次の方法で共有


メール保護の順序と優先順位

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

Exchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、メールボックスがExchange Onlineされていない場合、受信メールに複数の保護形式のフラグが設定される場合があります。 たとえば、すべての Microsoft 365 ユーザーが利用できるなりすまし対策保護や、Microsoft Defender for Office 365のお客様のみが利用できる偽装保護などです。 メッセージは、マルウェア、スパム、フィッシングなどの複数の検出スキャンも通過します。このすべてのアクティビティを考えると、どのポリシーが適用されるかについて混乱が発生する可能性があります。

一般に、メッセージに適用されるポリシーは、CAT (Category) プロパティの X-Forefront-Antispam-Report ヘッダーで識別されます。 詳細については、「スパム対策メッセージ ヘッダー」を参照してください。

メッセージに適用されるポリシーを決定する主な要因は 2 つあります。

たとえば、"Contoso Executives" という名前のグループは、次のポリシーに含まれています。

  • 厳密な事前設定されたセキュリティ ポリシー
  • 優先度の値が 0 (最も高い優先度) を持つカスタムスパム対策ポリシー
  • 優先度値 1 のカスタムスパム対策ポリシー。

Contoso エグゼクティブのメンバーに適用されるスパム対策ポリシー設定はどれですか? 厳密な事前設定されたセキュリティ ポリシー。 カスタムスパム対策ポリシーの設定は、Contoso エグゼクティブのメンバーには無視されます。厳密な事前設定されたセキュリティ ポリシーは常に最初に適用されるためです。

別の例として、同じ受信者に適用されるMicrosoft Defender for Office 365の次のカスタム フィッシング対策ポリシーと、ユーザー偽装となりすましの両方を含むメッセージを考えてみましょう。

ポリシー名 優先度 ユーザー偽装 なりすまし対策
ポリシー A 1 オン オフ
ポリシー B 2 オフ オン
  1. スプーフィング (5) は、電子メール保護の種類の処理の順序でユーザー偽装 (6) の前に評価されるため、メッセージはスプーフィングとして識別されます。
  2. ポリシー A は、ポリシー B よりも優先度が高いため、最初に適用されます。
  3. ポリシー A の設定に基づいて、スプーフィング対策がオフになっているため、メッセージに対してアクションは実行されません。
  4. フィッシング対策ポリシーの処理は、含まれているすべての受信者に対して停止するため、ポリシー B はポリシー A にも含まれている受信者には適用されません。

受信者が必要な保護設定を確実に取得できるようにするには、ポリシー メンバーシップに次のガイドラインを使用します。

  • 優先度の高いポリシーには少数のユーザーを割り当て、優先度の低いポリシーには多数のユーザーを割り当てます。 既定のポリシーは常に最後に適用されます。
  • 優先度の高いポリシーを構成して、優先順位の低いポリシーよりも厳密または特殊な設定を設定します。 カスタム ポリシーと既定のポリシーの設定を完全に制御できますが、事前設定されたセキュリティ ポリシーのほとんどの設定は制御されません。
  • 使用するカスタム ポリシーの数を減らしてください (標準または厳密な事前設定のセキュリティ ポリシー、または既定のポリシーよりも特殊な設定を必要とするユーザーにのみカスタム ポリシーを使用します)。

付録

ユーザーが EOP でスタックの判定を許可およびブロックする方法、テナントの許可とブロック、フィルター処理を行う方法を理解し、相互に補完または矛盾Defender for Office 365することが重要です。

  • スタックのフィルター処理とその組み合わせ方法については、「Microsoft Defender for Office 365での脅威の保護のステップ バイ ステップ」を参照してください。
  • フィルター スタックが判定を決定した後は、テナント ポリシーと構成されたアクションのみが評価されます。
  • ユーザーの差出人セーフ リストとブロックされた送信者リストに同じメール アドレスまたはドメインが存在する場合、差出人セーフ リストが優先されます。
  • 許可エントリに同じエンティティ (メール アドレス、ドメイン、なりすまし送信インフラストラクチャ、ファイル、または URL) が存在し、テナント許可/ブロック リストのブロック エントリが存在する場合、ブロック エントリが優先されます。

ユーザーの許可とブロック

次の表に示すように、ユーザーの セーフリスト コレクション ([差出人セーフ リスト]、[安全な受信者] リスト、および各メールボックスの [ブロックされた送信者] リスト) のエントリは、いくつかのフィルター処理スタックの判定をオーバーライドできます。

スタックの判定のフィルター処理 ユーザーの差出人セーフ リスト ユーザーの [ブロックされた送信者] の一覧
マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email
高確度のフィッシング フィルターの優先: 検疫Email フィルターの優先: 検疫Email
フィッシング詐欺 ユーザーの優先: Emailユーザーの受信トレイに配信されます テナントの優先: 該当するスパム対策ポリシーによってアクションが決定されます
高確度スパム ユーザーの優先: Emailユーザーの受信トレイに配信されます テナントの優先: 該当するスパム対策ポリシーによってアクションが決定されます
スパム ユーザーの優先: Emailユーザーの受信トレイに配信されます テナントの優先: 該当するスパム対策ポリシーによってアクションが決定されます
バルク ユーザーの優先: Emailユーザーの受信トレイに配信されます ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
スパムではない ユーザーの優先: Emailユーザーの受信トレイに配信されます ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  • Exchange Onlineでは、次のいずれかの条件によってメッセージが検疫されている場合、差出人セーフ リストのドメイン許可が機能しない可能性があります。
    • メッセージは、マルウェアまたは高信頼フィッシングとして識別されます (マルウェアと高信頼フィッシング メッセージは検疫されます)。
    • 迷惑メール対策ポリシーのアクションは、迷惑メール Email フォルダーにメールを移動する代わりに検疫するように構成されます。
    • 電子メール メッセージのメール アドレス、URL、またはファイルも、[ テナントの許可/ブロック一覧] のブロック エントリにあります。

ユーザー メールボックスのセーフリスト コレクションとスパム対策の設定の詳細については、「Exchange Online メールボックスで迷惑メール設定を構成する」を参照してください。

テナントの許可とブロック

テナントの許可とブロックは、次の表で説明するように、いくつかのフィルター処理スタックの判定をオーバーライドできます。

  • 高度な配信ポリシー (指定された SecOps メールボックスとフィッシング シミュレーション URL のフィルター処理をスキップする):

    スタックの判定のフィルター処理 高度な配信ポリシーの許可
    マルウェア テナントの優先: メールボックスに配信Email
    高確度のフィッシング テナントの優先: メールボックスに配信Email
    フィッシング詐欺 テナントの優先: メールボックスに配信Email
    高確度スパム テナントの優先: メールボックスに配信Email
    スパム テナントの優先: メールボックスに配信Email
    バルク テナントの優先: メールボックスに配信Email
    スパムではない テナントの優先: メールボックスに配信Email
  • Exchange メール フロー ルール (トランスポート ルールとも呼ばれます):

    スタックの判定のフィルター処理 メール フロー ルールでは、* メール フロー ルール ブロック
    マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email
    高確度のフィッシング フィルター優先: 複雑なルーティングを除いて検疫されたEmail フィルターの優先: 検疫Email
    フィッシング詐欺 テナントの優先: メールボックスに配信Email テナントの優先: 該当するスパム対策ポリシーでのフィッシングアクション
    高確度スパム テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
    スパム テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
    バルク テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
    スパムではない テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email

    * Microsoft 365 の前でサード パーティのセキュリティ サービスまたはデバイスを使用する組織では、SCL=-1 メール フロー ルールの代わりに 、Authenticated Received Chain (ARC) ( サード パーティに問い合わせて可用性を確保する ) とコネクタの拡張フィルター処理 (スキップ リストとも呼ばれます) の使用を検討する必要があります。 これらの改善された方法により、メール認証の問題が軽減され、 多層防御 のメール セキュリティが促進されます。

  • 接続フィルター ポリシーの IP 許可リストと IP ブロック リスト:

    スタックの判定のフィルター処理 IP 許可リスト IP ブロック リスト
    マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email
    高確度のフィッシング フィルターの優先: 検疫Email フィルターの優先: 検疫Email
    フィッシング詐欺 テナントの優先: メールボックスに配信Email テナントの優先: サイレント ドロップEmail
    高確度スパム テナントの優先: メールボックスに配信Email テナントの優先: サイレント ドロップEmail
    スパム テナントの優先: メールボックスに配信Email テナントの優先: サイレント ドロップEmail
    バルク テナントの優先: メールボックスに配信Email テナントの優先: サイレント ドロップEmail
    スパムではない テナントの優先: メールボックスに配信Email テナントの優先: サイレント ドロップEmail
  • スパム対策ポリシーの設定を許可およびブロックする:

    • 許可されている送信者とドメインの一覧。
    • ブロックされた送信者とドメインの一覧。
    • 特定の国/地域または特定の言語のメッセージをブロックします。
    • 高度なスパム フィルター (ASF) 設定に基づいてメッセージをブロックします。
    スタックの判定のフィルター処理 スパム対策ポリシーでは、 スパム対策ポリシー ブロック
    マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email
    高確度のフィッシング フィルターの優先: 検疫Email フィルターの優先: 検疫Email
    フィッシング詐欺 テナントの優先: メールボックスに配信Email テナントの優先: 該当するスパム対策ポリシーでのフィッシングアクション
    高確度スパム テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
    スパム テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
    バルク テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
    スパムではない テナントの優先: メールボックスに配信Email テナントの優先: ユーザーの迷惑メール Email フォルダーに配信Email
  • [テナントの許可/ブロック] ボックスの一覧のエントリを許可する: 許可エントリには次の 2 種類があります。

    • メッセージ レベルでは、メッセージ内のエンティティに関係なく、エントリがメッセージ全体に対して機能することを許可します。 メール アドレスとドメインの許可エントリは、メッセージ レベルの許可エントリです。
    • エンティティ レベルでは、エントリがエンティティのフィルター処理の判定に基づいて動作することを許可します。 URL、なりすまし送信者、およびファイルの許可エントリは、エンティティ レベルの許可エントリです。 マルウェアと信頼度の高いフィッシング判定を上書きするには、エンティティ レベルの許可エントリを使用する必要があります。このエントリは、 Microsoft 365 で既定でセキュリティ保護されているために提出によってのみ作成できます。
    スタックの判定のフィルター処理 Email アドレス/ドメイン
    マルウェア フィルターの優先: 検疫Email
    高確度のフィッシング フィルターの優先: 検疫Email
    フィッシング詐欺 テナントの優先: メールボックスに配信Email
    高確度スパム テナントの優先: メールボックスに配信Email
    スパム テナントの優先: メールボックスに配信Email
    バルク テナントの優先: メールボックスに配信Email
    スパムではない テナントの優先: メールボックスに配信Email
  • [テナントの許可/ブロック] リストのエントリをブロックします

    スタックの判定のフィルター処理 Email アドレス/ドメイン 偽装 File URL
    マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email テナントの優先: 検疫Email フィルターの優先: 検疫Email
    高確度のフィッシング テナントの優先: 検疫Email フィルターの優先: 検疫Email テナントの優先: 検疫Email テナントの優先: 検疫Email
    フィッシング詐欺 テナントの優先: 検疫Email テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション テナントの優先: 検疫Email テナントの優先: 検疫Email
    高確度スパム テナントの優先: 検疫Email テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション テナントの優先: 検疫Email テナントの優先: 検疫Email
    スパム テナントの優先: 検疫Email テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション テナントの優先: 検疫Email テナントの優先: 検疫Email
    バルク テナントの優先: 検疫Email テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション テナントの優先: 検疫Email テナントの優先: 検疫Email
    スパムではない テナントの優先: 検疫Email テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション テナントの優先: 検疫Email テナントの優先: 検疫Email

ユーザーとテナントの設定の競合

次の表は、ユーザーの許可/ブロック設定とテナントの許可/ブロック設定の両方によって電子メールが影響を受けた場合の競合の解決方法を示しています。

テナントの許可/ブロックの種類 ユーザーの差出人セーフ リスト ユーザーの [ブロックされた送信者] の一覧
[テナントの許可/ブロック] リストで次のエントリをブロックします。
  • Emailアドレスとドメイン
  • ファイル
  • URL
テナントの優先: 検疫Email テナントの優先: 検疫Email
テナント許可/ブロックリストでなりすまし送信者のエントリをブロックする テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング インテリジェンス アクション テナントの優先: 該当するフィッシング対策ポリシーでのスプーフィング インテリジェンス アクション
高度な配信ポリシー ユーザー優先: メールボックスに配信Email テナントの優先: メールボックスに配信Email
スパム対策ポリシーの設定をブロックする ユーザー優先: メールボックスに配信Email ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
DMARC ポリシーを適用する ユーザー優先: メールボックスに配信Email ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
メール フロー ルールによるブロック ユーザー優先: メールボックスに配信Email ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email
次の方法で許可します。
  • メール フロー ルール
  • IP 許可リスト (接続フィルター ポリシー)
  • 許可される送信者とドメインの一覧 (スパム対策ポリシー)
  • テナントの許可/禁止リスト
ユーザー優先: メールボックスに配信Email ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email