Ochrana proti spamu v EOP
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Poznámka
Toto téma je určené pro správce. Témata pro koncové uživatele najdete v tématech Přehled filtru nevyžádané Email a Informace o nevyžádané poště a phishingu.
V organizacích Microsoft 365 s poštovními schránkami v Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek jsou e-mailové zprávy automaticky chráněny před spamem (nevyžádanou poštou) EOP.
EOP zahrnuje ochranu před nevyžádanou poštou, která používá vlastní technologie filtrování spamu (označované také jako filtrování obsahu) k identifikaci a oddělení nevyžádané pošty od legitimních e-mailů. Filtrování spamu EOP se učí ze známých spamových a phishingových hrozeb a ze zpětné vazby uživatelů od naší spotřebitelské platformy, Outlook.com. Průběžná zpětná vazba od správců a uživatelů pomáhá zajistit, aby se technologie EOP neustále trénovaly a vylepšovaly.
EOP používá ke klasifikaci zpráv následující verdikty filtrování spamu:
- Spam: Zpráva obdržela úroveň spolehlivosti spamu (SCL) 5 nebo 6.
- Vysoce důvěryhodný spam: Zpráva obdržela seznam SCL 7, 8 nebo 9.
- Útok phishing
- Vysoce důvěryhodný phishing: Ve výchozím nastavení jsou zprávy, které jsou identifikovány jako vysoce sebevědomé phishing, vždy v karanténě a uživatelé nemůžou vydávat své vlastní phishingové zprávy s vysokou spolehlivostí v karanténě bez ohledu na dostupná nastavení, která správci nakonfigurují.
- Hromadně: Zdroj zprávy splnil nebo překročil nakonfigurovanou prahovou hodnotu úrovně hromadné stížnosti (BCL).
Další informace o ochraně proti spamu najdete v tématu Nejčastější dotazy k ochraně proti spamu.
Ve výchozích zásadách ochrany proti spamu a ve vlastních zásadách ochrany proti spamu můžete na základě těchto verdiktů nakonfigurovat akce, které se mají provést. V přednastavených zásadách zabezpečení Standard a Strict jsou akce už nakonfigurované a neupravitelné, jak je popsáno v nastavení zásad ochrany proti spamu EOP.
Informace o konfiguraci výchozích zásad ochrany proti spamu a vytvoření, úpravě a odebrání vlastních zásad ochrany proti spamu najdete v tématu Konfigurace zásad ochrany proti spamu v Microsoftu 365.
Tip
Pokud nesouhlasíte s verdiktem filtrování spamu, můžete zprávu společnosti Microsoft nahlásit jako falešně pozitivní (dobrá pošta označená jako špatná) nebo falešně negativní (je povolený chybný e-mail). Další informace najdete tady:
- Návody microsoftu nahlásit podezřelý e-mail nebo soubor.
- Jak zpracovávat blokování legitimních e-mailů (falešně pozitivní) pomocí Microsoft Defender pro Office 365
- Jak zpracovávat škodlivé e-maily doručované příjemcům (falešně negativní), pomocí Microsoft Defender pro Office 365
Záhlaví antispamových zpráv vám můžou říct, proč byla zpráva označená jako spam nebo proč se přeskakovalo filtrování spamu. Další informace najdete v tématu Hlavičky antispamových zpráv.
Filtrování spamu v Microsoftu 365 není možné úplně vypnout, ale můžete použít pravidla toku pošty Exchange (označovaná také jako pravidla přenosu) a obejít tak většinu filtrování spamu u příchozích zpráv (například pokud před doručením do Microsoftu 365 směrujete e-maily přes ochrannou službu nebo zařízení třetí strany). Další informace najdete v tématu Použití pravidel toku pošty k nastavení úrovně spolehlivosti spamu (SCL) ve zprávách.
- Vysoce důvěryhodné phishingové zprávy jsou stále filtrované. Jiné funkce V EOP nejsou ovlivněny (například zprávy se vždy kontrolují na přítomnost malwaru).
- Pokud potřebujete obejít filtrování spamu pro poštovní schránky SecOps nebo simulace útoků phishing, nepoužívejte pravidla toku pošty. Další informace najdete v tématu Konfigurace doručování simulací útoků phishing třetích stran uživatelům a nefiltrovaných zpráv do poštovních schránek SecOps.
V hybridních prostředích, kde EOP chrání místní poštovní schránky Exchange, musíte nakonfigurovat dvě pravidla toku pošty (označovaná také jako pravidla přenosu) ve vaší místní organizaci Exchange, aby rozpoznala hlavičky spamu EOP, které se přidávají do zpráv. Podrobnosti najdete v tématu Konfigurace EOP pro doručování spamu do složky Nevyžádaná pošta Email v hybridních prostředích.
Zásady ochrany proti spamu
Zásady ochrany proti spamu řídí konfigurovatelná nastavení pro filtrování spamu. Důležitá nastavení v zásadách ochrany proti spamu jsou popsaná v následujících pododdílech.
Tip
Pokud chcete zobrazit nastavení zásad ochrany proti spamu ve výchozích zásadách, standardních přednastavených zásadách zabezpečení a striktních přednastavených zásadách zabezpečení, přečtěte si téma Nastavení zásad ochrany proti spamu EOP.
Filtry příjemců v zásadách ochrany proti spamu
Filtry příjemců používají podmínky a výjimky k identifikaci interních příjemců, na které se zásady vztahují. Ve vlastních zásadách se vyžaduje alespoň jedna podmínka. Podmínky a výjimky nejsou dostupné ve výchozích zásadách (výchozí zásada platí pro všechny příjemce). Pro podmínky a výjimky můžete použít následující filtry příjemců:
- Uživatelé: Jedna nebo více poštovních schránek, uživatelů pošty nebo poštovních kontaktů v organizaci.
-
Skupiny:
- Členové zadaných distribučních skupin nebo skupin zabezpečení s podporou pošty (dynamické distribuční skupiny se nepodporují).
- Zadaný Skupiny Microsoft 365.
- Domény: Jedna nebo více nakonfigurovaných přijatých domén v Microsoftu 365. Primární e-mailová adresa příjemce je v zadané doméně.
Podmínku nebo výjimku můžete použít jenom jednou, ale podmínka nebo výjimka může obsahovat více hodnot:
Logiku NEBO používá více hodnotstejné podmínky nebo výjimky (například <příjemce1> nebo <příjemce2>):
- Podmínky: Pokud příjemce odpovídá některé ze zadaných hodnot, použijí se na ně zásady.
- Výjimky: Pokud příjemce odpovídá některé ze zadaných hodnot, zásada se na ně nepoužije.
Různé typy výjimek používají logiku NEBO (například <příjemce1> nebo <člen skupiny1> nebo <člen domény1>). Pokud příjemce odpovídá některé ze zadaných hodnot výjimek, zásada se na ně nepoužije.
Logiku AND používají různé typy podmínek . Příjemce musí splňovat všechny zadané podmínky, aby se na ně zásady vztahovaly. Například nakonfigurujete podmínku s následujícími hodnotami:
- Uživatelé:
romain@contoso.com
- Skupiny: Vedení
Tato zásada se vztahuje pouze na
romain@contoso.com
to, že je zároveň členem skupiny vedoucích pracovníků. Jinak se na něj zásady nevztahují.- Uživatelé:
Prahová hodnota hromadné stížnosti (BCL) v zásadách ochrany proti spamu
EOP přiřadí příchozím zprávám od odesílatelů hromadné stížnosti hodnotu úrovně hromadné stížnosti (BCL). Zprávy od hromadných odesílatelů se také označují jako hromadná pošta nebo šedá pošta.
Další informace o seznamu BCL najdete v tématu Úroveň hromadné stížnosti (BCL) v EOP.
Tip
Ve výchozím nastavení je On
nastavení MarkAsSpamBulkMail v PowerShellu jenom v zásadách ochrany proti spamu v Exchange Online PowerShellu. Toto nastavení má výrazný vliv na výsledky verdiktu splnění nebo překročení úrovně hromadného dodržování předpisů (BCL):
- MarkAsSpamBulkMail je Zapnuto: Seznam BCL, který je větší nebo roven prahové hodnotě, se převede na seznam SCL 6, který odpovídá verdiktu filtrování spamu, a ve zprávě se provede akce pro splnění nebo překročení úrovně hromadného dodržování předpisů (BCL).
- MarkAsSpamBulkMail je vypnutý: Zpráva se orazítkuje seznamem BCL, ale neprovedou se žádné akce pro splnění nebo překročení úrovně hromadného filtrování. V důsledku toho prahová hodnota seznamu BCL a akce splnění nebo překročení verdiktu filtrování jsou irelevantní.
Vlastnosti spamu v zásadách ochrany proti spamu
Nastavení testovacího režimu , nastavení Zvýšit skóre spamu a většina nastavení Označit jako spam jsou součástí rozšířeného filtrování spamu (ASF) v zásadách ochrany proti spamu.
Tato nastavení nejsou ve výchozím nastavení nakonfigurovaná ve výchozích zásadách ochrany proti spamu ani v přednastavených standardních nebo striktních zásadách zabezpečení.
Úplné informace o nastavení ASF najdete v tématu Nastavení rozšířeného filtru spamu (ASF) v EOP.
Další nastavení, která jsou k dispozici v této kategorii, jsou:
- Obsahuje konkrétní jazyky: Zprávy v zadaných jazycích se automaticky identifikují jako spam.
- Z těchto zemí: Zprávy z určených zemí se automaticky identifikují jako spam.
Tato nastavení nejsou ve výchozím nastavení nakonfigurovaná ve výchozích zásadách ochrany proti spamu ani v přednastavených standardních nebo striktních zásadách zabezpečení.
Akce v zásadách ochrany proti spamu
Ve vlastních zásadách ochrany proti spamu a výchozích zásadách ochrany proti spamu jsou dostupné akce pro verdikty filtrování spamu popsané v následující tabulce.
- Značka zaškrtnutí ( ✔ ) označuje, že akce je k dispozici (ne všechny akce jsou dostupné pro všechny verdikty).
- Hvězdička ( * ) za zaškrtnutím označuje výchozí akci pro verdikt filtrování spamu.
Akce Spam High (Vysoká)
důvěrnost
spamÚtok phishing High (Vysoká)
důvěrnost
phishingMnožství Přesunout zprávu do složky Nevyžádaná pošta Email: Zpráva se doručí do poštovní schránky a přesune se do složky Nevyžádaná pošta Email.¹ ✔* ✔* ✔ ² ✔* Přidat záhlaví X: Přidá do záhlaví zprávy záhlaví X a doručí zprávu do poštovní schránky.
Název pole záhlaví X (ne hodnotu) zadáte do dostupného textového pole Přidat toto záhlaví X .
V případě nevyžádané pošty a vysoce důvěryhodného spamu se zpráva přesune do složky Nevyžádaná pošta Email.¹ ³✔ ✔ ✔ ✔ Předřazení řádku předmětu s textem: Přidá text na začátek řádku předmětu zprávy. Zpráva se doručí do poštovní schránky a přesune se do složky Nevyžádaná pošta.¹ ³
Text zadáte do dostupného řádku Předmět předpony s tímto textovým polem .✔ ✔ ✔ ✔ Přesměrovat zprávu na e-mailovou adresu: Odešle zprávu jiným příjemcům místo zamýšleným příjemcům.
Příjemce zadáte do pole Přesměrovat na tuto e-mailovou adresu .✔ ✔ ✔ ✔ ✔ Odstranit zprávu: Bezobslužně odstraní celou zprávu včetně všech příloh. ✔ ✔ ✔ ✔ Zpráva o karanténě: Místo zamýšlených příjemců odešle zprávu do karantény.
Výchozí zásadu karantény pro verdikt filtrování spamu vyberete nebo použijete v zobrazeném poli Vybrat zásadu karantény .⁴ Zásady karantény definují, co mohou uživatelé dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.
V dostupném poli Zachovat nevyžádanou poštu v karanténě po tento počet dní určíte, jak dlouho budou zprávy uchovávány v karanténě.✔ ✔ ✔* ✔* ⁵ ✔ Žádná akce ✔ ¹ EOP používá vlastního agenta doručování toku pošty ke směrování zpráv do složky Nevyžádaná pošta Email místo použití pravidla nevyžádané pošty v poštovní schránce. Parametr Enabled u rutiny Set-MailboxJunkEmailConfiguration v Exchange Online PowerShellu má vliv na tok pošty v cloudových poštovních schránkách. Další informace najdete v tématu Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek.
² V případě útoku phishing s vysokou spolehlivostí je akce Přesunout zprávu do složky Nevyžádaná pošta Email v podstatě zastaralá. I když možná budete moct vybrat akci Přesunout zprávu do složky Nevyžádaná pošta Email, vysoce důvěryhodné phishingové zprávy jsou vždy v karanténě (což je ekvivalent výběru zprávy umístit do karantény).
³ Hodnotu můžete použít jako podmínku v pravidlech toku pošty pro filtrování nebo směrování zprávy.
⁴ Pokud verdikt filtrování spamu ve výchozím nastavení umístí zprávy do karantény (Zpráva o karanténě je již vybrána, když se dostanete na stránku), zobrazí se název výchozí zásady karantény v poli Vybrat zásadu karantény . Pokud změníte akci verdiktu filtrování spamu na Zprávu o karanténě, pole Vybrat zásadu karantény bude ve výchozím nastavení prázdné. Prázdná hodnota znamená, že se pro daný verdikt použijí výchozí zásady karantény. Když později zobrazíte nebo upravíte nastavení zásad ochrany proti spamu, zobrazí se název zásad karantény. Další informace o zásadách karantény, které se ve výchozím nastavení používají pro verdikty filtru spamu, najdete v tématu Nastavení zásad ochrany před spamem EOP.
⁵ Uživatelé nemůžou vydat své vlastní zprávy, které byly v karanténě jako vysoce důvěryhodný phishing, bez ohledu na to, jak jsou zásady karantény nakonfigurované. Pokud zásady umožňují uživatelům vydávat vlastní zprávy v karanténě, můžou místo toho požádat o vydání svých vysoce důvěryhodných phishingových zpráv v karanténě.
Zprávy uvnitř organizace, se které se mají provést: Určuje, jestli se u interních zpráv (zpráv posílaných mezi uživateli v organizaci) použije filtrování spamu a odpovídající akce verdiktu. Akce nakonfigurovaná v zásadách pro zadané verdikty filtru spamu se provádí u zpráv odesílaných mezi interními uživateli. Dostupné hodnoty jsou:
- Výchozí: Toto je výchozí hodnota. Tato hodnota je stejná jako výběr vysoce důvěryhodných phishingových zpráv.
- Žádné
- Vysoce důvěryhodné phishingové zprávy
- Phishing a vysoce důvěryhodné phishingové zprávy
- Všechny phishingové a vysoce důvěryhodné spamové zprávy
- Všechny phishingové a spamové zprávy
Výchozí hodnoty, které se používají ve výchozích zásadách ochrany proti spamu a v přednastavených standardních a striktních zásadách zabezpečení, najdete v tématu Zprávy v rámci organizace, které se mají provést při zadávání vnastavení zásad ochrany proti spamu EOP.
Zachovat spam v karanténě po dobu tohoto počtu dní: Určuje, jak dlouho se má zpráva uchovávat v karanténě, pokud jste jako akci pro verdikt filtrování spamu vybrali Možnost Umístit zprávu do karantény. Po vypršení časového období se zpráva odstraní a nedá se obnovit. Platná hodnota je od 1 do 30 dnů.
Výchozí hodnoty, které se používají ve výchozích zásadách ochrany proti spamu a v přednastavených standardních a striktních zásadách zabezpečení, najdete v části Zachování spamu v karanténě po tento počet dní v nastavení zásad ochrany před spamem EOP.
Tip
Toto nastavení také určuje, jak dlouho se budou uchovávat zprávy, které byly uloženy do karantény zásadami ochrany proti útokům phishing . Další informace najdete v tématu Karanténní uchovávání.
Automatické vyprázdnění (ZAP) v zásadách ochrany proti spamu nulou po hodinách
Zap pro phishing a ZAP pro spam dokáže reagovat na zprávy po jejich doručení do Exchange Online poštovních schránek. Ve výchozím nastavení jsou zap pro phishing a ZAP pro spam zapnuté a doporučujeme, abyste je nechali zapnuté. Další informace najdete tady:
- Automatické vyprázdnění (ZAP) pro útoky phishing nulou
- Zap (Zero-hour auto purge) for high confidence phishing
- Automatické vyprázdnění spamu (ZAP) s nulovou hodinou
Zásady karantény v zásadách ochrany proti spamu
Pokud je verdikt v zásadách ochrany proti spamu nakonfigurovaný tak, aby zprávy v karanténě, zásady karantény definují, co uživatelé mohou s těmito zprávami v karanténě dělat a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.
Seznamy povolených a blokovaných v zásadách ochrany proti spamu
Zásady ochrany proti spamu obsahují následující seznamy pro povolení nebo blokování konkrétních odesílatelů nebo domén:
- Seznam povolených odesílatelů
- Seznam povolených domén
- Seznam blokovaných odesílatelů
- Seznam blokovaných domén
Tato nastavení nejsou ve výchozím nastavení nakonfigurovaná ve výchozích zásadách ochrany proti spamu ani v přednastavených standardních nebo striktních zásadách zabezpečení.
Funkce těchto seznamů byly z velké části nahrazeny následujícími funkcemi:
Blokovat položky pro domény a e-mailové adresy v části Vytvořit položky bloku pro domény a e-mailové adresy.
Hlavním důvodem pro použití seznamu blokovaných odesílatelů nebo seznamu blokovaných domén v zásadách ochrany proti spamu: blokované položky v seznamu povolených nebo blokovaných klientů také brání uživatelům v organizaci v odesílání e-mailů na tyto e-mailové adresy nebo domény.
Zasílání zpráv o dobrém e-mailu společnosti Microsoft ze stránky Odeslání na portálu Microsoft Defender (kde se můžete rozhodnout povolit e-maily s podobnými atributy, čímž se vytvoří požadované dočasné položky v seznamu povolených/blokovaných klientů).
Důležité
Zprávy z položek v seznamu povolených odesílatelů nebo seznamu povolených domén obcházejí většinu e-mailové ochrany (s výjimkou malwaru a vysoce důvěryhodných útoků phishing) a ověřování e-mailu (SPF, DKIM a DMARC). Položky v seznamu povolených odesílatelů nebo seznamu povolených domén vytvářejí vysoké riziko, že útočníci úspěšně doručí e-maily do složky Doručená pošta, které by jinak byly filtrovány. Tyto seznamy se nejlépe používají pouze pro dočasné testování.
Do seznamu povolených domén nikdy nepřidávejte běžné domény (například microsoft.com nebo office.com). Útočníci můžou do vaší organizace snadno odesílat zfalšované zprávy z těchto běžných domén.
Pokud je povolený odesílatel, doména nebo subdoména ve vaší organizaci v přijaté doméně od září 2022, musí tento odesílatel, doména nebo subdoména projít kontrolami ověření e-mailu, aby bylo možné filtrování spamu přeskočit.
Pokud chcete v seznamu uchovávat povolený záznam domény po delší dobu, sdělte odesílateli, aby ověřil, že jeho záznam SPF je aktuální se zdroji e-mailu pro jeho doménu a že zásady v záznamu DMARC jsou nastavené na
p=reject
.
Priorita zásad ochrany proti spamu
Pokud jsou zapnuté, použijí se před vlastními zásadami ochrany proti spamu nebo výchozími zásadami přednastavené standardní a striktní zásady zabezpečení (striktní je vždy první). Pokud vytvoříte více vlastních zásad ochrany proti spamu, můžete určit pořadí, ve kterém se budou používat. Zpracování zásad se zastaví po použití první zásady (zásada s nejvyšší prioritou pro daného příjemce).
Další informace o pořadí priorit a o tom, jak se vyhodnocuje více zásad, najdete v tématech Pořadí a priorita e-mailové ochrany a Pořadí priorit pro přednastavené zásady zabezpečení a další zásady.
Výchozí zásady ochrany proti spamu
Každá organizace má předdefinované antispamové zásady s názvem Výchozí, které mají následující vlastnosti:
- Zásada je výchozí zásada (vlastnost IsDefault má hodnotu
True
) a výchozí zásadu nemůžete odstranit. - Zásady se automaticky použijí pro všechny příjemce v organizaci a nemůžete je vypnout.
- Zásada se vždy použije jako poslední (hodnota Priorita je Nejnižší a nemůžete ji změnit).