Карантин Exchange Online Protection (часть 1)

Опубликовано: 12 Марта, 2023
Карантин Exchange Online Protection (часть 1)

  • Карантин Exchange Online Protection (часть 3)
  • Карантин Exchange Online Protection (часть 4)

Введение

Десять лет назад Билл Гейтс предсказал, что к 2006 году мир будет свободен от спама. Хотя мы наблюдаем небольшое снижение спама, к сожалению, это далеко не так… Exchange Online Protection (EOP), на мой взгляд, отлично справляется с фильтрацией явный спам. Согласно последним данным Microsoft, каждую минуту EOP блокирует в среднем десять миллионов спам-сообщений, то есть 10 миллионов! Это впечатляющая цифра. Однако каждый день злоумышленники по всему миру придумывают новые методы, чтобы обмануть механизмы обнаружения спама. Угрозы принимают различные формы, например, неопознанная спам-кампания, неизвестное вредоносное ПО или совершенно новый вирус. Это означает, что небольшой процент (около 3%) электронной почты, которая, вероятно, является спамом, по-прежнему проходит и отправляется в папку пользователей. Пользователи, очевидно, не хотят спама в своих почтовых ящиках, но им часто приходится просматривать эту папку, чтобы убедиться, что хорошие сообщения (ложные срабатывания) не смешаны с плохими.

EOP предоставляет два основных метода обработки нежелательной почты, обнаруженной фильтрами содержимого. Администраторы могут настроить его таким образом, чтобы спам отправлялся в папку в Outlook и Outlook Web App (OWA), что является параметром по умолчанию, или направлял его в веб-карантин.

Отправка спама в папку «Спам» является наиболее распространенным выбором, поскольку пользователи используют его уже много лет. Но по опыту я также заметил, что это так, потому что не все знают о функции карантина. С другой стороны, у некоторых клиентов есть почтовые системы, отличные от Exchange, которые не поддерживают подход с использованием папки нежелательной почты, имеют стороннюю систему фильтрации, которая отправляет пользователям отчеты о спаме, или просто предпочитают помещать спам в карантин.

С момента запуска EOP поддерживает карантин спама, но изначально администраторы были единственными, кто имел доступ к этому карантину через центр администрирования Exchange, и только они могли выпускать спам-сообщения… Но с некоторых пор администраторы могут настроить EOP для предоставить пользователям возможность самостоятельного управления сообщениями, помещенными в карантин со спамом. Итак, давайте посмотрим, как это работает и как мы можем это настроить.

Включение карантина

Как я уже упоминал, стандартный метод обработки спам-сообщений в EOP — помещение их в папки пользователей. Это поведение можно изменить, чтобы все спам-сообщения помещались в карантин. Затем пользователи получают уведомление, когда электронное письмо помещается в карантин, и имеют возможность освободить его, если захотят.

Во-первых, нам нужно изменить стандартную настройку доставки спама. Для этого мы переходим в Центр администрирования Exchange Online, затем нажимаем «Защита», а затем «Фильтр содержимого». Здесь мы можем увидеть, каков ответ на обнаружение спама и включены ли пользовательские уведомления о спаме или нет:

Изображение 2492
фигура 1

Чтобы изменить это поведение, дважды щелкните политику фильтрации содержимого по умолчанию или политику, которую вы хотите обновить. Помните, что вы можете создавать дополнительные политики и применять их к разным пользователям, группам или целым доменам.

В окне редактирования политики защиты от спама нажмите Действия со спамом и массовыми рассылками:

Изображение 2493
фигура 2

Мы видим, что по умолчанию весь спам помещается в папку «Спам». Мы можем изменить настройку, щелкнув раскрывающийся список и выбрав новую опцию, в данном случае «Сообщение о карантине»:

Изображение 2494
Рисунок 3

Вы заметите, что у нас может быть отдельная настройка для спама с высоким уровнем достоверности. Когда электронное письмо проходит фильтрацию спама, ему присваивается рейтинг спама, который сопоставляется с индивидуальным рейтингом уровня достоверности нежелательной почты (SCL) и ставится в X-заголовке. EOP предпринимает действия в зависимости от интерпретации рейтинга вероятности нежелательной почты с вероятностью нежелательной почты. Различные рейтинги вероятности нежелательной почты и то, как они интерпретируются фильтрами, следующие:

  • -1: спам не исходит от надежного отправителя, надежного получателя или безопасного IP-адреса из списка (доверенный партнер). Сообщение доставляется в папку «Входящие» получателей;
  • 0 или 1: не является спамом, так как сообщение было проверено и признано чистым. Сообщение доставляется в папку «Входящие» получателей;
  • 5 или 6: спам. Сообщение считается подозреваемым спамом и доставляется получателям в папку или помещается в карантин;
  • 9: спам высокой достоверности. Сообщение считается определенным спамом и доставляется получателям в папку или помещается в карантин;

Может показаться странным, что оценки вероятности нежелательной почты 2, 3, 4, 7 и 8 не используются EOP. Одна из причин, по которой некоторые рейтинги вероятности нежелательной почты не используются службой, заключается в том, что администраторы могут использовать их, устанавливая рейтинг вероятности нежелательной почты для сообщений, соответствующих определенным условиям, с помощью правил транспорта.

Еще одна вещь, которую вы можете заметить, это то, что спам в карантине может храниться не более 15 дней:

Изображение 2495
Рисунок 4

Честно говоря, я считаю, что 15 дней слишком мало, и я надеюсь, что этот срок будет увеличен как минимум до 30 дней. В конце концов, сотрудники нередко уходят, например, в трехнедельный отпуск…

Обратите внимание, что спам-сообщения, помещенные в карантин, по умолчанию хранятся в карантине в течение 15 дней, а помещенные в карантин сообщения, соответствующие правилу транспорта, хранятся в карантине в течение 7 дней. По истечении этого периода сообщения удаляются и не подлежат восстановлению. Хотя срок хранения сообщений, помещенных в карантин для спама, можно уменьшить с помощью параметра Хранить спам в течение (дней) выше, срок хранения сообщений в карантине, соответствующих правилу транспорта, настроить нельзя.

Важный:
 Также обратите внимание, что сообщения, помещенные в карантин правилами транспорта, видны только в карантине администратора. Конечные пользователи не увидят эти сообщения, даже если они были адресованы им! Карантин конечного пользователя предназначен только для спама.

Теперь, когда у нас включен карантин, давайте посмотрим, как мы можем использовать его как с точки зрения администратора, так и с точки зрения конечного пользователя.

Поиск сообщений в карантине от имени администратора

Теперь, когда Карантин используется, давайте посмотрим, как мы, как администратор, можем находить, выпускать и сообщать о сообщениях, помещенных в карантин. Эти сообщения были отправлены в карантин либо потому, что они были идентифицированы как спам, либо потому, что они соответствовали правилу транспорта.

Чтобы получить доступ к карантину, перейдите в Центр администрирования Exchange Online, затем нажмите «Защита», а затем «Поместить в карантин»:

Изображение 2496
Рисунок 5

По умолчанию может отображаться не более 500 сообщений, помещенных в карантин, и нет кнопки «следующая страница». Они отсортированы от самых новых к старым на основе поля ПОЛУЧЕНО. Значения SENDER, SUBJECT и EXPIRES также перечислены для каждого сообщения (мы можем отсортировать любое из этих полей, щелкнув их заголовки).

Мы можем просмотреть список всех сообщений, помещенных в карантин, или мы можем искать определенные сообщения, указав критерии фильтрации (это также полезно в тех случаях, когда у нас более 500 сообщений). После поиска и обнаружения определенного сообщения в карантине мы можем проверить дополнительные сведения о сообщении, как мы вскоре увидим. Мы также можем опубликовать сообщение и сообщить о нем группе анализа нежелательной почты Майкрософт как о ложном срабатывании (не нежелательном).

Чего мне лично не хватает на этой панели, так это возможности добавить столбец КОМУ или ПОЛУЧАТЕЛЬ в Карантин. В настоящее время единственный способ проверить все спам-сообщения, полученные конкретным пользователем, — использовать расширенный поиск, как мы увидим далее.

Фильтрация и обнаружение сообщений, помещенных в карантин

Как уже упоминалось, мы можем фильтровать элементы, помещенные в карантин, на основе нескольких различных условий, используя расширенный поиск. Мы можем использовать эти условия по отдельности или в сочетании друг с другом. Поиск предоставит список сообщений, которые соответствуют всем критериям вашего фильтра.

  1. В Центре администрирования Exchange перейдите к разделу «Защита» > «Карантин» и нажмите «Расширенный поиск»:

Изображение 2497
Рисунок 6

  1. В окне расширенного поиска выберите любое сочетание следующих условий (обратите внимание, что подстановочные знаки не поддерживаются):
    • Идентификатор сообщения — мы можем использовать этот параметр для выполнения целевого поиска определенного сообщения. Например, если конкретное сообщение отправлено или предназначено для пользователя в организации, но никогда не достигает адресата, мы можем найти это сообщение с помощью функции трассировки сообщений. Если мы обнаружим, что сообщение было отправлено в карантин, мы можем легко найти его в карантине, указав его полный идентификатор сообщения (включая угловые скобки <>);
    • Адрес электронной почты отправителя — укажите адрес электронной почты отправителя сообщения;
    • Адрес электронной почты получателя — укажите адрес электронной почты предполагаемого получателя сообщения;
    • Тема — укажите текст строки темы сообщения (обратите внимание, что будут перечислены только сообщения с точно указанной нами темой);
    • Получено — мы можем выбрать, что сообщение было получено карантином в течение последних 24 часов ( ), в течение последних 48 часов ( ), в течение прошлой недели ( ), или мы можем выбрать пользовательское время. интервал, в течение которого сообщение было получено карантином;
    • Истекает — мы можем выбрать, что сообщение будет удалено из карантина в течение следующих 24 часов ( ), в течение следующих 48 часов ( ), в течение следующей недели ( ), или мы можем выбрать пользовательский временной интервал, в течение которого сообщение будет удалено из карантина.
    • Тип — мы можем указать, следует ли искать сообщения в карантине, которые были идентифицированы как , или искать сообщения, соответствующие .
  1. Нажмите OK, чтобы запустить расширенный поиск;
  2. Чтобы очистить критерии поиска и просмотреть все сообщения в карантине, снимите все флажки в окне расширенного поиска и нажмите OK.

После поиска сообщений результаты, соответствующие указанным критериям, будут отображаться в пользовательском интерфейсе.

Вывод

В первой части этой серии статей мы рассмотрели функцию карантина Exchange Online Protection. Мы увидели, что это такое, как его включить и как администраторы могут искать и находить электронные письма в карантине. В следующей части мы рассмотрим, как администраторы могут освобождать электронные письма, помещенные в карантин, и при необходимости сообщать о них как о ложных срабатываниях.

  • Карантин Exchange Online Protection (часть 3)
  • Карантин Exchange Online Protection (часть 4)
Microsoft

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Миграция автономного клиента Office 365 на Exchange 2010 (часть 8)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
13 Марта, 2023
Миграция автономного клиента Office 365 в Exchange 2010 (часть 7)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 1)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 6)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 11)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 5)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 10)
13 Марта, 2023