Exchange Online Protection: все об этом встроенном средстве борьбы со спамом Office 365

Когда организация, наконец, решает перейти на Office 365 / Exchange Online, неизменно возникает вопрос о защите от спама — по крайней мере, так должно быть. В этой статье мы рассмотрим предложение Exchange Online Protection (EOP), которое входит в состав Exchange Online. Мы рассмотрим многие ключевые функции EOP и то, как они вписываются в общую защиту конечных пользователей от угроз электронной почты.

Мы рассмотрим такие темы, как списки надежных отправителей и списки заблокированных отправителей. Другие темы, которые мы рассмотрим, включают фильтрацию соединений, а также фильтрацию содержимого и защиту исходящей электронной почты. Поскольку ложные срабатывания и ложноотрицательные результаты всегда вызывают беспокойство, мы также коснемся этих тем, а также карантина и того, как сообщать о ложноположительных/негативных результатах в Microsoft.

Обзор защиты от спама

Самое первое спам-письмо было разослано еще в 1978 году — нескольким сотням пользователей сети ARPANET. Тридцать лет спустя спам продолжает оставаться проблемой. Однако сегодняшние электронные письма со спамом гораздо опаснее, чем их ранние предки. Сегодняшние нежелательные (и, как правило, нежелательные) сообщения электронной почты часто состоят из вредоносных программ, вирусов и программ-шпионов. Такие зараженные электронные письма могут нанести ущерб компании. К счастью, все почтовые ящики, размещенные в Microsoft Exchange Online, автоматически защищены от спама и вредоносных программ с помощью пакета Microsoft «Exchange Online Protection». Этот пакет также известен как EOP.

Office 365 имеет встроенные функции фильтрации спама и защиты от вредоносных программ, которые помогают защитить как входящие, так и исходящие сообщения электронной почты от вредоносных программ. Пользователи также защищены от ванильного спама. Эти функции встроены и включены по умолчанию, поэтому администраторам даже не нужно их настраивать. Им также не нужно их поддерживать. Хотя функции защиты от нежелательной почты не требуют специальной настройки, они могут быть настроены администратором через Центр администрирования Exchange (EAC).

В этой статье мы обсудим внутренности защиты от нежелательной почты, предлагаемой с помощью пакета Exchange Online Protection.

Списки надежных отправителей и заблокированных отправителей

Ни один продукт для защиты от спама не идеален. Это просто факт жизни. По умолчанию все решения для защиты от спама либо ошибочно помечают некоторое подмножество законных сообщений электронной почты как спам, либо просто пропускают часть законного спама и пропускают его. Обойти это невозможно. Однако администраторы Exchange Online могут помочь устранить эти проблемы, настроив службу с помощью списков надежных и заблокированных отправителей.

Настройка списка надежных отправителей позволяет администратору освобождать определенных отправителей от фильтрации спама, чтобы электронные письма от этих отправителей всегда доставлялись. И наоборот, списки заблокированных отправителей можно использовать, чтобы гарантировать, что электронные письма от определенных отправителей никогда не будут доставлены. Эти списки применяются к пользователям в масштабах всей организации.

Фильтрация соединений

В дополнение к спискам безопасных и заблокированных отправителей администраторы также могут использовать фильтрацию соединений для управления доставкой почты. Однако фильтрация подключений работает иначе, чем списки безопасных и заблокированных, поскольку фильтрация подключений основана на исходных IP-адресах, а это означает, что администратор может контролировать доставку входящей электронной почты по IP-адресу.

Например, если OrgA (размещенная в O365) имеет деловые отношения с OrgB (размещенной локально), администратор OrgA может создать фильтр подключения, который всегда разрешает электронные письма с почтового сервера OrgB, указав IP-адрес, с которого исходят электронные письма OrgB. в списке надежных отправителей. И наоборот, администратор OrgA может гарантировать, что электронные письма никогда не будут доставлены из OrgB, создав черный список, содержащий IP-адрес OrgB. Сообщения электронной почты, отправленные из OrgB, полностью отклоняются. Письма не помечаются как спам, и никакая дополнительная фильтрация не выполняется.

Фильтрация контента

Пакет Exchange Online Protection предлагает готовые базовые настройки фильтра нежелательной почты, в том числе возможность фильтровать сообщения, написанные на определенных языках или даже отправленные из определенных стран или регионов. Эти настройки применяются только к входящим сообщениям. Однако администратор может изменить эти параметры по умолчанию и даже создать собственные политики, которые затем можно будет применять ко всей организации, определенным пользователям, определенным группам или определенным доменам в организации. Пользовательские политики содержимого всегда будут иметь приоритет над политикой по умолчанию; однако администратор может изменить порядок применения настраиваемых политик, изменив приоритет каждой настраиваемой политики.

Исходящая защита

Часто упускаемый из виду аспект защиты от спама — это фильтрация исходящего спама. В то время как защита от входящего спама имеет решающее значение для защиты пользователей от угроз входящей электронной почты, защита исходящего трафика необходима для того, чтобы система электронной почты организации не попадала в черные списки, что негативно влияет на доставляемость исходящих сообщений электронной почты. Быть помеченным спамером никогда не бывает хорошо.

Из-за важности исходящей защиты фильтрация исходящей нежелательной почты всегда включена в O365. Таким образом, все клиенты O365, отправляющие исходящие электронные письма, защищены, как и получатели этих исходящих электронных писем.

Во многом так же, как настраивается фильтрация входящего трафика, фильтрация исходящего спама состоит из параметров фильтрации соединений и параметров фильтрации содержимого. Однако параметры исходящего фильтра не настраиваются (и не могут быть отключены) администратором. Таким образом, исходящие сообщения, определенные как спам, направляются через пул доставки с более высоким риском. Этот процесс снижает вероятность добавления организации в черный список.

Если клиент O365 продолжает отправлять исходящие электронные письма, идентифицированные как спам, отправка сообщений клиенту будет полностью заблокирована. Если от пользователя O365 отправляется значительный объем спама, пользователю запрещается отправлять сообщения электронной почты. Затем администратор информируется о ситуации.

Ложные срабатывания раздражают

Нет идеальных решений для защиты от нежелательной почты, включая O365 Exchange Online Protection. Таким образом, это просто факт жизни, что пользователям иногда приходится иметь дело со спамом, который проникает через них, или с законными электронными письмами, которые не попадают в их почтовые ящики. Тем не менее, Microsoft упрощает «сообщение» о ложных срабатываниях и ложных отрицательных результатах, чтобы они могли улучшить предлагаемую защиту от спама. Используя данные, сообщаемые конечными пользователями и администраторами, Microsoft постоянно совершенствует свои спам-фильтры, чтобы обеспечить более комфортное взаимодействие с пользователем.

Управление спамом в Exchange Online

Office 365 предлагает возможность настроить карантин для входящих сообщений, идентифицированных как спам, фишинг, массовая рассылка и т. д. Отправляя потенциально проблемные электронные письма в карантин вместо нежелательных папок конечных пользователей, эти электронные письма могут быть просмотрены позже и либо удалены, либо сохранены. Таким образом, карантин — это еще один инструмент, обеспечивающий защиту конечных пользователей от угроз, связанных с электронной почтой.

Помещенными в карантин сообщениями могут управлять конечные пользователи и, разумеется, администраторы. Однако в то время как администраторы могут управлять электронными сообщениями, помещенными в карантин, для всех пользователей, конечные пользователи могут управлять только своими элементами, помещенными в карантин. Администраторы могут искать все элементы, помещенные в карантин, с помощью центра администрирования Exchange, а затем просматривать сведения об этих сообщениях, помещенных в карантин. Сообщения, которые считаются безопасными, затем могут быть переданы пользователям, которым они были отправлены. Именно в рамках этого процесса администраторы могут сообщать о ложных срабатываниях группе анализа нежелательной почты Майкрософт для проверки. Конечные пользователи могут управлять своими собственными сообщениями, помещенными в карантин, через пользовательский интерфейс карантина нежелательной почты — при условии, что у этих конечных пользователей есть действительный идентификатор пользователя и пароль Office 365.

Согласно часто задаваемым вопросам Microsoft, сообщения, помещенные в карантин со спамом, по умолчанию хранятся в карантине в течение 15 дней (это можно настроить). Сообщения, соответствующие определенному правилу транспорта и в результате помещенные в карантин, хранятся в карантине в течение 7 дней (это не настраивается). В обоих случаях сообщения, помещенные в карантин, автоматически удаляются (и не могут быть восстановлены) по истечении срока хранения.

Работа с карантином

Администраторы имеют широкую свободу действий при работе с сообщениями, помещенными в карантин. Администратор может удалять сообщения из карантина и сообщать о ложных срабатываниях в Microsoft. Администраторы также могут просматривать данные, помещенные в карантин, и загружать их. Политики также можно настроить таким образом, чтобы Office 365 отправлял сомнительные электронные письма в карантин, если они идентифицируются как спам, массовая рассылка, фишинговая почта, содержащие вредоносное ПО и т. д.

Конечные пользователи могут управлять своими сообщениями в карантине двумя способами. Они могут либо ответить непосредственно на уведомление о спаме, полученное при пометке сообщения, либо использовать Центр безопасности и соответствия требованиям. Разрешая конечным пользователям управлять своими сообщениями в карантине, администраторы освобождаются для решения более насущных проблем.

Exchange Online Protection: хороший выбор

Как мы видели, Exchange Online Protection — это гибкое решение для защиты от спама и вредоносных программ, которое автоматически защищает все почтовые ящики, размещенные в Exchange Online/O365. Это решение для защиты от спама предлагает возможность не только обнаруживать спам и другие угрозы, связанные с электронной почтой, но также управлять белыми и черными списками посредством фильтрации подключений, списков надежных отправителей и списков заблокированных отправителей. Exchange Online Protection также предлагает возможность защиты исходящих сообщений электронной почты.

Управление карантином — еще одно гибкое предложение Exchange Online Protection. Вместо того, чтобы просто отбрасывать подозрительные электронные письма, которые «могут» быть законными, Exchange Online Protection предлагает администраторам и пользователям возможность просматривать такие сообщения их очисткой. Возможность сообщать Microsoft о таких ложных срабатываниях и ложноотрицательных результатах также позволяет администраторам и пользователям постоянно повышать точность предложения.

Хотя многие организации предпочитают использовать сторонние решения для защиты от нежелательной почты, такие как Mimecast и Proofpoint, встроенное предложение Exchange Online Protection, которое поставляется с каждым почтовым ящиком, размещенным в O365, безусловно, имеет свои преимущества, когда речь идет о защите от угроз электронной почты. При планировании развертывания O365/Exchange Online имеет смысл проверить производительность EOP, прежде чем тратить дополнительные деньги на стороннее решение для защиты от нежелательной почты.