E-posta korumasının sırası ve önceliği

posta kutuları olmayan Exchange Online veya tek başına Exchange Online Protection (EOP) kuruluşlarında posta kutuları olan Microsoft 365 Exchange Online kuruluşlarında, gelen e-postalar birden çok koruma biçimiyle işaretlenebilir. Örneğin, tüm Microsoft 365 müşterilerinin kullanımına sunulan kimlik sahtekarlığı önleme koruması ve yalnızca Office 365 için Microsoft Defender müşterilerine sunulan kimliğe bürünme koruması. İletiler ayrıca kötü amaçlı yazılım, istenmeyen posta, kimlik avı vb. için birden çok algılama taramasından geçer. Tüm bu etkinlikler göz önüne alındığında, ilkenin hangi ilkenin uygulandığı konusunda bazı karışıklıklar olabilir.

Genel olarak, bir iletiye uygulanan bir ilke CAT (Category) özelliğindeki X-Forefront-Antispam-Report üst bilgisinde tanımlanır. Daha fazla bilgi için bkz . İstenmeyen postadan koruma iletisi üst bilgileri.

İletiye hangi ilkenin uygulandığını belirleyen iki önemli faktör vardır:

• E-posta koruma türü için işleme sırası: Bu sıra yapılandırılamaz ve aşağıdaki tabloda açıklanmıştır:

  Sipariş	Email koruması	Kategori	Yönetileceği yer
  1	Kötü amaçlı yazılım	CAT:MALW	EOP'de kötü amaçlı yazılımdan koruma ilkelerini yapılandırma
  2	Yüksek güvenilirlikli kimlik avı	CAT:HPHSH	EOP'de istenmeyen posta önleme ilkelerini yapılandırma
  3	Kimlik Avı	CAT:PHSH	EOP'de istenmeyen posta önleme ilkelerini yapılandırma
  4	Yüksek güvenilirlikli istenmeyen posta	CAT:HSPM	EOP'de istenmeyen posta önleme ilkelerini yapılandırma
  5	Sızdırma	CAT:SPOOF	EOP'de sahte zeka içgörüleri
  6*	Kullanıcı kimliğe bürünme (korumalı kullanıcılar)	CAT:UIMP	Office 365 için Microsoft Defender'de kimlik avı önleme ilkelerini yapılandırma
  7*	Etki alanı kimliğe bürünme (korumalı etki alanları)	CAT:DIMP	Office 365 için Microsoft Defender'de kimlik avı önleme ilkelerini yapılandırma
  8*	Posta kutusu yönetim bilgileri (kişi grafı)	CAT:GIMP	Office 365 için Microsoft Defender'de kimlik avı önleme ilkelerini yapılandırma
  9	Spam	CAT:SPM	EOP'de istenmeyen posta önleme ilkelerini yapılandırma
  10	Yığın	CAT:BULK	EOP'de istenmeyen posta önleme ilkelerini yapılandırma

  ^*Bu özellikler yalnızca Office 365 için Microsoft Defender kimlik avı önleme ilkelerinde kullanılabilir.

• İlkelerin öncelik sırası: İlke öncelik sırası aşağıdaki listede gösterilir:

  1. Katı önceden ayarlanmış güvenlik ilkesindeki (etkinleştirildiğinde) istenmeyen posta, kötü amaçlı yazılımdan koruma, kimlik avı önleme, Güvenli Bağlantılar^* ve Güvenli Ekler^* ilkeleri.

  2. Standart önceden ayarlanmış güvenlik ilkesindeki (etkinleştirildiğinde) istenmeyen posta, kötü amaçlı yazılımdan koruma, kimlik avı önleme, Güvenli Bağlantılar^* ve Güvenli Ekler^* ilkeleri.

  3. Office 365 için Defender değerlendirme ilkelerindeki (etkinleştirildiğinde) kimlik avı önleme, Güvenli Bağlantılar ve Güvenli Ekler.

  4. Özel istenmeyen posta önleme, kötü amaçlı yazılımdan koruma, kimlik avı önleme, Güvenli Bağlantılar^* ve Güvenli Ekler^* ilkeleri (oluşturulduğunda).

     İlkeyi oluşturduğunuzda özel ilkelere varsayılan öncelik değeri atanır (daha yeni eşittir), ancak öncelik değerini istediğiniz zaman değiştirebilirsiniz. Bu öncelik değeri, bu türdeki özel ilkelerin (istenmeyen posta, kötü amaçlı yazılımdan koruma, kimlik avından koruma vb.) uygulanma sırasını etkiler, ancak özel ilkelerin genel sırada uygulandığı yeri etkilemez.

  5. Eşit değer:

     • Yerleşik koruma önceden ayarlanmış güvenlik ilkesindeki Güvenli Bağlantılar ve Güvenli Ekler ilkeleri^*.
     • Kötü amaçlı yazılımdan koruma, istenmeyen posta önleme ve kimlik avı önleme için varsayılan ilkeler.

     Yerleşik koruma önayarlı güvenlik ilkesinde özel durumları yapılandırabilirsiniz, ancak özel durumları varsayılan ilkeler için yapılandıramazsınız (bunlar tüm alıcılar için geçerlidir ve bunları kapatamazsınız).

  ^*Yalnızca Office 365 için Defender.

  Önemli

  Aynı alıcıya kasıtlı olarak veya istemeden birden çok ilkeye dahil edilmesi durumunda öncelik sırası önemlidir çünkü bu alıcıya yalnızca bu türdeki ilk ilke (istenmeyen posta önleme, kötü amaçlı yazılımdan koruma, kimlik avından koruma vb.) alıcının kaç ilkeye eklendiğinden bağımsız olarak uygulanır. Alıcı için birden çok ilkedeki ayarların birleştirilmesi veya birleştirilmesi hiçbir zaman yoktur. Alıcı, bu türdeki kalan ilkelerin ayarlarından etkilenmez.

Örneğin, "Contoso Yöneticileri" adlı grup aşağıdaki ilkelere dahil edilir:

• Katı önceden ayarlanmış güvenlik ilkesi
• Öncelik değeri 0 (en yüksek öncelik) olan özel bir istenmeyen posta önleme ilkesi
• Öncelik değeri 1 olan özel bir istenmeyen posta önleme ilkesi.

Contoso Yöneticilerinin üyelerine hangi istenmeyen posta önleme ilkesi ayarları uygulanır? Katı önceden ayarlanmış güvenlik ilkesi. Özel istenmeyen posta önleme ilkelerindeki ayarlar Contoso Yöneticilerinin üyeleri için yoksayılır, çünkü önce Katı önceden belirlenmiş güvenlik ilkesi her zaman uygulanır.

Başka bir örnek olarak, Office 365 için Microsoft Defender'da aynı alıcılar için geçerli olan aşağıdaki özel kimlik avı önleme ilkelerini ve hem kullanıcı kimliğine bürünme hem de kimlik sahtekarlığı içeren bir iletiyi göz önünde bulundurun:

1. Kimlik sahtekarlığı (5) e-posta koruma türü için işleme sırasına göre kullanıcı kimliğine bürünmeden (6) önce değerlendirildiğinden ileti kimlik sahtekarlığı olarak tanımlanır.
2. İlke A, İlke B'den daha yüksek bir önceliğe sahip olduğundan önce uygulanır.
3. İlke A'daki ayarlara bağlı olarak, kimlik sahtekarlığı önleme kapatıldığından iletide hiçbir işlem yapılmaz.
4. Dahil edilen tüm alıcılar için kimlik avı önleme ilkelerinin işlenmesi durdurulduğundan, İlke B, aynı zamanda İlke A'da bulunan alıcılara hiçbir zaman uygulanmaz.

Alıcıların istediğiniz koruma ayarlarını almasını sağlamak için, ilke üyelikleri için aşağıdaki yönergeleri kullanın:

• Daha yüksek öncelikli ilkelere daha az sayıda kullanıcı ve düşük öncelikli ilkeler için daha fazla sayıda kullanıcı atayın. Varsayılan ilkelerin her zaman en son uygulandığını unutmayın.
• Daha yüksek öncelikli ilkeleri, düşük öncelikli ilkelerden daha katı veya daha özel ayarlara sahip olacak şekilde yapılandırın. Özel ilkelerdeki ayarlar ve varsayılan ilkeler üzerinde tam denetime sahipsiniz, ancak önceden ayarlanmış güvenlik ilkelerindeki çoğu ayar üzerinde denetim sahibi olmazsınız.
• Daha az özel ilke kullanmayı göz önünde bulundurun (yalnızca Standart veya Katı önceden belirlenmiş güvenlik ilkelerinden veya varsayılan ilkelerden daha özel ayarlar gerektiren kullanıcılar için özel ilkeler kullanın).

Ek

EOP'de kullanıcının izin ve bloklara, kiracının izin vermesine ve bloklara ve filtreleme yığını kararlarına nasıl izin verdiği ve birbirini tamamlayıp çeliştiği Office 365 için Defender anlamak önemlidir.

• Yığınları filtreleme ve bunların nasıl birleştirildiği hakkında bilgi için bkz. Office 365 için Microsoft Defender'de adım adım tehdit koruması.
• Filtreleme yığını bir karar belirledikten sonra yalnızca kiracı ilkeleri ve yapılandırılan eylemleri değerlendirilir.
• Kullanıcının Güvenilir Gönderenler listesinde ve Engellenen Gönderenler listesinde aynı e-posta adresi veya etki alanı varsa, Güvenilir Gönderenler listesi önceliklidir.
• Aynı varlık (e-posta adresi, etki alanı, sahte gönderme altyapısı, dosya veya URL) bir izin verilen girişte ve Kiracı İzin Ver/Engelle Listesinde bir blok girişi varsa, blok girişi önceliklidir.

Kullanıcı izin verir ve bloklar

Kullanıcının güvenli liste koleksiyonundaki girdiler (Güvenilir Gönderenler listesi, Güvenilir Alıcılar listesi ve her posta kutusunda Engellenen Gönderenler listesi) aşağıdaki tabloda açıklandığı gibi bazı filtreleme yığını kararlarını geçersiz kılmaktadır:

• Exchange Online'da, ileti aşağıdaki koşullardan herhangi biri tarafından karantinaya alınırsa, Güvenilir Gönderen listesinde izin veren etki alanı çalışmayabilir:
  • İleti kötü amaçlı yazılım veya yüksek güvenilirlikli kimlik avı olarak tanımlanır (kötü amaçlı yazılım ve yüksek güvenilirlikli kimlik avı iletileri karantinaya alınır).
  • İstenmeyen posta önleme ilkelerindeki eylemler, postaları Gereksiz Email klasörüne taşımak yerine karantinaya almak üzere yapılandırılır.
  • E-posta iletisindeki e-posta adresi, URL veya dosya, Kiracı İzin Ver/Engelle Listesi'ndeki bir blok girdisinde de bulunur.

Kullanıcı posta kutularında güvenli liste koleksiyonu ve istenmeyen posta önleme ayarları hakkında daha fazla bilgi için bkz. Exchange Online posta kutularında gereksiz e-posta ayarlarını yapılandırma.

Kiracı izin verir ve blokları

Kiracı izin verir ve bloklar aşağıdaki tablolarda açıklandığı gibi bazı filtreleme yığını kararlarını geçersiz kılmaktadır:

• Gelişmiş teslim ilkesi (belirlenen SecOps posta kutuları ve kimlik avı benzetimi URL'leri için filtrelemeyi atlayın):

  Filtreleme yığını kararı	Gelişmiş teslim ilkesine izin ver
  Kötü amaçlı yazılım	Kiracı kazanır: posta kutusuna teslim Email
  Yüksek güvenilirlikli kimlik avı	Kiracı kazanır: posta kutusuna teslim Email
  Kimlik Avı	Kiracı kazanır: posta kutusuna teslim Email
  Yüksek güvenilirlikli istenmeyen posta	Kiracı kazanır: posta kutusuna teslim Email
  Spam	Kiracı kazanır: posta kutusuna teslim Email
  Yığın	Kiracı kazanır: posta kutusuna teslim Email
  İstenmeyen posta değil	Kiracı kazanır: posta kutusuna teslim Email

• Exchange posta akışı kuralları (taşıma kuralları olarak da bilinir):

  Filtreleme yığını kararı	Posta akışı kuralı izin verir*	Posta akışı kural blokları
  Kötü amaçlı yazılım	Filtre kazanır: Email karantinaya alındı	Filtre kazanır: Email karantinaya alındı
  Yüksek güvenilirlikli kimlik avı	Filtre kazanır: Email karmaşık yönlendirme dışında karantinaya alındı	Filtre kazanır: Email karantinaya alındı
  Kimlik Avı	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: Geçerli istenmeyen posta önleme ilkesinde kimlik avı eylemi
  Yüksek güvenilirlikli istenmeyen posta	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: Email kullanıcının Önemsiz Email klasörüne teslim edilir
  Spam	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: Email kullanıcının Önemsiz Email klasörüne teslim edilir
  Yığın	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: Email kullanıcının Önemsiz Email klasörüne teslim edilir
  İstenmeyen posta değil	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: Email kullanıcının Önemsiz Email klasörüne teslim edilir

  ^* Microsoft 365'in önünde üçüncü taraf bir güvenlik hizmeti veya cihaz kullanan kuruluşlar, SCL=-1 posta akışı kuralı yerine Kimliği Doğrulanmış Alınan Zincir (ARC) ( kullanılabilirlik için üçüncü tarafa başvurun) ve Bağlayıcılar için Gelişmiş Filtreleme (atlama listesi olarak da bilinir) kullanmayı düşünmelidir. Bu geliştirilmiş yöntemler, e-posta kimlik doğrulaması sorunlarını azaltır ve derinlemesine e-posta güvenliğini savunmayı teşvik eder.

• Bağlantı filtresi ilkelerinde IP İzin Ver Listesi ve IP Engelleme Listesi:

  Filtreleme yığını kararı	IP İzin Ver Listesi	IP Blok Listesi
  Kötü amaçlı yazılım	Filtre kazanır: Email karantinaya alındı	Filtre kazanır: Email karantinaya alındı
  Yüksek güvenilirlikli kimlik avı	Filtre kazanır: Email karantinaya alındı	Filtre kazanır: Email karantinaya alındı
  Kimlik Avı	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: sessizce bırakılan Email
  Yüksek güvenilirlikli istenmeyen posta	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: sessizce bırakılan Email
  Spam	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: sessizce bırakılan Email
  Yığın	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: sessizce bırakılan Email
  İstenmeyen posta değil	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: sessizce bırakılan Email

• İstenmeyen posta önleme ilkelerinde ayarlara izin verme ve bunları engelleme:

  • İzin verilen gönderen ve etki alanı listesi.
  • Engellenen gönderen ve etki alanı listesi.
  • Belirli ülkelerden/bölgelerden veya belirli dillerden gelen iletileri engelleyin.
  • Gelişmiş İstenmeyen Posta Filtresi (ASF) ayarlarına göre iletileri engelleyin.

  Filtreleme yığını kararı	İstenmeyen posta önleme ilkesi izin verir	İstenmeyen posta önleme ilkesi blokları
  Kötü amaçlı yazılım	Filtre kazanır: Email karantinaya alındı	Filtre kazanır: Email karantinaya alındı
  Yüksek güvenilirlikli kimlik avı	Filtre kazanır: Email karantinaya alındı	Filtre kazanır: Email karantinaya alındı
  Kimlik Avı	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: Geçerli istenmeyen posta önleme ilkesinde kimlik avı eylemi
  Yüksek güvenilirlikli istenmeyen posta	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: Email kullanıcının Önemsiz Email klasörüne teslim edilir
  Spam	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: Email kullanıcının Önemsiz Email klasörüne teslim edilir
  Yığın	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: Email kullanıcının Önemsiz Email klasörüne teslim edilir
  İstenmeyen posta değil	Kiracı kazanır: posta kutusuna teslim Email	Kiracı kazanır: Email kullanıcının Önemsiz Email klasörüne teslim edilir

• Kiracı İzin Ver/Engelle Listesindeki girişlere izin ver: İki tür izin verme girdisi vardır:

  • İleti düzeyi , girdilerin iletideki varlıklardan bağımsız olarak iletinin tamamında işlem görmesine izin verir. E-posta adresi ve etki alanları için izin ver girişleri, ileti düzeyinde izin verme girişleridir. Bunlar, girişlerin toplu ve istenmeyen posta kararlarını ve makine öğrenmesi modellerindeki yüksek güvenilirlikli kimlik avı kararlarını geçersiz kılmasına olanak tanır.
  • Varlık düzeyi , girişlerin varlıkların filtreleme kararına göre davranmasına izin verir. URL'ler, sahte gönderenler ve dosyalar için girişlere izin ver, varlık düzeyinde izin veren girişlerdir. Kötü amaçlı yazılım ve yüksek güvenilirlikli kimlik avı kararlarını geçersiz kılmak için varlık düzeyinde izin verilen girişleri kullanmanız gerekir. Bu girdileri yalnızca Microsoft 365'te varsayılan olarak Güvenli olduğundan göndererek oluşturabilirsiniz.

  Filtreleme yığını kararı	Email adresi/etki alanı
  Kötü amaçlı yazılım	Filtre kazanır: Email karantinaya alındı
  Yüksek güvenilirlikli kimlik avı	Filtre kazanır: Email karantinaya alındı
  Kimlik Avı	Kiracı kazanır: posta kutusuna teslim Email
  Yüksek güvenilirlikli istenmeyen posta	Kiracı kazanır: posta kutusuna teslim Email
  Spam	Kiracı kazanır: posta kutusuna teslim Email
  Yığın	Kiracı kazanır: posta kutusuna teslim Email
  İstenmeyen posta değil	Kiracı kazanır: posta kutusuna teslim Email

• Kiracı İzin Ver/Engelle Listesindeki girişleri engelle:

  Filtreleme yığını kararı	Email adresi/etki alanı	Paro -di	Dosya	URL
  Kötü amaçlı yazılım	Filtre kazanır: Email karantinaya alındı	Filtre kazanır: Email karantinaya alındı	Kiracı kazanır: Email karantinaya alındı	Filtre kazanır: Email karantinaya alındı
  Yüksek güvenilirlikli kimlik avı	Kiracı kazanır: Email karantinaya alındı	Filtre kazanır: Email karantinaya alındı	Kiracı kazanır: Email karantinaya alındı	Kiracı kazanır: Email karantinaya alındı
  Kimlik Avı	Kiracı kazanır: Email karantinaya alındı	Kiracı kazanır: Geçerli kimlik avı önleme ilkesinde kimlik sahtekarlığı eylemi	Kiracı kazanır: Email karantinaya alındı	Kiracı kazanır: Email karantinaya alındı
  Yüksek güvenilirlikli istenmeyen posta	Kiracı kazanır: Email karantinaya alındı	Kiracı kazanır: Geçerli kimlik avı önleme ilkesinde kimlik sahtekarlığı eylemi	Kiracı kazanır: Email karantinaya alındı	Kiracı kazanır: Email karantinaya alındı
  Spam	Kiracı kazanır: Email karantinaya alındı	Kiracı kazanır: Geçerli kimlik avı önleme ilkesinde kimlik sahtekarlığı eylemi	Kiracı kazanır: Email karantinaya alındı	Kiracı kazanır: Email karantinaya alındı
  Yığın	Kiracı kazanır: Email karantinaya alındı	Kiracı kazanır: Geçerli kimlik avı önleme ilkesinde kimlik sahtekarlığı eylemi	Kiracı kazanır: Email karantinaya alındı	Kiracı kazanır: Email karantinaya alındı
  İstenmeyen posta değil	Kiracı kazanır: Email karantinaya alındı	Kiracı kazanır: Geçerli kimlik avı önleme ilkesinde kimlik sahtekarlığı eylemi	Kiracı kazanır: Email karantinaya alındı	Kiracı kazanır: Email karantinaya alındı

Kullanıcı ve kiracı ayarları çakışması

Aşağıdaki tabloda, bir e-posta hem kullanıcı izin verme/engelleme ayarlarından hem de kiracı izin verme/engelleme ayarlarından etkileniyorsa çakışmaların nasıl çözüldüğü açıklanmaktadır: