Рекомендации по настройке EOP

 

Применимо к:Exchange Online Protection

Последнее изменение раздела:2016-12-09

Следуйте этим рекомендациям для Exchange Online Protection (EOP), чтобы избежать распространенных ошибок конфигурации и успешно выполнить поставленные задачи. В качестве общего правила мы рекомендуем использовать параметры конфигурации по умолчанию. Предполагается, что вы уже завершили установку EOP. В противном случае изучите статью Настройка службы EOP.

Рекомендуем опробовать функции службы в тестовом домене, поддомене или небольшом домене, прежде чем использовать их в крупных рабочих доменах.

Если в вашей организации есть учетные записи пользователей в локальной среде Active Directory, их можно синхронизировать со службой Azure Active Directory в облаке. Мы рекомендуем применять синхронизацию каталогов. Дополнительные сведения о преимуществах синхронизации службы каталогов и этапах ее настройки см. в статье Управление почтовыми пользователями в EOP.

При настройке EOP вы добавили SPF-запись (инфраструктуры политики отправителей) для EOP в ваши DNS-записи. Эта SPF-запись обеспечивает защиту от спуфинга. Дополнительные сведения о том, как SPF-запись предотвращает спуфинг и как добавить локальные IP-адреса в SPF-запись, см. в статье Настройка инфраструктуры политики отправителей в Office 365 для предотвращения спуфинга.

Управляйте параметрами фильтра подключений, добавив IP-адреса в списки разрешенных и запрещенных IP-адресов и выбрав параметр Включить список надежных адресатов, что уменьшит число ложных положительных результатов (которые классифицируются как нежелательные сообщения). Дополнительные сведения см. в разделе Настройка политики фильтров подключений. Дополнительные параметры нежелательной почты, которые применяются для всей организации, описаны в статьях Как убедиться, что сообщение не помечено как нежелательное и Блокировка нежелательной почты с помощью фильтра нежелательной почты Office 365 для предотвращения проблем с ложными отрицательными результатами. Эти статьи пригодятся вам, если у вас есть права уровня администратора и вы хотите предотвратить ложные положительные и отрицательные результаты.

Настройте фильтры содержимого, просмотрев и при необходимости изменив параметры по умолчанию. Например, можно изменить действие, применяемое к обнаруженной нежелательной почте. Чтобы использовать агрессивный подход, настройте дополнительные параметры фильтрации нежелательной почты (ASF). Мы рекомендуем проверять эти параметры, прежде чем внедрять их в производственной среде (т. е. включать их). Организациям, которые обеспокоены фишингом, мы рекомендуем включить параметр Запись SPF: серьезный сбой. Дополнительные сведения см. в разделах Настройка политик фильтрации нежелательной почты и Параметры расширенной фильтрации нежелательной почты (ASF).

ВажноВажно!
Чтобы действие фильтрации содержимого по умолчанию Переместить сообщение в папку нежелательной почты работало с локальными почтовыми ящиками, необходимо настроить правила транспорта Exchange на локальных серверах для обнаружения заголовков спама, добавляемых EOP. Дополнительные сведения см. в статье Настройка гарантированной отправки нежелательной почты в соответствующую папку каждого пользователя.

Рекомендуем изучить статью Часто задаваемые вопросы о защите от нежелательной почты, включая раздел с рекомендациями для исходящей почты, что поможет гарантировать доставку исходящих сообщений.

Вы можете отправлять сообщения, ошибочно классифицированные как спам (ложные срабатывания), и сообщения, ошибочно пропущенные (спам), на анализ в корпорацию Майкрософт несколькими способами. Дополнительные сведения см. в статье Отправка обычных, нежелательных и фишинговых сообщений в корпорацию Майкрософт для анализа.

Просмотрите и настройте параметры фильтрации вредоносных программ в Центре администрирования Exchange. Дополнительные сведения см. в статье Настройка политик защиты от вредоносных программ. Рекомендуем также прочитать вопросы и ответы касательно защиты от вредоносных программ в статье Вопросы и ответы об антивредоносной защите.

Для защиты от исполняемых файлов с вредоносным ПО можно создать правило потока обработки почты Exchange, которое блокирует вложения с исполняемым содержимым. Выполните действия, описанные в этой статье, чтобы заблокировать типы файлов, указанные в списке "Поддерживаемые типы исполняемых файлов для проверки правил транспорта" из статьи Проверка вложений с помощью правил обработки почтового потока.

Вы можете использовать фильтр основных типов вложений в Центре администрирования Exchange. Выберите Защита > Фильтр вредоносных программ. Вы можете создать правило потока обработки почты Exchange, которое блокирует все вложения электронной почты, содержащие исполняемые файлы.

Кроме того, рекомендуем использовать правила транспорта, чтобы блокировать следующие расширения (все или некоторые из них): ADE, ADP, ANI, BAS, BAT, CHM, CMB, COM, CPL, CRT, HLP, HT, HTA, INF, INS, ISP, JOB, JS, JSE, LNK, MDA, MDB, MDE, MDZ, MSC, MSI, MSP, MST, PCD, REG, SCR, SCT, SHS, URL, VB, VBE, VBS, WSC, WSF, WSH. Для этого можно использовать условие Расширение файла вложения содержит эти слова.

Администраторы и пользователи могут отправить в корпорацию Майкрософт для анализа вредоносные программы, которые прошли фильтры, и файлы, которые, по их мнению, были неправильно определены как вредоносные. Дополнительные сведения см. в статье Отправка вредоносных программ и программ, не являющихся вредоносными, корпорации Майкрософт для анализа.

Создавайте правила транспорта или настраиваемые фильтры в соответствии со своими бизнес-потребностями.

При развертывании нового правила в рабочей среде сначала выберите один из тестовых режимов. Когда вы будете довольны тем, как правило работает, измените режим правила на Принудительный.

При развертывании новых правил рассмотрите возможность добавления действия Создать отчет об инциденте для отслеживания используемого правила.

При гибридном развертывании (часть вашей организации размещена локально, а часть — в Office 365) вы можете создавать правила, которые применяются ко всей организации. Для этого используйте условия, доступные как в локальной среде, так и в Office 365. Большинство условий доступны в обоих развертываниях, но небольшая их часть применяется только в определенном сценарии развертывания. Дополнительные сведения см. в статье Правила потока обработки почты (правила транспорта) в Exchange Online.

Чтобы проверять вложения, пересылаемые в вашей организации, настройте правила транспорта. Затем выполняйте действия с проверенными сообщениями в зависимости от содержимого или характеристик этих вложений. Дополнительные сведения см. в статье Проверка вложений с помощью правил обработки почтового потока.

Чтобы улучшить защиту от фишинга, регистрируйте передачу персональных данных из организации по электронной почте. Например, для обнаружения передачи личных финансовых данных или конфиденциальных сведений можно использовать следующие регулярные выражения в правилах транспорта:

  • \d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d (MasterCard и Visa)

  • \d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d (American Express)

  • \d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d (любое 16-значное число)

  • \d\d\d\-\d\d\-\d\d\d\d (номера социального страхования)

Количество успешных фишинговых и спам-атак также можно уменьшить, заблокировав входящие вредоносные сообщения, якобы отправленные из вашего домена. Например, вы можете создать правило транспорта, которое отклоняет сообщения из вашего корпоративного домена, чтобы заблокировать этот тип мошенничества.

Внимание!Внимание!
Мы рекомендуем создавать это правило отклонения, только если вы уверены, что с вашего домена в Интернете на ваш почтовый сервер не отправляются надежные сообщения электронной почты. Это возможно в тех случаях, когда сообщение отправляется от пользователя в вашей организации внешнему получателю, а затем переадресовывается другому получателю в вашей организации.

Чтобы защититься от исполняемых файлов с вредоносным ПО, можно настроить политики, которые заблокируют вложения с исполняемым содержимым. Выполните действия, описанные в разделе Настройка политик защиты от вредоносных программ.

Кроме того, рекомендуем заблокировать следующие расширения (все или некоторые из них): ADE, ADP, ANI, BAS, BAT, CHM, CMB, COM, CPL, CRT, HLP, HT, HTA, INF, INS, ISP, JOB, JS, JSE, LNK, MDA, MDB, MDE, MDZ, MSC, MSI, MSP, MST, PCD, REG, SCR, SCT, SHS, URL, VB, VBE, VBS, WSC, WSF, WSH.

Устраняйте общие проблемы с помощью отчетов в Центре администрирования Office 365. Используйте средство трассировки сообщений, чтобы найти конкретные данные о сообщении. Дополнительные сведения об отчетах см. в статье Отчеты и трассировка сообщений в Exchange Online Protection. Дополнительные сведения о средстве трассировки сообщений см. в статье Отслеживание электронных сообщений.

 
Показ: