В чем разница между нежелательной и массовой электронной почтой в EOP?

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection организаций без Exchange Online почтовых ящиков клиенты иногда спрашивают: "В чем разница между нежелательной и массовой электронной почтой?" В этой статье объясняется разница и описываются элементы управления, доступные в EOP.

• Нежелательная почта — это спам, который является нежелательным и универсальным нежелательным сообщением (при правильной идентификации). EOP отклоняет спам на основе репутации исходного почтового сервера. Если сообщение проходит проверку исходного IP-адреса, оно продолжает фильтрацию нежелательной почты. Если сообщение классифицируется как спам или спам с высоким уровнем достоверности путем фильтрации спама, то, что происходит с сообщением, зависит от вердикта и политики защиты от нежелательной почты, которая обнаружила сообщение.

  Действия по умолчанию, выполняемые со спамом и сообщениями со спамом с высоким уровнем достоверности в политике защиты от нежелательной почты по умолчанию и в стандартных и строгих предустановленных политиках безопасности, см. в параметрах политики защиты от нежелательной почты EOP.

  В политике защиты от нежелательной почты по умолчанию и в пользовательских политиках защиты от нежелательной почты можно настроить действие для принятия решений по фильтрации спама. Инструкции см . в разделе Настройка политик защиты от нежелательной почты в EOP.

  Если вы не согласны с решением о фильтрации нежелательной почты, вы можете сообщить о сообщениях как нежелательных или хороших в корпорацию Майкрософт несколькими способами, как описано в разделе Отправка сообщений и файлов в Корпорацию Майкрософт.

• Массовая электронная почта (также известная как серая почта) сложнее классифицировать. В то время как спам является постоянной угрозой, массовая электронная почта часто является одноразовой рекламой или маркетинговыми сообщениями. Некоторые пользователи хотят, чтобы массовые сообщения электронной почты (и на самом деле, они намеренно зарегистрировались для их получения), в то время как другие пользователи считают массовую электронную почту спамом. Например, некоторые пользователи хотят получать рекламные сообщения от корпорации Contoso или приглашения на предстоящую конференцию по кибербезопасности, в то время как другие пользователи считают эти же сообщения спамом.

  Дополнительные сведения о том, как определяется массовое сообщение электронной почты, см. в разделе Уровень массовой жалобы (BCL) в EOP.

Управление массовыми сообщениями электронной почты

Из-за смешанной реакции на массовую электронную почту не существует универсального руководства, которое применяется ко всем организациям.

Политики защиты от нежелательной почты имеют пороговое значение BCL по умолчанию, которое используется для идентификации массовой электронной почты как нежелательной почты, а также определенное действие для выполнения этих массовых сообщений. Дополнительные сведения см. в следующих статьях:

• Уровень массовой жалобы (BCL) в EOP
• Настройка политик защиты от нежелательной почты в EOP.
• Параметры политики защиты от нежелательной почты EOP

Еще один вариант, который легко не заметить: если пользователь жалуется на получение массовой электронной почты, но сообщения от авторитетных отправителей, которые проходят фильтрацию спама в EOP, пользователь проверка для отмены подписки в массовом сообщении электронной почты.

Настройка массовой электронной почты

С сентября 2022 года клиенты Microsoft Defender для Office 365 плана 2 могут получить доступ к BCL из расширенной охоты. Эта функция позволяет администраторам просмотреть всех отправителей, отправивших почту в организацию, соответствующие значения BCL и количество полученных сообщений электронной почты. Вы можете детализировать массовые отправители, используя другие столбцы в таблице EmailEvents в схеме Email & совместной работы. Дополнительные сведения см. в разделе EmailEvents.

Например, если в политиках защиты от нежелательной почты компания Contoso установила текущее пороговое значение 7, получатели Contoso получают электронную почту от всех отправителей в папке "Входящие", если значение BCL равно 6 или меньше. Администраторы могут выполнить следующий запрос, чтобы получить список всех массовых отправителей в организации:

EmailEvents
| where BulkComplaintLevel >= 1 and Timestamp > datetime(2022-09-XXT00:00:00Z)
| summarize count() by SenderMailFromAddress, BulkComplaintLevel

Этот запрос позволяет администраторам определять нужных и нежелательных отправителей. Если массовый отправитель имеет оценку BCL, превышающую пороговое значение, администраторы могут сообщать о сообщениях отправителя корпорации Майкрософт для анализа. Это действие также добавляет отправителя в качестве разрешенной записи в список разрешенных и заблокированных клиентов.

Организации без Defender для Office 365 плана 2 могут бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2. Используйте 90-дневную оценку Defender для Office 365 по адресу https://security.microsoft.com/atpEvaluation. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Если у вас есть Defender для Office 365 плана 1 или плана 2, вы можете использовать отчет о состоянии защиты от угроз, чтобы определить нужных и нежелательных массовых отправителей:

1. Откройте отчет о состоянии защиты от угроз по одному из следующих URL-адресов:

   • EOP: https://security.microsoft.com/reports/TPSAggregateReport
   • Defender для Office 365:https://security.microsoft.com/reports/TPSAggregateReportATP

2. Выберите Просмотр данных по Email > Спам и разбивка диаграмм по технологии обнаружения.

3. Выберите Фильтр. В открывавшемся всплывающем окне Фильтры выберите только Массовые в разделе Обнаружение .

   Используйте ползунок Уровень массовой жалобы , чтобы отфильтровать массовые обнаружения по значению BCL.

   По завершении во всплывающем окне Фильтры нажмите кнопку Применить.

4. На странице Состояние защиты от угроз выберите одно из массовых сообщений из таблицы сведений под диаграммой, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом.

   Во всплывающем окне сведений о сообщении выберите Открыть сущность электронной почты в верхней части всплывающего элемента, чтобы просмотреть сведения о сообщении на странице сущности Email в Microsoft Defender для Office 365.

5. Определив нужных и нежелательных отправителей, настройте пороговое значение для массовой рассылки в политике защиты от нежелательной почты по умолчанию и в пользовательских политиках защиты от нежелательной почты. Если некоторые массовые отправители не соответствуют пороговой величине, сообщите о сообщениях в корпорацию Майкрософт для анализа.

Администраторы могут следовать рекомендуемым значениям порогового значения или выбрать пороговое значение для массовых операций, которое соответствует потребностям организации.