目的
以下の設定バリエーションについて、わかりやすいように mermaid で図示して整理します。
Office 365 use cases · Cloudflare Area 1 Email Security docs
Office 365 のドキュメントでは以下が参考になります。
- Exchange Onlineのメッセージで SCL へのメール フロー ルールを使用する | Microsoft Learn
- EOP のスパム信頼レベル (SCL) | Microsoft Learn
Cloudflare Area 1 の IP アドレスを IP 許可リストに設定している場合には、スパムフィルター処理がスキップ(SCL=-1 に設定)されるため、意図しない挙動となります。必要に応じて IP 許可リスト設定を見直してください。
- 既定の接続フィルター ポリシーを構成する | Microsoft Learn
IP 許可リスト: 指定した送信元 IP アドレスまたは IP アドレス範囲からのすべての受信メッセージのスパム フィルター処理をスキップします。 すべての受信メッセージは、マルウェアと信頼度の高いフィッシング用にスキャンされます。
参考:検知に対する推奨アクション
検知 アクション MALICIOUS常に隔離されるべきである。ユーザーが通知を必要とする場合、メッセージの解放には管理者の承認が必要です。ユーザは、管理者の承認なしに、悪意のある電子メールを自己修復する能力を持ってはならない。メールには本文と件名のラベルを必ず付けること。 SUSPICIOUS隔離されるべきではありません。メールは本文と件名にラベル付けされ、ユーザーの受信トレイまたは迷惑メールフォルダに配信されます。Advantage のお客様は、この設定でURL defangを使用してください。一方、Enterpriseのお客様は、常にメールリンクの分離を有効にしてください。 SPAM常に隔離する必要があります。ユーザが通知を必要とする場合、メールを解放するために管理者の承認が必要な場合と不要な場合があります。メールには件名ラベルを付けましょう。 BULK隔離されるべきではありません。電子メールには件名ラベルを付けて、受信トレイまたは迷惑メールフォルダに配信する。 SPOOFSPOOFの検出がクリーンな状態であり、許可リストで適切に管理されている場合、メールは常に隔離されます。SPOOFの検出がクリーンでない場合、Enhanced Detectionsが設定されていれば、SPAM処分と同じ扱いになります。そうでない場合、SPOOF検出メールはBULKとして扱われます。メールには本文と件名のラベルを付けましょう。
ユースケース1: Office 365 の迷惑メールフォルダと Area 1 の管理者隔離にメールを配信する(推奨)
Office 365 の迷惑メールフォルダと Area 1 の管理者隔離にメールを配信します。
ユースケース2: Office 365 の迷惑メールフォルダと Office 365 のユーザー管理隔離にメールを配信する(悪意のあるメールは Area 1 の管理者隔離)
SUSPICIOUS と BULK メッセージは Office 365 の迷惑メールフォルダに、
SPAM と SPOOF メッセージは Office 365 のユーザー管理隔離に配信する。
ユースケース3:Office 365 の迷惑メールフォルダと Office 365 の管理者隔離にメールを配信する
SUSPICIOUS と BULK のメッセージは Office 365 の迷惑メールフォルダに、
MALICIOUS 、SPAM 、SPOOF のメッセージは Office 365 の管理者隔離に配信されます。
(これは Office 365 管理者がメールを解放する必要があります。)
ユースケース4: Office 365 のユーザー管理隔離と Office 365 の管理者隔離にメールを配信する
SPAM および SPOOF メッセージは Office 365 のユーザー管理隔離に、
MALICIOUS メッセージは Office 365 の管理者隔離に配信します。
(この場合、Office 365 管理者がメールを解放する必要があります。)
ユースケース5: Office 365 の迷惑メールフォルダと Office 365 の管理者隔離にメールを配信する(ユーザへの隔離通知なし)
ユースケース3とは隔離通知がない点のみ異なる。
構成はユースケース3と同様。
参考:Office 365 隔離通知メール
