Часто задаваемые вопросы о защите от нежелательной почты

Exchange Online
 

Применимо к:Exchange Online, Exchange Online Protection

Последнее изменение раздела:2016-12-09

В этом разделе приведены вопросы и ответы по защите от нежелательной почты. Ответы предназначены для клиентов Microsoft Exchange Online и Exchange Online Protection (EOP).

СоветСовет.
Вопросы и ответы, связанные со спискам надежных и заблокированных отправителей, см. в статье Списки надежных и заблокированных отправителей в Exchange Online. Вопросы и ответы, связанные в карантине, см. в статье Вопросы и ответы, посвященные карантину.

Вопрос. Что по умолчанию происходит с сообщением, распознанным как нежелательное?

Ответ. Для входящих сообщений: Большая часть нежелательных сообщений обнаруживается за счет фильтрации подключений, основанной на IP-адресе отправителя. Затем служба изучает содержимое сообщения. По умолчанию нежелательная почта, отфильтрованная по содержимому, отправляется в папку нежелательной почты получателя. Можно изменить это действие. Например, настроив политику фильтрации содержимого, можно задать, чтобы вместо этого сообщения нежелательной почты отправлялись в карантин.

ВажноВажно!
Для отдельных пользователей службы EOP: Чтобы действие Переместить сообщение в папку нежелательной почты работало с локальными почтовыми ящиками, необходимо настроить два правила транспорта Exchange на локальных серверах для обнаружения заголовков нежелательной почты, добавляемых EOP. Дополнительные сведения см. в разделе Настройка гарантированной отправки нежелательной почты в соответствующую папку каждого пользователя.

Для исходящих сообщений: Сообщение либо направляется через пул доставки более высокого риска, либо возвращается и не доставляется. В последнем случае отправитель должен получить уведомление о доставке, указывающее на то, что сообщение не может быть доставлено.

Вопрос. Что такое вариант нежелательной почты нулевого дня и как его обрабатывает служба?

Ответ. Вариант нежелательной почты нулевого дня — это первое поколение, т. е. ранее неизвестный вариант нежелательной почты, который никогда не фиксировался и не анализировался. Поэтому наши фильтры содержимого нежелательной почты еще не имеют информации для его обнаружения. Если после получения и анализа образца нежелательной почты нулевого дня нашими аналитиками нежелательной почты он попадает под критерии классификации нежелательной почты, то фильтры содержимого нежелательной почты обновляются и начинают его фиксировать. После этого вариант перестает считаться вариантом нулевого дня. (Примечание. Если вы получили сообщение, которое может быть вариантом нежелательной почты нулевого дня, помогите нам улучшить нашу службу и отправьте сообщение корпорации Майкрософт одним из способов, описанных в статье Отправка обычных, нежелательных и фишинговых сообщений в корпорацию Майкрософт для анализа).

Вопрос. Необходимо ли настраивать службу, чтобы включить защиту от нежелательной почты?

Ответ. После выполнения входа в службу и добавления домена фильтрация нежелательной почты будет включена автоматически для всей компании с помощью политик защиты от нежелательной почты по умолчанию. Политики по умолчанию настроены для защиты, поэтому нет необходимости в дополнительных настройках (кроме случая, описанного выше, для отдельных клиентов службы EOP). Администратор может изменять политики защиты от нежелательной почты по умолчанию, чтобы они наилучшим образом удовлетворяли требованиям организации. Для большей детализации можно также создать настраиваемые политики фильтрации содержимого и применять их к определенным пользователям, группам и доменам в организации. Настраиваемые политики всегда имеют приоритет перед политикой по умолчанию, но вы можете изменить приоритеты (то есть порядок применения) своих настраиваемых политик.

Дополнительные сведения о настройке политик защиты от нежелательной почты см в следующих разделах.

Настройка политики фильтров подключений

Настройка политик фильтрации нежелательной почты

Настройка правил защиты от спама для исходящих сообщений

Вопрос. Если изменить политику защиты от нежелательной почты, сколько времени пройдет после сохранения изменений до момента, когда они вступят в силу?

Ответ. Вступление изменений в силу может занять до 1 часа.

Вопрос. Включается ли функция массовой фильтрации почты автоматически?

Ответ. По умолчанию для новых клиентов включен параметр расширенной фильтрации нежелательной почты Массовая рассылка. Для клиентов, для которых была выполнена миграция, этот параметр будет совпадать с соответствующим параметром в конфигурации FOPE. Дополнительные сведения о массовых рассылках сообщений электронной почты см. в разделе В чем разница между нежелательной почтой и массовыми сообщениями электронной почты?.

Вопрос. Обеспечивает ли служба фильтрацию URL-адресов?

Ответ. Да, служба использует фильтр URL-адресов для проверки URL-адресов, содержащихся в сообщениях. Если будет обнаружен URL-адрес, связанный с заведомо нежелательным или вредоносным содержимым, сообщение будет помечено как спам.

Вопрос. Как клиенты, использующие службу, могут отправить сообщения о ложных отрицательных результатах (нежелательная почта) и о ложных срабатываниях (нормальная почта) в корпорацию Майкрософт?

А. Нежелательные сообщения и обычные сообщения могут отправляться корпорации Майкрософт для анализа несколькими способами. Подробнее см. в разделе Отправка обычных, нежелательных и фишинговых сообщений в корпорацию Майкрософт для анализа.

Вопрос. Можно ли получать отчеты о нежелательной почте?

Ответ. Да, например можно получить отчет об обнаружении нежелательной почты в Центре администрирования Office 365. В нем объем нежелательной почты показан как количество уникальных сообщений. Дополнительные сведения об отчетах см. по следующим ссылкам.

Клиенты Exchange Online: Мониторинг, составление отчетов и трассировка сообщений в Exchange Online

Клиенты Exchange Online Protection: Отчеты и трассировка сообщений в Exchange Online Protection

Вопрос. Кто-то прислал мне сообщение, и я не могу найти его. Я думаю, что, возможно, оно было распознано как нежелательная почта. Есть ли какое-нибудь средство, которое поможет найти это сообщение?

Ответ. Да, существует средство трассировки сообщений, позволяющее отслеживать сообщения по мере их прохождения через службу. С его помощью можно выяснить, что именно случилось с сообщением. Дополнительные сведения о том, как использовать средство трассировки сообщений, чтобы выяснить, почему сообщение было помечено как нежелательная почта, см. в разделе Was a message marked as spam? .

Вопрос. Будет ли служба регулировать почту (ограничивать скорость ее передачи), если пользователи отправляют исходящую нежелательную почту?

Ответ. Если более половины сообщений, отправленных пользователем через службу за определенный период времени (например, за час) определяются в Office 365 как спам, то пользователю будет запрещено отправлять сообщения. В большинстве случаев, если исходящее сообщение определено как спам, оно отправляется через пул доставки высокого риска, что снижает вероятность добавления в список блокировки обычного пула исходящих IP-адресов.

Если для отправителя будет заблокирована возможность отправки исходящей нежелательной почты, можно отправить уведомление на определенный адрес электронной почты. Для получения дополнительных сведений об этом параметре см. статью Настройка правил защиты от спама для исходящих сообщений.

Вопрос. Можно ли использовать стороннего поставщика защиты от нежелательной почты и вредоносных программ вместе с Exchange Online?

Ответ. Да, вы можете настроить другую службу фильтрации нежелательной почты для защиты почтовых ящиков Exchange Online. Чтобы делать это для входящей почты, необходимо направлять свои почтовые сообщения стороннему поставщику, изменив записи MX, чтобы они указывали на этого стороннего поставщика, а затем перенаправлять сообщения в EOP для дальнейшей обработки. Чтобы делать это для исходящей почты, следует настроить стороннего поставщика в качестве пункта назначения доставки сообщений (промежуточного узла), как показано в разделе Сценарий: Промежуточный узел для исходящих сообщений — раздел теперь недоступен.

Вопрос. Есть ли у корпорации Майкрософт какая-либо документация о том, как защитить себя от фишинговых сообщений?

Ответ. Да, см. следующие статьи:

Справка о фишинге, подложных лотереях и других видах мошенничества

Мошенничество в Интернете и по электронной почте: как защитить себя

Вопрос. При анализе нежелательных и вредоносных сообщений определяется их отправитель или они передаются в правоохранительные органы?

Ответ. Эта служба предназначена для обнаружения и удаления нежелательных и вредоносных сообщений, хотя иногда мы можем расследовать особо опасные сообщения или атаки и добавиться наказания злоумышленников. Для этого может потребоваться сотрудничество с юридическими отделами или подразделениями по борьбе с кибер-преступностью, чтобы разрушить ботнет, заблокировать службу для злоумышленников (если они используют ее для отправки исходящих сообщений) и передать информацию в правоохранительные органы для уголовного преследования.

Вопрос. Каков набор лучших методик для исходящей почты, который будет гарантировать доставку почты?

Ответ. Ниже приведены руководства, в которых описываются лучшие методики отправления исходящих сообщений электронной почты.

  1. Отправляющий домен электронной почты должен выполнять разрешение в DNS.

    Например, если отправитель — пользователь@example.com, то домен example.com выполняет разрешение в IP-адрес 192.0.43.10. Если отправляющий домен не имеет записи A и записи MX в DNS, служба будет маршрутизировать сообщение через свой пул доставки более высокого риска независимо от того, является ли содержимое сообщения нежелательной почтой. Дополнительные сведения о пуле доставки более высокого риска см. в разделе Пул доставки сообщений с высоким уровнем опасности.

  2. IP-адрес отправки сервера исходящей почты должен иметь обратную запись DNS (PTR).

    Например, если выполняется отправка с IP-адреса 192.0.43.10, обратной записью DNS для этого IP-адреса будет 43-10.any.icann.org.

  3. Команды HELO, EHLO и MAIL FROM должны быть согласованы и представлены в форме доменного имени, а не в виде IP-адреса.

    Команды HELO и EHLO должны быть настроены так, чтобы соответствовать обратному DNS IP-адреса отправки и чтобы домен оставался тем же в различных частях заголовков сообщения.

  4. Убедитесь, что в DNS настроены соответствующие записи SPF.

    Записи SPF — это механизм проверки того, что почта, отправленная из домена, на самом деле приходит с этого домена и не подделана. Дополнительные сведения о записях SPF см. по следующим ссылкам.

    Настройка инфраструктуры политики отправителей в Office 365 для предотвращения спуфинга

    Создание записей для Office 365

  5. Подписывая электронную почту с помощью DKIM, используйте ослабленную канонизацию.

    Если отправителю необходимо подписывать свои сообщения с помощью DKIM и отправлять исходящую почту через службу, ему необходимо использовать алгоритм ослабленной канонизации заголовков. Подписывание с помощью строгой канонизации заголовков может привести к аннулированию подписи при прохождении через службу.

  6. У владельцев домена должна быть точная информация в базе данных Whois.

    Это необходимо для идентификации владельцев домена и для получения сведений о том, как связаться с ними. Для этого должны быть введены сведения о стабильной родительской компании, точке связи и серверах доменных имен.

  7. При массовой рассылке почты имя в поле "От:" должно говорить о том, кто отправляет сообщение, а в строке темы сообщения должна содержаться краткая информация о предмете сообщения.

    Тест сообщения должен содержать четкое описание предложения, услуги или продукта. Например, если отправитель выполняет массовую рассылку почты для компании Contoso, то в полях "От:" и "Тема:" должны содержаться примерно следующие сведения.

    От: marketing@contoso.com

    Тема: Новый каталог на рождественский сезон!

    Ниже приведен пример того, что не стоит делать, поскольку такая информация не наглядна.

    От: пользователь@hotmail.com

    Тема: Каталоги

  8. Если выполняется массовая отправка почты большому количеству получателей и сообщение имеет формат информационного бюллетеня, в нижней части сообщения должен быть способ отказа от подписки.

    Текст, предлагающий возможность отказа от подписки, должен иметь примерно следующий вид.

    Это сообщение было отправлено на адрес пример@contoso.com отправителем отправитель@fabrikam.com. Обновить профиль или адрес электронной почты | Быстрое удаление с помощью SafeUnsubscribe™ | Политика конфиденциальности

  9. При массовой рассылке электронной почты необходимо включать в список только тех получателей, которые дали двойное явное согласие.

    Двойное явное согласие — это методика, при которой требуется, чтобы пользователь выполнил два действия для подписки на маркетинговые сообщения.

    1. Сначала пользователь должен установить неустановленный флажок, давая явное согласие получать дальнейшие предложения или сообщения электронной почты от продавца.

    2. Затем продавец отправляет сообщение электронной почты с подтверждением на предоставленный пользователем адрес электронной почты, предлагая перейти по ссылке с ограниченным временем действия, что позволит завершить процесс подтверждения.

    Использование методики двойного явного согласия создает хорошую репутацию пользователям, занимающимся массовой отправкой электронной почты.

  10. Пользователи, занимающиеся массовой отправкой электронной почты, должны создавать прозрачное содержимое, за которое они несут ответственность.

    1. Многословные обращения к получателям с просьбой включить отправителя в адресную книгу должны ясно давать понять, что такое действие не является гарантией доставки.

    2. Проектируя перенаправления в тексте сообщения, необходимо использовать согласованный стиль ссылок.

    3. Не следует отправлять большие изображения или вложения, а также сообщения, состоящие исключительно из изображения.

    4. Используя отслеживающие пиксели (веб-жучки или маяки), явно сообщайте об их наличии в параметрах публичной конфиденциальности или спецификации P3P.

  11. Форматируйте исходящие уведомления о доставке.

    При создании сообщений уведомлений о доставке отправителям следует следовать формату недоставки, описанному в RFC 3464.

  12. Удаляйте адреса электронной почты несуществующих пользователей, по которым сообщения не были доставлены.

    Если получен отчет о недоставке, свидетельствующий о том, что адрес электронной почты больше не используется, удалите несуществующий псевдоним электронной почты из списка. Со временем адреса электронной почты изменяются, а иногда люди отказываются от них.

  13. Используйте программу Smart Network Data Services (интеллектуальные службы сетевых данных, SNDS).

    Hotmail использует программу Smart Network Data Services, которая позволяет отправителям проверять жалобы, переданные конечными пользователями. SNDS — это основной портал для устранения неполадок при доставке сообщений в Hotmail.

 
Показ: