Обход уровня доверия спама (SCL) -1: что это означает и как с этим бороться
Последнее обновление:
7 Время чтения: 7 минут
Ключевые выводы
- SCL -1 означает, что спам-фильтр был полностью обойден, а не то, что электронное письмо безопасно.
- Microsoft 365 присваивает оценки SCL от -1 до 9 для определения действий по обработке электронной почты.
- Внутренние аутентифицированные электронные письма автоматически получают SCL -1 в пределах одного арендатора.
- Правила почтового потока, в которых установлено «Обходить фильтрацию спама», являются наиболее распространенной причиной SCL -1.
- Списки безопасных отправителей в Outlook могут вызывать SCL -1 для определенных адресов.
- Широкий белый список IP-адресов и правила обхода на основе соединителей увеличивают риск фишинга.
- DMARC Pass не оправдывает установку SCL в -1, поскольку злоумышленники могут аутентифицировать свои собственные домены.
Когда в почтовый ящик вашего генерального директора попадает изощренная фишинговая приманка, это часто происходит потому, что она имеет тег SCL -1. Этот тег является цифровым эквивалентом VIP-пропуска, который позволяет отправителю проходить все контрольные точки безопасности. В Microsoft 365 SCL -1 не является знаком безопасности; это полный обход спам-фильтра. Хотя он предназначен для доверенного трафика, неправильно настроенные правила разрешения или соединители могут непреднамеренно расстелить красную ковровую дорожку для злоумышленников, доставляя вредоносное содержимое непосредственно вашим наиболее уязвимым пользователям.
Что такое уровень достоверности спама (SCL)?
Уровень достоверности спама — это значение, присваиваемое сообщению после его обработки фильтрами Microsoft (Exchange Online Protection или Microsoft Defender для Office 365), которое указывает на вероятность того, что сообщение является спамом.
Как используются баллы SCL
Сервис использует различные сигналы, такие как репутация отправителя, анализ содержимого и статус аутентификации, для оценки электронного письма. Затем оценка определяет, что произойдет с этим сообщением, на основе антиспам-политик вашей организации.
Типичные диапазоны баллов SCL
| Оценка SCL | Значение | Принятые меры (стандартные) |
|---|---|---|
| -1 | Обходной | Фильтр пропущен; сообщение доставлено в папку «Входящие». |
| 0, 1 | Не спам | Сообщение доставлено в папку «Входящие». |
| 5, 6 | Спам | Сообщение отправлено в папку «Спам». |
| 9 | Спам с высокой степенью достоверности | Сообщение отправлено в папку «Спам» или помещено в карантин. |
Что означает SCL -1?
SCL-1 в качестве индикатора обхода
SCL -1 является уникальным, поскольку не является «оценкой», основанной на анализе содержания. Вместо этого, это статус, определяемый политикой. Он указывает, что сообщение было исключено из фильтрации спама до того, как сканер содержания смог его оценить.
SCL -1 — это хорошо или плохо?
- Плюсы: гарантирует, что важные внутренние сообщения или известные безопасные автоматические оповещения (например, уведомления от сервера) никогда не будут случайно отправлены в корзину.
- Недостатки: создает огромную лазейку в системе безопасности. Если злоумышленнику удается обойти SCL -1 путем подделки или использования неправильно настроенного списка «Разрешить», его вредоносный код попадает прямо в почтовый ящик пользователя без какой-либо проверки.
Почему это важно сейчас: современные злоумышленники все чаще используют фишинг, созданный с помощью искусственного интеллекта, и аутентифицированный спам с взломанных доменов партнеров, чтобы выглядеть «законными». Когда эти сложные уловки попадают в обход SCL -1, они уклоняются от поведенческого анализа, необходимого для предотвращения компрометации деловой электронной почты (BEC). К тому времени, когда человек понимает, что электронное письмо является поддельным, «доверительный» обход уже открыл путь для взлома.
Вы можете проверить, есть ли в настоящее время у вашего домена эти уязвимости, с помощью бесплатной проверки работоспособности домена.
Почему электронные письма получают SCL -1 Bypass
Несколько административных конфигураций вызывают значение SCL -1:
Надежные или внесенные в белый список отправители
- Списки безопасных отправителей: если отдельный пользователь добавляет адрес в свой список «Безопасные отправители» в Outlook, это может вызвать SCL -1.
- Правила транспортировки (правила почтового потока): наиболее частая причина. Администратор создает правило, гласящее: «Если отправитель — X, установите SCL на -1».
Аутентификация и обход на основе политик
- Аутентифицированная внутренняя почта: электронные письма, отправленные из одного внутреннего почтового ящика в другой в пределах одного и того же арендатора, автоматически считаются надежными и получают SCL -1.
- DMARC/SPF/DKIM: хотя прохождение этих проверок не гарантирует автоматически получение SCL -1, многие администраторы неправильно настраивают правила, чтобы обойти фильтрацию для любого домена, который просто проходит DMARC. Чтобы избежать ошибок в настройках, используйте автоматический генератор записей SPF и генератор DKIM, чтобы убедиться, что ваши записи действительны.
Сценарии с участием третьих сторон и на основе соединителей
- Партнерские соединители: если у вас настроен безопасный соединитель с партнерской организацией, почта, отправленная по этому каналу, может обойти фильтрацию.
- Шлюзы электронной почты: если вы используете сторонний шлюз безопасности до того, как почта попадает в Microsoft 365, у вас, вероятно, есть правило обходить фильтрацию EOP для IP-адреса этого шлюза, чтобы предотвратить проблемы «двойной фильтрации».
Является ли SCL-1 угрозой безопасности?
SCL-1 может представлять или не представлять угрозу безопасности.
Когда ожидается SCL -1
Совершенно нормально видеть SCL -1 для:
- Внутренние объявления отдела кадров.
- Системные оповещения от внутренних серверов (с использованием аутентифицированного SMTP).
- Сообщения от проверенных, высоконадежных партнерских коннекторов.
Когда SCL -1 представляет опасность
Это становится риском, когда внешние электронные письма имеют такой рейтинг. Злоумышленники часто используют подделку отображаемого имени или похожие домены. Если ваши правила почтового трафика слишком широки (например, белый список всего домена верхнего уровня), злоумышленник может легко обойти вашу защиту.
- Предупреждение: «обход» означает, что электронное письмо пропускает фильтрацию спама, но все равно может быть проверено механизмами Zero-hour Auto Purge (ZAP) или Anti-Malware, в зависимости от ваших настроек Defender. Однако никогда не следует полагаться на них как на вторую линию защиты для пропущенных писем.
Как DMARC и аутентификация электронной почты влияют на SCL
Сильные сигналы аутентификации, такие как SPF, DKIM и DMARC являются основой доверия.
- Соответствие DMARC: когда электронное письмо проходит проверку DMARC, это доказывает, что отправитель является тем, за кого себя выдает.
- Ловушка: Администраторы часто допускают ошибку, устанавливая правило: «Если DMARC = Pass, установите SCL = -1». Это опасно, потому что спамер может владеть легитимным доменом, настроить DMARC идеально и отправлять «аутентифицированный» спам. Предотвратите злоупотребление вашей репутацией «аутентифицированным» спамом, отслеживая сводные отчеты DMARC в режиме реального времени.
Примечание: важно понимать, что DMARC и протоколы аутентификации электронной почты не заменяют спам-фильтры. DMARC предотвращает подделку домена, но не может защитить от вредоносного контента.
Использование такого решения, как PowerDMARC, поможет вам реализовать политику «Отклонять», гарантируя, что только авторизованные отправители могут использовать ваш домен. PowerDMARC не только защищает ваш домен от подделки, но и действует как превентивный контроль; он не заменяет необходимость использования фильтрации спама Microsoft для анализа входящего контента.
Как расследовать электронное письмо SCL-1
Проверка заголовков сообщений
Чтобы понять, почему сообщение было пропущено, необходимо просмотреть заголовки сообщений (с помощью Microsoft Message Header Analyzer). Ищите:
- X-MS-Exchange-Organization-SCL: -1
- X-Forefront-Antispam-Report: ищите теги SFV:SKN (решение по фильтрации спама: пропустить) или SFV:SKI (пропустить внутреннее).
Хорошая новость заключается в том, что вы можете мгновенно проанализировать свои заголовки. Воспользуйтесь анализатором заголовков электронных писем PowerDMARC, чтобы за считанные секунды расшифровать оценки SCL и выводы по безопасности.
Проверка правил потока почты
Перейдите в Центр администрирования Exchange (EAC) > Потоки почты > Правила. Найдите любое правило, в котором есть действие «Установить уровень достоверности спама (SCL) на… Обход фильтрации спама».
Как предотвратить злоупотребление обходом SCL-1
Значение SCL -1 должно быть редким исключением, а не правилом. Если в заголовках вашего почтового потока часто отображается этот обход для внешних отправителей, ваша «входная дверь» фактически открыта. Чтобы усилить безопасность без блокировки легитимной почты, следуйте этим рекомендациям:
1. Избегайте широкого белого списка IP-адресов и доменов
Одной из самых распространенных ошибок, которую допускают администраторы, является добавление в белый список всего диапазона IP-адресов или домена верхнего уровня для решения разовой проблемы с доставкой. Это настоящая золотая жила для злоумышленников. Если злоумышленник отправляет электронное письмо с платформы, которую вы добавили в белый список (например, с общего ESP или с взломанного сервера партнера), обход SCL -1 позволит его попытке фишинга пройти мимо фильтров Microsoft.
- Решение: используйте список разрешенных/запрещенных адресатов в портале Microsoft Defender для конкретных отправителей, а не общие правила транспортировки.
2. Включите «Расширенную фильтрацию для соединителей».
Если вы используете сторонний шлюз безопасности электронной почты до того, как почта поступает в Microsoft 365, у вас, вероятно, есть правило обхода, поэтому Microsoft не блокирует IP-адрес шлюза. Однако это часто скрывает истинный IP-адрес исходного отправителя.
- Решение: включите расширенную фильтрацию для соединителей (также известную как «Пропуск списка»). Это позволит Microsoft «просмотреть» ваш шлюз до исходного IP-адреса, гарантируя, что проверка репутации будет работать даже в случае технического обхода.
3. Внедрите строгую политику DMARC с помощью PowerDMARC
Злоумышленники часто подделывают ваш внутренний домен, чтобы заставить систему считать сообщение «внутренним», что автоматически запускает SCL -1. Без строгой политики DMARC Microsoft может не суметь отличить вашего генерального директора от хакера.
- Решение: используйте PowerDMARC, чтобы перевести ваш домен на политику p=reject. Это гарантирует, что любое электронное письмо, якобы отправленное с вашего домена, которое не прошло аутентификацию, будет немедленно заблокировано. Защищая свой домен, вы предотвращаете «внутреннее» злоупотребление доверием, которое приводит к опасным обходам SCL -1.
4. Используйте конфигурации с «минимальным доверием»
Вместо полного обхода используйте более точные настройки. Если письма конкретного партнера попадают в спам, не устанавливайте их SCL на -1.
- Решение: создайте правило почтового потока, которое помечает отправителя как «Безопасный», но при этом позволяет запускать функцию Microsoft Zero-hour Auto Purge (ZAP) и сканирование на наличие вредоносных программ. В качестве альтернативы можно настроить порог массовой рассылки (BCL) специально для этого отправителя, чтобы его письма не помечались как спам, но их содержание по-прежнему проверялось на наличие угроз.
Подведение итогов
Увидеть SCL -1 в заголовках писем — все равно что дать кому-то «VIP-пропуск за кулисы» в ваш почтовый ящик. Это отлично подходит для того, чтобы внутренние служебные записки вашего генерального директора не попадали в папку «Спам», но становится серьезной уязвимостью в системе безопасности, если запускается внешней почтой.
Если у вас есть широкие правила «Разрешить» или устаревшие белые списки, вы по сути говорите Microsoft 365 закрыть глаза и надеяться на лучшее. Злоумышленники любят находить такие обходные пути, потому что это означает, что их фишинговые ссылки получают свободный пропуск прямо к глазам ваших пользователей.
Лучший способ предотвратить подделку вашего домена хакерами с целью обхода этих «доверительных» мер — это иметь надежную DMARC.
PowerDMARC поможет вам отказаться от рискованных списков «Разрешить» и перейти к политике «Отклонить», которая действительно работает. Автоматизируя управление DMARC, SPF и DKIM, вы гарантируете, что только настоящий «вы» получите VIP-обслуживание, а подражатели будут остановлены на входе, прежде чем они доберутся до сканера SCL.
Готовы перестать гадать, кто попадает в ваш почтовый ящик? Начните бесплатную пробную версию PowerDMARC сегодня и превратите аутентификацию электронной почты из «возможно» в «точно».
Часто задаваемые вопросы
Означает ли SCL -1, что электронное письмо безопасно?
Нет. Это означает только то, что спам-фильтр был обойден. Электронное письмо все еще может содержать фишинговые ссылки или вредоносные вложения.
Могут ли злоумышленники использовать обход SCL -1?
Да, особенно если у вас есть широкие правила «Разрешить» на основе доменных имен или плохо настроенные соединители.
Как удалить SCL -1 для отправителя?
Найдите правило потока почты или запись в «Списке разрешенных/запрещенных арендаторов» в центре безопасности и соответствия требованиям и удалите или измените его.
Должны ли внешние электронные письма иметь SCL -1?
Редко. Только в определенных случаях, например, для доверенного стороннего аудитора безопасности или тесно интегрированного партнера SaaS.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Как отправлять защищенные письма в Gmail: пошаговое руководство - 7 апреля 2026 г.
- Как отправлять защищенные электронные письма в Outlook: пошаговое руководство - 2 апреля 2026 г.
- Сжатие SPF: сокращение количества запросов DNS для SPF и оптимизация записи SPF - 25 марта 2026 г.
