Del via


Sådan validerer EOP Fra-adressen for at forhindre phishing

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

Phishingangreb er en konstant trussel mod enhver mailorganisation. Ud over at bruge forfalskede (forfalskede) afsendermailadresser bruger hackere ofte værdier i fra-adressen, der overtræder internetstandarderne. For at forhindre denne type phishing kræver Exchange Online Protection (EOP) og Outlook.com indgående meddelelser at inkludere en RFC-kompatibel From-adresse, som beskrevet i denne artikel.

  • Hvis du jævnligt modtager mail fra organisationer, der har forkert udformet Fra-adresser som beskrevet i denne artikel, skal du opfordre disse organisationer til at opdatere deres mailservere for at overholde moderne sikkerhedsstandarder.

  • Det relaterede felt Afsender (bruges af Send på vegne og adresselister) påvirkes ikke af disse krav. Du kan finde flere oplysninger i følgende blogindlæg: Hvad mener vi, når vi refererer til "afsenderen" af en mail?.

En oversigt over standarder for mails

En standard-SMTP-mail består af en meddelelseskonvolut og meddelelsesindhold. Meddelelseskonvolutten indeholder oplysninger, der kræves for at sende og levere meddelelsen mellem SMTP-servere. Meddelelsesindholdet indeholder brevhovedfelter (samlet kaldet meddelelsesoverskriften) og meddelelsens brødtekst. Meddelelseskonvolutten er beskrevet i RFC 5321, og brevhovedet er beskrevet i RFC 5322. Modtagerne får aldrig vist den faktiske meddelelseskonvolut, fordi den genereres af meddelelsesoverførselsprocessen, og den er faktisk ikke en del af meddelelsen.

  • MAIL FROM-adressen (også kendt som 5321.MailFrom adresse, P1-afsender eller afsender af konvolut) er den mailadresse, der bruges i SMTP-overførslen af meddelelsen. Denne mailadresse registreres typisk i headerfeltet Return-Path i meddelelsesoverskriften (selvom det er muligt for afsenderen at angive en anden mailadresse for returstien ).

  • Fra-adressen (også kendt som 5322.From adressen eller P2-afsenderen) er mailadressen i headerfeltet Fra og er afsenderens mailadresse, der vises i mailklienter. Fra-adressen er i fokus i kravene i denne artikel.

Fra-adressen er defineret detaljeret på tværs af flere RFC'er (f.eks. RFC 5322 afsnit 3.2.3, 3.4 og 3.4.1 og RFC 3696). Der er mange variationer af adressering, og hvad der anses for at være gyldigt eller ugyldigt. For at gøre det enkelt anbefaler vi følgende format og definitioner:

From: "Display Name" <EmailAddress>

  • Vist navn: Et valgfrit udtryk, der beskriver ejeren af mailadressen.

    • Vi anbefaler, at du altid omslutter det viste navn med dobbelte anførselstegn (") som vist. Hvis det viste navn indeholder et komma, skal du omslutte strengen med dobbelte anførselstegn pr. RFC 5322.
    • Hvis Fra-adressen indeholder et vist navn, skal værdien EmailAddress være omsluttet af vinkelparenteser (<>) som vist.
    • Microsoft anbefaler på det kraftigste, at du indsætter et mellemrum mellem det viste navn og mailadressen.
  • EmailAddress: En mailadresse bruger formatet local-part@domain:

    • local-part: En streng, der identificerer den postkasse, der er knyttet til adressen. Denne værdi er entydig i domænet. Postkasseejerens brugernavn eller GUID bruges ofte.
    • domain: Det fuldt kvalificerede domænenavn (FQDN) for den mailserver, der hoster den postkasse, der er identificeret af den lokale del af mailadressen.

    Også:

    • Kun én mailadresse.
    • Vi anbefaler, at du ikke adskiller vinkelparenteser med mellemrum.
    • Medtag ikke tekst efter mailadressen.

Eksempler på gode og dårlige Fra-adresser

Følgende tabel indeholder eksempler på gyldige From-adresser:

Adresse Kommentarer
From: sender@contoso.com OK
From: <sender@contoso.com> OK
From: < sender@contoso.com > OK, men anbefales ikke, fordi der er mellemrum mellem vinkelparenteser og mailadressen.
From: "Sender, Example" <sender.example@contoso.com> OK
From: "Microsoft 365" <sender@contoso.com> OK
From: Microsoft 365 <sender@contoso.com> OK, men anbefales ikke, fordi det viste navn ikke er omsluttet af dobbelte anførselstegn.

Følgende tabel indeholder eksempler på Fra-adresser, der ikke er gyldige:

Adresse Kommentarer
Ingen fra-adresse Når en meddelelse ankommer til Microsoft 365 eller Outlook.com uden en Fra-adresse, forsøger vi at tildele MAIL FROM-adressen til fra-adressen for at sikre, at meddelelsen kan leveres. I øjeblikket accepteres disse meddelelser af tjenesten, selvom den oprindelige Fra-adresse er From: <>.
From: <firstname lastname@contoso.com> Mailadressen indeholder et mellemrum.
From: Microsoft 365 sender@contoso.com Det viste navn er til stede, men mailadressen er ikke omsluttet af vinkelparenteser.
From: "Microsoft 365" <sender@contoso.com> (Sent by a process) Tekst efter mailadressen.
From: Sender, Example <sender.example@contoso.com> Det viste navn indeholder et komma, men er ikke omsluttet af dobbelte anførselstegn.
From: "Microsoft 365 <sender@contoso.com>" Hele værdien er forkert omsluttet af dobbelte anførselstegn.
From: "Microsoft 365 <sender@contoso.com>" sender@contoso.com Det viste navn er til stede, men mailadressen er ikke omsluttet af vinkelparenteser.
From: Microsoft 365<sender@contoso.com> Der er ikke mellemrum mellem det viste navn og den venstre vinkelparentes.
From: "Microsoft 365"<sender@contoso.com> Der er ikke mellemrum mellem det dobbelte afsluttende anførselstegn og den venstre vinkelparentes.

Ignorer autosvar til brugerdefinerede domæner

Du kan ikke bruge værdien From: <> til at undertrykke autosvar. Du skal i stedet konfigurere en MX-post, der er null , for det brugerdefinerede domæne. Når du har konfigureret MX-posten, der er null, undertrykkes alle svar naturligt, fordi der ikke er nogen publiceret adresse, som den svarer server kan sende meddelelser til.

For MX-posten, der er null, skal du vælge et maildomæne, der ikke kan modtage mail. Hvis det primære domæne f.eks. er contoso.com, kan du vælge noreply.contoso.com. MX-posten, der er null for dette domæne, består af en enkelt periode. Det kan f.eks. være:

noreply.contoso.com IN MX .

Du kan få flere oplysninger om konfiguration af MX-poster under Opret DNS-poster hos en hvilken som helst DNS-hostingudbyder til Microsoft 365.

Du kan få flere oplysninger om publicering af en MX-null-værdi under RFC 7505.

Tilsidesæt fra håndhævelse af adresse

Hvis du vil tilsidesætte fra-adressekravene for indgående mail, kan du bruge IP-tilladelseslisten (forbindelsesfiltrering) eller regler for mailflow (også kendt som transportregler) som beskrevet i Opret sikre afsenderlister i Microsoft 365. Outlook.com tillader ikke tilsidesættelser af nogen art, selv ikke via supportanmodninger.

Du kan ikke tilsidesætte fra-adressekravene for udgående mails, som du sender fra Microsoft 365 eller Outlook.com.

Andre måder at forhindre og beskytte mod cyberkriminelle på i Microsoft 365

Du kan finde flere oplysninger om, hvordan du styrker din organisation mod phishing, spam, brud på datasikkerheden og andre trusler, i Bedste praksis for beskyttelse af Microsoft 365 for business-planer.