Beskyttelse mod spam i EOP

• Gælder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Bemærk!

Dette emne er beregnet til administratorer. Du kan finde oplysninger om slutbrugeremner under Oversigt over filteret for uønsket mail og Få mere at vide om uønsket mail og phishing.

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående Exchange Online Protection -organisationer (EOP) uden Exchange Online postkasser beskyttes mails automatisk mod spam (uønsket mail) af EOP.

For at hjælpe med at reducere uønsket mail inkluderer EOP beskyttelse mod uønsket mail, der bruger beskyttede spamfiltreringsteknologier (også kaldet indholdsfiltrering) til at identificere og adskille uønsket mail fra legitime mails. Filtrering af eOP-spam lærer fra kendte spam- og phishing-trusler og brugerfeedback fra vores forbrugerplatform Outlook.com. Løbende feedback fra administratorer og brugere hjælper med at sikre, at EOP-teknologierne løbende oplæres og forbedres.

EOP bruger følgende spamfiltreringsdomme til at klassificere meddelelser:

• Spam: Meddelelsen modtog en spam-konfidensniveau (SCL) på 5 eller 6.
• Spam med høj tillid: Meddelelsen modtog en SCL på 7, 8 eller 9.
• Phishing
• Phishing med høj genkendelsessikkerhed: Som en del af sikker som standard er meddelelser, der identificeres som phishing med høj tillid, altid sat i karantæne, og brugerne kan ikke frigive deres egne id-meddelelser med høj sikkerhed i karantæne, uanset hvilke tilgængelige indstillinger administratorer konfigurerer.
• Bulk: Meddelelseskilden opfyldte eller overskred det konfigurerede bcl-klageniveau. Tærskel.

Du kan få flere oplysninger om beskyttelse mod spam under Ofte stillede spørgsmål om beskyttelse mod spam

I standardpolitikken for spam og i brugerdefinerede politikker for bekæmpelse af spam kan du konfigurere de handlinger, der skal udføres, på baggrund af disse domme. I standard- og strenge forudindstillede sikkerhedspolitikker er handlingerne allerede konfigureret og ikke-redigerbare som beskrevet i indstillingerne for EOP's politik for bekæmpelse af spam.

Hvis du vil konfigurere standardpolitikken for spam og oprette, ændre og fjerne brugerdefinerede politikker mod spam, skal du se Konfigurer politikker til bekæmpelse af spam i Microsoft 365.

Tip

Hvis du er uenig i dommen om filtrering af spam, kan du rapportere meddelelsen til Microsoft som falsk positiv (god mail markeret som dårlig) eller falsk negativ (dårlig e-mail er tilladt). Du kan finde flere oplysninger under:

• Hvordan gør jeg rapportere en mistænkelig mail eller fil til Microsoft?.
• Sådan håndterer du legitime mails, der blokeres (falsk positiv), ved hjælp af Microsoft Defender for Office 365
• Sådan håndterer du ondsindede mails, der leveres til modtagere (falske negativer), ved hjælp af Microsoft Defender for Office 365

De anti-spam-brevhoveder kan fortælle dig, hvorfor en meddelelse blev markeret som spam, eller hvorfor det sprunget spam filtrering. Du kan få flere oplysninger under Brevhoveder til anti-spam.

Du kan ikke helt slå filtrering af spam fra i Microsoft 365, men du kan bruge Exchange-regler for mailflow (også kendt som transportregler) til at omgå de fleste spamfiltrering på indgående meddelelser (f.eks. hvis du distribuerer mail via en tredjepartsbeskyttelsestjeneste eller enhed før levering til Microsoft 365). Du kan få flere oplysninger under Brug regler for mailflow til at angive niveauet for spamsikkerhed i meddelelser.

• Phishing-meddelelser med høj genkendelsessikkerhed filtreres stadig. Andre funktioner i EOP påvirkes ikke (f.eks. scannes meddelelser altid for malware).
• Hvis du har brug for at omgå spamfiltrering for SecOps-postkasser eller phishingsimuleringer, skal du ikke bruge regler for mailflow. Du kan få flere oplysninger under Konfigurer levering af phishing-simuleringer fra tredjepart til brugere og ufiltrerede meddelelser til SecOps-postkasser.

I hybridmiljøer, hvor EOP beskytter Exchange-postkasser i det lokale miljø, skal du konfigurere to regler for mailflow (også kaldet transportregler) i exchange-organisationen i det lokale miljø for at kunne genkende de EOP-spamheadere, der føjes til meddelelser. Du kan finde flere oplysninger under Konfigurer EOP til at levere spam til mappen Uønsket mail i hybridmiljøer.

Politikker til bekæmpelse af spam

Politikker til bekæmpelse af spam styrer de konfigurerbare indstillinger for filtrering af spam. De vigtige indstillinger i politikker til bekæmpelse af spam er beskrevet i følgende underafsnit.

Tip

Hvis du vil se indstillingerne for politik mod spam i standardpolitikken, den forudindstillede standardsikkerhedspolitik og den strenge forudindstillede sikkerhedspolitik, skal du se Indstillinger for EOP-politik for spam.

Modtagerfiltre i politikker mod spam

Modtagerfiltre bruger betingelser og undtagelser til at identificere de interne modtagere, som politikken gælder for. Der kræves mindst én betingelse i brugerdefinerede politikker. Betingelser og undtagelser er ikke tilgængelige i standardpolitikken (standardpolitikken gælder for alle modtagere). Du kan bruge følgende modtagerfiltre til betingelser og undtagelser:

• Brugere: En eller flere postkasser, mailbrugere eller mailkontakter i organisationen.
• Grupper:
  • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
  • Den angivne Microsoft 365-grupper.
• Domæner: Et eller flere af de konfigurerede accepterede domæner i Microsoft 365. Modtagerens primære mailadresse er i det angivne domæne.

Du kan kun bruge en betingelse eller undtagelse én gang, men betingelsen eller undtagelsen kan indeholde flere værdier:

• Flere værdier med samme betingelse eller undtagelse bruger OR-logik (f.eks. <modtager1> eller <modtager2>):

  • Betingelser: Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken på dem.
  • Undtagelser: Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken ikke på dem.

• Forskellige typer undtagelser bruger OR-logik (f.eks. <modtager1> eller <medlem af gruppe1> eller <medlem af domæne1>). Hvis modtageren stemmer overens med nogen af de angivne undtagelsesværdier, anvendes politikken ikke på dem.

• Forskellige typer betingelser bruger AND-logik. Modtageren skal matche alle de angivne betingelser for, at politikken gælder for vedkommende. Du kan f.eks. konfigurere en betingelse med følgende værdier:

  • Brugere: romain@contoso.com
  • Grupper: Direktører

  Politikken anvendes kun på romain@contoso.com , hvis han også er medlem af gruppen Direktører. Ellers anvendes politikken ikke på ham.

Grænseværdi for masseklage (BCL) i politikker for bekæmpelse af spam

EOP tildeler en BCL-værdi (Bulk Complaint Level) til indgående meddelelser fra masse afsendere. Meddelelser fra massesendere kaldes også massemails eller grå mail.

Du kan få flere oplysninger om BCL under Samlet klageniveau (BCL) i EOP.

Tip

Som standard er OnIndstillingen MarkAsSpamBulkMail kun for PowerShell i politikker til bekæmpelse af spam i Exchange Online PowerShell. Denne indstilling påvirker resultaterne af et BCL-niveau (Bulk compliant level), der opfylder eller overskred filtreringsresultatet:

• MarkAsSpamBulkMail er slået til: En BCL, der er større end eller lig med tærskelværdien, konverteres til en SCL 6, der svarer til en filtreringsoversigelse af spam, og handlingen for det bulkkompatible niveau (BCL) opfyldte eller overskred den filtrerende dom, der udføres på meddelelsen.
• MarkAsSpamBulkMail er slået fra: Meddelelsen er stemplet med BCL' en, men der udføres ingen handling for et BCL-niveau (Bulk compliant level), der opfylder eller overskred filterafsigelsen. Faktisk er BCL-tærsklen og BCL-niveauet (Bulk compliant level), der opfylder eller overskred filtreringsafsigelseshandlingen, irrelevante.

Egenskaber for spam i politikker mod spam

Indstillinger for testtilstand, indstillingerne for forøg score for spam og de fleste af Markér som spamindstillinger er en del af Avanceret spamfiltrering (ASF) i politikker for bekæmpelse af spam.

Disse indstillinger er ikke konfigureret i standardpolitikken for spam eller i standard- eller strenge forudindstillede sikkerhedspolitikker.

Du kan få komplette oplysninger om ASF-indstillinger under Indstillinger for avanceret spamfilter (ASF) i EOP.

De andre indstillinger, der er tilgængelige i denne kategori, er:

• Indeholder specifikke sprog: Meddelelser på de angivne sprog identificeres automatisk som spam.
• Fra disse lande*: Meddelelser fra de angivne lande identificeres automatisk som spam.

Disse indstillinger er ikke konfigureret i standardpolitikken for spam eller i standard- eller strenge forudindstillede sikkerhedspolitikker.

Handlinger i politikker til bekæmpelse af spam

• I brugerdefinerede politikker til bekæmpelse af spam og standardpolitikken for spam er de tilgængelige handlinger for filtrering af spam-domme beskrevet i følgende tabel.

  • Et flueben ( ✔ ) angiver, at handlingen er tilgængelig (ikke alle handlinger er tilgængelige for alle domme).
  • En stjerne ( ^* ) efter markeringen angiver standardhandlingen for dom for filtrering af spam.

  Handling	Spam	Høj Tillid spam	Phishing	Høj Tillid Phishing	Bulk
  Flyt meddelelsen til mappen Uønsket mail: Meddelelsen leveres til postkassen og flyttes til mappen Uønsket mail.¹	✔*	✔*	✔	²	✔*
  Tilføj X-header: Føjer en X-header til brevhovedet og leverer meddelelsen til postkassen. Du skal angive navnet på X-headerfeltet (ikke værdien) i det tilgængelige tekstfelt Tilføj dette X-headerfelt . I forbindelse med spam og spam dom med høj tillid flyttes meddelelsen til mappen Uønsket mail.¹ ³	✔	✔	✔		✔
  Forudindstillet emnelinje med tekst: Føjer tekst til starten af meddelelsens emnelinje. Meddelelsen leveres til postkassen og flyttes til mappen Uønsket mail.¹ ³ Du angiver teksten i den tilgængelige emnelinje for præfiks med dette tekstfelt .	✔	✔	✔		✔
  Omdiriger meddelelse til mailadresse: Sender meddelelsen til andre modtagere i stedet for de ønskede modtagere. Du angiver modtagerne i feltet Omdiriger til denne mailadresse .	✔	✔	✔	✔	✔
  Slet meddelelse: Hele meddelelsen slettes uovervåget, herunder alle vedhæftede filer.	✔	✔	✔		✔
  Karantænemeddelelse: Sender meddelelsen til karantæne i stedet for de ønskede modtagere. Du vælger eller bruger standard karantænepolitikken for dommen til filtrering af spam i feltet Vælg karantænepolitik , der vises.⁴ Karantænepolitikker definerer, hvad brugerne kan gøre for at sætte meddelelser i karantæne, og om brugerne modtager karantænemeddelelser. Du kan få flere oplysninger under Anatomi af en karantænepolitik. Du angiver, hvor længe meddelelserne holdes i karantæne i feltet Bevar spam i karantæne i dette antal dage .	✔	✔	✔*	✔* ⁵	✔
  Ingen handling					✔

  ¹ EOP bruger sin egen mailflowleveringsagent til at dirigere meddelelser til mappen Uønsket mail i stedet for at bruge reglen for uønsket mail i postkassen. Parameteren Enabled på Set-MailboxJunkEmailConfiguration-cmdlet'en i Exchange Online PowerShell påvirker mailflowet i cloudpostkasser. Du kan få flere oplysninger under Konfigurer indstillinger for uønsket mail på Exchange Online postkasser.

  ² I forbindelse med phishing med høj genkendelsessikkerhed frarådes handlingen Flyt meddelelse til uønsket mail . Selvom du muligvis kan vælge handlingen Flyt meddelelse til mappen Uønsket mail , er phishing-meddelelser med høj genkendelsessikkerhed altid sat i karantæne (svarende til at vælge Karantænemeddelelse).

  ³ Du kan bruge værdien som en betingelse i regler for mailflow til at filtrere eller distribuere meddelelsen.

  ⁴ Hvis meddelelser om spamfiltrering af dom som standard er sat i karantæne (Karantænemeddelelse er allerede valgt, når du kommer til siden), vises standardnavnet for karantænepolitikken i feltet Vælg karantænepolitik . Hvis du ændrer handlingen for en dom for spamfiltrering til Karantænemeddelelse, er feltet Vælg karantænepolitik som standard tomt. En tom værdi betyder, at standard karantænepolitikken for den pågældende dom bruges. Når du senere får vist eller redigerer indstillingerne for politik til bekæmpelse af spam, vises navnet på karantænepolitikken. Du kan få flere oplysninger om de karantænepolitikker, der bruges som standard til dom over spamfilter, under Politikindstillinger for EOP-politik for bekæmpelse af spam.

  ⁵ Brugerne kan ikke frigive deres egne meddelelser, der er sat i karantæne som phishing med høj sikkerhed, uanset hvordan karantænepolitikken er konfigureret. Hvis politikken giver brugerne mulighed for at frigive deres egne karantænemeddelelser, har brugerne i stedet tilladelse til at anmode om frigivelse af deres phishing-meddelelser med høj genkendelsessikkerhed i karantæne.

• Meddelelser inden for organisationen, der skal udføres handlinger på: Styrer, om spamfiltrering og de tilsvarende domshandlinger anvendes på interne meddelelser (meddelelser, der sendes mellem brugere i organisationen). Den handling, der er konfigureret i politikken for de angivne spamfilterafsigelser, udføres på meddelelser, der sendes mellem interne brugere. De tilgængelige værdier er:

  • Standard: Dette er standardværdien. Denne værdi er den samme som at vælge Phishing-meddelelser med høj genkendelsessikkerhed.
  • Ingen
  • Phishing-meddelelser med høj genkendelsessikkerhed
  • Phishing og phishingmeddelelser med høj sikkerhed
  • Alle phishing- og spammeddelelser med høj genkendelsessikkerhed
  • Alle phishing- og spammeddelelser

  Du kan se de standardværdier, der bruges i standardpolitikken for anti-spam og i Standard- og Strict-forudindstillede sikkerhedspolitikker, under Meddelelser inden for organisationen for at foretage en handling ved indtastning i politikindstillingerne for EOP-anti-spam.

• Bevar spam i karantæne i dette antal dage: Angiver, hvor længe meddelelsen skal holdes i karantæne, hvis du har valgt Karantænemeddelelse som handlingen for en dom til filtrering af spam. Når tidsperioden udløber, slettes meddelelsen, og den kan ikke genoprettes. En gyldig værdi er fra 1 til 30 dage.

  For de standardværdier, der bruges i standardpolitikken for anti-spam og i Standard- og Strict-forudindstillede sikkerhedspolitikker, skal du se Bevar spam i karantæne i dette antal dage under Indstillinger for EOP-politik for anti-spam.

  Tip

  Denne indstilling styrer også, hvor længe meddelelser, der blev sat i karantæne af politikker til bekæmpelse af phishing , bevares. Du kan få flere oplysninger under Opbevaring af karantæne.

Nultimers automatisk udrensning (ZAP) i politikker for anti-spam

ZAP til phishing og ZAP til spam kan reagere på meddelelser, når de er leveret til Exchange Online postkasser. Som standard er ZAP til phishing og ZAP for spam slået til, og vi anbefaler, at du lader dem være tændt. Du kan finde flere oplysninger under:

• Automatisk fjernelse (ZAP) på nul timer for phishing
• Zap (automatisk tøm på nul time) for phishing med høj genkendelsessikkerhed
• Automatisk udrensning (ZAP) på nul timer for spam

Karantænepolitikker i politikker til bekæmpelse af spam

Hvis dommen i politikken til bekæmpelse af spam er konfigureret til at sætte meddelelser i karantæne, definerer karantænepolitikker, hvad brugerne kan gøre med disse karantænemeddelelser, og om brugerne modtager karantænemeddelelser. Du kan få flere oplysninger under Anatomi af en karantænepolitik.

Tillad og bloker lister i politikker mod spam

Politikker til bekæmpelse af spam indeholder følgende lister til at tillade eller blokere bestemte afsendere eller domæner:

• Listen over tilladte afsendere
• Listen over tilladte domæner
• Listen over blokerede afsendere
• Listen over blokerede domæner

Disse indstillinger er ikke konfigureret i standardpolitikken for spam eller i standard- eller strenge forudindstillede sikkerhedspolitikker.

Funktionaliteten af disse lister er stort set blevet erstattet af:

• Bloker poster for domæner og mailadresser i Create blokposter for domæner og mailadresser.

  Hovedårsagen til at bruge listen over blokerede afsendere eller listen over blokerede domæner i politikker mod spam: Blokeringsposter på lejerlisten tillad/bloker forhindrer også brugere i organisationen i at sende mail til disse mailadresser eller domæner.

• Rapportering af en god mail til Microsoft fra siden Indsendelser på portalen Microsoft Defender (hvor du kan vælge Tillad mails med lignende attributter, hvilket opretter de påkrævede midlertidige poster på listen over tilladte/blokerede lejere).

  Vigtigt!

  Meddelelser fra poster på listen over tilladte afsendere eller listen over tilladte domæner tilsidesætter de fleste mailbeskyttelse (undtagen phishing med malware og phishing med høj genkendelsessikkerhed) og mailgodkendelseskontroller (SPF, DKIM og DMARC). Poster på listen over tilladte afsendere eller listen over tilladte domæner skaber en høj risiko for, at personer med ondsindede hensigter leverer mails til indbakken, som ellers ville blive filtreret. Disse lister er bedst egnet til midlertidig test.

  Føj aldrig fælles domæner (f.eks. microsoft.com eller office.com) til listen over tilladte domæner. Personer med ondsindede hensigter kan nemt sende forfalskede meddelelser fra disse fælles domæner til din organisation.

  Hvis en tilladt afsender, et domæne eller et underdomæne er i et accepteret domæne i din organisation fra september 2022, skal afsenderen, domænet eller underdomænet bestå kontrol af mailgodkendelse for at springe spamfiltrering over.

  Hvis du vil beholde en tilladt domænepost på listen i en længere periode, skal du bede afsenderen bekræfte, at deres SPF-post er opdateret med mailkilder for deres domæne, og at politikken i deres DMARC-post er angivet til p=reject.

Prioritet af politikker mod spam

Hvis de er slået til, anvendes standard- og strenge forudindstillede sikkerhedspolitikker før brugerdefinerede politikker til bekæmpelse af spam eller standardpolitikken (Strict er altid den første). Hvis du opretter flere brugerdefinerede politikker mod spam, kan du angive den rækkefølge, de anvendes i. Behandlingen af politikken stopper, når den første politik er anvendt (den højeste prioritet for den pågældende modtager).

Du kan få flere oplysninger om prioritetsrækkefølgen, og hvordan flere politikker evalueres, under Rækkefølgen af mailbeskyttelse ogprioritetsrækkefølge for forudindstillede sikkerhedspolitikker og andre politikker.

Standardpolitik for spam

Alle organisationer har en indbygget politik mod spam med navnet Standard, der har følgende egenskaber:

• Politikken er standardpolitikken (egenskaben IsDefault har værdien True), og du kan ikke slette standardpolitikken.
• Politikken anvendes automatisk på alle modtagere i organisationen, og du kan ikke slå den fra.
• Politikken anvendes altid sidst ( prioritetsværdien er Laveste, og du kan ikke ændre den).