Настройка политик защиты от спама в EOP

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online входящие почтовые сообщения автоматически защищаются от спама посредством EOP. Служба EOP использует политики защиты от нежелательной почты (также называемые политиками фильтрации спама или политиками фильтрации контента) в рамках общей защиты от нежелательной почты в организации. Дополнительные сведения см. в статье Защита от нежелательной почты.

Политика защиты от нежелательной почты по умолчанию автоматически применяется ко всем получателям в организации. Для большей детализации можно также создать настраиваемые политики защиты от нежелательной почты, которые применяются к определенным пользователям, группам или доменам.

Политики защиты от нежелательной почты можно настроить на портале Microsoft Defender или в PowerShell (Exchange Online PowerShell для организаций Microsoft 365 с почтовыми ящиками в Exchange Online; автономный EOP PowerShell для организаций без Exchange Online почтовых ящиков).

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы сразу перейти к странице Политики защиты от нежелательной почты, используйте ссылку https://security.microsoft.com/antispam.

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC) (влияет только на портал Defender, а не PowerShell): авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Параметры безопасности Core (чтение).
  • разрешения Exchange Online:
    • Добавление, изменение и удаление политик. Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
    • Доступ только для чтения к политикам: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
  • Microsoft Entra разрешения. Членство в ролях глобального администратора, администратора безопасности, глобального читателя или читателя безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

• Рекомендуемые параметры политик защиты от спама см. в разделе Параметры политики защиты от нежелательной почты EOP.

  Совет

  Параметры в политиках защиты от нежелательной почты по умолчанию или пользовательских политиках защиты от нежелательной почты игнорируются, если получатель также включен в стандартные или строгие предустановленные политики безопасности. Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.

• Вы не можете полностью отключить фильтрацию нежелательной почты, но вы можете использовать правила потока почты Exchange (также известные как правила транспорта) для обхода большинства фильтров нежелательной почты по входящим сообщениям (например, если вы направляете электронную почту через стороннюю службу защиты или устройство перед доставкой в Microsoft 365). Дополнительные сведения см. в статье Указание вероятности нежелательной почты (SCL) в сообщениях с помощью правил потока обработки почты

  • Фишинговые сообщения с высоким доверительным уровнем по-прежнему фильтруются. Другие функции В EOP не затрагиваются (например, сообщения всегда проверяются на наличие вредоносных программ).
  • Если вам нужно обойти фильтрацию нежелательной почты для почтовых ящиков SecOps или имитаций фишинга, не используйте правила потока почты. Дополнительные сведения см. в статье Настройка предоставления сторонней эмуляции фишинговых атак пользователям и доставки нефильтруемых сообщений в почтовые ящики SecOps.

• Уведомления конечных пользователей о нежелательной почте в политиках защиты от нежелательной почты заменяются уведомлениями о карантине в политиках карантина. Уведомления о карантине содержат сведения о сообщениях, помещенных на карантин всеми поддерживаемыми функциями защиты (а не только решениями политики защиты от спама и политики защиты от фишинга). Дополнительные сведения см. в разделе Анатомия политики карантина.

Создание политик защиты от нежелательной почты с помощью портала Microsoft Defender

1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.

2. На странице Политики защиты от нежелательной почты выберите Создатьполитику , а затем выберите Входящий в раскрывающемся списке, чтобы запустить мастер политики защиты от нежелательной почты.

3. На странице Имя новой политики настройте указанные ниже параметры.

   • Имя. Укажите уникальное, описательное имя политики.
   • Описание. По желанию введите описание политики.

   Завершив работу на странице Имя политики , нажмите кнопку Далее.

4. На странице Пользователи, группы и домены определите внутренних получателей, к которым применяется политика (условия получателя):

   • Пользователи: указанные почтовые ящики, почтовые пользователи, почтовые контакты или общедоступные папки с поддержкой почты.
   • Группы.
     • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
     • Указанные Группы Microsoft 365.
   • Домены: все получатели в организации с основной адрес электронной почты в указанном принятом домене.

   Щелкните соответствующее поле, начните вводить значение, затем выберите нужное значение в списке результатов. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

   Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей или групп введите звездочку (*), чтобы просмотреть все доступные значения.

   Условие можно использовать только один раз, но условие может содержать несколько значений:

   • Несколько значений одного условия используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, к нему применяется политика.

   • Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

     • Пользователей: romain@contoso.com
     • Группы: руководители

     Политика применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. В противном случае политика к нему не применяется.

   • Исключить этих пользователей, группы и домены. Чтобы добавить исключения для внутренних получателей, к которым применяется политика (исключение получателей), выберите этот параметр и настройте исключения.

     Исключение можно использовать только один раз, но исключение может содержать несколько значений:

     • Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, политика к нему не применяется.
     • Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.

   Завершив работу на странице Пользователи, группы и домены , нажмите кнопку Далее.

5. На странице Свойств массовой электронной почты & свойств нежелательной почты настройте следующие параметры:

   • Пороговое значение массовой электронной почты. Указывает уровень массовой жалобы (BCL) сообщения, которое должно быть выполнено или превышено, чтобы активировать указанное действие для решения о выполнении или превышении фильтра нежелательной почты уровня BCL, настроенного на следующей странице. Высокое значение указывает, что сообщение является менее желательным (больше похоже на спам) Дополнительные сведения см. в разделе Уровень массовой жалобы (BCL) в EOP.

   • Раздел свойств нежелательной почты:

     • Повышение оценки нежелательной почты, Пометить как спам^* и Тестовый режим: настройки улучшенного фильтра нежелательной почты (ASF), отключенные по умолчанию.

       Подробнее об этих настройках см. в разделе Дополнительные параметры фильтра спама в EOP

       ^* Параметры Содержит определенные языки и Из этих стран не являются частью ASF.

     • Содержит определенные языки: выберите Вкл. или Выкл . в раскрывающемся списке. Если включить этот параметр, появится поле. Начните вводить в нем название языка. Появится отфильтрованный список поддерживаемых языков. Найдя нужный язык, выберите его. Повторите этот шаг нужное количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

     • Из этих стран*: выберите Вкл . или Выкл . в раскрывающемся списке. Если включить этот параметр, появится поле. Начните вводить в поле имя страны или региона. Появится отфильтрованный список поддерживаемых стран и регионов. Когда вы найдете нужную страну или регион, выберите ее. Повторите этот шаг нужное количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

     По завершении работы на странице Пороговое значение массовой электронной почты & свойств нежелательной почты нажмите кнопку Далее.

6. На странице Действия настройте следующие параметры:

   • Раздел Действия с сообщениями. Просмотрите или выберите действие, которое необходимо выполнить для сообщений на основе вердиктов фильтрации спама:

     • Спам
     • Нежелательная почта с высокой вероятностью
     • Фишинг
     • Фишинг с высокой вероятностью
     • Достигнут или превышен уровень массового соответствия (BCL)

     Доступные действия для приговоров фильтрации нежелательной почты описаны в разделе Действия в политиках защиты от нежелательной почты.

     Совет

     Если решение фильтрации нежелательной почты помещает сообщения в карантин по умолчанию (сообщение карантина уже выбрано, когда вы перейдете на страницу), имя политики карантина по умолчанию отображается в поле Выбор политики карантина . Если изменить действие решения фильтрации нежелательной почты на Сообщение карантина, поле Выбор политики карантина по умолчанию будет пустым. Пустое значение означает, что используется политика карантина по умолчанию для этого вердикта. При последующем просмотре или изменении параметров политики защиты от нежелательной почты отображается имя политики карантина. Дополнительные сведения о политиках карантина, которые по умолчанию используются для вердиктов фильтра нежелательной почты, см. в разделе Параметры политики защиты от нежелательной почты EOP.

     Для фишинга с высокой достоверностью действие Переместить сообщение в папку нежелательной Email фактически не рекомендуется. Хотя вы можете выбрать действие Переместить сообщение в папку "Нежелательная Email", фишинговые сообщения с высокой степенью достоверности всегда помещаются в карантин (что эквивалентно выбору сообщения карантина).

     Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как фишинг с высокой степенью достоверности, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, вместо этого пользователям разрешено запрашивать освобождение их помещенных в карантин фишинговых сообщений с высокой степенью достоверности.

   • Внутриорганиционные сообщения для принятия мер. Определяет, применяются ли фильтрация нежелательной почты и соответствующие действия вердикта к внутренним сообщениям (сообщения, отправляемые между пользователями в организации). Ниже представлены возможные значения.

     • По умолчанию: это значение по умолчанию. Это значение совпадает с параметром Фишинговые сообщения с высокой достоверностью.
     • Нет
     • Фишинговые сообщения с высоким уровнем достоверности
     • Фишинговые сообщения и фишинговые сообщения с высокой степенью достоверности
     • Все фишинговые и спам-сообщения с высоким уровнем достоверности
     • Все фишинговые и спам-сообщения

   • Сколько дней хранить сообщение в карантине: указывает срок хранения сообщения в карантине, если в решении фильтра нежелательной почты указано действие Отправить сообщение на карантин. По истечении периода времени сообщение удаляется и не может быть восстановлено. Допустимые значения: от 1 до 30 дней.

     Совет

     Значение по умолчанию — 15 дней в политиках защиты от нежелательной почты, создаваемых в PowerShell. Значение по умолчанию — 30 дней в политиках защиты от нежелательной почты, создаваемых на портале Microsoft Defender.

     Этот параметр также определяет срок хранения сообщений, помещенных на карантин политиками защиты от фишинга. Дополнительные сведения см. в разделе Хранение в карантине.

   • Добавить этот текст X-заголовка. Это поле является обязательным и доступным только при выборе действия Добавить Х-заголовок для решения фильтра нежелательной почты. Указываемое значение является полем заголовка name, добавляемым в заголовок сообщения. Поле заголовка value всегда имеет значение This message appears to be spam.

     Значение может содержать до 255 символов и не может содержать пробелы и двоеточия (:).

     Например, если ввести значение X-This-is-my-custom-header, в сообщение добавляется Х-заголовок X-This-is-my-custom-header: This message appears to be spam.

     Если ввести значение, содержащее пробелы или двоеточия (:), введенное значение игнорируется, а в сообщение добавляется стандартный X-заголовок (X-This-Is-Spam: This message appears to be spam.).

   • Вставьте этот текст перед строкой темы. Это поле является обязательным и доступным только при выборе действия Добавить в начале строки "Тема" текст для решения фильтра нежелательной почты. Введите текст, который нужно добавить в начале строки темы сообщения.

   • Перенаправить на этот электронный адрес. Это поле является обязательным и доступным только при выборе действия Перенаправить сообщение на другой электронный адрес для решения фильтра нежелательной почты. Введите адрес электронной почты, на который нужно отправить сообщение. Вы можете указать несколько значений, разделив их точками с запятой (;).

   • Раздел Советы по безопасности. По умолчанию выбран параметр Включить советы по безопасности, но вы можете отключить советы по безопасности, очистив поле проверка.

   • Раздел автоматической очистки (ZAP) нулевого часа :

     • Включение автоматической очистки: автоматическая очистка выявляет и выполняет действия с сообщениями, уже доставленными в почтовые ящики Exchange Online. Автоматическая очистка включена по умолчанию. Когда она включена, доступны следующие параметры.
       • Включение ZAP для фишинговых сообщений. По умолчанию ZAP включен для обнаружения фишинга, но его можно отключить, очистив поле проверка. Дополнительные сведения см. в разделе:
         • Автоматическая очистка нулевого часа (ZAP) для фишинга
         • Автоматическая очистка нулевого часа (ZAP) для фишинга с высокой достоверностью
       • Включить ZAP для спама. По умолчанию ZAP включен для обнаружения нежелательной почты, но его можно отключить, очистив поле проверка. Дополнительные сведения об автоматической очистке без часа (ZAP) для спамасм. в разделе .

   Завершив работу на странице Действия , нажмите кнопку Далее.

7. На странице Разрешить список блокировки & можно настроить отправителей сообщений по адресу электронной почты или домену электронной почты, которым разрешено пропускать фильтрацию нежелательной почты.

   В разделе Разрешенные можно указать разрешенных отправителей и разрешенные домены. В разделе Заблокированные можно указать заблокированных отправителей и заблокированные домены.

   Максимальное ограничение для этих списков составляет около 1000 записей, но на портале Defender можно ввести только 30 записей. Используйте Exchange Online PowerShell, чтобы добавить более 30 записей.

   Важно!

   Функциональность этих списков в значительной степени заменена списком разрешенных и заблокированных клиентов. Важные сведения см . в разделе Список разрешенных и заблокированных в политиках защиты от нежелательной почты.

   Действия по добавлению записей в оба списка одинаковы:

   1. Выберите ссылку для списка, который требуется настроить:

      • Разрешены>Отправители: выберите Управление (nn) отправителем.
      • Разрешены>Домены. Выберите Разрешить домены.
      • Заблокирован>Отправители: выберите Управление (nn) отправителем.
      • Заблокирован>Домены. Выберите Блокировать домены.

   2. В открываемом всплывающем элементе выполните следующие действия.

      1. Выберите Добавить отправителей или Добавить домены.
      2. Во всплывающем окне Добавление отправителей или Добавление доменов введите адрес электронной почты отправителя в поле Отправитель или домен в поле Домен . По мере того, как вы вводите буквы, значение появляется ниже поля ввода. Завершив ввод значения, выберите значение под полем.
      3. Повторите этот шаг нужное количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

      По завершении во всплывающем окне Добавление отправителей или Добавление доменов выберите Добавить отправителей или Добавить домены.

      Вернитесь к первому всплывающему элементу, где перечислены добавленные отправители или домены.

      Чтобы изменить список записей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

      Используйте поле Поиск для поиска записей во всплывающем элементе.

      Чтобы добавить записи, выберите Добавить отправителей или Добавить домены и повторите предыдущие шаги.

      Чтобы удалить записи, выполните одно из следующих действий.

      • Выберите одну или несколько записей, выбрав круглое поле проверка, которое отображается в пустой области рядом со значением отправителя или домена.
      • Выделите все записи одновременно, выбрав круглое поле проверка, которое отображается в пустой области рядом с заголовком столбца.

      Завершив работу с всплывающей кнопкой, нажмите кнопку Готово , чтобы вернуться на страницу списка блокировки разрешить & .

   Завершив работу на странице Список блокировок Разрешить & , нажмите кнопку Далее.

8. На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

   Завершив работу на странице Рецензирование , выберите Создать.

9. На странице Создание новой политики защиты от нежелательной почты можно выбрать ссылки, чтобы просмотреть политику, просмотреть политики защиты от нежелательной почты и узнать больше о политиках защиты от нежелательной почты.

   Завершив работу на странице Создание новой политики защиты от нежелательной почты , нажмите кнопку Готово.

   На странице Политики защиты от нежелательной почты отобразится новая политика.

Использование портала Microsoft Defender для просмотра сведений о политике защиты от нежелательной почты

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.

На странице Политики защиты от нежелательной почты в списке политик отображаются следующие свойства:

• Название
• Состояние: значения:
  • Всегда включено для политики защиты от нежелательной почты по умолчанию (например, политика защиты от нежелательной почты (по умолчанию)).
  • Включено или выключено для других политик защиты от нежелательной почты.
• Приоритет. Дополнительные сведения см. в разделе Установка приоритета настраиваемых политик защиты от нежелательной почты .
• Тип: одно из следующих значений для политик защиты от нежелательной почты:
  • Шаблоны защиты для политик защиты от нежелательной почты, связанные со стандартными и строгими предустановленными политиками безопасности.
  • Настраиваемая политика защиты от нежелательной почты
  • Пусто для политики защиты от нежелательной почты по умолчанию (например, политика защиты от нежелательной почты (по умолчанию)).

Чтобы изменить список политик с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Используйте поле Поиск и соответствующее значение для поиска конкретных политик.

Выберите политику защиты от нежелательной почты, щелкнув в любом месте строки, кроме поля проверка рядом с именем, чтобы открыть всплывающее окно сведений о политике.

Использование портала Microsoft Defender для принятия мер в отношении политик защиты от нежелательной почты

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.

На странице Политики защиты от нежелательной почты выберите политику защиты от нежелательной почты в списке, щелкнув в любом месте строки, кроме поля проверка рядом с именем. Некоторые или все следующие действия доступны в открываемом всплывающем меню со сведениями:

• Измените параметры политики, щелкнув Изменить в каждом разделе (пользовательские политики или политика по умолчанию).
• Включение или отключение (только пользовательские политики)
• Повышение приоритета или уменьшение приоритета (только для пользовательских политик)
• Удаление политики (только пользовательские политики)

Действия описаны в следующих подразделах.

Изменение политик защиты от нежелательной почты с помощью портала Microsoft Defender

После выбора политики защиты от нежелательной почты по умолчанию или настраиваемой политики, щелкнув в любом месте строки, кроме поля проверка рядом с именем, параметры политики отображаются во всплывающем всплывающем окне сведений. Выберите Изменить в каждом разделе, чтобы изменить параметры в разделе. Дополнительные сведения о параметрах см. в разделе Создание политик защиты от нежелательной почты ранее в этой статье.

Для политики по умолчанию нельзя изменить имя политики, и нет фильтров получателей для настройки (политика применяется ко всем получателям). Но вы можете изменить все остальные параметры в политике.

Для политик защиты от нежелательной почты с именами Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности , связанные с предустановленными политиками безопасности, вы не можете изменить параметры политики во всплывающем меню сведений. Вместо этого выберите Просмотреть предустановленные политики безопасности во всплывающем окне сведений, чтобы перейти на страницу Предустановленные политики безопасности , https://security.microsoft.com/presetSecurityPolicies чтобы изменить предустановленные политики безопасности.

Использование портала Microsoft Defender для включения или отключения политик защиты от нежелательной почты

Вы не можете отключить политику защиты от нежелательной почты по умолчанию (она всегда включена).

Вы не можете включить или отключить политики защиты от нежелательной почты, связанные со стандартными и строгими предустановленными политиками безопасности. Вы включаете или отключаете стандартные или строгие предустановленные политики безопасности на странице Предустановленные политики безопасности по адресу https://security.microsoft.com/presetSecurityPolicies.

После выбора включенной настраиваемой политики защиты от нежелательной почты (значение Состояниевключено), щелкнув в любом месте строки, кроме поля проверка рядом с именем, выберите Отключить в верхней части всплывающего окна сведений о политике.

Выбрав отключенную настраиваемую политику защиты от нежелательной почты (значение Состояние — Выкл.), щелкнув в любом месте строки, кроме поля проверка рядом с именем, выберите Включить в верхней части всплывающего окна сведений о политике.

Завершив работу во всплывающем окне сведений о политике, нажмите кнопку Закрыть.

На странице Политики защиты от нежелательной почты для параметра Состояние политики теперь задано значение Включено или Выключено.

Используйте портал Microsoft Defender, чтобы задать приоритет настраиваемых политик защиты от нежелательной почты.

Политики защиты от нежелательной почты обрабатываются в том порядке, в котором они отображаются на странице Политики защиты от нежелательной почты :

• Политика защиты от нежелательной почты с именем Strict Preset Security Policy , связанная с политикой безопасности strict preset, всегда применяется первым (если включена политика безопасности strict preset).
• Политика защиты от нежелательной почты с именем Стандартная предустановленная политика безопасности , связанная с стандартной предустановленной политикой безопасности, всегда применяется далее (если включена стандартная предустановленная политика безопасности).
• Пользовательские политики защиты от нежелательной почты применяются далее в порядке приоритета (если они включены):
  • Более низкое значение приоритета указывает на более высокий приоритет (0 — самый высокий).
  • По умолчанию создается новая политика защиты от нежелательной почты с приоритетом, который ниже существующей пользовательской политики защиты от нежелательной почты (первый — 0, следующий — 1 и т. д.).
  • Ни одна из двух политик защиты от нежелательной почты не может иметь одинаковое значение приоритета.
• Политика защиты от нежелательной почты по умолчанию всегда имеет значение приоритета Самый низкий, и вы не можете изменить его.

Защита от нежелательной почты останавливается для получателя после применения первой политики (политика с наивысшим приоритетом для этого получателя). Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.

Выбрав настраиваемую политику защиты от нежелательной почты, щелкнув в любом месте строки, кроме поля проверка рядом с именем, вы можете увеличить или уменьшить приоритет политики во всплывающем окне сведений, который откроется:

• Настраиваемая политика со значением приоритета 0 на странице Политики защиты от нежелательной почты имеет действие Уменьшить приоритет в верхней части всплывающего окна сведений.
• Настраиваемая политика с наименьшим приоритетом (наивысшее значение приоритета, например 3) содержит действие Увеличить приоритет в верхней части всплывающего окна сведений.
• Если у вас есть три или более политик, политики между приоритетом 0 и наименьшим приоритетом имеют как действия Увеличение приоритета, так и Уменьшение приоритета в верхней части всплывающего окна сведений.

Завершив работу во всплывающем окне сведений о политике, нажмите кнопку Закрыть.

На странице Политики защиты от нежелательной почты порядок политики в списке соответствует обновленному значению Priority .

Удаление настраиваемых политик защиты от нежелательной почты с помощью портала Microsoft Defender

Вы не можете удалить политику защиты от нежелательной почты по умолчанию или политики защиты от нежелательной почты с именем Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности , связанные с предустановленными политиками безопасности.

Выбрав настраиваемую политику защиты от нежелательной почты, щелкнув в любом месте строки, кроме поля проверка рядом с именем, выберите Удалить политику в верхней части всплывающего окна, а затем выберите Да в открывшемся диалоговом окне предупреждения.

На странице Политики защиты от нежелательной почты удаленная политика больше не отображается.

Использование Exchange Online PowerShell или автономного EOP PowerShell для настройки политик защиты от спама

В PowerShell основные элементы политики защиты от нежелательной почты:

• Политика фильтрации нежелательной почты: указывает защиту от нежелательной почты для включения или отключения, действия, применяемые для этих мер защиты, и другие параметры.
• Правило фильтрации нежелательной почты: указывает приоритет и фильтры получателей (к которым применяется политика) для связанной политики фильтрации нежелательной почты.

Разница между этими двумя элементами не очевидна при управлении политиками защиты от нежелательной почты на портале Microsoft Defender:

• При создании политики на портале Defender вы фактически создаете правило фильтрации нежелательной почты и связанную политику фильтрации нежелательной почты одновременно, используя одно и то же имя для обоих.
• При изменении политики на портале Defender параметры, связанные с именем, приоритетом, включенными или отключенными фильтрами и фильтрами получателей, изменяют правило фильтрации нежелательной почты. Все остальные параметры меняют соответствующую политику фильтрации нежелательной почты.
• При удалении политики на портале Defender правило фильтрации нежелательной почты и связанная политика фильтрации нежелательной почты удаляются одновременно.

В Exchange Online PowerShell разница между политиками фильтрации нежелательной почты и правилами фильтрации нежелательной почты очевидна. Вы управляете политиками фильтрации нежелательной почты с помощью командлетов *-HostedContentFilterPolicy , а правила фильтрации нежелательной почты — с помощью командлетов *-HostedContentFilterRule .

• В PowerShell сначала создается политика фильтрации нежелательной почты, а затем — правило фильтрации нежелательной почты, которое определяет связанную политику, к которой применяется правило.
• В PowerShell параметры политики и правила фильтрации нежелательной почты настраиваются отдельно.
• При удалении политики фильтрации нежелательной почты с помощью PowerShell соответствующее правило не удаляется автоматически, и наоборот.

Важным параметром, доступным только в PowerShell, является параметр MarkAsSpamBulkMail , который On по умолчанию. Последствия этого параметра описаны в разделе Создание политик защиты от нежелательной почты ранее в этой статье.

Создание политик защиты от нежелательной почты с помощью PowerShell

Процесс создания политики защиты от нежелательной почты в PowerShell состоит из двух этапов.

1. Создание политики фильтрации нежелательной почты.
2. Создание правила фильтрации нежелательной почты, указывающего политику, к которой оно применяется.

Шаг 1. Создание политики фильтрации нежелательной почты с помощью PowerShell

Чтобы создать политику фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

New-HostedContentFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>

В этом примере показано создание политики фильтрации нежелательной почты с именем Contoso Executives (Руководители Contoso) и следующими параметрами:

• Помещать на карантин сообщения, когда фильтр спама принимает решение, что это спам или нежелательная почта с высокой вероятностью, и использовать политику карантина по умолчанию для сообщений на карантине (не используются параметры SpamQuarantineTag или HighConfidenceSpamQuarantineTag).
• BCL со значением 7, 8 или 9 активирует в отношении массовой рассылки действие, указанное в решении фильтра спама.

New-HostedContentFilterPolicy -Name "Contoso Executives" -HighConfidenceSpamAction Quarantine -SpamAction Quarantine -BulkThreshold 6

Дополнительные сведения о синтаксисе и параметрах см. в статье New-HostedContentFilterPolicy.

Шаг 2. Создание правила фильтрации нежелательной почты с помощью PowerShell

Чтобы создать правило фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

New-HostedContentFilterRule -Name "<RuleName>" -HostedContentFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

В этом примере создается правило фильтрации нежелательной почты с именем Contoso Executives (Руководители Contoso) и следующими параметрами:

• С этим правилом связана политика фильтрации нежелательной почты под названием Contoso Executives (Руководители Contoso).
• Правило применяется к участникам группы Contoso Executives (Руководители Contoso).

New-HostedContentFilterRule -Name "Contoso Executives" -HostedContentFilterPolicy "Contoso Executives" -SentToMemberOf "Contoso Executives Group"

Дополнительные сведения о синтаксисе и параметрах см. в статье New-HostedContentFilterRule.

Просмотр политик фильтрации нежелательной почты с помощью PowerShell

Чтобы вернуть сводный список всех политик фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и выполните следующую команду:

Get-HostedContentFilterPolicy

Чтобы вернуть подробные сведения о конкретной политике фильтрации нежелательной почты, используйте следующий синтаксис:

Get-HostedContentFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

В этом примере возвращаются значения всех свойств политики фильтрации нежелательной почты с именем Executives (Руководители).

Get-HostedContentFilterPolicy -Identity "Executives" | Format-List

Дополнительные сведения о синтаксисе и параметрах см. в статье Get-HostedContentFilterPolicy.

Просмотр правил фильтрации нежелательной почты с помощью PowerShell

Чтобы просмотреть существующие правила фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

Get-HostedContentFilterRule [-Identity "<RuleIdentity>] [-State <Enabled | Disabled]

Чтобы получить сводный список всех правил фильтрации нежелательной почты, выполните следующую команду:

Get-HostedContentFilterRule

Чтобы отфильтровать список по включенным или отключенным правилам, выполните следующие команды:

Get-HostedContentFilterRule -State Disabled

Get-HostedContentFilterRule -State Enabled

Чтобы получить подробные сведения об определенном правиле фильтрации нежелательной почты, используйте следующий синтаксис:

Get-HostedContentFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

В этом примере возвращаются значения всех свойств правила фильтрации нежелательной почты с именем Contoso Executives (Руководители Contoso).

Get-HostedContentFilterRule -Identity "Contoso Executives" | Format-List

Дополнительные сведения о синтаксисе и параметрах см. в статье Get-HostedContentFilterRule.

Изменение политик фильтрации нежелательной почты с помощью PowerShell

За исключением следующих элементов при изменении политики фильтрации нежелательной почты в PowerShell доступны такие же параметры, как и при создании политики, описанной в разделе Шаг 1. Создание политики фильтрации нежелательной почты с помощью PowerShell выше в этой статье.

• Параметр MakeDefault, преобразующий указанную политику в политику по умолчанию (применяется ко всем пользователям, всегда имеет минимальный приоритет, и ее нельзя удалить), доступен только при изменении политики фильтрации нежелательной почты в PowerShell.
• Вы не можете переименовать политику фильтрации нежелательной почты (командлет Set-HostedContentFilterPolicy не содержит параметра Name). При переименовании политики защиты от нежелательной почты на портале Microsoft Defender вы только переименоваете правило фильтрации нежелательной почты.

Чтобы изменить политику фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

Set-HostedContentFilterPolicy -Identity "<PolicyName>" <Settings>

Дополнительные сведения о синтаксисе и параметрах см. в статье Set-HostedContentFilterPolicy.

Изменение правил фильтрации нежелательной почты с помощью PowerShell

При изменении правила фильтрации нежелательной почты в PowerShell недоступен только параметр Enabled, позволяющий создать отключенное правило. Сведения о включении и отключении существующих правил фильтрации нежелательной почты, см. в следующем разделе.

В ином случае при изменении правила фильтрации нежелательной почты в PowerShell никакие дополнительные параметры не используются. Такие же параметры доступны при создании правила, как описано в разделе Шаг 2. Создание правила фильтрации нежелательной почты с помощью PowerShell выше в этой статье.

Чтобы изменить правило фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

Set-HostedContentFilterRule -Identity "<RuleName>" <Settings>

В этом примере проводится переименование существующего правила фильтрации нежелательной почты с именем {Fabrikam Spam Filter}.

Set-HostedContentFilterRule -Identity "{Fabrikam Spam Filter}" -Name "Fabrikam Spam Filter"

Дополнительные сведения о синтаксисе и параметрах см. в статье Set-HostedContentFilterRule.

Включение и отключение правил фильтрации нежелательной почты с помощью PowerShell

При включении и отключении правила фильтрации нежелательной почты в PowerShell включается и отключается вся политика защиты от нежелательной почты (правило фильтрации нежелательной почты и назначенная политика фильтрации нежелательной почты). Вы не можете включить или отключить политику защиты от нежелательной почты, используемую по умолчанию (она всегда применяется для всех получателей).

Чтобы включить или отключить правило фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

<Enable-HostedContentFilterRule | Disable-HostedContentFilterRule> -Identity "<RuleName>"

В этом примере отключается правило фильтрации нежелательной почты с именем Marketing Department (Отдел маркетинга).

Disable-HostedContentFilterRule -Identity "Marketing Department"

В этом примере включается то же правило.

Enable-HostedContentFilterRule -Identity "Marketing Department"

Дополнительные сведения о синтаксисе и параметрах см. в статьях Enable-HostedContentFilterRule и Disable-HostedContentFilterRule.

Установка приоритета для правил фильтрации нежелательной почты с помощью PowerShell

Максимальный приоритет, который можно задать для правила, — 0. Минимальное значение зависит от количества правил. Например, если у вас есть пять правил, вы можете использовать значения 0–4. Изменение приоритета существующего правила оказывает каскадное влияние на другие правила. Например, если вы измените приоритет правила на 2, когда у вас есть пять настраиваемых правил (с приоритетами от 0 до 4), то для существующего правила с приоритетом 2 будет задан приоритет 3, а для правила с приоритетом 3 будет задан приоритет 4.

Чтобы задать приоритет правила фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

Set-HostedContentFilterRule -Identity "<RuleName>" -Priority <Number>

В этом примере для правила Marketing Department задается приоритет 2. Все правила с приоритетом не больше 2 понижаются на один ранг (значения приоритета увеличиваются на 1).

Set-HostedContentFilterRule -Identity "Marketing Department" -Priority 2

Удаление политик фильтрации нежелательной почты с помощью PowerShell

При удалении политики фильтрации нежелательной почты с помощью PowerShell соответствующее правило не удаляется.

Чтобы удалить политику фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

Remove-HostedContentFilterPolicy -Identity "<PolicyName>"

В этом примере удаляется политика фильтрации нежелательной почты с именем Marketing Department (Отдел маркетинга).

Remove-HostedContentFilterPolicy -Identity "Marketing Department"

Дополнительные сведения о синтаксисе и параметрах см. в статье Remove-HostedContentFilterPolicy.

Настройка политик фильтрации нежелательной почты с помощью PowerShell

При удалении правила фильтрации нежелательной почты с помощью PowerShell соответствующая политика не удаляется.

Чтобы удалить правило фильтрации нежелательной почты, подключитесь к Exchange Online PowerShell и используйте следующий синтаксис:

Remove-HostedContentFilterRule -Identity "<PolicyName>"

В этом примере удаляется правило фильтрации нежелательной почты с именем Marketing Department (Отдел маркетинга).

Remove-HostedContentFilterRule -Identity "Marketing Department"

Дополнительные сведения о синтаксисе и параметрах см. в статье Remove-HostedContentFilterRule.

Как проверить, что эти процедуры выполнены?

Отправка сообщения GTUBE для проверки параметров политики защиты от нежелательной почты

Общий тест на спам (GTUBE) — это текстовая строка, включаемая в тестовое сообщение для проверки параметров защиты от нежелательной почты организации. Сообщение GTUBE похоже на текстовый файл Европейского института исследования антивирусных программ (EICAR) для тестирования параметров вредоносных программ.

Добавьте в сообщение электронной почты следующий текст GTUBE в виде одной строки, без пробелов и разрывов строки:

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X