Автоматическая очистка нулевого часа (ZAP) в Exchange OnlineZero-hour auto purge (ZAP) in Exchange Online

Область примененияApplies to

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Основные функции ZAPBasic features of ZAP

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online автоматическая очистка без часов (ZAP) — это функция защиты электронной почты, которая задним числом обнаруживает и нейтрализует вредоносные фишинговые, спамовые или вредоносные сообщения, которые уже доставлены в почтовые ящики Exchange Online.In Microsoft 365 organizations with mailboxes in Exchange Online, zero-hour auto purge (ZAP) is an email protection feature that retroactively detects and neutralizes malicious phishing, spam, or malware messages that have already been delivered to Exchange Online mailboxes.

ZAP не работает в автономных средах Exchange Online Protection (EOP), которые защищают почтовые ящики Exchange на месте.ZAP doesn't work in standalone Exchange Online Protection (EOP) environments that protect on-premises Exchange mailboxes.

Как работает ZAPHow ZAP works

Подписи от нежелательной почты и вредоносных программ обновляются в службе в режиме реального времени ежедневно.Spam and malware signatures are updated in the service real-time on a daily basis. Однако пользователи по-прежнему могут получать вредоносные сообщения по различным причинам, в том числе по различным причинам, в том числе, если контент является оружием после доставки пользователям.However, users can still receive malicious messages for a variety of reasons, including if content is weaponized after being delivered to users. ZAP решает эту проблему, постоянно отслеживая обновления подписей от нежелательной почты и вредоносных программ в службе.ZAP addresses this issue by continually monitoring updates to the spam and malware signatures in the service. ZAP может находить и удалять сообщения, которые уже находятся в почтовом ящике пользователя.ZAP can find and remove messages that are already in a user's mailbox.

Действие ZAP является бесшовным для пользователя; они не уведомлены об обнаружении и перемещении сообщения.The ZAP action is seamless for the user; they aren't notified if a message is detected and moved.

Над ZAPимеются списки безопасных отправительов, правила потока почты (также известные как правила транспорта), правила почтовых ящиков или дополнительные фильтры.Safe sender lists, mail flow rules (also known as transport rules), Inbox rules, or additional filters take precedence over ZAP. Аналогично тому, что происходит в потоке почты, это означает, что даже если служба определяет, что доставленное сообщение нуждается в ZAP, сообщение не будет действовать из-за конфигурации безопасных отправителей.Similar to what happens in mail flow, this means that even if the service determines the delivered message needs ZAP, the message is not acted on because of the the safe senders configuration. Это еще одна причина, по которой следует быть осторожными при настройке сообщений для обхода фильтрации.This is another reason to be careful about configuring messages to bypass filtering.

ZaP вредоносных программMalware ZAP

Для чтения или непрочитанности сообщений, содержащих вредоносные программы после доставки, ZAP карантин содержит сообщение, содержающее вложение вредоносных программ.For read or unread messages that are found to contain malware after delivery, ZAP quarantines the message that contains the malware attachment. Только администраторы могут просматривать и управлять вредоносными сообщениями из карантина.Only admins can view and manage malware messages from quarantine.

ZaP вредоносных программ включен по умолчанию в политиках по борьбе с вредоносными программами.Malware ZAP is enabled by default in anti-malware policies. Дополнительные сведения см. в программе Configure anti-malware policies in EOP.For more information, see Configure anti-malware policies in EOP.

Phish ZAPPhish ZAP

Для чтения или непрочитания сообщений, которые после доставки идентифицированы как фишинговые, результат ZAP зависит от действия, настроенного для решения по фильтрации фишинговой почты в применимой политике защиты от нежелательной почты.For read or unread messages that are identified as phishing after delivery, the ZAP outcome depends on the action that's configured for a Phishing email filtering verdict in the applicable anti-spam policy. Доступные действия по фильтрации вердикта для фишинга и их возможные результаты ZAP описаны в следующем списке:The available filtering verdict actions for phishing and their possible ZAP outcomes are described in the following list:

  • Добавление X-Header, предварительной темы с текстом , Перенаправление сообщения на адрес электронной почты , Удаление сообщения : ZAP не принимает никаких действий по сообщению.Add X-Header, Prepend subject line with text, Redirect message to email address, Delete message: ZAP takes no action on the message.

  • Перемещение сообщения в нежелательной электронной почте: ZAP перемещает сообщение в папку нежелательной почты до тех пор, пока правило нежелательной почты включено в почтовом ящике (оно включено по умолчанию).Move message to Junk Email: ZAP moves the message to the Junk Email folder, as long as the junk email rule is enabled on the mailbox (it's enabled by default). Дополнительные сведения см. в списке Настройка параметров нежелательной почты в почтовых ящиках Exchange Online в Microsoft 365.For more information, see Configure junk email settings on Exchange Online mailboxes in Microsoft 365.

  • Карантиное сообщение: ZAP карантин сообщения.Quarantine message: ZAP quarantines the message.

По умолчанию фишинговый ZAP включен в политиках по борьбе со спамом, а действие по умолчанию для вердикта фильтрации электронной почты фишинга — это карантиновое сообщение, что означает карантин фишинговых zaP-сообщений по умолчанию.By default, phish ZAP is enabled in anti-spam policies, and the default action for the Phishing email filtering verdict is Quarantine message, which means phish ZAP quarantines the message by default.

Дополнительные сведения о настройке вердиктов по фильтрации нежелательной почты см. в дополнительных сведениях о настройке политик по борьбе со спамом в Microsoft 365.For more information about configuring spam filtering verdicts, see Configure anti-spam policies in Microsoft 365.

ZAP нежелательной почтыSpam ZAP

Для непрочитаемых сообщений, которые определены как спам после доставки, результат ZAP зависит от действия, настроенного для вердикта фильтрации нежелательной почты в применимой политике по борьбе со спамом.For unread messages that are identified as spam after delivery, the ZAP outcome depends on the action that's configured for the Spam filtering verdict in the applicable anti-spam policy. Доступные действия по фильтрации вердикта для нежелательной почты и их возможные результаты ZAP описаны в следующем списке:The available filtering verdict actions for spam and their possible ZAP outcomes are described in the following list:

  • Добавление X-Header, предварительной темы с текстом , Перенаправление сообщения на адрес электронной почты , Удаление сообщения : ZAP не принимает никаких действий по сообщению.Add X-Header, Prepend subject line with text, Redirect message to email address, Delete message: ZAP takes no action on the message.

  • Перемещение сообщения в нежелательной электронной почте: ZAP перемещает сообщение в папку нежелательной почты до тех пор, пока правило нежелательной почты включено в почтовом ящике (оно включено по умолчанию).Move message to Junk Email: ZAP moves the message to the Junk Email folder, as long as the junk email rule is enabled on the mailbox (it's enabled by default). Дополнительные сведения см. в списке Настройка параметров нежелательной почты в почтовых ящиках Exchange Online в Microsoft 365.For more information, see Configure junk email settings on Exchange Online mailboxes in Microsoft 365.

  • Карантиное сообщение: ZAP карантин сообщения.Quarantine message: ZAP quarantines the message. Конечные пользователи могут просматривать и управлять своими сообщениями, захватанными на карантине нежелательной почты.End-users can view and manage their own spam quarantined messages.

По умолчанию ZAP нежелательной почты включен в политиках по борьбе со спамом, а действие по умолчанию для вердикта фильтрации нежелательной почты — перемещение сообщения в папку нежелательной почты, что означает, что ЗАП нежелательной почты перемещает непрочитанные сообщения в папку нежелательной почты по умолчанию.By default, spam ZAP is enabled in anti-spam policies, and the default action for the Spam filtering verdict is Move message to Junk Email folder, which means spam ZAP moves unread messages to the Junk Email folder by default.

Дополнительные сведения о настройке вердиктов по фильтрации нежелательной почты см. в дополнительных сведениях о настройке политик по борьбе со спамом в Microsoft 365.For more information about configuring spam filtering verdicts, see Configure anti-spam policies in Microsoft 365.

Вопросы ZAP для Microsoft Defender для Office 365ZAP considerations for Microsoft Defender for Office 365

ZAP не будет карантином любое сообщение, которое находится в процессе динамической доставки при проверке безопасных вложений или где фильтрация вредоносных программ EOP уже заменила вложение файлом оповещения о вредоносных программах Text.txt.ZAP will not quarantine any message that's in the process of Dynamic Delivery in Safe Attachments scanning, or where EOP malware filtering has already replaced the attachment with the Malware Alert Text.txt file. Если для этих типов сообщений получен сигнал фишинга или нежелательной почты, а вердикт фильтрации в политике защиты от нежелательной почты должен принять определенные действия по сообщению (Переход к нежелательной почте, перенаправлению, удалите или карантину), после чего ZAP будет по умолчанию перейти к действию "Перемещение в нежелательное".If a phishing or spam signal is received for these types of messages, and the filtering verdict in the anti-spam policy is set to take some action on the message (Move to Junk, Redirect, Delete, or Quarantine) then ZAP will default to a 'Move to Junk' action.

Как узнать, переместил ли ZAP ваше сообщениеHow to see if ZAP moved your message

Чтобы определить, переместил ли ZAP ваше сообщение, можно использовать отчет о состоянии защиты от угроз или обозреватель угроз (и обнаружение в режиме реального времени).To determine if ZAP moved your message, you can use either the Threat Protection Status report or Threat Explorer (and real-time detections). Обратите внимание, что в качестве системного действия ZAP не входит в журналы аудита почтовых ящиков Exchange.Note that as a system action, ZAP is not logged in the Exchange mailbox audit logs.

ZAP FAQZAP FAQ

Что произойдет, если законное сообщение будет перемещено в папку нежелательной почты?What happens if a legitimate message is moved to the Junk Email folder?

Следует следовать обычному процессу отчетности по ложным срабатывам.You should follow the normal reporting process for false positives. Единственная причина, по которой сообщение будет перемещено из папки "Входящие" в папку нежелательной почты, заключается в том, что служба определила, что сообщение является нежелательным или вредоносным.The only reason the message would be moved from the Inbox to the Junk Email folder would be because the service has determined that the message was spam or malicious.

Что делать, если я использую папку Карантина вместо папки нежелательной почты?What if I use the Quarantine folder instead of the Junk Mail folder?

ZAP будет принимать меры по сообщению в зависимости от конфигурации политик по борьбе со спамом, как описано ранее в этой статье.ZAP will take action on a message based on the configuration your anti-spam policies as described earlier in this article.

Что делать, если я использую безопасные отправители, правила потока почты или списки разрешенных или заблокированных отправителей?What if I'm using safe senders, mail flow rules, or allowed/blocked sender lists?

Приоритету должны быть безопасные отправители, правила потока почты или блокировка и разрешение организационных параметров.Safe senders, mail flow rules, or block and allow organizational settings take precedence. Эти сообщения исключены из ZAP, так как служба делает то, что вы настраивали.These messages are excluded from ZAP since the service is doing what you configured it to do. Это еще одна причина, по которой следует быть осторожными при настройке сообщений для обхода фильтрации.This is another reason to be careful about configuring messages to bypass filtering.

Каковы требования к лицензированию для работы ZAP?What are the licensing Requirements for ZAP to work?

Лицензии не имеют ограничений.There are no limitations on licenses. ZAP работает на всех почтовых ящиках, которые были организованы в Exchange online.ZAP works on all mailboxes hosted on Exchange online. ZAP не работает в автономных средах Exchange Online Protection (EOP), которые защищают почтовые ящики Exchange на месте.ZAP doesn't work in standalone Exchange Online Protection (EOP) environments that protect on-premises Exchange mailboxes.

Что делать, если сообщение перемещается в другую папку (например, правила почтовых ящиков)?What if a message is moved to another folder (e.g. Inbox rules)?

ZAP по-прежнему работает до тех пор, пока сообщение не было удалено, или до тех пор, пока не применено одно и то же или более сильное действие.ZAP still works as long as the message has not been deleted, or as long as the same, or stronger, action has not already been applied. Например, если политика защиты от фишинга настроена на карантин и сообщение уже находится в нежелательной электронной почте, zap примет меры для карантина сообщения.For example, if the anti-phishing policy is set to quarantine and message is already in the Junk Email, then ZAP will take action to quarantine the message.

Как ZAP влияет на почтовые ящики при удержании?How does ZAP affect mailboxes on hold?

ZAP не будет карантить сообщения из почтовых ящиков в удержании.ZAP won't quarantine messages from mailboxes on hold. ZAP может перемещать сообщения в папку нежелательной почты в зависимости от действия, настроенного для нежелательной почты или фишинга в политике защиты от нежелательной почты.ZAP can move messages to the Junk Email folder based on the action that's configured for a spam or phishing verdict in anti-spam policies.

Дополнительные сведения о удержаниях в Exchange Online см. в сайте Удержание на месте и судебное удержание в Exchange Online.For more information about holds in Exchange Online, see In-Place Hold and Litigation Hold in Exchange Online.