Создание списков надежных отправителей в EOP

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения

Если вы являетесь клиентом Microsoft 365 с почтовыми ящиками в Exchange Online или автономным клиентом Exchange Online Protection (EOP) без почтовых ящиков Exchange Online, EOP предлагает несколько способов обеспечить получение электронной почты от доверенных отправителей. Эти параметры включают Exchange потока почты (также называемые правилами транспорта), отправителей Outlook Сейф, список разрешенных IP-адресов (фильтрация подключений), а также разрешенные списки отправителей или списки разрешенных доменов в политиках защиты от нежелательной почты. В совокупности эти параметры можно рассматривать как надежные списки отправителей.

Доступные списки надежных отправителей описаны в следующем списке в порядке от наиболее рекомендуемых до наименее рекомендуемых:

  1. Правила потока обработки почты
  2. Outlook Сейф отправителей
  3. Список разрешенных IP-адресов (фильтрация подключений)
  4. Разрешенные списки отправителей или списки разрешенных доменов (политики защиты от нежелательной почты)

Правила потока обработки почты обеспечивают большую гибкость, чтобы гарантировать, что разрешены только правильные сообщения. Разрешенные списки отправителей и разрешенных доменов в политиках защиты от нежелательной почты не так защищены, как список разрешенных IP-адресов, так как домен электронной почты отправителя легко подделыт. Однако список разрешенных IP-адресов также представляет риск, так как электронная почта из любого домена, отправленного с этого IP-адреса, будет обходить фильтрацию нежелательной почты.

Важно!

  • Сообщения, которые определены как вредоносные программы или фишинг с высокой степенью достоверности, всегда помещены в карантин независимо от используемого параметра списка надежных отправителей. Дополнительные сведения см. в разделе Secure по умолчанию в Office 365.

  • Внимательно отслеживайте все исключения, которые вы вносите в фильтрацию нежелательной почты, с помощью списков надежных отправителей.

  • Хотя списки надежных отправителей можно использовать для помощи с ложными срабатываниями (хорошее сообщение электронной почты помечено как плохое), следует рассмотреть использование списков надежных отправителей как временное решение, которого следует избегать, если это возможно. Мы не рекомендуем управлять ложными срабатываниями с помощью списков надежных отправителей, так как исключения фильтрации нежелательной почты могут привести к спуфингу и другим атакам. Если вы хотите использовать списки надежных отправителей для управления ложными срабатываниями, необходимо быть внимательным и хранить сообщения и файлы отчета о теме в корпорации Майкрософт в готовности.

  • Чтобы разрешить домену отправлять не прошедшие проверку подлинности сообщения электронной почты (обход защиты от спуфинга), но не обходя защиту от нежелательной почты и других средств защиты, можно использовать аналитику спуфинга и список разрешений и блокирования клиента.

  • EOP и Outlook проверить различные свойства сообщения, чтобы определить отправителя сообщения. Дополнительные сведения см. в разделе "Рекомендации по массовой электронной почте" далее в этой статье.

В отличие от этого, у вас также есть несколько вариантов блокировки электронной почты из определенных источников с помощью заблокированных списков отправителей. Для получения дополнительной информации см. раздел Создание списков заблокированных отправителей в EOP.

Примечание

Вы не можете использовать заголовки сообщений и правила потока обработки почты, чтобы назначить внутреннего отправителя в качестве безопасного отправителя. Процедуры, описанные в этом разделе, работают только для внешних отправителей.

Правила потока обработки почты в Exchange Online и автономном EOP используют условия и исключения для идентификации сообщений, а также действия по указанию действий, которые должны быть выполнены с этими сообщениями. Дополнительные сведения см. в статье Mail flow rules (transport rules) in Exchange Online.

В следующем примере предполагается, что для пропуска фильтрации нежелательной почты contoso.com требуется электронная почта. Для этого настройте следующие параметры:

  1. Условие: домен отправителя > contoso.com>.

  2. Настройте один из следующих параметров:

    • Условие правила потока обработки почты: заголовок сообщения > > содержит любое из следующих слов: имя заголовка :Authentication-Results > значение заголовка: dmarc=pass или dmarc=bestguesspass.

      Это условие проверяет состояние проверки подлинности электронной почты отправляющего домена электронной почты, чтобы убедиться, что отправляющий домен не подделывается. Дополнительные сведения о проверке подлинности электронной почты см. в разделах SPF, DKIM и DMARC.

    • Список разрешенных IP-адресов: укажите исходный IP-адрес или диапазон адресов в политике фильтра подключений.

      Используйте этот параметр, если отправляющий домен не использует проверку подлинности электронной почты. Будьте как можно строже, когда дело касается исходных IP-адресов в списке разрешенных IP-адресов. Рекомендуется использовать диапазон IP-адресов /24 или меньше (лучше меньше). Не используйте диапазоны IP-адресов, принадлежащие потребительским службам (например, outlook.com) или общей инфраструктуре.

    Важно!

    • Никогда не настраивайте правила потока обработки почты только с доменом отправителя в качестве условия пропуска фильтрации нежелательной почты. Это значительно повысит вероятность того, что злоумышленники смогут подделыть отправляющий домен (или олицетворить полный адрес электронной почты), пропустить фильтрацию нежелательной почты и пропустить проверки подлинности отправителя, чтобы сообщение было отправлено в папку "Входящие" получателя.

    • Не используйте домены, принадлежащие вам (также называемые принятыми доменами), или популярные домены (например, microsoft.com) в качестве условий в правилах потока обработки почты. Это считается высоким риском, так как оно создает возможность для злоумышленников отправлять сообщения электронной почты, которые в противном случае были бы отфильтрованы.

    • Если вы разрешаете IP-адрес, который находится за шлюзом преобразования сетевых адресов (NAT), необходимо знать серверы, участвующие в пуле NAT, чтобы узнать область списка разрешенных IP-адресов. IP-адреса и участники NAT могут изменяться. Необходимо периодически проверять записи списка разрешенных IP-адресов в рамках стандартных процедур обслуживания.

  3. Необязательные условия:

    • Отправитель > является внутренним или внешним > Вне организации: это условие неявно, но его можно использовать для учетных записей локальных почтовых серверов, которые могут быть настроены неправильно.
    • Тема или текст > тема или текст включает любое из этих слов > <keywords>: если вы можете дополнительно ограничить сообщения ключевыми словами или фразами в строке темы или тексте сообщения, вы можете использовать эти слова в качестве условия.
  4. Действие: настройте оба этих действия в правиле:

    1. Изменение свойств сообщения > установка уровня достоверности нежелательной почты (SCL) > Обход фильтрации нежелательной почты.

    2. Изменение свойств сообщения > задайте заголовок сообщения: задайте для заголовка <CustomHeaderName> сообщения значение<CustomHeaderValue>.

      Например, X-ETR: Bypass spam filtering for authenticated sender 'contoso.com'. Если в правиле несколько доменов, можно настроить текст заголовка соответствующим образом.

      Если сообщение пропускает фильтрацию нежелательной почты из-за правила потока обработки почты, SFV:SKN значение помечается в заголовке X-Forefront-Antispam-Report . Если сообщение отправлено из источника, который находится в списке разрешенных IP-адресов, это значение IPV:CAL также добавляется. Эти значения могут помочь в устранении неполадок.

      Параметры правила потока обработки почты в EAC для обхода фильтрации нежелательной почты

Использование Outlook Сейф отправителей

Внимание!

Этот метод создает высокий риск успешной доставки электронной почты в папку "Входящие", которая в противном случае была бы отфильтровна. однако списки отправителей Сейф или доменов Сейф не препятствуют фильтрации вредоносных программ или сообщений фишинга с высоким уровнем достоверности.

Вместо настройки организации пользователи или администраторы могут добавлять адреса электронной почты отправителей в Сейф отправителей в почтовом ящике. Инструкции см. в разделе "Настройка параметров нежелательной почты Exchange Online почтовых ящиков в Office 365.". В большинстве случаев это нежелательно, так как отправители будут обходить части стека фильтрации. Несмотря на то, что отправитель является доверенным, он по-прежнему может быть скомпрометирован и отправить вредоносное содержимое. Лучше всего позволить фильтрам делать то, что необходимо для проверки каждого сообщения, а затем сообщать о ложноположительных или отрицательных результатах в корпорацию Майкрософт , если наши фильтры получили ошибку. Обход стека фильтрации также влияет на ZAP.

Когда сообщения пропускают фильтрацию нежелательной почты из-за списка отправителей Сейф пользователя, поле заголовка X-Forefront-Antispam-Report SFV:SFEбудет содержать значение, указывающее, что фильтрация нежелательной почты, спуфинга и фишинга была пропущена.

Использование списка разрешенных IP-адресов

Если вы не можете использовать правила потока обработки почты, как описано выше, лучше всего добавить исходный почтовый сервер или серверы в список разрешенных IP-адресов в политике фильтра подключений. Дополнительные сведения см. в разделе "Настройка фильтрации подключений в EOP".

Примечания:

  • Важно, чтобы количество разрешенных IP-адресов было минимальным, поэтому не используйте все диапазоны IP-адресов по возможности.
  • Не используйте диапазоны IP-адресов, принадлежащие потребительским службам (например, outlook.com) или общей инфраструктуре.
  • Регулярно просматривайте записи в списке разрешенных IP-адресов и удаляйте ненужные записи.

Внимание!

Без дополнительной проверки, например правил потока обработки почты, электронная почта из источников в списке разрешенных IP-адресов пропускает фильтрацию нежелательной почты и проверку подлинности отправителя (SPF, DKIM, DMARC). Это создает высокий риск успешной доставки электронной почты в папку "Входящие", которая в противном случае была бы отфильтровна. Однако список разрешенных IP-адресов не предотвращает фильтрацию вредоносных программ или фишинговых сообщений с высокой степенью достоверности.

Использование списков разрешенных отправителей или списков разрешенных доменов

Наименее желательно использовать список разрешенных отправителей или список разрешенных доменов в политиках защиты от нежелательной почты. Этот вариант следует избегать, если это возможно, так как отправители обходят все средства защиты от нежелательной почты, спуфинга и фишинга, а также проверку подлинности отправителя (SPF, DKIM, DMARC). Этот метод лучше всего использовать только для временного тестирования. Подробные инструкции см. в разделе "Настройка политик защиты от нежелательной почты" статьи "EOP ".

Максимальное ограничение для этих списков составляет около 1000 записей; Хотя вы сможете ввести только 30 записей на портале. Чтобы добавить более 30 записей, необходимо использовать PowerShell.

Внимание!

  • Этот метод создает высокий риск успешной доставки электронной почты в папку "Входящие", которая в противном случае была бы отфильтровна. Однако разрешенные отправители или списки разрешенных доменов не препятствуют фильтрации вредоносных программ или сообщений фишинга с высокой степенью достоверности.

  • Не используйте принадлежащие вам домены (также называемые принятыми доменами) или популярные домены (например, microsoft.com) в списках разрешенных доменов.

Рекомендации по массовой рассылке электронной почты

Стандартное SMTP-сообщение электронной почты состоит из конверта сообщения и его содержимого. Конверт сообщения содержит сведения, необходимые для передачи и доставки сообщения между SMTP-серверами. Содержимое сообщения разделяется на поля заголовка сообщения, которые в совокупности называются заголовком сообщения, и текста сообщения. Конверт сообщения описан в RFC 5321, а заголовок сообщения — в RFC 5322. Получатели никогда не видят фактический конверт сообщения, так как он создается процессом передачи сообщения и фактически не является частью сообщения.

  • Адрес 5321.MailFrom (также известный как адрес MAIL FROM , отправитель P1 или отправитель конверта) — это адрес электронной почты, используемый при передаче сообщения SMTP. Этот адрес обычно записывается в поле заголовка return-Path в заголовке сообщения (хотя отправитель может назначить другой адрес электронной почты return-Path ). Если сообщение не может быть доставлено, это получатель отчета о недоставке (также известного как сообщение о недоставке или недоставке).
  • (также известный как отправитель с адреса отправителя или отправитель P2) — это адрес электронной почты в поле заголовка " От" и адрес электронной почты отправителя, отображаемый в почтовых клиентах.5322.From

Часто адреса и адреса 5321.MailFrom 5322.From одинаковы (взаимодействие между пользователями). Однако при отправке электронной почты от имени другого пользователя адреса могут отличаться. Чаще всего это происходит для массовых сообщений электронной почты.

Например, предположим, что Компания Blue Yonder Airlines нанимала ее на работу, чтобы отправить рекламу по электронной почте. Сообщение, которое вы получаете в папке "Входящие", имеет следующие свойства:

  • Адрес 5321.MailFrom blueyonder.airlines@margiestravel.com.
  • Адрес 5322.From — blueyonder@news.blueyonderairlines.com, который будет отображаться в Outlook.

Сейф списки отправителей и списки безопасных доменов в политиках защиты от нежелательной почты в EOP 5322.From проверяют только адреса. 5322.From Это похоже на Outlook Сейф отправителей, которые используют этот адрес.

Чтобы предотвратить фильтрацию этого сообщения, можно выполнить следующие действия.

  • Добавьте blueyonder@news.blueyonderairlines.com (адрес5322.From) в качестве отправителя Outlook Сейф отправителя.
  • Используйте правило потока обработки почты с условием, которое ищет сообщения из blueyonder@news.blueyonderairlines.com ( 5322.From адрес, blueyonder.airlines@margiestravel.com () 5321.MailFromили и то, и другое.