高风险交割池和在线交易所|第 10 部分#17

当前文章是上一篇文章的延续：高风险交付池和 Exchange Online |第 9#17 部分
在本文中，我们将重点讨论以下主题：

• Exchange Online 如何“决定”将特定电子邮件分类为垃圾邮件\垃圾邮件？
• 内部垃圾邮件消息流的描述

谁是批准电子邮件或将其识别为垃圾邮件的机构？

当 Office 365 收件人要求将电子邮件“传递”给其他收件人时，Exchange Online（如果我们想要更准确，则为 EOP）必须检查电子邮件并验证电子邮件是否“正常”或不被视为垃圾邮件\垃圾邮件。

出站电子邮件的“安全扫描过程”是通过解决两种类型的“安全基础设施”来实现的：

1. 专有阻止列表——不“向公众公开”。 ”
2. 第三方（合作伙伴）公共阻止列表提供商。

Exchange Online Protection (EOP) 使用自己的专有阻止列表以及第三方（合作伙伴）阻止列表。如果用户通过服务发送出站邮件后添加到我们的阻止列表，他们将收到 550 5.1.8 访问被拒绝，错误发件人消息。
此外，通过配置的域管理员地址会向以下地址发送通知当发件人被阻止发送出站垃圾邮件策略中的出站垃圾邮件设置时，电子邮件地址将收到发件人添加到我们的阻止列表中的邮件。

在下图中，我们可以看到该过程的“高级”流程，其中 Exchange Online 使用“黑色和阻止列表数据库”的帮助扫描 Office 365 用户发送的传出电子邮件。 ”

注意：流行的术语是“黑名单”提供商。在 Office 365 和 Exchange Online 文章中，使用最多的术语是：“阻止列表”提供商。

问：这些“神秘”的第三方（合作伙伴）公共区块列表提供商是谁？

答：有关此“第三方（合作伙伴）公共黑名单提供商”的信息已公开发布

在本文中，我们可以看到 Exchange Online 基础结构使用的第三方（合作伙伴）阻止列表提供商的列表。

Office 365 环境中的出站垃圾邮件场景流

为了演示“内部垃圾邮件”的流程，我们使用以下场景：

Office 365 用户向“目标收件人”发送电子邮件。电子邮件被扫描并识别为垃圾邮件\垃圾邮件。

因此，电子邮件将路由到 Exchange Online 高风险传递池，并将由 Exchange Online 高风险传递池发送到“她的目的地”。
场景的“结束”未知，因为我们无法找出安全策略是什么，以及邮件目的地基础设施将实施的规则。

第 1 步 - Office 365 收件人，将电子邮件发送给外部收件人。 Exchange Online 服务器接受请求。

第 2 步 - Exchange Online 接受电子邮件，并将电子邮件转发到 Exchange EOP（Exchange Online Protection）以进行进一步分析。

第 3 步 - 交换 EOP、接受电子邮件并将电子邮件转发到专有阻止列表 + 第三方（合作伙伴）阻止列表。

第 4 步 - 电子邮件由阻止列表提供商检查。在我们的场景中，电子邮件被识别为垃圾邮件\垃圾邮件。
该块列出了发送回 Exchange EOP 的提供商，并“通知”EOP 该电子邮件是“有问题的电子邮件”。 ”

第 5 步 - 由于电子邮件被识别为垃圾邮件\垃圾邮件，Exchange EOP 不会“转发”该电子邮件-邮件发送到标准 Exchange Online 服务器池，但电子邮件转发到“Exchange Online 高风险传递池”。 ”

第 6 步 - “高风险传递池”成员之一将尝试将电子邮件传递到目标邮件服务器。

基本假设是 - “目标邮件服务器”使用安全服务，其中通过黑名单提供商和另一种安全机制扫描和验证传入的电子邮件。

在我们的场景中，电子邮件很有可能被“目标邮件服务器”归类为垃圾邮件\垃圾邮件，因为 Exchange Online 高风险传递池的 IP 地址出现在众所周知的黑名单中。

注意：其他可能的情况是，由于电子邮件内容而不是通过 Exchange Online-高风险传递发送的电子邮件，电子邮件将被识别为垃圾邮件/垃圾邮件水池。

第 7 步 - “目标邮件服务器”使用的邮件安全基础设施。

每个“外部邮件基础设施”都使用不同的邮件安全策略和服务。

• 在某些情况下，“目标安全邮件网关”将阻止电子邮件并回复 NDR 消息。
• 在某些情况下，“目的地安全邮件网关”会将电子邮件发送至隔离区。
• 在某些情况下，“目标安全邮件网关”会增加SCL（垃圾邮件可信度）的值并将电子邮件转发给目标收件人。

NDR 消息示例

在下一节中，我们可以看到由“目标邮件服务器”返回给 Office 365 收件人的 NDR 消息的示例。 ”

请注意 NDR 消息上显示的 IP 地址。这是“属于”“高风险交付池”IP范围的IP地址

远程服务器返回“550-5.7.1 [157.56.116.102]”，我们的系统检测到来自您的 IP 地址的 550-5.7.1 未经请求的邮件数量异常。为了保护我们的 550-5.7.1 用户免受垃圾邮件的侵害，从您的 IP 地址发送的邮件已被阻止。 550-5.7.1 请访问 http://www.google.com/mail/help/bulk_mail.html 查看 550 5.7.1 我们的批量电子邮件发件人指南。 p10si13699322wje.90 - gsmtp’

回顾和最终结论

在我们收到通知的情况下，从我们组织发送的邮件被归类为垃圾邮件\垃圾邮件，现在的主要问题是：

从我们组织发送的邮件被识别为垃圾邮件\垃圾邮件的原因是什么？或者用简单的话来说：我们能责怪谁？

• 是Office 365用户吗？
• 是具体的电子邮件内容吗？
• 是否是 Exchange Online 服务器将电子邮件路由到“高风险传递池”？
• 是“高风险交割池”吗？
• 是 Office 365 黑名单提供商吗？
• 是目的邮件安全网关吗？

大多数时候，我们的本能倾向是责怪“对方”。 “另一侧”可能是目标邮件服务器，或者在我们的场景中是 Office 365 邮件服务器。

实际的答案是，在大多数情况下事实恰恰相反。

负责（有罪）的因素是我们的组织用户发送的电子邮件被识别为垃圾邮件\垃圾邮件位于“我们这边”！

如果我们想非常具体的话：“编写并发送特定电子邮件”的 Office 365 用户。

“问题根源”始于 Office 365 用户创建的“有问题的电子邮件”。 “有问题的电子邮件”是整个过程的其余部分的根源。

注意：在恶意软件的情况下，“有问题的电子邮件”是由恶意软件而不是用户自己创建的。

当 Exchange Online 将 Office 365 用户创建的电子邮件识别为垃圾邮件/垃圾邮件时，他会将电子邮件路由到 Exchange Online“高风险传递池”等。

当电子邮件到达目的地时，“目的地邮件服务器”很有可能会阻止该电子邮件，因为该电子邮件是由 Exchange Online-高风险传递池发送的，或者因为他也“看到”电子邮件内容有问题。