing eller kombinasjon av innstillingene i flere policyer for mottakeren. Mottakeren påvirkes ikke av innstillingene for de gjenværende policyene av denne typen.

Gruppen «Contoso Executives» er for eksempel inkludert i følgende policyer:

• Den strenge forhåndsinnstilte sikkerhetspolicyen
• En egendefinert policy for søppelpost med prioritetsverdien 0 (høyeste prioritet)
• En egendefinert policy for søppelpost med prioritetsverdien 1.

Hvilke innstillinger for søppelpostpolicy brukes for medlemmene av Contoso-ledere? Den strenge forhåndsinnstilte sikkerhetspolicyen. Innstillingene i de egendefinerte policyene for søppelpost ignoreres for medlemmene av Contoso-ledere, fordi den strenge forhåndsinnstilte sikkerhetspolicyen alltid brukes først.

Som et annet eksempel bør du vurdere følgende egendefinerte policyer for anti-phishing i Microsoft Defender for Office 365 som gjelder for de samme mottakerne, og en melding som inneholder både brukerrepresentasjon og forfalskning:

Policynavn	Priority	Brukerrepresentasjon	Anti-forfalskning
Policy A	1	På	Av
Policy B	2	Av	På

1. Meldingen identifiseres som forfalsking fordi forfalskning (5) evalueres før brukerrepresentasjon (6) i behandlingsrekkefølgen for e-postbeskyttelsestypen.
2. Policy A brukes først, fordi den har høyere prioritet enn policy B.
3. Basert på innstillingene i policy A, utføres ingen handling på meldingen fordi anti-forfalskning er slått av.
4. Behandlingen av anti-phishing-policyer stopper for alle inkluderte mottakere, slik at policy B aldri brukes på mottakere som også er i policy A.

Bruk følgende retningslinjer for policymedlemskap for å sikre at mottakerne får beskyttelsesinnstillingene du ønsker:

• Tilordne et mindre antall brukere til policyer med høyere prioritet, og et større antall brukere for å redusere prioritetspolicyer. Husk at standardpolicyer alltid brukes sist.
• Konfigurer policyer med høyere prioritet til å ha strengere eller mer spesialiserte innstillinger enn policyer med lavere prioritet. Du har full kontroll over innstillingene i egendefinerte policyer og standardpolicyer, men ingen kontroll over de fleste innstillingene i forhåndsinnstilte sikkerhetspolicyer.
• Vurder å bruke færre egendefinerte policyer (bruk bare egendefinerte policyer for brukere som krever mer spesialiserte innstillinger enn standard- eller strenge forhåndsinnstilte sikkerhetspolicyer, eller standardpolicyer).

Tillegg

Det er viktig å forstå hvordan brukeren tillater og blokkerer, leier tillater og blokkerer og filtrerer stakkvurderinger i EOP og Defender for Office 365 komplementere eller motsi hverandre.

• Hvis du vil ha informasjon om filtrering av stabler og hvordan de kombineres, kan du se trinnvis trusselbeskyttelse i Microsoft Defender for Office 365.
• Når filtreringsstakken bestemmer en dom, blir leierpolicyer og deres konfigurerte handlinger evaluert.
• Hvis den samme e-postadressen eller domenet finnes i en brukers liste over klarerte avsendere og listen over blokkerte avsendere, har listen over klarerte avsendere forrang.
• Hvis den samme enheten (e-postadresse, domene, falsk sending av infrastruktur, fil eller URL-adresse) finnes i en tillatelsesoppføring og en blokkoppføring i tillat/blokkeringslisten for tenanten, har blokkoppføringen forrang.

Bruker tillater og blokkerer

Oppføringer i en brukers samling av klarerte lister (listen over klarerte avsendere, listen over klarerte mottakere og listen over blokkerte avsendere i hver postboks) kan overstyre noen filtreringsstakkvurderinger som beskrevet i tabellen nedenfor:

Dom for filtreringsstakk	Brukerens liste over klarerte avsendere/mottakere	Brukerens liste over blokkerte avsendere
Malware	Filter vinner: E-post i karantene	Filter vinner: E-post i karantene
Phishing med høy konfidens	Filter vinner: E-post i karantene	Filter vinner: E-post i karantene
Phishing	Bruker vinner: E-post levert til brukerens innboks	Leier vinner: Gjeldende policy for søppelpost bestemmer handlingen
Søppelpost med høy konfidens	Bruker vinner: E-post levert til brukerens innboks	Bruker vinner: E-post levert til brukerens Søppelpost-mappe
Søppelpost	Bruker vinner: E-post levert til brukerens innboks	Bruker vinner: E-post levert til brukerens Søppelpost-mappe
Masseutsendelse	Bruker vinner: E-post levert til brukerens innboks	Bruker vinner: E-post levert til brukerens Søppelpost-mappe
Ikke søppelpost	Bruker vinner: E-post levert til brukerens innboks	Bruker vinner: E-post levert til brukerens Søppelpost-mappe

Hvis du vil ha mer informasjon om samlingen av klarerte lister og søppelpostinnstillinger i brukerpostbokser, kan du se Konfigurere innstillinger for søppelpost på Exchange Online postbokser.

Leier tillater og blokkerer

Leier tillater og blokker kan overstyre noen filtreringsstakkvurderinger som beskrevet i følgende tabeller:

• Avansert leveringspolicy (hopp over filtrering for angitte SecOps-postbokser og nettadresser for phishing-simulering):

  Dom for filtreringsstakk	Avansert leveringspolicy tillater
  Malware	Leier vinner: E-post levert til postboksen
  Phishing med høy konfidens	Leier vinner: E-post levert til postboksen
  Phishing	Leier vinner: E-post levert til postboksen
  Søppelpost med høy konfidens	Leier vinner: E-post levert til postboksen
  Søppelpost	Leier vinner: E-post levert til postboksen
  Masseutsendelse	Leier vinner: E-post levert til postboksen
  Ikke søppelpost	Leier vinner: E-post levert til postboksen

• Regler for Exchange-e-postflyt (også kjent som transportregler):

  Dom for filtreringsstakk	E-postflytregel tillater*	Regelblokker for e-postflyt
  Malware	Filter vinner: E-post i karantene	Filter vinner: E-post i karantene
  Phishing med høy konfidens	Filter vinner: E-post i karantene unntatt i kompleks ruting	Filter vinner: E-post i karantene
  Phishing	Leier vinner: E-post levert til postboksen	Leier vinner: Phishing-handling i gjeldende policy for søppelpost
  Søppelpost med høy konfidens	Leier vinner: E-post levert til postboksen	Leier vinner: E-post levert til brukerens søppelpostmappe
  Søppelpost	Leier vinner: E-post levert til postboksen	Leier vinner: E-post levert til brukerens søppelpostmappe
  Masseutsendelse	Leier vinner: E-post levert til postboksen	Leier vinner: E-post levert til brukerens søppelpostmappe
  Ikke søppelpost	Leier vinner: E-post levert til postboksen	Leier vinner: E-post levert til brukerens søppelpostmappe

  ^* Organisasjoner som bruker en tredjeparts sikkerhetstjeneste eller enhet foran Microsoft 365, bør vurdere å bruke arc (Authenticated Received Chain) ( kontakt tredjeparten for tilgjengelighet) og utvidet filtrering for koblinger (også kjent som hopp over oppføring) i stedet for en SCL=-1-regel for e-postflyt. Disse forbedrede metodene reduserer problemer med e-postgodkjenning og oppmuntrer til dyptgående e-postsikkerhet .

• Ip-tillatelsesliste og IP-blokkeringsliste i policyer for tilkoblingsfilter:

  Dom for filtreringsstakk	Ip-tillatelsesliste	IP-blokkeringsliste
  Malware	Filter vinner: E-post i karantene	Filter vinner: E-post i karantene
  Phishing med høy konfidens	Filter vinner: E-post i karantene	Filter vinner: E-post i karantene
  Phishing	Leier vinner: E-post levert til postboksen	Leier vinner: E-post droppet stille
  Søppelpost med høy konfidens	Leier vinner: E-post levert til postboksen	Leier vinner: E-post droppet stille
  Søppelpost	Leier vinner: E-post levert til postboksen	Leier vinner: E-post droppet stille
  Masseutsendelse	Leier vinner: E-post levert til postboksen	Leier vinner: E-post droppet stille
  Ikke søppelpost	Leier vinner: E-post levert til postboksen	Leier vinner: E-post droppet stille

• Tillat og blokker innstillinger i policyer for søppelpost:

  • Tillatt avsender- og domeneliste.
  • Blokkert avsender og domeneliste.
  • Blokkere meldinger fra bestemte land/områder eller på bestemte språk.
  • Blokkere meldinger basert på avanserte innstillinger for søppelpostfilter (ASF).

  Dom for filtreringsstakk	Policy for søppelpost tillater	Søppelpostpolicyblokker
  Malware	Filter vinner: E-post i karantene	Filter vinner: E-post i karantene
  Phishing med høy konfidens	Filter vinner: E-post i karantene	Filter vinner: E-post i karantene
  Phishing	Leier vinner: E-post levert til postboksen	Leier vinner: Phishing-handling i gjeldende policy for søppelpost
  Søppelpost med høy konfidens	Leier vinner: E-post levert til postboksen	Leier vinner: E-post levert til brukerens søppelpostmappe
  Søppelpost	Leier vinner: E-post levert til postboksen	Leier vinner: E-post levert til brukerens søppelpostmappe
  Masseutsendelse	Leier vinner: E-post levert til postboksen	Leier vinner: E-post levert til brukerens søppelpostmappe
  Ikke søppelpost	Leier vinner: E-post levert til postboksen	Leier vinner: E-post levert til brukerens søppelpostmappe

• Tillat oppføringer i leierens tillatelses-/blokkeringsliste:

  Dom for filtreringsstakk	E-postadresse/domene
  Malware	Filter vinner: E-post i karantene
  Phishing med høy konfidens	Filter vinner: E-post i karantene
  Phishing	Leier vinner: E-post levert til postboksen
  Søppelpost med høy konfidens	Leier vinner: E-post levert til postboksen
  Søppelpost	Leier vinner: E-post levert til postboksen
  Masseutsendelse	Leier vinner: E-post levert til postboksen
  Ikke søppelpost	Leier vinner: E-post levert til postboksen

• Blokkere oppføringer i leierens tillatelses-/blokkeringsliste:

  Dom for filtreringsstakk	E-postadresse/domene	Spole	Filen	URL
  Malware	Filter vinner: E-post i karantene	Filter vinner: E-post i karantene	Leier vinner: E-post i karantene	Filter vinner: E-post i karantene
  Phishing med høy konfidens	Leier vinner: E-post i karantene	Filter vinner: E-post i karantene	Leier vinner: E-post i karantene	Leier vinner: E-post i karantene
  Phishing	Leier vinner: E-post i karantene	Leier vinner: Forfalskningshandling i gjeldende policy for anti-phishing	Leier vinner: E-post i karantene	Leier vinner: E-post i karantene
  Søppelpost med høy konfidens	Leier vinner: E-post i karantene	Leier vinner: Forfalskningshandling i gjeldende policy for anti-phishing	Leier vinner: E-post i karantene	Leier vinner: E-post i karantene
  Søppelpost	Leier vinner: E-post i karantene	Leier vinner: Forfalskningshandling i gjeldende policy for anti-phishing	Leier vinner: E-post i karantene	Leier vinner: E-post i karantene
  Masseutsendelse	Leier vinner: E-post i karantene	Leier vinner: Forfalskningshandling i gjeldende policy for anti-phishing	Leier vinner: E-post i karantene	Leier vinner: E-post i karantene
  Ikke søppelpost	Leier vinner: E-post i karantene	Leier vinner: Forfalskningshandling i gjeldende policy for anti-phishing	Leier vinner: E-post i karantene	Leier vinner: E-post i karantene

Konflikt med bruker- og leierinnstillinger

Tabellen nedenfor beskriver hvordan konflikter løses hvis en e-postmelding påvirkes av både brukerinnstillinger for tillatelse/blokkering og tillatelses-/blokkeringsinnstillinger for leier:

Type leier-tillatelse/-blokk	Brukerens liste over klarerte avsendere/mottakere	Brukerens liste over blokkerte avsendere
Blokker oppføringer i leierens tillatelses-/blokkeringsliste for: E-postadresser og domener Filer Nettadresser	Leier vinner: E-post i karantene	Leier vinner: E-post i karantene
Blokkere oppføringer for falske avsendere i leierens tillatelses-/blokkeringsliste	Leier vinner: Forfalskningsintelligenshandling i gjeldende policy for anti-phishing	Leier vinner: Forfalskningsintelligenshandling i gjeldende policy for anti-phishing
Avansert leveringspolicy	Brukeren vinner: E-post levert til postboksen	Leier vinner: E-post levert til postboksen
Blokkere innstillinger i søppelpostpolicyer	Brukeren vinner: E-post levert til postboksen	Bruker vinner: E-post levert til brukerens Søppelpost-mappe
Overtred DMARC-policy	Brukeren vinner: E-post levert til postboksen	Bruker vinner: E-post levert til brukerens Søppelpost-mappe
Blokker etter regler for e-postflyt	Brukeren vinner: E-post levert til postboksen	Bruker vinner: E-post levert til brukerens Søppelpost-mappe
Tillater av: Regler for e-postflyt Ip-tillatelsesliste (policy for tilkoblingsfilter) Liste over tillatte avsendere og domener (policyer for søppelpost) Tillatelses-/blokkeringsliste for leier	Brukeren vinner: E-post levert til postboksen	Bruker vinner: E-post levert til brukerens Søppelpost-mappe