Opret lister over sikre afsendere i EOP

• Gælder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

Hvis du er Microsoft 365-kunde med postkasser i Exchange Online eller en separat EOP-kunde (Exchange Online Protection) uden Exchange Online postkasser, tilbyder EOP flere måder at sikre, at brugerne modtager mail fra afsendere, der er tillid til. Samlet set kan du tænke på disse indstillinger som sikre afsenderlister.

Følgende liste indeholder de tilgængelige metoder til at tillade afsendere i EOP fra de mest anbefalede til mindst anbefalede:

1. Tillad poster for domæner og mailadresser (herunder spoofede afsendere) på lejerlisten tillad/bloker.
2. Exchange-regler for mailflow (også kaldet transportregler).
3. Outlook Safe Senders (listen Afsendere, der er tillid til i hver postkasse, der kun påvirker den pågældende postkasse).
4. Liste over IP-tilladte (forbindelsesfiltrering)
5. Lister over tilladte afsendere eller tilladte domænelister (politikker til bekæmpelse af spam)

Resten af denne artikel indeholder specifikke oplysninger om hver metode.

Vigtigt!

Meddelelser, der identificeres som malware^* eller phishing med høj sikkerhed, er altid sat i karantæne, uanset hvilken liste over sikre afsendere du bruger. Du kan få flere oplysninger under Sikker som standard i Office 365.

^* Filtrering af malware springes over på SecOps-postkasser, der er identificeret i den avancerede leveringspolitik. Du kan få flere oplysninger under Konfigurer den avancerede leveringspolitik for phishing-simuleringer fra tredjepart og levering af mail til SecOps-postkasser.

Vær forsigtig med nøje at overvåge eventuelle undtagelser, som du gør for spamfiltrering ved hjælp af sikre afsenderlister.

Send altid meddelelser på dine lister over sikre afsendere til Microsoft til analyse. Du kan finde instruktioner under Rapportér en god mail til Microsoft. Hvis det bestemmes, at meddelelserne eller meddelelseskilderne er godartede, kan Microsoft automatisk tillade meddelelserne, og du behøver ikke at vedligeholde posten på lister over sikre afsendere manuelt.

I stedet for at tillade mail har du også flere muligheder for at blokere mail fra bestemte kilder ved hjælp af lister over blokerede afsendere. Du kan få flere oplysninger under Opret lister over afsenderblokering i EOP.

Brug tilladte poster på listen Over tilladte lejere/bloker

Vores første anbefalede mulighed for at tillade mail fra afsendere eller domæner er lejerens tillad/bloker-liste. Du kan finde instruktioner under Opret tilladte poster for domæner og mailadresser og Opret tilladte poster for forfalskede afsendere.

Kun hvis du af en eller anden grund ikke kan bruge listen over tilladte/blokerede lejere, bør du overveje at bruge en anden metode til at tillade afsendere.

Brug regler for mailflow

Bemærk!

Du kan ikke bruge regler for brevhoveder og mailflow til at angive en intern afsender som en sikker afsender. Procedurerne i dette afsnit fungerer kun for eksterne afsendere.

Regler for mailflow i Exchange Online og separat EOP bruger betingelser og undtagelser til at identificere meddelelser og handlinger til at angive, hvad der skal gøres for disse meddelelser. Du kan få flere oplysninger under Regler for mailflow (transportregler) i Exchange Online.

I følgende eksempel antages det, at du har brug for mail fra contoso.com til at springe spamfiltrering over. Konfigurer følgende indstillinger:

1. Anvend denne regel, hvis (betingelse): Afsenderdomænet>er> contoso.com.

2. Konfigurer en af følgende indstillinger:

   • Anvend denne regel, hvis (yderligere betingelse): Brevhovederne>indeholder et af følgende ord:

     • Skriv tekst (overskriftsnavn): Authentication-Results
     • Indtast ord (overskriftsværdi): dmarc=pass eller dmarc=bestguesspass (tilføj begge værdier).

     Denne betingelse kontrollerer godkendelsesstatussen for mail for det sendende maildomæne for at sikre, at det afsendende domæne ikke bliver spoofed. Du kan få flere oplysninger om mailgodkendelse under Mailgodkendelse i Microsoft 365.

   • Ip-tilladelsesliste: Angiv kildens IP-adresse eller adresseområde i forbindelsesfilterpolitikken. Du kan finde instruktioner under Konfigurer forbindelsesfiltrering.

     Brug denne indstilling, hvis det afsendende domæne ikke bruger mailgodkendelse. Vær så restriktiv som muligt, når det kommer til kilde-IP-adresserne på listen over tilladte IP-adresser. Vi anbefaler et IP-adresseinterval på /24 eller mindre (mindre er bedre). Brug ikke IP-adresseintervaller, der tilhører forbrugertjenester (f.eks. outlook.com) eller delte infrastrukturer.

   Vigtigt!

   • Konfigurer aldrig regler for mailflow med kun afsenderdomænet som betingelse for at springe spamfiltrering over. Hvis du gør det , øges sandsynligheden for, at hackere kan forfalske det afsendende domæne (eller repræsentere den fulde mailadresse), springe al spamfiltrering over og springe kontrol over afsendergodkendelse, så meddelelsen modtages i modtagerens indbakke.

   • Brug ikke domæner, du ejer (også kendt som accepterede domæner) eller populære domæner (f.eks. microsoft.com) som betingelser i regler for mailflow, da det giver hackere mulighed for at sende mails, der ellers ville blive filtreret.

   • Hvis du tillader en IP-adresse bag en NAT-gateway (Network Address Translation), skal du kende de servere, der er involveret i NAT-gruppen. IP-adresser og NAT-deltagere kan ændre sig. Du skal jævnligt kontrollere dine IP-listeposter som en del af dine standardvedligeholdelsesprocedurer.

3. Valgfrie betingelser:

   • Afsenderen>er intern/ekstern>Uden for organisationen: Denne betingelse er implicit, men det er OK at bruge den til at tage højde for mailservere i det lokale miljø, der muligvis ikke er konfigureret korrekt.
   • Emnet eller brødteksten>emne eller brødtekst indeholder et af disse ord><>nøgleord: Hvis du yderligere kan begrænse meddelelserne efter nøgleord eller udtryk i emnelinjen eller meddelelsesteksten, kan du bruge disse ord som en betingelse.

4. Gør følgende (handlinger): Konfigurer begge følgende handlinger i reglen:

   1. Rediger meddelelsesegenskaberne>angiv niveauet for spamsikkerhed (SCL)>Omgå filtrering af spam.

   2. Rediger meddelelsesegenskaberne>angiv en meddelelsesoverskrift:

      • Skriv tekst (overskriftsnavn): F.eks. X-ETR.
      • Indtast ord (overskriftsværdi): F.eks. Bypass spam filtering for authenticated sender 'contoso.com'.

      For mere end ét domæne i reglen kan du tilpasse overskriftsteksten efter behov.

Når en meddelelse springer spamfiltrering over pga. en regel for mailflow, stemples værdien SFV:SKN i headeren X-Forefront-Antispam-Report . Hvis meddelelsen kommer fra en kilde, der er på listen over tilladte IP-adresser, tilføjes værdien IPV:CAL også. Disse værdier kan hjælpe dig med fejlfinding.

Brug Afsendere, der er tillid til i Outlook

Forsigtighed

Denne metode skaber en høj risiko for, at angribere leverer mails til indbakken, som ellers ville blive filtreret. Meddelelser, der er besluttet på at være malware eller phishing med høj sikkerhed, filtreres. Du kan få flere oplysninger under Konflikt mellem bruger- og lejerindstillinger.

I stedet for en organisationsindstilling kan brugere eller administratorer føje afsendermailadresserne til listen Afsendere, der er tillid til i postkassen. Listeposter for afsendere, der er tillid til, i postkassen påvirker kun den pågældende postkasse. Du kan finde instruktioner i følgende artikler:

• Brugere: Føj modtagere af mine mails til listen Afsendere, der er tillid til.
• Administratorer: Konfigurer indstillinger for uønsket mail på Exchange Online postkasser i Microsoft 365.

Denne metode er ikke ønskelig i de fleste situationer, da afsendere tilsidesætter dele af filtreringsstakken. Selvom du har tillid til afsenderen, kan afsenderen stadig blive kompromitteret og sende skadeligt indhold. Du bør lade vores filtre kontrollere hver meddelelse og derefter rapportere den falske positive/negative til Microsoft , hvis vi fik det forkert. Omgåelse af filtreringsstakken forstyrrer også automatisk udrensning på nul timer (ZAP).

Når meddelelser springer spamfiltrering over pga. poster på en brugers liste over afsendere, der er tillid til, indeholder headerfeltet X-Forefront-Antispam-Report værdien SFV:SFE, hvilket angiver, at filtrering efter spam, spoof og phishing (ikke phishing med høj genkendelsessikkerhed) blev omgået.

• I Exchange Online afhænger det af dommen og handlingen i den politik, der identificerede meddelelsen, om poster på listen Afsendere, der er tillid til fungerer eller ikke fungerer:
  • Flyt meddelelser til mappen Uønsket mail: Der anvendes domæneposter og afsendermailadresseposter. Meddelelser fra disse afsendere flyttes ikke til mappen Uønsket mail.
  • Karantæne: Domæneposter anvendes ikke (meddelelser fra disse afsendere er sat i karantæne). Adresser til mailadresser anvendes (meddelelser fra disse afsendere er ikke sat i karantæne), hvis et af følgende udsagn er sandt:
    • Meddelelsen identificeres ikke som malware eller phishing med høj genkendelsessikkerhed (malware og phishing-meddelelser med høj genkendelsessikkerhed er sat i karantæne).
    • Mailadressen, URL-adressen eller filen i mailen er ikke også i en blokpost på listen over tilladte/blokerede lejere.
• Poster for blokerede afsendere og blokerede domæner anvendes (meddelelser fra disse afsendere flyttes til mappen Uønsket mail). Sikre indstillinger for adresselister ignoreres.

Brug listen over tilladte IP-adresser

Forsigtighed

Uden yderligere bekræftelse, f.eks. regler for mailflow, springer mail fra kilder på IP-listen over filtrering af spam og sendergodkendelse (SPF, DKIM, DMARC) kontrol. Denne metode skaber en høj risiko for, at angribere leverer mails til indbakken, som ellers ville blive filtreret. Meddelelser, der er besluttet på at være malware eller phishing med høj sikkerhed, filtreres. Du kan få flere oplysninger under Konflikt mellem bruger- og lejerindstillinger.

Den næste bedste mulighed er at føje kildemailserverne til IP-listen over tilladte IP-adresser i politikken for forbindelsesfilter. Du kan finde flere oplysninger under Konfigurer forbindelsesfiltrering i EOP.

• Det er vigtigt, at du holder antallet af tilladte IP-adresser på et minimum, så undgå at bruge hele IP-adresseintervaller, når det er muligt.
• Brug ikke IP-adresseintervaller, der tilhører forbrugertjenester (f.eks. outlook.com) eller delte infrastrukturer.
• Gennemse jævnligt posterne på listen over tilladte IP-adresser, og fjern de poster, du ikke længere har brug for.

Brug lister over tilladte afsendere eller tilladte domænelister

Forsigtighed

Denne metode skaber en høj risiko for, at angribere leverer mails til indbakken, som ellers ville blive filtreret. Meddelelser, der er besluttet på at være malware eller phishing med høj sikkerhed, filtreres. Du kan få flere oplysninger under Konflikt mellem bruger- og lejerindstillinger.

Brug ikke populære domæner (f.eks. microsoft.com) på tilladte domænelister.

Den mindst ønskelige mulighed er at bruge de tilladte afsenderlister eller tilladte domænelister i brugerdefinerede politikker til bekæmpelse af spam eller i standardpolitikken for spam. Du bør undgå denne indstilling , hvis det overhovedet er muligt , fordi afsendere tilsidesætter al spam, spoof, phishing-beskyttelse (undtagen phishing med høj tillid) og afsendergodkendelse (SPF, DKIM, DMARC). Denne metode bruges bedst kun til midlertidig test. Du kan finde de detaljerede trin i Konfigurer politikker til bekæmpelse af spam i EOP.

Den maksimale grænse for disse lister er ca. 1.000 poster, men du kan højst angive 30 poster på Microsoft Defender portalen. Brug PowerShell til at tilføje mere end 30 poster.

Bemærk!

Hvis en tilladt afsender, et domæne eller et underdomæne er i et accepteret domæne i din organisation fra september 2022, skal afsenderen, domænet eller underdomænet bestå kontrol af mailgodkendelse for at springe spamfiltrering over.

Overvejelser i forbindelse med massemail

En smtp-standardmailmeddelelse kan indeholde forskellige afsendermailadresser, som beskrevet i Hvorfor internetmail skal godkendes. Når der sendes en mail på vegne af en anden, kan adresserne være forskellige. Denne betingelse sker ofte for massemailmeddelelser.

Lad os f.eks. antage, at Blue Yonder Airlines hyrede Margie's Travel til at sende reklamemailmeddelelser. Den meddelelse, du modtager i indbakken, har følgende egenskaber:

• MAIL FROM-adressen (også kendt som 5321.MailFrom adressen, P1-afsenderen eller afsenderkonvolutten) er blueyonder.airlines@margiestravel.com.
• Fra-adressen (også kendt som 5322.From adressen eller P2-afsenderen) er blueyonder@news.blueyonderairlines.com, hvilket er det, du ser i Outlook.

Lister over sikre afsendere og sikre domænelister i politikker til bekæmpelse af spam i EOP undersøger kun Fra-adresserne. Denne funktionsmåde svarer til Afsendere, der er tillid til i Outlook, og som bruger fra-adressen.

Hvis du vil forhindre, at denne meddelelse filtreres, kan du benytte følgende fremgangsmåde:

• Tilføj blueyonder@news.blueyonderairlines.com (Fra-adressen) som Outlook Safe Sender.
• Brug en regel for et mailflow med en betingelse, der søger efter meddelelser fra blueyonder@news.blueyonderairlines.com (Fra-adressen), blueyonder.airlines@margiestravel.com (MAIL FROM-adressen) eller begge dele.