Порядок и приоритет защиты электронной почты

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection (EOP) без Exchange Online почтовых ящиков входящие сообщения электронной почты могут быть помечены несколькими формами защиты. Например, защита от спуфингов, доступная всем клиентам Microsoft 365, и защита от олицетворения, доступная только для Microsoft Defender для Office 365 клиентов. Сообщения также проходят несколько проверок на наличие вредоносных программ, спама, фишинга и т. д. Учитывая все это действие, может возникнуть некоторая путаница в отношении того, какая политика применяется.

Как правило, политика, применяемая к сообщению, определяется в заголовке X-Forefront-Antispam-Report в свойстве CAT (Category). Дополнительные сведения см. в статье Заголовки сообщений о защите от нежелательной почты.

Существует два основных фактора, определяющих, какая политика применяется к сообщению:

• Порядок обработки для типа защиты электронной почты. Этот порядок не настраивается и описан в следующей таблице:

  Порядок	защита Email	Категория	Где управлять
  1	Вредоносная программа	CAT:MALW	Настройка политик защиты от вредоносных программ в EOP
  2	Фишинг с высокой вероятностью	CAT:HPHSH	Настройка политик защиты от спама в EOP
  3	Фишинг	CAT:PHSH	Настройка политик защиты от спама в EOP
  4	Нежелательная почта с высокой вероятностью	CAT:HSPM	Настройка политик защиты от спама в EOP
  5	Спуфинг	CAT:SPOOF	Аналитика спуфинга в EOP
  6*	Олицетворение пользователя (защищенные пользователи)	CAT:UIMP	Настройка политик защиты от фишинга в Microsoft Defender для Office 365
  7*	Олицетворение домена (защищенные домены)	CAT:DIMP	Настройка политик защиты от фишинга в Microsoft Defender для Office 365
  8*	Аналитика почтовых ящиков (граф контактов)	CAT:GIMP	Настройка политик защиты от фишинга в Microsoft Defender для Office 365
  9	Спам	CAT:SPM	Настройка политик защиты от спама в EOP
  10	Массовая рассылка	CAT:BULK	Настройка политик защиты от спама в EOP

  ^*Эти функции доступны только в политиках защиты от фишинга в Microsoft Defender для Office 365.

• Порядок приоритетов политик. Порядок приоритета политики показан в следующем списке:

  1. Политики защиты от нежелательной почты, защиты от вредоносных программ, защиты от фишинга, безопасных ссылок^* и безопасных^* вложений в предустановленной политике безопасности Strict (если она включена).

  2. Политики защиты от нежелательной почты, защиты от вредоносных программ, защиты от фишинга, безопасных ссылок^* и безопасных^* вложений в стандартной предустановленной политике безопасности (если она включена).

  3. Защита от фишинга, безопасные ссылки и безопасные вложения в Defender для Office 365 политики оценки (если они включены).

  4. Пользовательские политики защиты от нежелательной почты, вредоносных программ, фишинга, безопасных ссылок^* и безопасных^* вложений (при создании).

     Пользовательским политикам присваивается значение приоритета по умолчанию при создании политики (более новое значение равно более высокому), но вы можете изменить значение приоритета в любое время. Это значение приоритета влияет на порядок применения пользовательских политик этого типа (защита от нежелательной почты, защита от вредоносных программ, защита от фишинга и т. д.), но не влияет на то, где применяются пользовательские политики в общем порядке.

  5. Равное значение:

     • Политики безопасных ссылок и безопасных вложений в предустановленной политике^* безопасности встроенной защиты.
     • Политики по умолчанию для защиты от вредоносных программ, нежелательной почты и фишинга.

     Вы можете настроить исключения для предустановленной политики безопасности встроенной защиты, но нельзя настроить исключения для политик по умолчанию (они применяются ко всем получателям, и вы не можете отключить их).

  ^*только Defender для Office 365.

  Приоритет имеет значение, если один и тот же получатель намеренно или непреднамеренно включен в несколько политик, так как к нему применяется только первая политика этого типа (защита от нежелательной почты, защита от вредоносных программ, защита от фишинга и т. д.), независимо от количества других политик, в которые включен получатель. Для получателя никогда не происходит слияние или объединение параметров в нескольких политиках. На получателя не влияют параметры остальных политик этого типа.

Например, группа с именем Contoso Executives включена в следующие политики:

• Строгая предустановленная политика безопасности
• Настраиваемая политика защиты от нежелательной почты со значением приоритета 0 (наивысший приоритет)
• Настраиваемая политика защиты от нежелательной почты со значением приоритета 1.

Какие параметры политики защиты от нежелательной почты применяются к членам руководителей Contoso? Строгая предустановленная политика безопасности. Параметры в пользовательских политиках защиты от нежелательной почты игнорируются для членов contoso Executives, так как сначала всегда применяется предустановленная политика безопасности Strict.

В качестве другого примера рассмотрим следующие настраиваемые политики защиты от фишинга в Microsoft Defender для Office 365, которые применяются к тем же получателям, и сообщение, содержащее как олицетворение пользователя, так и спуфингом:

Имя политики	Priority	Олицетворение пользователя	Защита от спуфингов
Политика A	1	Вкл.	Выкл.
Политика B	2	Выкл.	Вкл.

1. Сообщение определяется как спуфингой, так как спуфингой (5) оценивается перед олицетворением пользователя (6) в порядке обработки для типа защиты электронной почты.
2. Политика А применяется в первую очередь, так как она имеет более высокий приоритет, чем политика Б.
3. В зависимости от параметров в политике A никакие действия с сообщением не принимаются, так как защита от спуфингов отключена.
4. Обработка политик защиты от фишинга прекращается для всех включенных получателей, поэтому политика Б никогда не применяется к получателям, которые также находятся в политике А.

Чтобы убедиться, что получатели получают нужные параметры защиты, используйте следующие рекомендации по членству в политиках:

• Назначьте меньшее число пользователей политикам с более высоким приоритетом, а большее число пользователей — политикам с более низким приоритетом. Помните, что политики по умолчанию всегда применяются последним.
• Настройте политики с более высоким приоритетом для более строгих или более специализированных параметров, чем политики с более низким приоритетом. Вы имеете полный контроль над параметрами в пользовательских политиках и политиках по умолчанию, но не контролируете большинство параметров в предустановленных политиках безопасности.
• Рекомендуется использовать меньше настраиваемых политик (используйте пользовательские политики только для пользователей, которым требуются более специализированные параметры, чем стандартные или строгие предустановленные политики безопасности или политики по умолчанию).

Приложение

Важно понимать, как пользователь разрешает и блокирует, клиент разрешает и блоки, а также как решения стека фильтрации в EOP и Defender для Office 365 дополняют или противоречат друг другу.

• Сведения о фильтрации стеков и их объединении см. в статье Пошаговая защита от угроз в Microsoft Defender для Office 365.
• После того как стек фильтрации определит вердикт, только после этого оцениваются политики клиента и их настроенные действия.
• Если один и тот же адрес электронной почты или домен существует в списке надежных отправителей пользователя и заблокированных отправителях, приоритет имеет список надежных отправителей.
• Если одна и та же сущность (адрес электронной почты, домен, подделаная инфраструктура отправки, файл или URL-адрес) существует в записи разрешения, а запись блока в списке разрешенных и заблокированных клиентов имеет приоритет.

Пользователь разрешает и блокирует

Записи в коллекции списков безопасности пользователя (список надежных отправителей, список надежных получателей и список заблокированных отправителей в каждом почтовом ящике) могут переопределять некоторые вердикты стека фильтрации, как описано в следующей таблице.

Вердикт стека фильтрации	Список надежных отправителей и получателей пользователя	Список заблокированных отправителей пользователя
Вредоносная программа	Фильтрация побед: Email помещена в карантин	Фильтрация побед: Email помещена в карантин
Фишинг с высокой вероятностью	Фильтрация побед: Email помещена в карантин	Фильтрация побед: Email помещена в карантин
Фишинг	Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя	Клиент выигрывает: действие определяется применимой политикой защиты от нежелательной почты.
Нежелательная почта с высокой вероятностью	Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя	Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
Спам	Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя	Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
Массовая рассылка	Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя	Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
Не спам	Пользователь выигрывает: Email доставлен в папку "Входящие" пользователя	Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя

Дополнительные сведения о сборе списков безопасности и параметрах защиты от нежелательной почты в почтовых ящиках пользователей см. в статье Настройка параметров нежелательной почты в почтовых ящиках Exchange Online.

Клиент разрешает и блокирует

Клиент позволяет и блоки могут переопределять некоторые решения стека фильтрации, как описано в следующих таблицах:

• Расширенная политика доставки (пропустить фильтрацию для назначенных почтовых ящиков SecOps и URL-адреса имитации фишинга):

  Вердикт стека фильтрации	Расширенная политика доставки разрешает
  Вредоносная программа	Клиент выигрывает: Email доставлены в почтовый ящик
  Фишинг с высокой вероятностью	Клиент выигрывает: Email доставлены в почтовый ящик
  Фишинг	Клиент выигрывает: Email доставлены в почтовый ящик
  Нежелательная почта с высокой вероятностью	Клиент выигрывает: Email доставлены в почтовый ящик
  Спам	Клиент выигрывает: Email доставлены в почтовый ящик
  Массовая рассылка	Клиент выигрывает: Email доставлены в почтовый ящик
  Не спам	Клиент выигрывает: Email доставлены в почтовый ящик

• Правила потока обработки почты exchange (также известные как правила транспорта):

  Вердикт стека фильтрации	Правило потока обработки почты разрешает*	Блоки правил потока обработки почты
  Вредоносная программа	Фильтрация побед: Email помещена в карантин	Фильтрация побед: Email помещена в карантин
  Фишинг с высокой вероятностью	Фильтрация побед: Email карантине, за исключением сложной маршрутизации	Фильтрация побед: Email помещена в карантин
  Фишинг	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент выигрывает: действие фишинга в применимой политике защиты от нежелательной почты
  Нежелательная почта с высокой вероятностью	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
  Спам	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
  Массовая рассылка	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
  Не спам	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя

  ^* Организациям, которые используют стороннюю службу безопасности или устройство перед Microsoft 365, следует рассмотреть возможность использования цепочки получения с проверкой подлинности (ARC) ( обратитесь к стороннему поставщику за доступностью) и расширенной фильтрации для соединителей (также известной как пропустить список) вместо правила потока обработки почты SCL=-1. Эти улучшенные методы позволяют сократить проблемы с проверкой подлинности электронной почты и способствовать глубокой защите электронной почты.

• Список разрешенных IP-адресов и список заблокированных IP-адресов в политиках фильтрации подключений:

  Вердикт стека фильтрации	Список разрешенных IP-адресов	Список блокировок IP-адресов
  Вредоносная программа	Фильтрация побед: Email помещена в карантин	Фильтрация побед: Email помещена в карантин
  Фишинг с высокой вероятностью	Фильтрация побед: Email помещена в карантин	Фильтрация побед: Email помещена в карантин
  Фишинг	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент побеждает: Email автоматически удален
  Нежелательная почта с высокой вероятностью	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент побеждает: Email автоматически удален
  Спам	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент побеждает: Email автоматически удален
  Массовая рассылка	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент побеждает: Email автоматически удален
  Не спам	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент побеждает: Email автоматически удален

• Разрешить и заблокировать параметры в политиках защиты от нежелательной почты:

  • Список разрешенных отправителей и доменов.
  • Список заблокированных отправителей и доменов.
  • Блокировать сообщения из определенных стран или регионов или на определенных языках.
  • Блокировать сообщения на основе параметров расширенного фильтра нежелательной почты (ASF).

  Вердикт стека фильтрации	Политика защиты от нежелательной почты разрешает	Блоки политики защиты от нежелательной почты
  Вредоносная программа	Фильтрация побед: Email помещена в карантин	Фильтрация побед: Email помещена в карантин
  Фишинг с высокой вероятностью	Фильтрация побед: Email помещена в карантин	Фильтрация побед: Email помещена в карантин
  Фишинг	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент выигрывает: действие фишинга в применимой политике защиты от нежелательной почты
  Нежелательная почта с высокой вероятностью	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
  Спам	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
  Массовая рассылка	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
  Не спам	Клиент выигрывает: Email доставлены в почтовый ящик	Клиент выигрывает: Email доставлен в папку "Нежелательная Email" пользователя

• Разрешить записи в списке разрешенных и заблокированных клиентов:

  Вердикт стека фильтрации	адрес или домен Email
  Вредоносная программа	Фильтрация побед: Email помещена в карантин
  Фишинг с высокой вероятностью	Фильтрация побед: Email помещена в карантин
  Фишинг	Клиент выигрывает: Email доставлены в почтовый ящик
  Нежелательная почта с высокой вероятностью	Клиент выигрывает: Email доставлены в почтовый ящик
  Спам	Клиент выигрывает: Email доставлены в почтовый ящик
  Массовая рассылка	Клиент выигрывает: Email доставлены в почтовый ящик
  Не спам	Клиент выигрывает: Email доставлены в почтовый ящик

• Блокируются записи в списке разрешенных и заблокированных клиентов:

  Вердикт стека фильтрации	адрес или домен Email	Обманывать	File	URL-адрес
  Вредоносная программа	Фильтрация побед: Email помещена в карантин	Фильтрация побед: Email помещена в карантин	Клиент выигрывает: Email карантин	Фильтрация побед: Email помещена в карантин
  Фишинг с высокой вероятностью	Клиент выигрывает: Email карантин	Фильтрация побед: Email помещена в карантин	Клиент выигрывает: Email карантин	Клиент выигрывает: Email карантин
  Фишинг	Клиент выигрывает: Email карантин	Клиент выигрывает: подделывает действие в применимой политике защиты от фишинга	Клиент выигрывает: Email карантин	Клиент выигрывает: Email карантин
  Нежелательная почта с высокой вероятностью	Клиент выигрывает: Email карантин	Клиент выигрывает: подделывает действие в применимой политике защиты от фишинга	Клиент выигрывает: Email карантин	Клиент выигрывает: Email карантин
  Спам	Клиент выигрывает: Email карантин	Клиент выигрывает: подделывает действие в применимой политике защиты от фишинга	Клиент выигрывает: Email карантин	Клиент выигрывает: Email карантин
  Массовая рассылка	Клиент выигрывает: Email карантин	Клиент выигрывает: подделывает действие в применимой политике защиты от фишинга	Клиент выигрывает: Email карантин	Клиент выигрывает: Email карантин
  Не спам	Клиент выигрывает: Email карантин	Клиент выигрывает: подделывает действие в применимой политике защиты от фишинга	Клиент выигрывает: Email карантин	Клиент выигрывает: Email карантин

Конфликт параметров пользователя и клиента

В следующей таблице описано, как устраняются конфликты, если на сообщение электронной почты влияют параметры разрешения и блокировки пользователя и разрешения или блокировки клиента.

Тип разрешения или блокировки клиента	Список надежных отправителей и получателей пользователя	Список заблокированных отправителей пользователя
Блокируйте записи в списке разрешенных и заблокированных клиентов для следующих элементов: Email адреса и домены Файлы URL-адреса	Клиент выигрывает: Email карантин	Клиент выигрывает: Email карантин
Блокировка записей для подделанных отправителей в списке разрешенных и заблокированных клиентов	Клиент побеждает: действие аналитики спуфинга в применимой политике защиты от фишинга	Клиент побеждает: действие аналитики спуфинга в применимой политике защиты от фишинга
Расширенная политика доставки	Пользователь выигрывает: Email доставлены в почтовый ящик	Клиент выигрывает: Email доставлены в почтовый ящик
Блокировка параметров в политиках защиты от нежелательной почты	Пользователь выигрывает: Email доставлены в почтовый ящик	Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
Соблюдение политики DMARC	Пользователь выигрывает: Email доставлены в почтовый ящик	Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
Блокировки по правилам потока обработки почты	Пользователь выигрывает: Email доставлены в почтовый ящик	Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя
Разрешает: Правила потока обработки почты Список разрешенных IP-адресов (политика фильтра подключения) Список разрешенных отправителей и доменов (политики защиты от нежелательной почты) Список разрешенных и заблокированных клиентов	Пользователь выигрывает: Email доставлены в почтовый ящик	Пользователь выигрывает: Email доставлен в папку "Нежелательная Email" пользователя