4.1 Manage antimalware and anti-spam policies
Release quarantine; configure spam settings; configure lists; configure notifications using the web UI and Windows PowerShell; implement Advance Threat Protection
Microsoft's Office 365 Exchange Online Protection (EOP) blir brukt for å bedre sikkerheten for mailbrukere i en Office 365-tentant. EOP kan brukes til å sette opp egne tilpassede filtere for å forhindre spam og malware, og til å lage regler for innkommende epost som skal blokkeres eller godtas, f.eks. basert på IP-adresse eller annen avsenderinformasjon.
Grovt sett så virker EOP som skissert under:
EOP administreres hovedsaklig fra:
- EAC > protection
Oppsett av mer avanserte transportregler gjøres fra:
- EAC > mai flow
4.1.1 Release quarantine
Ved å definere policyer for transportregler og content- (nå spam-)fltrering kan forskjellige typer uønsket innkommende mail bli konfigurert til å bli satt i karantene i stedet for å havne i sluttbrukeres søppelpost. Mer om oppsett av dette i Kapittel 4.1.2
Nedenfor ser vi et eksempel på at en mail har havnet i karantene.
Administratorer med tilgang til konsollet har mulighet til å frigi disse epostene fra karantene, slik at de kommer frem til enten én, flere eller alle mottakere. Samtidig har man også mulighet til å tillate den aktuelle avsenderen for fremtidige eposter.
De forskjellige alternativene finnes ved å velge aktuell(e) mail(er) i karantenen, og så trykke på mail-symbolet oppe i venstre hjørne:
Merk: Det er verdt å være klar over at mail som blir satt i karantene av et spam-filter, per default blir bevart i 15 dager før sletting. Denne verdien kan reduseres. Dersom mail blir satt i karantene av en transportregel konfigurert under EAC > mail flow, derimot, holdes mailen i karantene i 7 dager. Denne verdien kan ikke endres på.
PowerShell
For å fri en karantene-satt mail i PowerShell kan man benytte Release-QuantineMessage. Her vil man trenge å vite mailens messageID, som man blant annet kan finne på høyre side av quarantine-panelet i EAC.
# Hente en spesifikk mail fra karantene, og frigi den til en mottaker.
Get-QuarantineMessage -MessageID "" | Release-QuarantineMessage -User [email protected]
4.1.2 Configure spam settings
De vanligste innstillingene for filtrering av spam kan gjøres fra EAC > protection > spam filter (tidligere ble dette kalt content filter)
Her har man mulighet til å opprette flere filter-policyer for forskjellige typer mail med forskjellig prioritet. I det følgende eksempelet så editeres standard-policyen som har navn "Default". Denne kan endres ved å trykke på penn-symbolet i venstre hjørne, eller å dobbeltklikke.
Under spam and bulk actions har man fleksibilitet til å avgjøre hvilke handlinger som skal tas for innkommende typer spam som defineres i policyen. Det skilles mellom spam og high confidence spam, og man har mulighet til å sette forskjellige innstillinger for de to.
Default så er både Spam og High confidence spam satt opp til å sendes til sluttbrukernes søppelpostbokser. Det er også mulig f.eks. å slette spam, legge inn tekst i emnefeltet eller å sette i karantene. Dersom spam settes i karantene, så anbefales det å sette opp utsendelse av jevnlige varslinger om mottatt spam-mail til brukere, slik at de selv har mulighet til å be om å få frisluppet mail som uønsket har havnet i karantene. Mer om oppsett av notifications i Kap 4.1.4.
Innkommende epost til Office 365 blir tilordnet en Spam Confidence Level-rating. Denne ratingen bestemmer hvilken status en spam-melding får. Følgende tabell viser de ulike ratingene, og hvilken standard handling som utføres for innkommende mail av hver rating:
Ved å lage en transportregel i EAC har man mulighet til å sette en egenbestemt SCL-score for mail som matcher på ulike kriterier. Ønsker du mer informasjon om dette? Create rule to identify mail as spam or not spam by setting the spam confidence level (SCL)
4.1.3 Configure lists
Under menyen block lists inne i en spam-policy kan man f.eks. sette opp all mail fra en bestemt domene eller bestemt bruker til å bli blokkert. I tilfellet nedenfor er all mail fra domenet "mastech.no" satt opp til å bli definert som spam.
Tilsvarende er det mulig å legge inn motsatte regler for brukere og/eller domener som man ønsker å godta.
4.1.4 Configure notifications using the Web UI and Windows PowerShell
Spam-mail kan både settes opp til å havne enten i søppelpostboks, i karantene eller å slettes. For at brukere lettere skal kunne få oversikt over spam-mail som er forsøkt sendt til deres innboks, kan man aktiviere spam notification, som sender ut en liste over nye spam-meldinger med jevne mellomrom. Dette gir også brukerne mulighet til selv å frigi spam-meldinger i tilfelle de har blitt satt i karantene.
Dette gjør fra:
- EAC > Protection > Spam filter
Velg deretter den aktuelle spam-filter policyen, og gå deretter nedover i menyen til høyre hvor det finnes en option med navn "Configure end-user spam notifications...".
Varsler om spam aktiveres ved å huke av alternativet "Enable end-user spam notifications". I feltet nedenfor kan det velges et antall dager (fra 1 til 15) mellom hver nye spam-varsling skal sendes ut.
PowerShell
For å opprette dette med PowerShell kan man benytte Set-HostedContentFilterPolicy med parameter EnableEndUserSpamNotifications $true . Her kan man også sette innstillinger som bl.a. avsenderadresse og emne, noe man ikke har mulighet til fra UI.
# Konfigurerer spam notification for spam filter policyen Default
Set-HostedContentFilterPolicy -Identity "Default" -EnableEndUserSpamNotifications $true -EndUserSpamNotificationCustomFromAddress "[email protected]" -EndUserSpamNotificationCustomSubject "List of new spam mails put in quarantine" -EndUserSpamNotificationFrequency 7 -EndUserSpamNotificationLanguage Norwegian
4.1.5 Implement Advanced Threat Protection
Exchange Online Advanced Threat Protection (ATP) tilbyr ytterligere spamfiltrerings-funksjonalitet som bidrar til å beskytte en Office 365-organisasjon mot malware og virus i enda større grad. ATP er kun tilgjengelig for Office 365 Enterprise E5, men kan også legges til andre abonnement for en ekstra avgift.
Med ATP tilgjengelig, vil det finnes enda en sidefane i EAC med navn "Advanced threats". Her er det blant annet mulig å sette opp policyer for "safe links" og "safe attachments".
For mer genrerell informasjon om ATP, se Implementing Exchange Online Advanced Threat Protection (Part 1)
For implementasjon av "safe links" og "safe attachments", se Implementing Exchange Online Advanced Threat Protection (Part 2)