Карантин Exchange Online Protection (часть 2)

• Карантин Exchange Online Protection (часть 3)
• Карантин Exchange Online Protection (часть 4)

Выпуск помещенных в карантин сообщений от имени администратора

Теперь, когда мы нашли интересующие нас сообщения, мы можем сделать несколько вещей, например, проверить дополнительную информацию о сообщении (например, о получателях, уровне достоверности спама и т. д.) и в конечном итоге решить, хотим ли мы выпустить это или нет из карантина.

Просмотр сведений о сообщении, помещенном в карантин

Обнаружив в центре администрирования Exchange определенное сообщение, помещенное в карантин, мы можем просмотреть определенные сведения о нем. В Центре администрирования Exchange выберите конкретное сообщение, и сводка свойств этого сообщения появится в области сведений в правой части экрана:

фигура 1

Информация в статусе сообщения включает:

• Тип, указывающий, было ли сообщение идентифицировано как спам или соответствует правилу транспорта ;
• Истекает, когда сообщение будет окончательно удалено из карантина.

В деталях сообщения у нас есть:

• Отправитель — адрес электронной почты отправителя сообщения;
• Тема – текст строки темы сообщения;
• Получено – дата, когда сообщение было получено карантином;
• Размер – размер сообщения в килобайтах (КБ) или, если размер сообщения больше 999 КБ, в мегабайтах (МБ);
• Просмотр заголовка сообщения — полезная ссылка, которая открывает диалоговое окно заголовка сообщения, которое позволяет нам просмотреть весь заголовок сообщения:

фигура 2

Мы можем скопировать текст заголовка сообщения в буфер обмена и вставить его в инструмент анализатора заголовков сообщений анализатора удаленных подключений. Кроме того, мы можем щелкнуть ссылку Microsoft Message Header Analyzer, которая приведет нас непосредственно к анализатору заголовков сообщений (но, к сожалению, без автоматического копирования текста заголовка).

Поскольку мы говорим об инструменте «Анализатор заголовков сообщений», давайте быстро взглянем на заголовок с помощью этого инструмента. Здесь мы можем посмотреть на заголовок X-Microsoft-Antispam, чтобы проверить уровень массовой жалобы (BCL) или уровень достоверности фишинга (PCL), или на заголовок X-Forefront-Antispam-Report, который нас больше интересует.:

Рисунок 3

Как видите, заголовок этого сообщения имеет несколько полей (большинство из которых выходит за рамки этой статьи), поэтому мы рассмотрим лишь небольшую их часть:

• CIP — это подключаемый IP-адрес, который мы можем указать при создании списка разрешенных IP-адресов или черного списка IP-адресов в фильтре подключений. В этом случае, просматривая IP-адрес 209.85.213.171, мы можем определить, что это IP-адрес Google в Америке;
• CTRY, страна, из которой сообщение подключено к сервису, — , что подтверждает наше предыдущее утверждение. Обратите внимание, что это определяется подключающимся IP-адресом, который может не совпадать с исходным отправляющим IP-адресом;
• SFV:SPM означает, что сообщение было помечено фильтром содержимого как спам. Если сообщение было помечено как спам правилом транспорта до обработки фильтром содержимого, вместо него будет присутствовать SFV:SKS ;
• SCL, как уже говорилось, является уровнем достоверности спама. В данном случае это , поэтому сообщение было помещено в карантин;
• Если присутствует SFV:BLK, это будет означать, что фильтрация пропущена и сообщение заблокировано, поскольку оно было отправлено с адреса из списка заблокированных отправителей отдельного лица. Этого нет, так что здесь это не так;
• LANG указывает язык, на котором было написано сообщение, в данном случае для португальского.

Если дважды щелкнуть помещенное в карантин сообщение, откроется окно «Сообщение в карантине»:

Рисунок 4

Из этого окна мы можем увидеть определенную информацию о сообщении и выполнить определенные действия, такие как:

• Идентификатор сообщения — это идентификатор интернет-сообщения (также известный как идентификатор клиента), который находится в заголовке сообщения;
• Released to перечисляет все адреса электронной почты, которым сообщение было отправлено до сих пор, если таковые имеются;
• Еще не выпущено, чтобы перечислить все адреса электронной почты, которым сообщение не было отправлено, если таковые имеются;
• Released to… позволяет отправить сообщение в папку «Входящие» пользователя. При нажатии на эту ссылку открывается окно Release Message:

Рисунок 5

В этом новом окне у нас есть два варианта выпуска сообщения:

• Выпустить сообщение для всех получателей: когда мы выбираем эту опцию, мы должны знать, что сообщение не может быть отправлено одному и тому же получателю более одного раза. Если получатель ранее получил сообщение, оно больше не будет передано этому получателю;
• Отправить сообщение указанным получателям: эта опция позволяет нам выбрать пользователя или пользователей, которым может быть отправлено сообщение. Поскольку сообщение может быть отправлено каждому пользователю только один раз, в этом списке отображаются только те пользователи, которым оно может быть отправлено (поддерживается множественный выбор).

Обратите внимание, что, к сожалению, мы не можем передать сообщение администратору для просмотра, например, если он/она не был одним из предполагаемых получателей...

• Выпустить сообщение и сообщить о нем как о ложном срабатывании… это в значительной степени говорит само за себя. Когда мы нажимаем на эту ссылку, открывается новое окно с запросом подтверждения, чтобы опубликовать электронное письмо и сообщить о нем в Microsoft как о ложном срабатывании:

Рисунок 6

Это не единственный способ опубликовать или сообщить о сообщении, помещенном в карантин. Обнаружив помещенное в карантин сообщение в главном окне карантина, мы можем выполнить следующие действия, щелкнув значок Разблокировать сообщение:

Рисунок 7

• Отпустить сообщение, не сообщая о нем как о ложном срабатывании… Когда мы выбираем этот параметр, мы можем указать, чтобы сообщение было отправлено всем получателям, которые еще не получили его, или только определенным получателям;
• Отпустить сообщение и сообщить о нем как о ложном срабатывании... Когда мы выбираем эту опцию, сообщение будет выпущено для всех получателей, которые еще не получили его. Об этом также будет сообщено группе Microsoft по анализу нежелательной почты, которая оценит и проанализирует сообщение.

Важный:
Когда сообщение выпущено, служба повторно просканирует выпущенное сообщение на наличие вредоносных программ, но пропустит фильтрацию нежелательной почты и обработку правил транспорта.

Обе эти опции приведут нас к тем же экранам, которые мы только что рассмотрели выше.

Если мы теперь щелкнем значок «Обновить» в главном окне, чтобы обновить его данные, а затем дважды щелкнем сообщение, которое мы только что выпустили, мы должны увидеть, что оно было отправлено предполагаемому получателю (получателям):

Рисунок 8

В этом окне мы видим, что сообщение уже было отправлено как минимум одному получателю. Ранее тот же получатель был указан в поле « .

Еще одно большое улучшение, которое, как мне кажется, можно было бы сделать и которое, на мой взгляд, было бы полезным, — это возможность видеть в главном окне, какие сообщения уже были выпущены. Или хотя бы указать на правой панели при выборе сообщения, было ли оно уже выпущено или нет. Раздражает необходимость открывать сообщение только для того, чтобы проверить, не было ли оно уже опубликовано (PowerShell делает это проще, как мы увидим в последней статье этой серии)…

Вывод

До сих пор в этой серии статей мы изучали функцию карантина в Exchange Online Protection и то, как администраторы могут искать и освобождать сообщения, помещенные в карантин. В следующей статье мы начнем рассматривать карантин с точки зрения конечного пользователя.

• Карантин Exchange Online Protection (часть 3)
• Карантин Exchange Online Protection (часть 4)