Ochrona przed spamem w ramach EOP

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Uwaga

Ten temat jest przeznaczony dla administratorów. Aby zapoznać się z tematami użytkowników końcowych, zobacz Omówienie filtru Email śmieci i Dowiedz się więcej o wiadomościach-śmieciach i wyłudzaniu informacji.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych wiadomości e-mail są automatycznie chronione przed spamem (wiadomościami-śmieciami) przez usługę EOP.

Aby zmniejszyć liczbę wiadomości-śmieci, usługa EOP obejmuje ochronę przed wiadomościami-śmieciami, która używa zastrzeżonych technologii filtrowania spamu (znanego również jako filtrowanie zawartości) do identyfikowania i oddzielania wiadomości-śmieci od legalnych wiadomości e-mail. Filtrowanie spamu EOP uczy się od znanych zagrożeń związanych ze spamem i wyłudzaniem informacji oraz opinii użytkowników z naszej platformy konsumenckiej, Outlook.com. Ciągłe opinie administratorów i użytkowników pomagają zagwarantować, że technologie EOP są stale wytrenowane i udoskonalane.

Funkcja EOP używa następujących werdyktów filtrowania spamu do klasyfikowania komunikatów:

• Spam: wiadomość otrzymała poziom ufności spamu (SCL) wynoszący 5 lub 6.
• Spam o wysokim poziomie ufności: wiadomość otrzymała listę SCL 7, 8 lub 9.
• Wyłudzanie informacji
• Wyłudzanie informacji o wysokim poziomie ufności: domyślnie w ramach zabezpieczeń komunikaty, które są identyfikowane jako wyłudzanie informacji o wysokim poziomie zaufania, są zawsze poddawane kwarantannie, a użytkownicy nie mogą udostępniać własnych komunikatów wyłudzających informacje o wysokim poziomie ufności w kwarantannie, niezależnie od dostępnych ustawień skonfigurowanych przez administratorów.
• Zbiorczo: źródło komunikatów spełniło lub przekroczyło skonfigurowany poziom skarg zbiorczych (BCL). Próg.

Aby uzyskać więcej informacji na temat ochrony przed spamem, zobacz Często zadawane pytania dotyczące ochrony przed spamem

W domyślnych zasadach ochrony przed spamem i w niestandardowych zasadach ochrony przed spamem można skonfigurować akcje do wykonania na podstawie tych werdyktów. W standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych akcje są już skonfigurowane i niemodyfikowalne zgodnie z opisem w ustawieniach zasad ochrony przed spamem EOP.

Aby skonfigurować domyślne zasady ochrony przed spamem oraz tworzyć, modyfikować i usuwać niestandardowe zasady ochrony przed spamem, zobacz Konfigurowanie zasad ochrony przed spamem na platformie Microsoft 365.

Porada

Jeśli nie zgadzasz się z werdyktem filtrowania spamu, możesz zgłosić wiadomość do firmy Microsoft jako fałszywie dodatni (dobra wiadomość oznaczona jako zła) lub fałszywie ujemna (niedozwolona wiadomość e-mail). Więcej informacji można znaleźć w następujących artykułach:

• Jak mogę zgłosić podejrzaną wiadomość e-mail lub plik do firmy Microsoft?
• Jak obsługiwać uzasadnione wiadomości e-mail, które są blokowane (fałszywie dodatnie), używając Ochrona usługi Office 365 w usłudze Microsoft Defender
• Jak obsługiwać złośliwe wiadomości e-mail dostarczane do adresatów (fałszywie ujemne), przy użyciu Ochrona usługi Office 365 w usłudze Microsoft Defender

Nagłówki wiadomości chroniących przed spamem mogą poinformować, dlaczego wiadomość została oznaczona jako spam lub dlaczego pominięto filtrowanie spamu. Aby uzyskać więcej informacji, zobacz Nagłówki wiadomości antyspamowych.

Nie można całkowicie wyłączyć filtrowania spamu na platformie Microsoft 365, ale możesz użyć reguł przepływu poczty programu Exchange (znanych również jako reguły transportu), aby pominąć większość filtrowania spamu w wiadomościach przychodzących (na przykład w przypadku kierowania wiadomości e-mail za pośrednictwem usługi ochrony lub urządzenia innej firmy przed dostarczeniem do platformy Microsoft 365). Aby uzyskać więcej informacji, zobacz Używanie reguł przepływu poczty do ustawiania poziomu ufności spamu (SCL) w wiadomościach.

• Komunikaty wyłudzające informacje o wysokim poziomie pewności są nadal filtrowane. Nie ma to wpływu na inne funkcje EOP (na przykład komunikaty są zawsze skanowane pod kątem złośliwego oprogramowania).
• Jeśli musisz pominąć filtrowanie spamu dla skrzynek pocztowych SecOps lub symulacji wyłudzania informacji, nie używaj reguł przepływu poczty. Aby uzyskać więcej informacji, zobacz Konfigurowanie dostarczania symulacji wyłudzania informacji innym firmom użytkownikom i niefiltrowanych wiadomości do skrzynek pocztowych Usługi SecOps.

W środowiskach hybrydowych, w których funkcja EOP chroni lokalne skrzynki pocztowe programu Exchange, należy skonfigurować dwie reguły przepływu poczty (nazywane również regułami transportu) w lokalnej organizacji programu Exchange, aby rozpoznawać nagłówki spamu EOP dodawane do wiadomości. Aby uzyskać szczegółowe informacje, zobacz Configure EOP to deliver spam to the Junk Email folder in hybrid environments (Konfigurowanie EOP w celu dostarczania spamu do folderu Junk Email w środowiskach hybrydowych).

Zasady ochrony przed spamem

Zasady ochrony przed spamem kontrolują konfigurowalne ustawienia filtrowania spamu. Ważne ustawienia zasad ochrony przed spamem opisano w poniższych podsekcjach.

Porada

Aby wyświetlić ustawienia zasad ochrony przed spamem w zasadach domyślnych, standardowych wstępnie ustawionych zasad zabezpieczeń i ścisłych zasad zabezpieczeń wstępnie ustawionych, zobacz Ustawienia zasad ochrony przed spamem w usłudze EOP.

Filtry adresatów w zasadach ochrony przed spamem

Filtry adresatów używają warunków i wyjątków do identyfikowania wewnętrznych adresatów, których dotyczą zasady. W zasadach niestandardowych jest wymagany co najmniej jeden warunek. Warunki i wyjątki nie są dostępne w zasadach domyślnych (zasady domyślne dotyczą wszystkich adresatów). W przypadku warunków i wyjątków można użyć następujących filtrów adresatów:

• Użytkownicy: co najmniej jedna skrzynka pocztowa, użytkownicy poczty lub kontakty pocztowe w organizacji.
• Grupy:
  • Członkowie określonych grup dystrybucyjnych lub grup zabezpieczeń z obsługą poczty (dynamiczne grupy dystrybucyjne nie są obsługiwane).
  • Określona Grupy Microsoft 365.
• Domeny: co najmniej jedna ze skonfigurowanych zaakceptowanych domen na platformie Microsoft 365. Podstawowy adres e-mail adresata znajduje się w określonej domenie.

Warunek lub wyjątek można użyć tylko raz, ale warunek lub wyjątek może zawierać wiele wartości:

• Wiele wartościtego samego warunku lub wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>):

  • Warunki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady są do nich stosowane.
  • Wyjątki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady nie są do nich stosowane.

• Różne typy wyjątków używają logiki OR (na przykład <adresat1> lub <członek grupy1> lub <członek domeny domain1>). Jeśli adresat pasuje do żadnej z określonych wartości wyjątku, zasady nie są do nich stosowane.

• Różne typy warunków używają logiki AND. Adresat musi spełniać wszystkie określone warunki, aby zasady były do nich stosowane. Na przykład należy skonfigurować warunek z następującymi wartościami:

  • Użytkowników: romain@contoso.com
  • Grupy: Kadra kierownicza

  Zasady są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kierownictwo. W przeciwnym razie zasady nie są do niego stosowane.

Próg skarg zbiorczych (BCL) w zasadach ochrony przed spamem

Funkcja EOP przypisuje wartość poziomu skarg zbiorczych (BCL) do komunikatów przychodzących od nadawców zbiorczych. Wiadomości od nadawców zbiorczych są również nazywane pocztą zbiorczą lub szarą pocztą.

Aby uzyskać więcej informacji na temat listy BCL, zobacz Zbiorczy poziom skarg (BCL) w EOP.

Porada

Domyślnie ustawienie tylko programu PowerShell MarkAsSpamBulkMail jest On w zasadach ochrony przed spamem w programie Exchange Online programu PowerShell. To ustawienie znacząco wpływa na wyniki zbiorczego poziomu zgodności (BCL) osiągniętego lub przekroczonej werdyktu filtrowania :

• MarkAsSpamBulkMail jest włączone: lista BCL większa lub równa wartości progowej jest konwertowana na listę SCL 6, która odpowiada werdyktowi filtrowania spamu, a akcja dotycząca poziomu zgodności zbiorczej (BCL) została osiągnięta lub przekroczona w komunikacie.
• MarkAsSpamBulkMail jest wyłączona: komunikat jest ostemplowany listą BCL, ale nie jest podejmowana żadna akcja dotycząca poziomu zgodności zbiorczej (BCL) spełnionego lub przekroczonemu werdyktu filtrowania . W efekcie próg BCL i poziom zgodności zbiorczej (BCL) spełnione lub przekroczone akcja werdyktu filtrowania są nieistotne.

Właściwości spamu w zasadach ochrony przed spamem

Ustawienia trybu testu , ustawienia Zwiększanie oceny spamu i większość ustawień Oznacz jako spam są częścią zaawansowanego filtrowania spamu (ASF) w zasadach ochrony przed spamem.

Te ustawienia nie są domyślnie skonfigurowane w domyślnych zasadach ochrony przed spamem ani w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych.

Aby uzyskać pełne informacje na temat ustawień asf, zobacz Ustawienia zaawansowanego filtru spamu (ASF) w EOP.

Inne ustawienia dostępne w tej kategorii to:

• Zawiera określone języki: komunikaty w określonych językach są automatycznie identyfikowane jako spam.
• Z tych krajów*: Wiadomości z określonych krajów są automatycznie identyfikowane jako spam.

Te ustawienia nie są domyślnie skonfigurowane w domyślnych zasadach ochrony przed spamem ani w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych.

Akcje w zasadach ochrony przed spamem

• W niestandardowych zasadach ochrony przed spamem i domyślnych zasadach ochrony przed spamem dostępne akcje dotyczące werdyktów filtrowania spamu opisano w poniższej tabeli.

  • Znacznik wyboru ( ✔ ) wskazuje, że akcja jest dostępna (nie wszystkie akcje są dostępne dla wszystkich werdyktów).
  • Gwiazdka ( ^* ) po znaczniku wyboru wskazuje domyślną akcję werdyktu filtrowania spamu.

  Akcja	Spam	High (Wysoki) Zaufania Spam	Wyłudzanie informacji	High (Wysoki) Zaufania Phishing	Zbiorczego
  Przenieś wiadomość do folderu Email-śmieci: wiadomość jest dostarczana do skrzynki pocztowej i przenoszona do folderu Junk Email.¹	✔*	✔*	✔	²	✔*
  Dodaj nagłówek X: dodaje nagłówek X do nagłówka wiadomości i dostarcza wiadomość do skrzynki pocztowej. W polu tekstowym Dodaj ten nagłówek X wprowadź nazwę pola nagłówka X (nie wartość). W przypadku werdyktów spamu i spamu o wysokim poziomie ufności wiadomość jest przenoszona do folderu Junk Email.¹ ³	✔	✔	✔		✔
  Przedsyłanie wiersza tematu z tekstem: dodaje tekst na początku wiersza tematu wiadomości. Wiadomość jest dostarczana do skrzynki pocztowej i przenoszona do folderu Wiadomości-śmieci.¹ ³ Wprowadź tekst w dostępnym wierszu tematu Prefix z tym polem tekstowym .	✔	✔	✔		✔
  Przekieruj wiadomość na adres e-mail: wysyła wiadomość do innych adresatów zamiast do zamierzonych adresatów. Adresatów należy określić w polu Przekierowanie do tego adresu e-mail .	✔	✔	✔	✔	✔
  Usuń komunikat: w trybie dyskretnym usuwa całą wiadomość, w tym wszystkie załączniki.	✔	✔	✔		✔
  Komunikat kwarantanny: wysyła komunikat do kwarantanny zamiast do zamierzonych adresatów. Możesz wybrać lub użyć domyślnych zasad kwarantanny dla werdyktu filtrowania spamu w polu Wybierz zasady kwarantanny , które zostanie wyświetlone.⁴ Zasady kwarantanny określają, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny. Określasz, jak długo wiadomości są przechowywane w kwarantannie w dostępnym polu Zachowaj spam w kwarantannie przez tyle dni .	✔	✔	✔*	✔* ⁵	✔
  Brak akcji					✔

  ¹ EOP używa własnego agenta dostarczania przepływu poczty do kierowania wiadomości do folderu Junk Email zamiast korzystania z reguły wiadomości-śmieci w skrzynce pocztowej. Parametr Enabled w poleceniu cmdlet Set-MailboxJunkEmailConfiguration w Exchange Online programie PowerShell ma wpływ na przepływ poczty w skrzynkach pocztowych w chmurze. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych.

  ² W przypadku wyłudzania informacji o wysokim poziomie ufności akcja Przenoszenie komunikatu do folderu Email śmieci jest faktycznie przestarzała. Chociaż możesz wybrać akcję Przenieś wiadomość do folderu Wiadomości-śmieci Email, wiadomości wyłudzające informacje o wysokim poziomie zaufania są zawsze poddawane kwarantannie (co odpowiada wybraniu komunikatu kwarantanny).

  ³ Możesz użyć wartości jako warunku w regułach przepływu poczty, aby filtrować lub kierować wiadomość.

  ⁴ Jeśli werdykt filtrowania spamu domyślnie podda wiadomości kwarantannie (wiadomość kwarantanny jest już wybrana po przejściu na stronę), domyślna nazwa zasad kwarantanny jest wyświetlana w polu Wybierz zasady kwarantanny . Jeśli zmienisz akcję werdyktu filtrowania spamu na komunikat kwarantanny, pole Wybierz zasady kwarantanny będzie domyślnie puste. Pusta wartość oznacza, że są używane domyślne zasady kwarantanny dla tego werdyktu. Podczas późniejszego wyświetlania lub edytowania ustawień zasad ochrony przed spamem wyświetlana jest nazwa zasad kwarantanny. Aby uzyskać więcej informacji na temat zasad kwarantanny, które są domyślnie używane w przypadku werdyktów filtrów spamu, zobacz Ustawienia zasad ochrony przed spamem w zakresie EOP.

  ⁵ Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako wyłudzanie informacji o wysokim poziomie zaufania, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, użytkownicy mogą zamiast tego zażądać wydania wiadomości wyłudzających informacje o wysokim poziomie zaufania w kwarantannie.

• Komunikaty wewnątrz organizacji do podjęcia działań: określa, czy filtrowanie spamu i odpowiednie akcje werdyktu są stosowane do wiadomości wewnętrznych (wiadomości wysyłanych między użytkownikami w organizacji). Akcja skonfigurowana w zasadach dla określonych werdyktów filtru spamu jest wykonywana w przypadku wiadomości wysyłanych między użytkownikami wewnętrznymi. Dostępne wartości to:

  • Wartość domyślna: jest to wartość domyślna. Ta wartość jest taka sama jak w przypadku wybierania komunikatów wyłudzających informacje o wysokim poziomie ufności.
  • Brak
  • Komunikaty o wyłudzaniu informacji o wysokim poziomie zaufania
  • Wyłudzanie informacji i wyłudzanie informacji o wysokim poziomie zaufania
  • Wszystkie wiadomości o wyłudzaniu informacji i wiadomości spamu o wysokim poziomie ufności
  • Wszystkie wiadomości wyłudzające informacje i spam

  Wartości domyślne używane w domyślnych zasadach ochrony przed spamem oraz w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych można znaleźć w temacie Intra-Organizational messages to take action on entry in EOP anti-spam policy settings (Komunikaty wewnątrz organizacji do podjęcia działań w ustawieniach zasad ochrony przed spamem w ramach EOP).

• Zachowaj spam w kwarantannie przez tyle dni: określa czas przechowywania wiadomości w kwarantannie, jeśli wybrano komunikat kwarantanny jako akcję dotyczącą werdyktu filtrowania spamu. Po upływie okresu komunikat zostanie usunięty i nie będzie można go odzyskać. Prawidłowa wartość wynosi od 1 do 30 dni.

  Aby uzyskać wartości domyślne używane w domyślnych zasadach ochrony przed spamem oraz w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych, zobacz wpis Zachowaj spam w kwarantannie dla tej liczby dni w ustawieniach zasad ochrony przed spamem EOP.

  Porada

  To ustawienie określa również czas przechowywania komunikatów, które zostały poddane kwarantannie przez zasady ochrony przed wyłudzaniem informacji . Aby uzyskać więcej informacji, zobacz Przechowywanie kwarantanny.

Automatyczne przeczyszczanie bez godziny w zasadach ochrony przed spamem

Zap do wyłudzania informacji i ZAP dla spamu jest w stanie działać na wiadomości po ich dostarczeniu do Exchange Online skrzynek pocztowych. Domyślnie zap dla wyłudzania informacji i ZAP dla spamu są włączone i zalecamy pozostawienie ich włączone. Więcej informacji można znaleźć w następujących artykułach:

• Automatyczne przeczyszczanie bez godzin (ZAP) w celu wyłudzania informacji
• Automatyczne przeczyszczanie bez godziny (ZAP) w celu wyłudzania informacji o wysokim poziomie ufności
• Automatyczne przeczyszczanie o zerowej godzinie (ZAP) w przypadku spamu

Zasady kwarantanny w zasadach ochrony przed spamem

Jeśli werdykt w zasadach ochrony przed spamem jest skonfigurowany do kwarantanny komunikatów, zasady kwarantanny określają, co użytkownicy mogą zrobić z tymi komunikatami objętymi kwarantanną oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.

Zezwalanie i blokowanie list w zasadach ochrony przed spamem

Zasady ochrony przed spamem zawierają następujące listy umożliwiające lub blokujące określonych nadawców lub domeny:

• Lista dozwolonych nadawców
• Lista dozwolonych domen
• Lista zablokowanych nadawców
• Lista zablokowanych domen

Te ustawienia nie są domyślnie skonfigurowane w domyślnych zasadach ochrony przed spamem ani w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych.

Funkcje tych list zostały w dużej mierze zastąpione przez:

• Blokuj wpisy domen i adresów e-mail w Twórca blokuj wpisy dla domen i adresów e-mail.

  Głównym powodem korzystania z listy zablokowanych nadawców lub listy zablokowanych domen w zasadach ochrony przed spamem: blokowanie wpisów na liście dozwolonych/zablokowanych dzierżawy uniemożliwia również użytkownikom w organizacji wysyłanie wiadomości e-mail do tych adresów e-mail lub domen.

• Raportowanie dobrej wiadomości e-mail do firmy Microsoft ze strony Przesłane w portalu Microsoft Defender (gdzie można wybrać opcję Zezwalaj na wiadomości e-mail o podobnych atrybutach, co powoduje utworzenie wymaganych wpisów tymczasowych na liście dozwolonych/zablokowanych dzierżaw).

  Ważna

  Komunikaty z wpisów na liście dozwolonych nadawców lub listy dozwolonych domen pomijają większość ochrony poczty e-mail (z wyjątkiem złośliwego oprogramowania i wyłudzania informacji o wysokim poziomie zaufania) oraz testów uwierzytelniania poczty e-mail (SPF, DKIM i DMARC). Wpisy na liście dozwolonych nadawców lub na liście dozwolonych domen stwarzają wysokie ryzyko pomyślnego dostarczenia wiadomości e-mail do skrzynki odbiorczej przez osoby atakujące, które w przeciwnym razie zostałyby przefiltrowane. Te listy są najlepiej używane tylko do testowania tymczasowego.

  Nigdy nie dodawać typowych domen (na przykład microsoft.com lub office.com) do listy dozwolonych domen. Osoby atakujące mogą łatwo wysyłać fałszywe wiadomości z tych typowych domen do organizacji.

  Od września 2022 r., jeśli dozwolony nadawca, domena lub domena podrzędna znajduje się w akceptowanej domenie w organizacji, nadawca, domena lub poddomena muszą przejść testy uwierzytelniania poczty e-mail, aby pominąć filtrowanie spamu.

  Jeśli chcesz zachować dozwolony wpis domeny na liście przez dłuższy czas, poinformuj nadawcę, aby sprawdził, czy jego rekord SPF jest aktualny ze źródłami poczty e-mail dla domeny, a zasady w rekordzie DMARC są ustawione na p=rejectwartość .

Priorytet zasad ochrony przed spamem

Jeśli są włączone, standardowe i ścisłe wstępnie ustawione zasady zabezpieczeń są stosowane przed niestandardowymi zasadami ochrony przed spamem lub zasadami domyślnymi (zasady ścisłe są zawsze pierwsze). Jeśli utworzysz wiele niestandardowych zasad ochrony przed spamem, możesz określić kolejność ich stosowania. Przetwarzanie zasad zostaje zatrzymane po zastosowaniu pierwszych zasad (zasad o najwyższym priorytecie dla tego adresata).

Aby uzyskać więcej informacji na temat kolejności pierwszeństwa i sposobu oceniania wielu zasad, zobacz Kolejność i pierwszeństwo ochrony poczty e-mail oraz Kolejność pierwszeństwa dla wstępnie ustawionych zasad zabezpieczeń i innych zasad.

Domyślne zasady ochrony przed spamem

Każda organizacja ma wbudowane zasady ochrony przed spamem o nazwie Default, które mają następujące właściwości:

• Zasady to zasady domyślne (właściwość IsDefault ma wartość True) i nie można usunąć zasad domyślnych.
• Zasady są automatycznie stosowane do wszystkich adresatów w organizacji i nie można ich wyłączyć.
• Zasady są zawsze stosowane jako ostatnie (wartość Priorytet jest najniższa i nie można jej zmienić).