Create seznamů blokovaných odesílatelů v EOP

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

V organizacích Microsoft 365 s poštovními schránkami ve Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek nabízí EOP několik způsobů blokování e-mailů od nežádoucích odesílatelů. Souhrnně si tyto možnosti můžete představit jako seznamy blokovaných odesílatelů.

Dostupné seznamy blokovaných odesílatelů jsou popsány v následujícím seznamu v pořadí od nejvíce doporučených po nejméně doporučené:

1. Blokové položky pro domény a e-mailové adresy (včetně zfalšovaných odesílatelů) v seznamu povolených/blokovaných tenantů
2. Blokovaní odesílatelé Outlooku (seznam blokovaných odesílatelů, který je uložený v každé poštovní schránce)
3. Seznamy blokovaných odesílatelů nebo seznamy blokovaných domén (zásady ochrany proti spamu).
4. Pravidla toku pošty (označovaná také jako pravidla přenosu)
5. Seznam blokovaných IP adres (filtrování připojení).

Zbytek tohoto článku obsahuje specifika o jednotlivých metodách.

Poznámka

Zprávy v seznamech blokovaných odesílatelů vždy odesílejte microsoftu k analýze. Pokyny najdete v tématu Nahlášení pochybných e-mailů microsoftu. Pokud jsou zprávy nebo zdroje zpráv označeny jako škodlivé, microsoft může zprávy automaticky zablokovat a vy nebudete muset položky ručně udržovat v seznamech blokovaných odesílatelů.

Místo blokování e-mailů máte také několik možností, jak povolit e-maily z konkrétních zdrojů pomocí seznamů bezpečných odesílatelů. Další informace najdete v tématu Create seznamu bezpečných odesílatelů.

základy Email zpráv

Standardní e-mailová zpráva SMTP se skládá z obálky zprávy a obsahu zprávy. Obálka zprávy obsahuje informace potřebné k přenosu a doručení zprávy mezi servery SMTP. Obsah zprávy obsahuje pole záhlaví zprávy (souhrnně označované jako záhlaví zprávy) a text zprávy. Obálka zprávy je popsána v dokumentu RFC 5321 a záhlaví zprávy je popsáno v dokumentu RFC 5322. Příjemci nikdy neuvidí skutečnou obálku zprávy, protože je vygenerovaná procesem přenosu zprávy a ve skutečnosti není součástí zprávy.

• Adresa 5321.MailFrom (označovaná také jako adresa MAIL FROM , odesílatel P1 nebo odesílatel obálky) je e-mailová adresa, která se používá při přenosu zprávy protokolem SMTP. Tato e-mailová adresa je obvykle zaznamenána v poli Hlavička return-path v záhlaví zprávy (i když odesílatel může určit jinou e-mailovou adresu Return-Path ). Pokud zprávu nelze doručit, je příjemcem oznámení o nedoručení (označované také jako oznámení o nedoručení nebo nedoručitelnosti).

• Adresa (označovaná 5322.From také jako adresa odesílatele nebo odesílatel P2) je e-mailová adresa v záhlaví Od a je e-mailová adresa odesílatele, která se zobrazuje v e-mailových klientech.

Adresy a 5322.From jsou často 5321.MailFrom stejné (komunikace mezi osobami). Pokud se ale e-mail posílá jménem někoho jiného, můžou se adresy lišit.

Seznamy blokovaných odesílatelů a seznamy blokovaných domén v zásadách ochrany proti spamu v EOP kontrolují pouze adresy 5322.From . Toto chování se podobá blokovaným odesílatelům aplikace Outlook, kteří používají adresu 5322.From .

Použití položek bloků v seznamu povolených/blokovaných tenantů

Naší první doporučenou možností blokování pošty od konkrétních odesílatelů nebo domén je seznam povolených/blokovaných klientů. Pokyny najdete v tématu Create blokové položky pro domény a e-mailové adresy a Create blokové položky pro zfalšované odesílatele.

Email zprávy od těchto odesílatelů jsou označené jako vysoce důvěryhodné spamy (SCL = 9). Co se se zprávami stane, je určeno zásadami ochrany proti spamu , které detekovaly zprávu pro příjemce. Ve výchozích zásadách ochrany proti spamu a nových vlastních zásadách jsou zprávy označené jako vysoce důvěryhodné spamy ve výchozím nastavení doručovány do složky Nevyžádaná pošta Email. Ve standardních a striktních přednastavených zásadách zabezpečení se spamové zprávy s vysokou spolehlivostí ukládají do karantény.

Další výhodou je, že uživatelé v organizaci nemůžou odesílat e-maily na tyto blokované domény a adresy. Obdrží následující zprávu o nedoručení (označované také jako oznámení o nedoručení nebo nedoručení): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Celá zpráva je blokovaná pro všechny interní i externí příjemce zprávy, i když je v blokované položce definovaná jenom jedna e-mailová adresa příjemce nebo doména.

Pouze pokud z nějakého důvodu nemůžete použít seznam povolených nebo blokovaných tenantů, měli byste zvážit použití jiné metody blokování odesílatelů.

Použití blokovaných odesílatelů Outlooku

Když nevyžádaný e-mail obdržel jen malý počet uživatelů, můžou uživatelé nebo správci přidat e-mailové adresy odesílatele do seznamu Blokovaní odesílatelé v poštovní schránce. Pokyny najdete v tématu Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek.

Pokud se zprávy úspěšně zablokují kvůli seznamu blokovaných odesílatelů uživatele, pole hlavičky X-Forefront-Antispam-Report bude obsahovat hodnotu SFV:BLK.

Poznámka

Pokud jsou nežádoucí zprávy bulletiny z renomovaného a rozpoznatelného zdroje, je další možností, jak zabránit uživateli v příjmu zpráv, zrušení odběru e-mailu.

Použití seznamů blokovaných odesílatelů nebo seznamů blokovaných domén

Pokud je ovlivněno více uživatelů, je rozsah širší, takže další nejlepší možností jsou blokované seznamy odesílatelů nebo seznamy blokovaných domén v zásadách ochrany proti spamu. Zprávy od odesílatelů v seznamech jsou označeny jako nevyžádaná pošta s vysokou spolehlivostí a u zpráv se provede akce, kterou jste nakonfigurovali pro verdikt filtru spamu s vysokou spolehlivostí . Další informace najdete v tématu Konfigurace zásad ochrany proti spamu.

Maximální limit pro tyto seznamy je přibližně 1 000 položek.

Použití pravidel toku pošty

Pravidla toku pošty můžou také hledat klíčová slova nebo jiné vlastnosti v nežádoucích zprávách.

Bez ohledu na podmínky nebo výjimky, které použijete k identifikaci zpráv, nakonfigurujete akci tak, aby se úroveň spolehlivosti spamu (SCL) zprávy nastavil na hodnotu 9, což označí zprávu jako nevyžádanou poštu s vysokou spolehlivostí. Další informace najdete v tématu Použití pravidel toku pošty k nastavení seznamu SCL ve zprávách.

Důležité

Je snadné vytvořit pravidla, která jsou příliš agresivní, takže je důležité identifikovat pouze zprávy, které chcete blokovat, pomocí velmi specifických kritérií. Nezapomeňte také monitorovat použití pravidla , abyste měli jistotu, že všechno funguje podle očekávání.

Použití seznamu blokovaných IP adres

Pokud není možné k blokování odesílatele použít některou z dalších možností, měli byste v zásadách filtru připojení použít seznam blokovaných IP adres. Další informace najdete v tématu Konfigurace zásad filtru připojení. Je důležité udržovat počet blokovaných IP adres na minimu, proto se nedoporučuje blokovat celé rozsahy IP adres.

Měli byste se zejména vyhnout přidávání rozsahů IP adres, které patří ke službám pro spotřebitele (například outlook.com) nebo sdíleným infrastrukturám, a také se ujistěte, že v rámci pravidelné údržby zkontrolujete seznam blokovaných IP adres.