Indsigt i massesendere i Exchange Online Protection
Bemærk!
De funktioner, der er beskrevet i denne artikel, findes i øjeblikket som prøveversion, er ikke tilgængelige i alle organisationer og kan ændres.
I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående EOP-organisationer (Exchange Online Protection) uden Exchange Online-postkasser giver indsigt i massesendere i Microsoft Defender-portalen dig mulighed for at se, hvor meget mail der blev identificeret som massemail på det aktuelle massetærskelniveau i politikker til bekæmpelse af spam, og til at simulere identificeret vs. tilladt massemail baseret på ændringer i massesenderens tærskel og kvaliteten af massesenderen.
EOP tildeler en BCL-værdi (Bulk Complaint Level) til indgående meddelelser fra masse afsendere. En højere BCL-værdi angiver, at der er større sandsynlighed for, at en massemeddelelse er spam. Grænseværdien for massemails i politikker til bekæmpelse af spam bruger en angivet BCL-værdi til at identificere meddelelser samlet og reagere på dem. Du kan få flere oplysninger om BCL under Samlet klageniveau (BCL) i EOP.
Indsigten med massesendere har følgende funktioner:
- Få vist, hvor mange mails der identificeres som bulk på hvert BCL-niveau (1 til 9) for de sidste 60 dage.
- Simuler ændringer af tærsklen for massemails, og få vist resultaterne for antallet af meddelelser, der ville blive leveret vs. identificeret som bulk af standardpolitikker for anti-spam eller brugerdefineret anti-spam, hvor du kan angive grænsen for BCL. Du kan ikke angive grænsen for BCL i standard- eller strenge forudindstillede sikkerhedspolitikker.
- Få vist oplysninger om meddelelsessendere, der blev påvirket af grænsen for massemails, herunder filtrering baseret på kvaliteten af afsenderen.
I denne artikel beskrives det, hvordan du bruger indsigt i massesendere på Microsoft Defender-portalen.
Hvad har du brug for at vide, før du begynder?
Du åbner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til indsigtssiden Masse afsendere , skal du bruge https://security.microsoft.com/senderinsights.
Massesimulering og registrering fungerer muligvis ikke korrekt, hvis MX-posten for dit Microsoft 365-domæne peger på en tredjepartstjeneste eller -enhed.
Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:
Microsoft Defender XDR Unified role based access control (RBAC) (If Email & collaboration>Defender for Office 365 permissions is Active. Påvirker kun Defender-portalen, ikke PowerShell: Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (administrer) eller Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).
-
- Tilføj, rediger og slet politikker: Medlemskab i rollegrupperne Organisationsadministration eller Sikkerhedsadministrator .
- Skrivebeskyttet adgang til politikker: Medlemskab af rollegrupperne Global læser, Sikkerhedslæser eller Vis kun organisationsadministration .
Microsoft Entra-tilladelser: Medlemskab i følgende roller giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365:
- Tilføj, rediger og slet politikker: Medlemskab i rollerne Organisationsadministration* eller Sikkerhedsadministrator .
- Skrivebeskyttet adgang til politikker: Medlemskab af rollerne Global læser eller Sikkerhedslæser .
Vigtigt!
* Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
Du kan se vores anbefalede indstillinger for politikker til bekæmpelse af spam under EOP-politikindstillinger for anti-spam.
Tip
Indstillinger i standardpolitikker eller brugerdefinerede politikker mod spam ignoreres, hvis en modtager også er inkluderet i standard- eller strenge forudindstillede sikkerhedspolitikker. Du kan få flere oplysninger under Rækkefølgen og rækkefølgen af mailbeskyttelse.
Værdien for massegrænsen i en politik mod spam bestemmer den BCL-grænse, der bruges til at identificere en meddelelse som masse. Massetærskelværdien 7 betyder f.eks., at meddelelser med BCL-værdien 7, 8 eller 9 identificeres som bulk. Det, der sker med massemeddelelser, bestemmes af, at BCL-handlingen (Bulk compliant level) opfyldte eller overskred handlingen i politikken til bekæmpelse af spam (f.eks. flyt meddelelse til mappen Uønsket mail, Karantæne eller Slet meddelelse). For nemheds skyld kaldes det blokeret at identificere en meddelelse som bulk og udføre handlinger på den i indsigten masse afsendere.
Åbn indsigt i massesendere på Microsoft Defender-portalen
Indsigten med massesendere er tilgængelig på følgende placeringer:
I egenskaberne for standardpolitikken for spam eller brugerdefinerede politikker for spam:
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & Samarbejdspolitikker>& Regler>Trusselspolitikker>Anti-spam i afsnittet Politikker . Du kan også gå direkte til siden Politikker for bekæmpelse af spam ved at bruge https://security.microsoft.com/antispam.
På siden Politikker for bekæmpelse af spam skal du vælge en brugerdefineret politik til bekæmpelse af spam ( typeværdien er Brugerdefineret politik mod spam) eller standardpolitikken for spam med navnet Indgående politik for uønsket post (standard) ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne.
I pop op-vinduet med detaljer, der åbnes, skal du vælge Rediger grænseværdi for spam og egenskaber nederst i afsnittet Massemailtærskel & egenskaber for spam .
I pop op-vinduet Spamtærskel og egenskaber , der åbnes, indeholder indsigten for massesendere følgende oplysninger om alle massemails, der er registreret af alle politikker mod spam i organisationen for de sidste 60 dage:
Som standard viser indsigten antallet af massemeddelelser, der blev blokeret og tilladt ved den aktuelle BCL-grænse:
Hvis du reducerer værdien for BCL-tærsklen for at blokere flere massemails, viser indsigten antallet af massemeddelelser, der ville blive blokeret og tilladt ved den nye BCL-grænse:
Hvis du øger værdien for BCL-tærsklen for at tillade flere massemails, viser indsigten antallet af massemeddelelser, der ville blive blokeret og tilladt ved den nye BCL-grænse:
På siden Mail & samarbejdsrapporter og indsigt :
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet >Mail & samarbejde i Rapporter>Mail & samarbejdsrapporter og indsigt. Du kan også gå direkte til siden Mail & samarbejdsrapporter og indsigt ved at bruge https://security.microsoft.com/emailandcollabreport.
På siden Mail & samarbejdsrapporter og indsigt skal du gå til afsnittet Mail & samarbejdsindsigt og finde indsigten Masse afsendere.
Hvis du vil have vist detaljerede oplysninger om masseregistreringer og afsendere, skal du vælge Vis indsigt for masseafsendere eller Få vist detaljer for at åbne indsigtssiden Masseafsendere .
Vis indsigtssiden Masse afsendere
Indsigtssiden Masse afsendere er tilgængelig ved hjælp af følgende metoder:
- Direkte på https://security.microsoft.com/senderinsights.
- Når du vælger Vis indsigt for massesendere fra pop op-vinduet Spamtærskel og egenskaber i detaljerne for en brugerdefineret politik mod spam eller standardpolitikken for spam på siden Politikker mod spam på https://security.microsoft.com/antispam.
- Når du vælger Få vist detaljer fra indsigtskortet Masse afsendere på siden Mail & samarbejdsrapporter og indsigt på https://security.microsoft.com/emailandcollabreport.
Før du kører en simulering, angiver værdier i tabellen midt på siden følgende værdier:
- Samlet klageniveau (BCL): Intervallet for de mulige BCL-værdier (1-9).
- Alle mails: Det samlede antal meddelelser, der blev identificeret for hver BCL-værdi (hvoraf nogle kan være 0).
-
Leveret ved den aktuelle BCL-tærskel: Antallet af meddelelser, der blev leveret (ikke identificeret som bulk) for hver BCL-værdi:
- Hvis BCL-værdien er mindre end grænseværdien for aktuel massemail , blev meddelelsen leveret (blev ikke identificeret som massemail):
- Tærsklen Leveret ved den aktuelle BCL og Alle mailværdier er de samme.
- Tærskelværdien Leveret ved den aktuelle BCL svarer til den mail, der er leveret ved den aktuelle konfigurationsværdi.
- Hvis BCL-værdien er større end eller lig med den aktuelle grænseværdi for massemail , blev meddelelsen identificeret som masse og blokeret.
- Værdien for Leveret ved den aktuelle BCL-grænseværdi for BCL-værdien er 0.
- Værdien Alle mail stemmer overens med den mail, der er identificeret ved den aktuelle BCL-tærskelværdi .
- Hvis BCL-værdien er mindre end grænseværdien for aktuel massemail , blev meddelelsen leveret (blev ikke identificeret som massemail):
- Leveret ved ny BCL-grænse: Antallet af meddelelser, der ikke blev identificeret som massemail , efter at du har kørt en simulering. Før du kører en simulering, er værdien meningsløs.
Hvis du vil køre en simulering, skal du bruge følgende elementer på siden:
- Skyderen for den ikke-redigerbare grænse for aktuel massemailtærskel viser den aktuelle BCL-grænseværdi baseret på, hvordan du kom til indsigtssiden Massesendere :
- Direkte: BCL-tærsklen er 7.
- Fra egenskaberne for en anti-spam-politik: BCL-grænseværdien er den aktuelle værdi i politikken for anti-spam.
- Skyderen Ny massemailtærskel giver dig mulighed for at simulere effekten af at øge og mindske BCL-tærsklen for leverede eller blokerede meddelelser.
- Skyderen til tærskelværdi for simulerings afsenderkvalitet angiver en tærskel for god/dårlig afsenders troværdighed, der skal bruges i BCL-opdateringssimuleringen. En højere værdi angiver simulerede resultater af BCL-tærsklen baseret på mere pålidelige afsendere. Grænseværdien for kvaliteten af simuleringssender for afsendere er baseret på følgende faktorer:
- Tidligere interaktioner med afsenderen.
- Meddelelsesfrekvens fra afsenderen.
- Administrator- eller brugerfeedback om meddelelser fra afsenderen.
Når du har valgt tærsklen for ny massemail og tærskelværdier for simulerings afsenderkvalitet , skal du vælge Simuler:
- Siden opdateres med antallet af blokerede meddelelser i forhold til tilladte meddelelser for de aktuelle og nye simulerede BCL-tærskelniveauer.
- Nederst på siden opdateres med oplysninger om afsendere, der ville blive identificeret som massegods.
Få vist oplysninger om massesendere på indsigtssiden Masse afsendere
Tabellen med oplysninger om massesender nederst på siden indeholder data om massesendere, hvis meddelelser blev identificeret som masseforsendelser.
Tabellen kan indeholde afsenderdata, når du åbner indsigtssiden Massesendere , hvis den aktuelle grænseværdi for massemails og tærskelværdierne for simulering af afsenderkvalitet allerede har resulteret i masse-mail-id, før du kører nogen simuleringer.
Ellers medtages afsendere i tabellen med afsenderoplysninger baseret på tærsklen for den aktuelle massemail og tærskelværdierne for kvaliteten af simuleringssender, når du har kørt en simulering.
Følgende kolonner er altid tilgængelige for poster i tabellen med afsenderoplysninger:
- Afsender: Afsenderens mailadresse.
- BCL
- Kvalitetsgrænse for simulerings afsender
De resterende kolonner i tabellen med afsenderoplysninger afhænger af relationen mellem tærsklen for den aktuelle massemail og tærskelværdierne for ny massemail , når du har kørt en simulering:
Ny grænse for massemail er lig med Grænse for aktuel massemail:
- Potentiel falsk positiv
- Potentiel falsk negativ
Hvis du vil filtrere resultaterne, skal du vælge Alle afsendere og derefter vælge en af følgende værdier:
- Potentielt falsk positivt: Der vises kun afsendere, hvor potentiel falsk positiv er Sand .
- Potentielt falsk negativt: Der vises kun afsendere, hvor potentiel falsk negativ er Sand .
Ny grænseværdi for massemail er mindre end den aktuelle grænse for massemail:
- Ny afsender er blokeret
- Potentiel falsk positiv
Hvis du vil filtrere resultaterne, skal du vælge Alle afsendere og derefter vælge en af følgende værdier:
- Ny afsender er blokeret: Der vises kun afsendere, hvor Ny afsender er blokeret , er Sand .
- Potentielt falsk positivt: Der vises kun afsendere, hvor potentiel falsk positiv er Sand .
Ny grænseværdi for massemail er større end den aktuelle grænse for massemail:
- Ny afsender er tilladt
- Potentiel falsk negativ
Hvis du vil filtrere resultaterne, skal du vælge Alle afsendere og derefter vælge en af følgende værdier:
- Ny afsender er tilladt: Der vises kun afsendere, hvor Ny afsender er tilladt er Sand .
- Potentielt falsk negativt: Der vises kun afsendere, hvor potentiel falsk negativ er Sand .
Hvis du vil ændre listen over poster fra normal til kompakt afstand, skal du vælge Skift listeafstand til kompakt eller normal og derefter vælge Kompakt liste.
Brug søgefeltet og en tilsvarende værdi til at finde bestemte afsendere i tabellen.
Brug Eksportér til at gemme den aktuelt viste liste over afsendere i en CSV-fil. Standardfilnavnet er Bulk sender insights – Microsoft Defender.csv, og standardplaceringen er den lokale downloadsmappe. Hvis der allerede findes en eksporteret fil på denne placering, forøges filnavnet (f.eks. Indsigt i massesender – Microsoft Defender(1).csv).
Få vist detaljerede oplysninger om en massesender på indsigtssiden Masse afsendere
Hvis du vil have vist oplysninger om en bestemt afsender fra tabellen med afsenderoplysninger nederst på indsigtssiden Masse afsendere , skal du klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for den første kolonne. Pop op-vinduet Afsenderdetaljer , der åbnes, indeholder følgende oplysninger om afsenderen:
- Afsender: Afsenderens mailadresse.
- Meddelelser: Antallet af meddelelser fra afsenderen.
- Meddelelser i indbakken: Antallet af meddelelser fra afsenderen, der blev leveret til brugerens indbakker.
- Meddelelser i karantæne eller uønsket mail: Antallet af meddelelser fra afsenderen, der blev leveret til brugerens mapper med uønsket mail eller sat i karantæne.
-
Administratorindstilling: Om afsenderen er tilladt eller blokeret af Administrer tillader, og blokke i lejerens tillad/bloklisteGyldige værdier er:
- Tillad: Meddelelsens afsender har en tilladelse.
- Blok: Meddelelsens afsender har en blokpost.
- Meddelelser, der er tilladt af brugeren: Antallet af meddelelser fra den afsender, der blev tilføjet listen Afsendere, der er tillid til i brugerpostkasser.
- Brugerblokerede meddelelser: Antallet af meddelelser fra den afsender, der blev tilføjet listen Blokerede afsendere i brugerpostkasser.
- Falske positive afsendelser: Antallet af meddelelser fra afsenderen, der blev sendt som god mail ved et uheld blokeret.
- Falske negative afsendelser: Antallet af meddelelser fra afsenderen, der blev sendt som dårlig mail ved et uheld.
- Brugeren er flyttet fra Uønsket mail til Indbakke
- Brugeren er flyttet fra Indbakke til Uønsket mail
- Meddelelser, der er slettet af brugeren
- Meddelelser, der er sat i karantæne af administratorer
- Administratoren har flyttet mails fra Indbakke til Uønsket mail
- Slettede meddelelser fra administratoren