在 EOP 中创建安全发件人列表

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

如果你是 microsoft 365 客户,邮箱位于 Exchange Online 中,或者独立Exchange Online Protection (EOP) 客户,没有Exchange Online邮箱,EOP 提供了多种方法来确保用户从受信任的发件人接收电子邮件。 总的来说,可以将这些选项视为 安全发件人列表

以下列表中按从最推荐到最不推荐的顺序介绍了可用的安全发件人列表:

  1. 允许域和电子邮件地址的条目 (包括租户允许/阻止列表中的欺骗发件人) 。
  2. 邮件流规则 (也称为) 传输规则。
  3. Outlook 安全发件人 (存储在每个邮箱中的安全发件人列表,该列表仅影响该邮箱) 。
  4. IP 允许列表 (连接筛选)
  5. 允许的发件人列表或允许的域列表 (反垃圾邮件策略)

本文的其余部分包含有关每个方法的详细信息。

重要

始终隔离标识为恶意软件* 或高置信度钓鱼的邮件,而不管使用的安全发件人列表选项如何。 有关详细信息,请参阅 Office 365 中的默认安全

* 在高级传递策略中标识的 SecOps 邮箱上跳过恶意软件筛选。 有关详细信息,请参阅 为第三方网络钓鱼模拟配置高级传递策略和将电子邮件传递到 SecOps 邮箱

请务必密切监视使用安全发件人列表对垃圾邮件筛选所做的 任何 例外。

始终将安全发件人列表中的邮件提交到 Microsoft 进行分析。 有关说明,请参阅 向 Microsoft 报告良好的电子邮件。 如果邮件或消息源被确定为良性,Microsoft 可以自动允许这些邮件,并且你无需手动维护安全发件人列表中的条目。

除了允许电子邮件,还可以使用 阻止的发件人列表来阻止来自特定源的电子邮件。 有关详细信息,请参阅在 EOP 中创建阻止发件人列表

使用租户允许/阻止列表中的允许条目

允许来自发件人或域的邮件的第一个建议选项是租户允许/阻止列表。 有关说明,请参阅 为域和电子邮件地址创建允许条目为欺骗发件人创建允许条目

仅当出于某种原因无法使用租户允许/阻止列表时,才应考虑使用其他方法来允许发送方。

使用邮件流规则

注意

不能使用邮件头和邮件流规则将内部发件人指定为安全发件人。 本节中的过程仅适用于外部发件人。

Exchange Online和独立 EOP 中的邮件流规则使用条件和例外来标识邮件,以及指定应对这些邮件执行的操作的操作。 有关详细信息,请参阅邮件流规则 (Exchange Online中的传输规则)

以下示例假定需要来自 contoso.com 的电子邮件来跳过垃圾邮件筛选。 为此,请配置以下设置:

  1. 条件发件人>域 contoso.com> 。

  2. 配置以下设置之一:

    • 邮件流规则条件邮件头>包括以下任意字词

      • 标头名称Authentication-Results
      • 标头值dmarc=passdmarc=bestguesspass () 添加这两个值。

      此条件检查发送电子邮件域的电子邮件身份验证状态,以确保发送域未受到欺骗。 有关电子邮件身份验证的详细信息,请参阅 SPFDKIMDMARC

    • IP 允许列表:在连接筛选器策略中指定源 IP 地址或地址范围。 有关说明,请参阅 配置连接筛选

      如果发送域不使用电子邮件身份验证,请使用此设置。 当涉及到 IP 允许列表中的源 IP 地址时,请尽可能严格。 建议将 IP 地址范围设置为 /24 或更小, (越少越好) 。 请勿使用属于使用者服务的 IP 地址范围, (例如 outlook.com) 或共享基础结构。

    重要

    • 切勿 将邮件 流规则配置为仅将发件人域作为跳过垃圾邮件筛选的条件。 这样做将 显著提高 攻击者欺骗发送域 (或模拟完整电子邮件地址) 、跳过所有垃圾邮件筛选和跳过发件人身份验证检查的可能性,以便邮件将到达收件人的收件箱。

    • 请勿使用你拥有 (也称为接受域) 域或常用域 (,例如,microsoft.com) 邮件流规则中的条件。 这样做被视为高风险,因为它为攻击者发送本来会被筛选的电子邮件创造了机会。

    • 如果允许网络地址转换后面的 IP 地址 (NAT) 网关,则需要知道 NAT 池中涉及的服务器,才能知道 IP 允许列表的范围。 IP 地址和 NAT 参与者可以更改。 在标准维护过程中,需要定期检查 IP 允许列表条目。

  3. 可选条件

    • 发件人>是内部/外部>组织外部:此条件是隐式的,但可以使用它来考虑可能未正确配置的本地电子邮件服务器。
    • 主题或正文>主题或正文包括这些字词><中的任何一个keywords>:如果可以通过主题行或邮件正文中的关键字或短语进一步限制消息,则可以使用这些字词作为条件。
  4. 操作:在规则中配置以下两项操作:

    1. 修改消息属性>设置垃圾邮件置信度 (SCL) >绕过垃圾邮件筛选

    2. 修改消息属性>设置邮件头

      • 标头名称:例如 X-ETR
      • 标头值:例如 Bypass spam filtering for authenticated sender 'contoso.com'

      如果规则中有多个域,则可以根据需要自定义标题文本。

当邮件由于邮件流规则而跳过垃圾邮件筛选时,该值 SFV:SKNX-Forefront-Antispam-Report 标头中标记。 如果消息来自 IP 允许列表上的源,则还会添加该值 IPV:CAL 。 这些值可以帮助你进行故障排除。

新 EAC 中绕过垃圾邮件筛选的邮件流规则设置示例。

使用 Outlook 安全发件人

警告

此方法创建攻击者成功将电子邮件发送到收件箱的高风险,否则将被筛选;但是,如果用户的安全发件人或安全域列表中的条目的邮件被确定为恶意软件或高置信度钓鱼,则会筛选该邮件。

用户或管理员可以将发件人电子邮件地址添加到邮箱中的“安全发件人”列表,而不是组织设置。 有关说明,请参阅在 Office 365 中Exchange Online邮箱上配置垃圾邮件设置。 邮箱中的安全发件人列表条目仅影响该邮箱。

在大多数情况下,此方法不可取,因为发送方会绕过部分筛选堆栈。 尽管你信任发件人,但发件人仍可能遭到入侵并发送恶意内容。 你应该让我们的筛选器检查每条消息,然后如果我们出错,则向 Microsoft 报告误报/负值。 绕过筛选堆栈还会干扰 零小时自动清除 (ZAP)

当邮件由于用户的“安全发件人”列表中的条目而跳过垃圾邮件筛选时, X-Forefront-Antispam-Report 标头字段将包含 值 SFV:SFE,该值指示绕过垃圾邮件、欺骗和钓鱼筛选 (不是高置信度钓鱼) 。

注意

  • 在Exchange Online中,“安全发件人”列表中的条目是否正常工作取决于策略中标识邮件的判断和操作:
    • 将邮件移动到“垃圾邮件”Email文件夹:使用域条目和发件人电子邮件地址条目。 来自这些发件人的邮件不会移动到“垃圾邮件Email”文件夹。
    • 隔离: (来自这些发件人的邮件被隔离) ,则不遵循域条目。 如果以下任一语句为 true,则Email地址条目 (来自这些发件人的邮件不会被隔离) :
      • 邮件未标识为恶意软件或高置信度钓鱼, (恶意软件和高置信度钓鱼邮件被隔离) 。
      • 电子邮件地址也不在 租户允许/阻止列表中的阻止条目中。
  • (来自这些发件人的邮件移动到“垃圾邮件Email”文件夹) ,则允许阻止发件人和阻止域的条目。 忽略安全邮件列表设置。

使用 IP 允许列表

警告

如果没有其他验证(如邮件流规则),来自 IP 允许列表中的源的电子邮件会跳过垃圾邮件筛选和发件人身份验证 (SPF、DKIM、DMARC) 检查。 此结果造成攻击者成功将电子邮件发送到收件箱的高风险,否则将被筛选;但是,如果 IP 允许列表中某个条目的邮件被确定为恶意软件或高置信度钓鱼,则会筛选该邮件。

下一个最佳选项是将源电子邮件服务器或服务器添加到连接筛选器策略中的 IP 允许列表。 有关详细信息,请参阅 在 EOP 中配置连接筛选

注意

  • 请务必将允许的 IP 地址数保持在最少,因此尽可能避免使用整个 IP 地址范围。
  • 请勿使用属于使用者服务的 IP 地址范围, (例如 outlook.com) 或共享基础结构。
  • 定期查看 IP 允许列表中的条目,并删除不再需要的条目。

使用允许的发件人列表或允许的域列表

警告

此方法创建攻击者成功将电子邮件发送到收件箱的高风险,否则将被筛选;但是,如果来自允许发件人或允许域列表中的条目的邮件被确定为恶意软件或高置信度钓鱼,则会筛选该邮件。

不要使用常用域 (例如,在允许的域列表中 microsoft.com) 。

最不理想的选择是在反垃圾邮件策略中使用允许的发件人列表或允许的域列表。 应 尽可能 避免此选项,因为发件人会绕过除高置信度钓鱼) 之外的所有垃圾邮件、欺骗、网络钓鱼防护 (,以及发件人身份验证 (SPF、DKIM、DMARC) 。 此方法最好仅用于临时测试。 可以在 EOP 中配置反垃圾邮件策略 主题中找到详细步骤。

这些列表的最大限制约为 1000 个条目;不过,只能在门户中输入 30 个条目。 必须使用 PowerShell 添加超过 30 个条目。

注意

自 2022 年 9 月起,如果允许的发件人、域或子域位于组织中 接受的域中 ,则该发件人、域或子域必须通过 电子邮件身份验证 检查才能跳过反垃圾邮件筛选。

批量电子邮件的注意事项

标准 SMTP 电子邮件由邮件信封和邮件内容组成。 邮件信封包含在 SMTP 服务器之间传输和传递邮件所需的信息。 邮件内容包含邮件头字段(统称为邮件头)和邮件正文。 RFC 5321 中介绍了消息信封,RFC 5322 中介绍了消息头。 收件人永远不会看到实际的邮件信封,因为它是由邮件传输过程生成的,而且它实际上不是邮件的一部分。

  • 地址 5321.MailFrom (也称为 MAIL FROM 地址、P1 发件人或信封发件人) 是在邮件的 SMTP 传输中使用的电子邮件地址。 此电子邮件地址通常记录在邮件头 (的 “返回路径 ”标头字段中,尽管发件人可以在) 指定不同的 “返回路径 ”电子邮件地址。 如果邮件无法传递,则未送达报告的收件人 (也称为 NDR 或退回邮件) 。
  • 地址 5322.From (也称为 发件人 地址或 P2 发件人) 是 发件人标头字段中 的电子邮件地址,是电子邮件客户端中显示的发件人电子邮件地址。

通常, 5321.MailFrom5322.From 地址 (人对人通信) 相同。 但是,当代表其他人发送电子邮件时,地址可能不同。 这种情况最常发生在批量电子邮件中。

例如,假设 Blue Yonder 航空公司聘请了 Margie's Travel 来发送广告电子邮件。 收件箱中收到的邮件具有以下属性:

  • 地址 5321.MailFrom 为 blueyonder.airlines@margiestravel.com。
  • 地址 5322.From 为 blueyonder@news.blueyonderairlines.com,这是你在 Outlook 中看到的内容。

EOP 中反垃圾邮件策略中的安全发件人列表和安全域列表仅 5322.From 检查地址。 此行为类似于使用该 5322.From 地址的 Outlook 安全发件人。

若要防止筛选此消息,可以执行以下步骤:

  • 将 (5322.From 地址) 添加blueyonder@news.blueyonderairlines.com为 Outlook 安全发件人。
  • 使用具有条件的邮件流规则 查找来自 blueyonder@news.blueyonderairlines.com (地址) 5322.From 的邮件, blueyonder.airlines@margiestravel.com (5321.MailFrom 地址) ,或两者兼有。