С точки зрения результативной безопасности нельзя упускать из виду пользователей корпоративной электронной почты. Их преднамеренные или случайные действия способны нанести значительный вред как инфраструктуре организации, так и операционным процессам. Безопасная настройка почтового сервиса от действий пользователей помогает:
Для защиты от фишинга и спама рекомендуется использование сторонних средств защиты, поскольку встроенных возможностей Microsoft Exchange может быть недостаточно.
Однако использование сторонних решений для борьбы с фишингом и спамом не отменяет важности применения встроенных в Microsoft Exchange функций и изменения параметров, в том числе приведенных ниже.
Запретите получение почты через интернет для:
Запрет настраивается в соответствии с инструкцией Microsoft, доступной по .
Ограничьте отправку писем в официальные (важные) группы рассылки одним из двух вариантов:
После выбора варианта выполните настройку ограничений в соответствии с инструкцией, доступной по .
ВАЖНО! Фильтрация вложений возможна только при наличии роли Edge. В случае если вы не используете эту роль в своей инфраструктуре, вам необходимо настроить фильтрацию исполняемых вложений на стороннем антиспам- и антифишинг-решении или на внешнем почтовом сервере.
В качестве справочника списка расширений, которые нужно блокировать, используйте документацию Microsoft, доступную по .
Предупреждения о внешнем отправителе входящего письма рекомендуется применять в качестве вспомогательной меры для борьбы с фишингом. Для всех входящих писем настройте добавление текста, предупреждающего о действиях, которые не нужно совершать. Перед настройкой подготовьте уведомление в формате HTML.
В Exchange Admin Center перейдите в раздел Mail flow → Rules и настройте новое транспортное правило в соответствии с таблицей 1.
Таблица 1. Пример настроек транспортного правила в Exchange Admin Center
Действие Wrap
применяется для тех сообщений, которые отправлены в формате plain text
, и к нему не может быть добавлено уведомление в формате HTML.
При необходимости в это же транспортное правило можно добавить исключения для отдельных отправителей или получателей.
На DNS-сервере для используемых вами доменов реализуйте механизмы и стандарты безопасности , , а также отчеты об аутентификации сообщений домена .