Microsoft начала внедрение усиленных правил фильтрации спама для пользователей Exchange

Понимание эволюции улучшенной фильтрации спама Microsoft

Подход Microsoft к безопасности электронной почты претерпел фундаментальную трансформацию, переходя от устаревших систем к сложным механизмам защиты на основе облачных технологий. Компания прекратила поддержку своей технологии фильтрации SmartScreen 1 ноября 2016 года, признав, что фильтрация на основе контента не может справиться с все более сложными атаками спама и фишинга. Это положило начало переходу к моделям на основе репутации, которые оценивают подлинность отправителя, а не только содержание сообщения.

Переход на Exchange Online Protection (EOP) обозначил парадигмальный сдвиг в философии фильтрации электронной почты. Вместо того чтобы полагаться исключительно на анализ содержания сообщения для выявления признаков спама, текущая система Microsoft использует несколько уровней защиты, включая фильтрацию соединений, анализ репутации отправителя, фильтрацию содержимого, фильтрацию вложений и фильтрацию на основе политик. Эти многоуровневые защиты работают через приоритетную последовательность транспортных агентов, которые последовательно оценивают входящие сообщения, создавая многослойный подход к защите, который значительно уменьшает вероятность попадания вредоносных сообщений в почтовые ящики пользователей.

Для пользователей, испытывающих воздействие этих изменений, разочарование часто возникает из-за увеличения строгости системы. То, что работало для доставки электронной почты всего несколько месяцев назад, может теперь не пройти проверки аутентификации. Текущая антипозорная структура Microsoft Exchange Server включает агент фильтрации отправителей, который сравнивает серверы отправки с запрещенными списками отправителей, агент Sender ID, который проверяет адреса отправителей по информации об IP, и агент фильтрации содержимого, который присваивает уровни уверенности в спаме на основе характеристик сообщения. Каждый уровень добавляет защиту, но также увеличивает вероятность фильтрации легитимных сообщений, если аутентификация не настроена должным образом.

Улучшение этой структуры в 2024 году и вплоть до 2025 года отражает признание Microsoft того, что традиционные подходы оказываются недостаточными против сложных целевых атак, включая компрометацию бизнес-электронной почты (BEC), попытки фишинга и перехват бесед. Microsoft представила возможности выявления на основе больших языковых моделей (LLM) в ноябре 2024 года, что позволяет системе анализировать язык электронной почты и выводить намерения для более точного определения атак BEC по сравнению с системами на основе правил. Это представляет собой фундаментальный прогресс в сложностях фильтрации электронной почты, переходя от репутации отправителя и аутентификации к семантическому анализу содержимого электронной почты.

Мандат аутентификации мая 2025 года: что изменилось и почему это важно

Наибольшее беспокойство пользователей электронной почты возникло 5 мая 2025 года, когда Microsoft ввел обязательные строгие требования к аутентификации для отправителей с высоким объемом отправок. Эти меры направлены в основном на домены, которые отправляют более 5 000 электронных писем в день на адреса Outlook.com, Hotmail.com или Live.com, применяя единые стандарты для всех потребительских сервисов электронной почты Microsoft.

Фрустрация, которую испытывают многие пользователи и администраторы, обусловлена неизменностью этих требований. В отличие от предыдущих подходов, когда неудачная аутентификация могла привести к помещению письма в карантин или папку со спамом, Microsoft теперь полностью отклоняет несоответствующие сообщения с кодом ошибки SMTP "550; 5.7.515 Доступ запрещен, домен отправителя не соответствует требуемому уровню аутентификации." Это означает, что сообщения просто не доходят — никаких предупреждений, никакого помещения в папку со спамом, просто полное отклонение на уровне сервера.

Три обязательных протокола аутентификации

Чтобы понять, почему ваши электронные письма могут не проходить, нужно знать три протокола аутентификации, которые теперь обязательны для Microsoft. Sender Policy Framework (SPF) требует от организаций публикации записей DNS, которые явно авторизуют IP-адреса и почтовые серверы, разрешенные для отправки электронной почты от имени их домена. Запись SPF должна проходить аутентификацию для отправляющего домена, причем записи DNS должны точно перечислять все авторизованные IP-адреса и хосты.

DomainKeys Identified Mail (DKIM) обеспечивает криптографическую валидацию, что электронные сообщения не были изменены в процессе передачи. DKIM требует, чтобы исходящие сообщения были цифровой подписью с использованием закрытого ключа, при этом подпись проверяется принимающими системами с использованием публичного ключа, опубликованного в DNS. Основная цель DKIM — проверить целостность сообщения и предотвратить его подделку во время передачи через почтовые серверы.

Domain-based Message Authentication, Reporting, and Conformance (DMARC) устанавливает политики для обработки сообщений, которые не прошли проверки SPF или DKIM. DMARC требует, чтобы домены публиковали записи с минимальной политикой "p=none", соответствующей аутентификации SPF или DKIM. Это согласование между протоколами создает всеобъемлющую структуру аутентификации, которая, при правильной реализации, значительно снижает спуффинг и фишинг электронной почты.

Почему полное применение создает проблемы для пользователей

Механизм выполнения отличается от предыдущих политик Microsoft тем, что требует, чтобы все три механизма аутентификации проходили одновременно. Ранее сильная подпись DKIM в сочетании с проходящей политикой DMARC могла позволить доставку сообщения, даже если SPF не прошел для конкретного сообщения. Согласно новым требованиям, отказ любого единственного механизма аутентификации приводит к отказу в доставке сообщения, исключая возможность частичной аутентификации.

Это представляет собой значительное ужесточение позиции Microsoft по обеспечению соблюдения и требует от организаций поддерживать безупречные конфигурации аутентификации во всех системах, способствующих их электронной почте. Для специалистов, управляющих электронной почтой через клиенты, такие как Mailbird, которые одновременно подключаются к нескольким учетным записям электронной почты, это означает необходимость удостовериться, что домен каждой подключенной учетной записи правильно настроен для аутентификации — в противном случае отправленные сообщения могут быть отклонены без ясной информации о проблеме.

Microsoft ясно дал понять, что добавление доменов в список безопасных отправителей не позволит обойти новое требование. Это представляет собой фундаментальный отход от некоторых ожиданий пользователей относительно списков безопасных отправителей и отражает мнение Microsoft о том, что соблюдение условий аутентификации не может быть отменено через настройки предпочтений пользователя. Компания оставляет за собой право принимать дополнительные меры отрицательного воздействия, включая дальнейшую фильтрацию или блокировку, против несоответствующих отправителей, которые демонстрируют критические нарушения аутентификации или лучших практик гигиены электронной почты.

Современная архитектура безопасности электронной почты и механизмы фильтрации

Помимо соблюдения аутентификации, инфраструктура фильтрации электронной почты Microsoft включает в себя сложные механизмы для обнаружения и блокировки вредоносного контента, которые напрямую влияют на качество обслуживания пользователей. Одной из самых мощных, но незаметных функций является Zero-Hour Auto Purge (ZAP), которая работает, ретроспективно обнаруживая и нейтрализуя вредоносные сообщения-фишинг, спам или вредоносное ПО, которые уже были доставлены в облачные почтовые ящики.

ZAP функционирует, постоянно мониторя обновления подписей спама и вредоносного ПО в службе Microsoft, которые обновляются в реальном времени ежедневно. Затем система ищет в почтовых ящиках пользователей ранее доставленные сообщения, которые теперь соответствуют подписям для вредоносного контента. Когда ZAP идентифицирует такое сообщение, она принимает автоматизированное действие в зависимости от действующего действия для этого типа вердикта в применяемой политике против спама. Поиск системы ограничивается последними 48 часами доставленной электронной почты, что обеспечивает приоритетное внимание к недавним угрозам и предотвращает чрезмерное историческое сканирование, которое может повлиять на производительность системы.

Как ZAP влияет на ваш опыт работы с почтой

Для пользователей ZAP работает незаметно, но эффективно. Если вы когда-либо задавались вопросом, почему электронное письмо, которое было в вашем почтовом ящике, внезапно исчезло, то, вероятно, причина в ZAP. Для сообщений, идентифицированных как фишинговые после доставки, но не как высоко доверенные фишинги, результат ZAP зависит от действия, установленного для вердикта фишинга в применяемых политиках против спама. Если политика против спама указывает, что фишинговые сообщения должны быть перемещены в папку Спам, ZAP выполняет это действие ретроспективно. Если политика указывает на карантин, ZAP помещает сообщение в карантин.

Для сообщений, идентифицированных как высоко доверенные фишинги после доставки, ZAP автоматически помещает сообщение в карантин независимо от других настроек политики. Обратите внимание, что пользователи не уведомляются, когда ZAP обнаруживает и перемещает сообщение, что предотвращает ненужное беспокойство о сообщениях, которые в конечном итоге были защищены. Эта тихая работа, хотя и эффективна с точки зрения безопасности, может вызвать путаницу, когда пользователи замечают, что сообщения исчезли из их почтового ящика без объяснения причин.

Политики против спама и подробный контроль

Сами политики против спама предоставляют детальный контроль над обработкой сообщений. Microsoft 365 классифицирует входящие сообщения на несколько вердиктов фильтрации спама, включая стандартный спам (уровень доверия спама 5-6), высоко доверенный спам (SCL 7-9), фишинг и высоко доверенный фишинг. Организации могут настраивать разные действия для каждого типа вердикта, начиная от перемещения сообщений в папки спама до их карантинирования или окончательного удаления.

Система также поддерживает добавление пользовательских X-заголовков или предварительное добавление текста в строке темы к помеченным сообщениям, что позволяет системам обработки сообщений действовать в соответствии с политиками организации. Список разрешений/блокировок арендатора предоставляет возможности ручного вмешательства, позволяя администраторам создавать записи разрешения для конкретных отправителей или доменов, которые в противном случае были бы отфильтрованы, и записи блокировки, чтобы явно предотвратить доставку от указанных отправителей или доменов.

Улучшенная фильтрация для сложной маршрутизации почты

Улучшенная фильтрация для соединителей представляет собой еще одну продвинутую возможность, специально разработанную для сложных сценариев маршрутизации электронной почты, когда электронная почта проходит через несколько промежуточных служб, прежде чем достигнуть Microsoft 365. В гибридных средах, где интернет-почта маршрутизируется через локальные среды Exchange перед доставкой в Microsoft 365, или где интернет-почта маршрутизируется через службы, не относящиеся к Microsoft, перед доставкой получателям Microsoft 365, Улучшенная фильтрация для соединителей сохраняет IP-адрес и информацию об отправителе из предыдущих переходов и интеллектуально восстанавливается после ошибок подписи DKIM.

Это особенно важно, поскольку многие службы, которые модифицируют сообщения в процессе передачи, не поддерживают герметизацию аутентифицированной цепи получателей (ARC), что в противном случае сохраняло бы оригинальную информацию об аутентификации. Сохраняя оригинальный IP-адрес и интеллектуально обрабатывая ошибки DKIM, Улучшенная фильтрация для соединителей позволяет стеку фильтрации Microsoft и моделям машинного обучения работать с повышенной точностью, снижая количество ложных срабатываний от DMARC и улучшая обнаружение подделки и фишинга.

Воздействие на пользователей электронной почты, организации и приложения для электронной почты

Внедрение улучшенных правил фильтрации спама от Microsoft создает каскад эффектов среди различных заинтересованных сторон. Для отдельных пользователей, полагающихся на учетные записи Microsoft 365 или адреса Outlook.com, основное преимущество проявляется в улучшении гигиены почтового ящика и снижении подверженности фишинговым атакам и сложным атакам социальной инженерии. Сочетание более строгих требований к аутентификации, анализа контента на основе LLM и ретроактивного обнаружения угроз с помощью ZAP предоставляет несколько защитных уровней, значительно уменьшающих вероятность компрометации через атаки на электронную почту.

Тем не менее, обязательные требования к аутентификации создают значительные проблемы соблюдения для организаций, управляющих инфраструктурой электронной почты. Любая организация, отправляющая более 5,000 электронных писем в день на потребительские домены Microsoft, должна убедиться, что их конфигурации SPF, DKIM и DMARC идеально согласованы, без пропусков или упущений в конфигурации, которые могут привести к временным сбоям. Это особенно сложно для организаций со сложной инфраструктурой электронной почты, включающей несколько систем отправки, включая маркетинговые платформы, системы управления взаимоотношениями с клиентами, услуги транзакционной электронной почты и уведомления, генерируемые приложениями.

Проблема массовых отправителей

Воздействие на массовых отправителей электронной почты оказывается особенно значительным. Организации должны поддерживать чистые списки электронной почты, удаляя отказы и подавляя неактивных контактов, избегать отправки чрезмерных объемов за короткие промежутки времени, которые могут спровоцировать лимитирование скорости или порог репутации, и поддерживать последовательные шаблоны отправки, которые помогают установить доверие с системами Microsoft. Организации, которые построили свои стратегии email-маркетинга вокруг высокообъемных кампаний с использованием списков, купленных у третьих лиц, сталкиваются с существенным давлением, чтобы принять более сложные, ориентированные на вовлеченность подходы, соответствующие ожиданиям Microsoft относительно качества списков и согласия получателей.

Как клиенты электронной почты, такие как Mailbird, справляются с этими изменениями

Приложения для клиентов электронной почты, такие как Mailbird, сталкиваются с вторичным воздействием из-за этих изменений в аутентификации. Mailbird не реализует встроенную фильтрацию спама; вместо этого она делегирует фильтрацию спама поставщику электронных почтовых услуг. Когда Mailbird настроен для доступа к Gmail, Outlook, Yahoo или другим услугам электронной почты, сообщения, которые попадают в интерфейс Mailbird, уже были отфильтрованы системой фильтрации спама поставщика электронной почты.

Этот архитектурный подход предлагает значительные преимущества для пользователей. Когда Gmail, Outlook или Yahoo вводят более строгие правила фильтрации, пользователи, получающие доступ к этим учетным записям через Mailbird, автоматически получают преимущество улучшенной фильтрации без каких-либо изменений в функциональности Mailbird. Это упрощает бремя разработки Mailbird, одновременно гарантируя, что пользователи получают выгоду от сложных систем фильтрации крупных поставщиков электронной почты.

Для профессионалов, управляющих несколькими учетными записями электронной почты через объединенный интерфейс Mailbird, это означает получение постоянной защиты от спама по всем подключенным учетным записям, причем каждая учетная запись извлекает выгоду из специфических правил фильтрации и требований к аутентификации своего провайдера. Поддержка Mailbird для учетных записей Exchange обеспечивает возможность управления электронной почтой, размещенной на Microsoft, наряду с другими учетными записями, при этом извлекая выгоду из улучшенной фильтрации Microsoft без дополнительной конфигурации.

Требования к аутентификации для отправленных электронных писем

Тем не менее, требования Microsoft к аутентификации создают последствия для пользователей клиентов электронной почты, когда эти пользователи отправляют электронные письма через клиент. Если пользователь отправляет электронное письмо с домена, настроенного для использования интерфейса создания Mailbird, и этот домен подлежит требованиям аутентификации Microsoft из-за высокой объемной отправки, конфигурация аутентификации должна быть правильной, чтобы гарантировать доставку сообщения.

Для пользователей, отправляющих в основном личные или электронные письма с низким объемом, эти требования, как правило, представляют минимальную нагрузку, так как их объем отправки не достигает порога в 5,000 сообщений в день. Пользователи, отправляющие более высокие объемы, должны убедиться, что DNS-записи их домена корректно настроены и согласованы с протоколами SPF, DKIM и DMARC. Интерфейс Mailbird облегчает управление несколькими идентичностями отправки, но базовая аутентификация должна быть правильно настроена на уровне домена, чтобы гарантировать доставляемость адресатам Microsoft.

Практическое руководство по внедрению и лучшие практики

Понимание технических требований — это одно; успешная их реализация — совершенно другая задача. Для организаций и отдельных лиц, испытывающих трудности с новыми требованиями аутентификации Microsoft, структурированный подход оказывается необходимым для достижения и поддержания соответствия.

Начало с комплексной инвентаризации инфраструктуры

Основой успешного внедрения является комплексная инвентаризация всех систем, отправляющих электронные письма от имени организационных доменов. Это включает в себя внутренние системы, такие как почтовые серверы, серверы приложений и системы пакетной обработки, а также внешние системы, такие как платформы автоматизации маркетинга, транзакционные службы электронной почты и облачные интеграции. Каждая из этих систем имеет связанный IP-адрес или механизм отправки, который должен быть авторизован в вашей конфигурации аутентификации.

Многие организации выявляют неожиданные системы отправки в ходе этого процесса инвентаризации. Забытый сервер приложений, отправляющий автоматические уведомления, устаревшая система CRM, все еще генерирующая уведомления по электронной почте, или сторонний сервис, интегрированный много лет назад — каждая из этих систем представляет собой потенциальную точку отказа аутентификации, если она не документирована и не настроена должным образом.

Сначала внедрение DKIM-подписей

Организациям следует внедрить DKIM-подписи для всех пользовательских доменов и субдоменов перед настройкой политик DMARC. Это обеспечивает прохождение сообщений аутентификацию DKIM, если они не были изменены в процессе передачи, обеспечивая хотя бы один успешный механизм аутентификации даже в случае сбоя SPF. Для организаций, использующих несколько служб отправки электронной почты, проверка того, что все службы настроены на DKIM-подписание с использованием одного и того же домена, обеспечивает последовательность и предотвращает ошибки согласования.

Microsoft 365 может автоматически генерировать DKIM-ключи для пользовательских доменов и публиковать их в DNS, упрощая внедрение для организаций, использующих электронные почтовые услуги Microsoft. Однако организации должны убедиться, что их конфигурация DKIM охватывает все домены и субдомены, с которых они отправляют электронную почту, так как каждый субдомен требует своей конфигурации DKIM, если не унаследовано от настроек родительского домена.

Настройка SPF и лимит на 10 запросов

Настройка SPF должна осуществляться с особым вниманием к лимиту на 10 запросов и необходимости авторизовать все законные системы отправки. Организации должны использовать онлайн-инструменты тестирования SPF, чтобы проверить, что их записи SPF синтаксически корректны и что все авторизованные системы включены перед публикацией записей в DNS. Если записи SPF приближаются к лимиту в 10 запросов, организациям следует рассмотреть возможность консолидации инфраструктуры отправки или использования услуг по упрощению SPF для снижения количества запросов.

Проблема с SPF часто возникает, когда организации используют несколько облачных служб электронной почты или отправляют из географически распределенных центров обработки данных с динамичным выделением IP-адресов. Поддержание актуальных и полных записей SPF требует сложного мониторинга и автоматического обновления, чтобы обеспечить оперативную авторизацию новых систем отправки и удаление устаревших систем.

Внедрение DMARC по поэтапному подходу

Внедрение DMARC должно следовать поэтапному подходу, начиная с мониторинга "p=none", когда организации собирают данные о результатах аутентификации, не влияя на доставку сообщений. В ходе этой фазы мониторинга организации должны анализировать отчеты DMARC, чтобы выявить любые проблемы конфигурации или неожиданные сбои аутентификации. После подтверждения правильности конфигурации организации должны перейти на "p=quarantine", а затем, в конечном итоге, на "p=reject" по мере повышения уверенности организации в инфраструктуре аутентификации.

Этот поэтапный подход предотвращает катастрофический сценарий, когда некорректно настроенная аутентификация внезапно блокирует все организационные электронные письма. Фаза мониторинга с "p=none" обеспечивает видимость производительности аутентификации без риска, позволяя организациям выявлять и исправлять проблемы перед внедрением принудительных мер.

Гигиена списка и оптимизация паттернов отправки

Практики гигиены списка должны акцентировать внимание на удалении недействительных адресов, подавлении неактивных контактов и получении явного согласия от получателей перед отправкой массовых электронных писем. Организации должны контролировать уровень возвратов, уровень жалоб и метрики вовлеченности, чтобы выявить сегменты своих списков электронной почты, которые вызывают проблемы с доставляемостью. Паттерны отправки электронной почты должны быть нормализованы, чтобы избежать резких скачков в объеме или непоследовательных паттернов, которые могут вызвать ограничение скорости или штрафы за репутацию со стороны Microsoft.

Для организаций, переходящих с купленных списков или агрессивных тактик электронного маркетинга, это часто требует радикальных изменений в стратегии электронной почты. Фокус смещается с объемных метрик (сколько электронных писем отправлено) на метрики вовлеченности (сколько получателей фактически взаимодействует с электронными письмами), что соответствует ожиданиям Microsoft по качеству отправителей и согласию получателей.

Управление сторонними сервисами и сложная маршрутизация

Организациям, использующим сторонние службы фильтрации, архивирования или соблюдения требований, следует проверить, поддерживают ли эти службы запечатывание ARC, или настроить Расширенную фильтрацию для соединителей, чтобы сохранить первоначальную информацию аутентификации. Это предотвращает изменение сообщения, которое может нарушить аутентификацию DKIM и вызвать ошибки согласования, которые могут привести к отклонению сообщения.

В сценариях, когда электронная почта проходит через несколько промежуточных служб перед достижением Microsoft 365, Расширенная фильтрация для соединителей становится необходимой для поддержания целостности аутентификации. Эта функция интеллективно сохраняет информацию об отправителе и восстанавливается после сбоев подписи DKIM, вызванных законным изменением сообщения в процессе передачи, снижая количество ложных срабатываний, сохраняя при этом безопасность.

Будущее и развивающийся ландшафт безопасности электронной почты

Внедрение Microsoft улучшенных правил фильтрации спама и строгих требований к аутентификации сигнализирует о развитии безопасности электронной почты к будущему, где соблюдение аутентификации станет универсальным, а не исключительным. Слияние требований Gmail, Yahoo и Microsoft предполагает, что провайдеры электронной почты будут продолжать движение к более строгому соблюдению, что может привести к снижению исключений и льготных периодов для несоответствий.

Внедрение технологий обнаружения угроз на основе крупных языковых моделей в инфраструктуру фильтрации Microsoft указывает на вероятное направление будущих улучшений безопасности электронной почты. Поскольку технологии LLM продолжают развиваться, системы фильтрации электронной почты могут все больше анализировать семантическое содержание и контекстуальные связи, выраженные в электронных сообщениях, чтобы выявлять сложные атаки, использующие организационные структуры, финансовые процессы или человеческую психологию. Это развитие может в конечном итоге сделать устаревшими подходы к обнаружению на основе сигнатур и правил для сложных атак.

Регуляторный ландшафт и давление со стороны соблюдения

Регуляторный ландшафт вокруг аутентификации электронной почты и стандартов безопасности продолжает эволюционировать. Увеличение внимания к принципам безопасности с нулевым доверием, проверке личности и безопасности цепочки поставок может привести к регуляторным требованиям по соблюдению аутентификации, аналогичным тем, которые Microsoft внедрила добровольно. Организации, которые добьются соответствия текущим требованиям Microsoft, вероятно, окажутся в хорошем положении для выполнения будущих регуляторных требований, подчеркивающих аутентификацию и проверку отправителя.

Организации должны ожидать, что Microsoft продолжит итерации политики фильтрации и потенциально внедрит более строгие меры соблюдения в ответ на возникающие угрозы и паттерны атак. Компания явно оставляет за собой право принимать дополнительные негативные меры против отправителей, которые нарушают требования аутентификации или не поддерживают стандарты гигиены электронной почты. Будущие аннонсы могут включать изменения требований для конкретных отраслей, усиленное соблюдение для определённых категорий угроз или дополнительные технические требования, предназначенные для решения вновь выявленных векторов атак.

Роль почтовых клиентов в развивающемся ландшафте

Почтовые клиенты, такие как Mailbird, играют все более важную роль в помощи пользователям навигации по этому сложному ландшафту. Предоставляя единый доступ к нескольким почтовым аккаунтам, делегируя фильтрацию системам уровня провайдеров, Mailbird позволяет пользователям получать преимущества от повышенной безопасности, не управляя сложными техническими конфигурациями. Подход Mailbird к управлению электронной почтой сосредоточен на пользовательском опыте и производительности, позволяя пользователям сосредоточиться на коммуникации, а не на технических конфигурациях безопасности.

По мере эволюции требований к безопасности электронной почты становится все более очевидной ценность почтовых клиентов, которые упрощают управление несколькими аккаунтами, сохраняя при этом совместимость с функциями безопасности на уровне провайдеров. Пользователям, управляющим профессиональной почтой через несколько доменов и провайдеров, нужны инструменты, которые обеспечивают стабильный опыт без необходимости экспертного знания протоколов аутентификации и конфигураций фильтрации.

Часто задаваемые вопросы