Фильтр спама Office 365: настройка и конфигурация

По крайней мере, спам-письма – это неприятность. Однако эти незапрошенные сообщения также являются настоящей угрозой, когда они содержат вредные вложения или вредоносное программное обеспечение. К счастью, организации, использующие Microsoft 365, могут защитить свои почтовые ящики, автоматически отделяя нежелательные электронные письма от легитимной коммуникации.

Exchange Online Protection (EOP) – основное средство безопасности для подписок Microsoft 365. Администраторы безопасности используют EOP для создания политик и фильтров против вредоносных программ, спама и других угроз по электронной почте. Обратите внимание, что раньше администраторы могли получить доступ к EOP из Центра администрирования Exchange. Сегодня EOP является частью портала Microsoft 365 Defender для расширенной защиты и управления, и вы можете получить EOP как часть Exchange Online или в виде самостоятельного сервиса.

Этот блог объясняет, как работает фильтрация электронной почты Office 365, и детализирует технологии, включенные в EOP. Прочтите, чтобы узнать, как правильно настроить политики фильтрации спама входящей и исходящей почты в EOP.

Как работает фильтр спама?

Фильтрация спама Microsoft с использованием Exchange Online Protection (EOP) основывается на ранее выявленных угрозах спама и фишинга, а также на собранной обратной связи от пользователей Outlook.com для обнаружения нежелательной электронной почты. Выявленные нежелательные электронные письма автоматически классифицируются и отделяются от легитимных входящих сообщений. Фильтр спама O365 предотвращает заполнение входящих писем бесполезными сообщениями и обеспечивает плавную коммуникацию внутри и за пределами сети организации.

Ниже приведены технологии, составляющие настройки антиспама в EOP:

• Фильтрация спама (содержимого): Вы можете настроить политики антиспама в EOP таким образом, чтобы входящие сообщения классифицировались на основе следующих вердиктов:
  • Спам
  • Спам с высокой уверенностью
  • Рассылка писем
  • Фишинговое письмо
  • Фишинговое письмо с высокой уверенностью

Политика антиспама позволяет определить действия для каждого вердикта и настроить соответствующие настройки уведомлений.

• Фильтрация спама при отправке: Вы также можете настроить фильтрацию спама при отправке в EOP для предотвращения отправки спама пользователями в вашей организации намеренно или непреднамеренно, ограничивая исходящие сообщения и отслеживая спам в содержимом.
• Фильтрация соединений: Вы можете настроить фильтрацию на основе IP-адресов для идентификации хороших и плохих источников электронной почты в соединении с входящей почтой. Укажите IP-адреса или диапазоны для списка разрешенных IP и списка заблокированных IP и воспользуйтесь безопасным списком, поддерживаемым корпорацией Майкрософт.
• Поддельное интеллектуальное решение: Для защиты от подделки настройте политики противодействия фишинговым атакам в EOP. Другие методы противодействия подделке в EOP включают аутентификацию электронной почты и инсайты поддельного интеллектуального решения.

Как настроить политику фильтрации спама Office 365

В средах Microsoft 365 политика противодействия спаму включает два элемента, которые необходимо настроить:

• Политика фильтрации спама: Определяет действия и опции уведомлений, связанные с результатами фильтрации спама.
• Правило фильтрации спама: Относится к приоритету политики фильтрации спама, а также к получателям, к которым применяется политика.

Примечание: Когда вы создаете новую политику противодействия спаму, вы создаете правило фильтрации спама и связанную с ним политику фильтрации спама. Если вы удалите политику, оба элемента также будут удалены.

Организации, использующие Microsoft 365, имеют встроенную По умолчанию политику противодействия спаму, которую можно просматривать и изменять через портал Microsoft 365 Defender. Эта политика имеет наименьшее значение приоритета и не обеспечивает эффективную защиту от спама.

По этой причине Microsoft рекомендует администраторам безопасности настраивать свои пользовательские настройки фильтрации спама в соответствии с потребностями их сред. Для упрощения настройки портал Microsoft 365 Defender предоставляет два встроенных уровня безопасности, Стандартный и Строгий, каждый со своими предварительно установленными настройками, описанными ниже.

Создание политики против спама приходящих сообщений в Microsoft 365 Defender

Вы можете создать пользовательскую политику против спама приходящих сообщений и соответствующее правило фильтрации спама, следуя инструкциям ниже:

1. Откройте страницу Политики против спама, перейдя по ссылке https://security.microsoft.com/antispam в вашем браузере.

Примечание: Вы также можете перейти на страницу политик против спама, используя https://security.microsoft.com, затем нажав Почта и сотрудничество > Политики и правила > Политики по борьбе с угрозами > Против спама под Политики.

2. Нажмите + Создать политику и выберите Приходящие из выпадающего списка.

3. Первая страница мастера создания политики – это Назовите свою политику. Определите следующие настройки:

• Имя: Добавьте описательное и уникальное имя для вашей политики.
  • Описание: Введите подходящее описание (необязательно).

Нажмите Далее для продолжения.

4. На странице Пользователи, группы и домены добавьте внутренних получателей, на которых влияет политика фильтрации спама:

• Пользователи: почтовые пользователи, контакты или почтовые ящики в вашей организации
• Группы: Группы Microsoft 365, группы безопасности с поддержкой почты или группы рассылки
• Домены: получатели в принимаемых доменах вашей компании

Введите значение в каждое поле и выберите то, которое вам нужно, из отображаемых результатов. Вы можете удалить значение, нажав на x рядом с ним. Вы также можете выбрать флажок рядом с Исключить этих пользователей, группы и домены, чтобы добавить получателей, которые будут исключены из политики, которую вы создаете.

Примечание: Добавьте звездочку (*) в любое поле, чтобы просмотреть все доступные значения.

Нажмите Далее, чтобы продолжить.

5. Третья страница – Порог массовой рассылки и свойства спама. Настройте следующие настройки:

• Порог массовой рассылки: Установите Уровень жалоб в массовых сообщениях (BCL) сообщений, которые могут вызвать действие для Массовых вердиктов фильтрации спама. Чем выше число, тем больше массовых писем пройдет к вашему ящику и наоборот. Вы можете настроить это значение так, как считаете нужным; однако у Microsoft есть предварительно установленные настройки ниже:

• Увеличить оценку спама и Отметить как спам: Часть настроек Advanced Spam Filter (ASF), эта опция по умолчанию выключена.
• Содержит определенные языки: Это выключено по умолчанию. Когда вы выбираете Вкл из выпадающего списка, появляется поле, и вы можете добавить язык рассылки, который считаете спамом.
• Из этих стран: Это также выключено по умолчанию. Если вы хотите отметить письма как спам из определенных стран, просто выберите Вкл из выпадающего списка и добавьте страны.
• Тестовый режим: Также часть настроек ASF, эта опция по умолчанию выключена.

Примечание: ASF – более агрессивный метод фильтрации спама. Microsoft рекомендует сохранять значения по умолчанию Выкл, так как вы можете получить большое количество ложных срабатываний, которые нельзя отметить как таковые с включенным ASF.

Нажмите Далее для перехода к следующему шагу.

6. Страница “Действия” – это место, где вы выбираете, что происходит с сообщениями на основе вердиктов фильтрации спама, которые они получают. Прежде чем настраивать настройки здесь, важно понимать, что означает каждое действие:

• Переместить сообщение в папку “Спам”: Электронное письмо доставляется на почтовый ящик, а затем перемещается в папку “Спам”.
• Добавить X-заголовок: Это добавляет X-заголовок к сообщению перед тем, как оно будет доставлено на почтовый ящик. Вы можете выбрать имя X-заголовка в поле Добавить этот текст X-заголовка.
• Добавить текст в начало темы: Электронное письмо доставляется на почтовый ящик, затем перемещается в папку “Спам”, но вы можете добавить текст в начало темы. Введите текст в поле Префикс темы с этим текстом.
• Перенаправить сообщение на электронный адрес: Это перенаправляет электронное письмо другим получателям вместо предназначенного пользователя. Вы можете указать новых получателей в поле Перенаправить на этот электронный адрес.
• Удалить сообщение: Электронное письмо и все его вложения удаляются автоматически.
• Карантинировать сообщение: Сообщение отправляется в карантин. Вы можете выбрать, как долго электронное письмо должно оставаться там, используя поле Сохранить спам в карантине столько дней. Когда вы выбираете это действие, вы также должны установить политику карантина в поле Выберите политику карантина, которое появляется.
• Без действия: Как следует из названия, никаких действий не предпринимается, и сообщение доставляется нормально.

• Советы по безопасности: Эти советы включены по умолчанию. Вы можете отключить их, сняв флажок.
• Автоматическая очистка в ноль часов (ZAP): ZAP находит и принимает меры по электронным письмам, отправленным на почтовые ящики Exchange Online. Эта функция и соответствующие настройки включены по умолчанию.

Нажмите Далее, чтобы продолжить.

7. Страница Разрешить и заблокировать список позволяет вам указать, какие адреса электронной почты или домены могут обойти фильтрацию спама. Кроме того, вы можете добавить заблокированных отправителей и домены. Настройте списки здесь, следуя приведенным ниже инструкциям:

• Разрешено:
  • Чтобы управлять Отправителями, нажмите Управление (n) отправителем(ями). Выберите +Добавить отправителей в выплывающем окне и добавьте адрес электронной почты отправителя. Наконец, нажмите Добавить отправителей.
  • Нажмите Разрешить домены, чтобы настроить домены. В новой вкладке выберите +Добавить домены, затем введите домен. После завершения нажмите Добавить домены.

• Заблокировано: Процесс добавления заблокированных отправителей и/или доменов в основном такой же, как и описанный выше.

Нажмите Далее, чтобы продолжить.

8. На странице Обзора вы можете просмотреть все выбранные настройки. Вы можете либо Отредактировать конкретный раздел, либо просто нажать Назад, чтобы вернуться к предыдущим страницам. Наконец, выберите Создать, затем нажмите Готово на странице подтверждения.

Создание исходящей антиспамовой политики в Microsoft 365 Defender

Независимо от того, отправляет ли пользователь в вашей организации спам-письма намеренно или случайно, EOP имеет контроль над исходящим спамом для защиты получателей:

• Разделение исходящего электронного трафика: EOP сканирует каждое исходящее сообщение. Когда электронное письмо определяется как спам, оно доставляется из менее авторитетного, вторичного пула IP-адресов, известного как пул доставки с высоким риском.
• Отключение учетных записей, отправляющих слишком много спама или слишком много электронных писем за короткий промежуток времени: Все учетные записи отслеживаются, чтобы они не превышали определенный лимит электронных писем. Когда этот порог достигается, учетная запись отключается.
• Мониторинг репутации исходящего IP-адреса: Microsoft 365 сканирует множество сторонних списков заблокированных IP-адресов и генерирует предупреждение, если ваша организация использует IP-адрес, найденный в любом из этих списков.

Теперь, когда вы знаете, как EOP контролирует исходящий спам, вы можете создать собственные политики антиспама:

1. Откройте страницу Антиспамовых политик, перейдя по адресу https://security.microsoft.com/antispam в вашем браузере.

Примечание: Вы также можете перейти на страницу политики противодействия спаму, используя https://security.microsoft.com, затем нажав на Email & Collaboration > Policies & Rules > Threat policies > Anti-spam под Policies.

2. Нажмите + Create policy и выберите Outbound из выпадающего списка.

3. Первая страница мастера создания политики – это Name your policy page. Определите следующие настройки:

• Имя: Добавьте описательное и уникальное имя для вашей политики.
• Описание: Введите подходящее описание (необязательно).

Нажмите Next после завершения.

4. Это страница Users, groups, and domains, где необходимо добавить внутренних получателей, затронутых политикой фильтрации отправляемого спама:

• Пользователи: Это почтовые пользователи, контакты или ящики электронной почты в вашей организации.
• Группы: Группы Microsoft 365, почтово-управляемые группы безопасности или группы рассылки.
• Домены: Это будет включать всех получателей под принятыми доменами в вашей компании.

Введите значение в каждое поле и выберите то, что вам нужно, из отображаемых результатов. Вы можете удалить значение, нажав на X рядом с ним. Вы также можете выбрать флажок рядом с Исключить этих пользователей, группы и домены, чтобы добавить получателей, которые являются исключениями из политики, которую вы создаете.

Примечание: Введите звездочку (*) в любом поле, чтобы просмотреть все доступные значения.

Нажмите Далее, чтобы продолжить.

5. На странице Настройки защиты настройте следующие параметры:

• Ограничения сообщений: Настройте ограничения для исходящих писем в почтовых ящиках Exchange Online. Введите значение или используйте стрелки в каждом из полей, описанных ниже. Значение может варьироваться от 0 (по умолчанию) до 10 000.
  • Установить ограничение для внешних сообщений означает максимальное количество внешних получателей в час.
  • Установить ограничение для внутренних сообщений – это максимальное количество внутренних получателей в час.
  • Установить дневное ограничение сообщений – это максимальное количество всех (внешних и внутренних) получателей в день.
• Ограничение, наложенное на пользователей, достигших предела сообщений: Определите действие, если пользователь превысит ранее установленные ограничения по количеству сообщений.
  • Ограничение отправки сообщений пользователем до следующего дня: Пользователям будет запрещено отправлять дополнительные сообщения в течение 24 часов. Администраторы безопасности не могут снять это ограничение. Уведомления отправляются заблокированному пользователю и администраторам.
  • Ограничение отправки сообщений пользователем: С этим вариантом пользователи будут добавлены в список Ограниченных пользователей . Они не смогут отправлять никакие сообщения, пока администратор вручную не удалит их из списка.
  • Нет действия, только уведомление: Пользователи не ограничены, но отправляются уведомления.
• Правила пересылки: Управление автоматической пересылкой электронной почты путем выбора одного из вариантов из раскрывающегося списка:
• Автоматически – Под управлением системы: По умолчанию исходящий спам фильтруется для контроля внешней пересылки электронной почты.
• Выключено – Пересылка отключена: Автоматическая внешняя пересылка электронной почты отключена.
  • Включено – Пересылка включена: Автоматическая внешняя пересылка электронной почты включена.
• Уведомления: Укажите дополнительных пользователей, которые будут получать уведомления о исходящих спам-сообщениях:
  • Отправлять копию подозрительных исходящих сообщений, превышающих эти ограничения, этим пользователям и группам: Активируйте эту настройку, выбрав флажок рядом с ней. После этого появится текстовое поле, в которое вы можете добавить адреса электронной почты получателей для включения в поле Bcc подозрительных сообщений.
  • Уведомить этих пользователей и группы, если отправитель заблокирован из-за отправки спама: Когда вы выбираете этот флажок, вы можете добавить адреса электронной почты получателей, которых вы хотите уведомить в случае блокировки пользователя за отправку спам-сообщений.

Нажмите Далее, чтобы продолжить.

6. На странице Обзора вы можете ознакомиться со всеми выбранными параметрами. Вы можете либо Изменить определенный раздел, либо просто нажать Назад, чтобы вернуться на предыдущие страницы. Наконец, выберите Создать и нажмите Готово на странице подтверждения.

Как настроить фильтрацию подключения

Фильтрация подключения в EOP используется для определения хороших и плохих почтовых серверов по их IP-адресам. В Microsoft 365 Defender антиспамовые политики включают в себя политику фильтрации подключения по умолчанию, которая помогает уменьшить количество спам-сообщений, попадающих в ваш почтовый ящик, блокируя их на источнике.

Политика фильтрации подключения по умолчанию имеет три основных компонента:

• Список разрешенных IP-адресов: Добавляя исходные почтовые серверы в этот список, все входящие сообщения с этих серверов не проходят через фильтрацию спама и доставляются непосредственно в почтовый ящик. Вы можете указать серверы, используя IP-адреса или диапазоны IP-адресов.
• Список блокированных IP-адресов: Добавляя исходные почтовые серверы в этот список, все входящие сообщения с этих серверов автоматически блокируются и отклоняются. Вы можете добавлять серверы, используя IP-адреса или диапазоны IP-адресов.
• Список безопасных отправителей: Это список “разрешенных отправителей”, управляемый Microsoft, и вы не можете редактировать его самостоятельно. Все входящие сообщения с почтовых серверов, указанных здесь, пропускают фильтрацию спама. Важно отметить, что вы можете отключить этот список при необходимости.

Изменение политики фильтрации подключения по умолчанию в Microsoft 365 Defender

Пока вы не можете создать новую политику фильтрации подключений, вы можете настроить стандартную, выполнив следующие шаги:

1. Откройте страницу политики антиспама, введя в браузере https://security.microsoft.com/antispam.

Примечание: Вы также можете перейти на страницу политик антиспама, используя https://security.microsoft.com, затем нажав Электронная почта и сотрудничество > Политики и правила > Политики угроз > Антиспам под Политики.

2. Нажмите Политика фильтрации подключений (По умолчанию).

3. На этой выпадающей вкладке вы можете настроить следующие параметры для блокировки отправителей в Office 365:

• Описание: Нажмите Редактировать описание, чтобы добавить необязательный описательный текст для политики. Нажмите Сохранить после завершения.

• Фильтрация подключений: Нажмите Редактировать политику фильтрации подключений, чтобы настроить следующие параметры:
  • Всегда разрешать сообщения от следующих IP-адресов или диапазона адресов: Здесь вы можете добавить одиночный IP, диапазон IP или CIDR IP в список разрешенных IP.
  • Всегда блокировать сообщения от следующих IP-адресов или диапазона адресов: Здесь вы можете добавить одиночный IP, диапазон IP или CIDR IP в список заблокированных IP.
  • Включить список безопасности: Включите список безопасности, выбрав флажок, или оставьте его отключенным (по умолчанию).

Нажмите Сохранить после завершения.

Как удалить пользовательские политики анти-спама

Хотя вы не можете удалить стандартную политику, вы можете легко удалить пользовательскую политику анти-спама, выполнив следующие шаги:

1. Перейдите на страницу Политики анти-спама, введя https://security.microsoft.com/antispam в своем браузере.

Примечание: Вы также можете перейти на страницу политики борьбы со спамом, используя https://security.microsoft.com, затем нажав на Email & Collaboration > Policies & Rules > Threat policies > Anti-spam под Policies.

2. Нажмите на политику, которую хотите удалить.
3. В выпавшем меню выберите Delete policy, затем нажмите Yes в появившемся окне подтверждения.

Примечание: При удалении пользовательской политики борьбы со спамом также удаляется соответствующее правило борьбы со спамом.

Управление ошибками фильтрации спама

Поскольку ни одна система не идеальна, иногда хорошие письма могут быть определены как спам (ложное срабатывание) и в то же время некоторые сообщения спама могут проходить через политику фильтрации и попадать в ваш почтовый ящик (ложный пропуск). Вы можете реализовать лучшие практики фильтрации спама Office 365, чтобы максимально снизить эти случаи:

• Убедитесь, что у вас правильные настройки массовой рассылки: Проверьте, что уровень жалоб на массовую рассылку (BCL), который вы ранее установили в своих пользовательских политиках борьбы со спамом, подходит для вашей организации. Вы можете настроить BCL в зависимости от количества массовых писем, которые вы отправляете и получаете.
• Проверьте заголовки сообщений антиспама: Они могут помочь вам понять, почему письмо было неверно отнесено к спаму или пропущено фильтрацией без обнаружения.
• Реализовать аутентификацию электронной почты: Если у вас есть собственный домен электронной почты, вы можете настроить свой DNS для предотвращения спама и подделки. Попробуйте использовать все доступные методы аутентификации (SPF, DKIM и DMARC) для достижения наилучших результатов.
• Укажите свое MX-запись на Microsoft 365: Microsoft рекомендует, чтобы сообщения сначала доставлялись в Microsoft 365, чтобы обеспечить оптимальную защиту с помощью EOP.

Заключение

Если не контролировать спам, он может легко стать угрозой для непрерывности бизнеса. Вот почему Microsoft обеспечила своих пользователей продвинутыми инструментами фильтрации спама через Exchange Online Protection (EOP). Теперь вы знаете, как создавать и настраивать антиспам-политики для вашей организации и ограничивать количество спама, попадающего в ваши почтовые ящики.

Хотя фильтрация спама отлично справляется с защитой почтовых ящиков от спам-писем, сложные атаки, такие как фишинг и вымогательство, требуют дополнительных мер безопасности. Вы можете обеспечить оптимальную защиту для всей среды Office 365, имея комплексное решение для резервного копирования. Решение NAKIVO Backup & Replication предоставляет резервное копирование Exchange Online в дополнение к мгновенному восстановлению данных и защите от вымогательства.

A complete data protection solution like NAKIVO Backup & Replication includes all the tools you need to protect Microsoft 365 user data. Get the Free Edition today!