Cách cấu hình Anti-spam policies trên Microsoft Defender for Office 365

Tất cả thư đến đều được Exchange Online Protection (EOP) tự động bảo vệ khỏi thư rác đối với các tổ chức Microsoft 365 có hộp thư trong Exchange Online. EOP sử dụng các chính sách chống thư rác như một phần của hệ thống phòng chống thư rác tổng thể của tổ chức bạn.

Những gì bạn có thể quản lý bằng Anti-spam policies

Chính sách chống thư rác cho phép bạn kiểm soát cả thư đến và thư đi trong Exchange Online. Trong Microsoft Defender XDR, bạn có thể truy cập vào mục Chính sách chống thư rác, nơi có ba chính sách mặc định để chỉnh sửa. Ngoài ra, bạn cũng có thể tạo các chính sách tùy chỉnh, và thông tin chi tiết hơn về vấn đề này sẽ được thảo luận sau trong bài viết này.

Anti-spam inbound policy (Mặc định)

Trong chính sách nhập khẩu này, bạn có thể quản lý:

• Ngưỡng gửi email hàng loạt và các thuộc tính thư rác , chẳng hạn như từ chối email từ các quốc gia có rủi ro cao.
• Các hành động đối với thư rác , cho phép thiết lập các hành động (chuyển vào thư rác, cách ly, xóa, v.v.) khi phát hiện thư rác. Dựa trên kết quả, bạn có thể chọn cách xử lý, chẳng hạn như cách ly thư, và bạn có thể quản lý việc này bằng các chính sách cách ly.
• Các người gửi hoặc tên miền được cho phép và bị chặn , chẳng hạn như [email protected]hoặc domain.com(không được khuyến nghị).
  • Để tạo danh sách người gửi bị chặn/an toàn trong EOP, hãy làm theo hướng dẫn trong hai liên kết bên dưới:
    • Tạo danh sách người gửi bị chặn trong EOP
    • Tạo danh sách người gửi an toàn trong EOP

Connection filter policy (Mặc định)

Trong chính sách lọc này, bạn có thể quản lý:

• Danh sách IP được phép: Các địa chỉ IP trong danh sách này sẽ không được lọc thư rác.
• Danh sách chặn IP: Các địa chỉ IP trong danh sách này sẽ bị chặn.
• Danh sách an toàn: Danh sách an toàn trong chính sách lọc kết nối là một danh sách cho phép động, không yêu cầu người dùng thiết lập. Microsoft tự động xác định các nguồn email đáng tin cậy từ các đăng ký của bên thứ ba. Bạn có thể bật hoặc tắt danh sách an toàn nhưng không thể cấu hình máy chủ của nó. Các tin nhắn đến từ các máy chủ này sẽ bỏ qua bộ lọc thư rác.

Anti-spam outbound policy (Mặc định)

Trong chính sách xuất dữ liệu này, bạn có thể quản lý:

• Giới hạn tin nhắn nội bộ/bên ngoài (mỗi giờ), thiết lập giới hạn mỗi giờ cho người dùng của bạn (giá trị không được vượt quá giới hạn hàng ngày).
• Giới hạn tin nhắn hàng ngày, giới hạn mặc định là 10,000số email mỗi ngày, giới hạn này có thể được thay đổi trong khoảng 0từ đến 10,000.

Bắt đầu từ tháng 10 năm 2026, Exchange Online sẽ bắt đầu áp dụng giới hạn số lượng người nhận bên ngoài (ERR) là 2.000 người nhận trong 24 giờ. Nếu bạn có hộp thư được lưu trữ trên đám mây cần vượt quá giới hạn ERR, bạn có thể chuyển sang Azure Communication Services for Email, được thiết kế đặc biệt cho việc gửi email số lượng lớn đến người nhận bên ngoài tenant của bạn. Đối với các tin nhắn nội bộ, bạn có thể sử dụng High Volume Email for Microsoft 365 ( HVE trên Microsoft Learn – Public Preview).

• Chức năng giới hạn, nhằm hạn chế người dùng gửi email khi đã đạt đến giới hạn số tin nhắn cho phép.
• Tắt tính năng chuyển tiếp tự động, đây là một trong ba tùy chọn có sẵn để tắt tính năng chuyển tiếp tự động trong EOP; thông tin chi tiết hơn sẽ được cung cấp sau trong bài viết này.

Thực tiễn tốt nhất

Các phương pháp thực hành tốt nhất dựa trên cài đặt khuyến nghị Nghiêm ngặt của Trình phân tích cấu hình cho chính sách chống thư rác đến và chính sách chống thư rác đi.

Chính sách chống thư rác đến

• Đặt ngưỡng gửi email hàng loạt tối thiểu là 5.
  • Ngưỡng gửi email hàng loạt càng cao thì số lượng email hàng loạt được gửi đi càng nhiều.
  • Bạn cũng có thể xem trang Thông tin chi tiết về người gửi thư rác để xem có bao nhiêu thư được phân loại là thư rác ở mỗi cấp độ BCL (từ 1 đến 9) trong 60 ngày qua. Trên cùng trang này, bạn có thể mô phỏng các thay đổi đối với ngưỡng thư rác và xem tác động đến số lượng tin nhắn được gửi đi so với những tin nhắn được xác định là thư rác trong chính sách chống thư rác đến của bạn.
  • Bạn nên tắt cài đặt ASF (Bộ lọc thư rác nâng cao) vì chúng thường gây ra lỗi nhận diện sai. Ví dụ, một số thành phần trong thư có thể khiến thư bị gắn cờ là thư rác hoặc làm tăng điểm số thư rác. Chẳng hạn, với cài đặt ASF: Bản ghi SPF: lỗi nghiêm trọng, các thư đến được gửi từ địa chỉ IP không có trong bản ghi SPF của người gửi sẽ tự động được đánh dấu là thư rác có độ tin cậy cao (HSPM). Điều này xảy ra ngay cả khi thư tuân thủ DMARC (dmarc=pass) do xác thực DKIM thành công cho miền người gửi P2.
• Hãy đặt tất cả các hành động chống thư rác của bạn thành ‘Cách ly tin nhắn’.
  • Tôi chỉ muốn chọn yêu cầu gỡ bỏ chính sách cách ly đối với các hành động “Hành động tin nhắn lừa đảo” và ” Hành động tin nhắn lừa đảo có độ tin cậy cao ” (đồng thời, quyền gỡ bỏ cách ly sẽ bị bỏ qua đối với các tin nhắn lừa đảo có độ tin cậy cao).
• Đặt chế độ mặc định cho tin nhắn nội bộ tổ chức. Cài đặt này kiểm soát việc lọc thư rác, và các hành động tương ứng sẽ được áp dụng cho các tin nhắn nội bộ (tin nhắn được gửi giữa các người dùng trong cùng một tổ chức).
  • Giá trị mặc định giống với việc chọn “Tin nhắn lừa đảo có độ tin cậy cao”.
• Hãy để nguyên tùy chọn ‘Giữ thư rác trong khu cách ly trong số ngày này’ ở chế độ mặc định là 30 ngày.
• Hãy bật tùy chọn “Mẹo chống thư rác”, một biểu ngữ mã màu trong Outlook cảnh báo người nhận về các tin nhắn có khả năng gây hại.
• Hãy bật ZAP (Tự động xóa tin nhắn trong vòng một giờ) để xử lý thư rác và tin nhắn lừa đảo (mặc định là bật).
  • ZAP liên tục giám sát các bản cập nhật thư rác và phần mềm độc hại một cách liền mạch cho người dùng. Nó tự động phát hiện và xử lý các tin nhắn trong hộp thư của người dùng, tìm kiếm email đã được gửi trong 48 giờ gần nhất. Người dùng không nhận được thông báo về các tin nhắn đã được phát hiện và di chuyển.
• Không thiết lập bất kỳ người gửi hoặc tên miền nào được cho phép.
  • Việc cho phép người gửi hoặc tên miền được liệt kê trong chính sách chống thư rác tạo ra rủi ro cao vì có thể vượt qua tất cả các biện pháp bảo vệ chống thư rác, giả mạo, lừa đảo (ngoại trừ lừa đảo có độ tin cậy cao) và xác thực người gửi (SPF, DKIM, DMARC). Bạn nên cân nhắc sử dụng Danh sách cho phép/chặn của người thuê để tạo danh sách người gửi an toàn.

Chính sách lọc kết nối

• Cấu hình danh sách IP cho phép:
  • Việc thêm địa chỉ IP được cho phép thuận tiện hơn so với việc cho phép người gửi hoặc tên miền. Tuy nhiên, bạn luôn phải cẩn thận nếu thêm IP vào danh sách vì bất kỳ lý do gì (không sử dụng dải IP), hãy kiểm tra các IP này thường xuyên để biết chính xác nguồn gốc của từng IP. Mặc dù giả mạo IP ít phổ biến hơn, nhưng nó vẫn có thể xảy ra.
• Cấu hình danh sách chặn IP:
  • Kẻ gửi thư rác hoặc lừa đảo sẽ luôn gửi thư qua nhiều dải địa chỉ IP khác nhau. Trong hầu hết các trường hợp, mẫu tiêu đề email thường trùng khớp khi bạn nhận được email tấn công. Bạn có thể tạm thời chặn điều này bằng quy tắc luồng thư, chẳng hạn.
• Cấu hình danh sách an toàn:
  • Bạn không nên bật danh sách cho phép động này, vì các tin nhắn đến từ danh sách động này sẽ bỏ qua bộ lọc thư rác.

Chính sách chống thư rác gửi đi

• Cấu hình giới hạn tin nhắn gửi đi:
  • Khuyến nghị nghiêm ngặt:

    Restrict sending to external recipients (per hour)
    400
    Restrict sending to internal recipients (per hour)
    800
    Maximum recipient limit per day
    800

• Thiết lập các hạn chế đối với người dùng đạt đến giới hạn tin nhắn để ngăn người dùng gửi email ; người dùng có thể được gỡ bỏ các hạn chế khi không còn dấu hiệu nào cho thấy người dùng bị xâm phạm.
• Tắt tính năng chuyển tiếp tự động:
  • Việc vô hiệu hóa tùy chọn này ( Off - Forwarding is disabled (Off)) sẽ vô hiệu hóa mọi tính năng tự động chuyển tiếp trong môi trường của bạn. Vui lòng xem biểu đồ so sánh bên dưới để xác định xem tùy chọn này có đáp ứng nhu cầu của tổ chức bạn hay không.
    • LƯU Ý : Automatic - System-controlled (Automatic)tương đương với Off - Forwarding is disabled (Off), tuy nhiên nên đặt giá trị này thành Off - Forwarding is disabled (Off).

Chính sách chống thư rác gửi đi (Tùy chỉnh, Cho phép chuyển tiếp)

Có những trường hợp bạn muốn cho phép chuyển tiếp tự động đối với các tài khoản email cần được bật tính năng chuyển tiếp, chẳng hạn như chuyển tiếp email đến các kênh nhóm nội bộ (địa chỉ email.teams.ms) .

Trong trường hợp này, bạn có thể:

1. Tạo một chính sách gửi đi tùy chỉnh mới, ví dụ: ‘Chính sách gửi đi chống thư rác (Cho phép chuyển tiếp)’
2. Thêm (các) tài khoản email mong muốn vào chính sách.
3. Đặt chế độ chuyển tiếp tự động thành: ‘Bật — Chức năng chuyển tiếp đã được kích hoạt’ .

Bảng so sánh các phương pháp chặn chuyển tiếp tự động trong Microsoft 365

Exchange Online cung cấp một số phương pháp để chặn chuyển tiếp tự động. Đó là các tên miền từ xa, quy tắc vận chuyển và chính sách chống thư rác gửi đi. Mỗi phương pháp đều có ưu điểm và nhược điểm riêng:

Tổng kết

Nếu bạn chỉ muốn cho phép người dùng chuyển tiếp thư đến một vài tên miền cụ thể, lựa chọn tốt nhất là tắt tính năng chuyển tiếp tự động với các tên miền từ xa trong Exchange Online. Không nên sử dụng quy tắc luồng thư vì chuyển tiếp trực tiếp (phương thức chuyển tiếp OWA) vẫn có thể được sử dụng cho bất kỳ tên miền nào, chỉ có các chuyển tiếp tự động được tạo bằng quy tắc hộp thư đến mới bị chặn. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.