Create blokerede afsenderlister i EOP
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.
I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående EOP-organisationer (Exchange Online Protection) uden Exchange Online postkasser tilbyder EOP flere måder at blokere mail fra uønskede afsendere på. Samlet set kan du tænke på disse indstillinger som blokerede afsenderlister.
De tilgængelige lister over blokerede afsendere er beskrevet på følgende liste i rækkefølge fra de mest anbefalede til mindst anbefalede:
- Bloker poster for domæner og mailadresser (herunder spoofede afsendere) på lejerlisten tillad/bloker.
- Outlook Blokerede afsendere (listen over blokerede afsendere, der er gemt i hver postkasse).
- Lister over blokerede afsendere eller blokerede domænelister (politikker til bekæmpelse af spam).
- Regler for mailflow (også kaldet transportregler).
- IP-blokeringslisten (forbindelsesfiltrering).
Resten af denne artikel indeholder specifikke oplysninger om hver metode.
Bemærk!
Send altid meddelelser på dine blokerede afsenderlister til Microsoft til analyse. Du kan finde instruktioner under Rapportér tvivlsomme mails til Microsoft. Hvis meddelelserne eller meddelelseskilderne bestemmes for at være skadelige, kan Microsoft automatisk blokere meddelelserne, og du behøver ikke at vedligeholde posten manuelt på blokerede afsenderlister.
I stedet for at blokere mail har du også flere muligheder for at tillade mail fra bestemte kilder ved hjælp af lister over sikre afsendere. Du kan få flere oplysninger på Create lister over sikre afsendere.
Grundlæggende oplysninger om mailmeddelelser
En standard-SMTP-mail består af en meddelelseskonvolut og meddelelsesindhold. Meddelelseskonvolutten indeholder oplysninger, der kræves for at sende og levere meddelelsen mellem SMTP-servere. Meddelelsesindholdet indeholder brevhovedfelter (samlet kaldet meddelelsesoverskriften) og meddelelsens brødtekst. Meddelelseskonvolutten er beskrevet i RFC 5321, og brevhovedet er beskrevet i RFC 5322. Modtagerne får aldrig vist den faktiske meddelelseskonvolut, fordi den genereres af meddelelsesoverførselsprocessen, og den er faktisk ikke en del af meddelelsen.
Adressen
5321.MailFrom(også kendt som MAIL FROM-adresse , P1-afsender eller konvolut afsender) er den mailadresse, der bruges i SMTP-overførslen af meddelelsen. Denne mailadresse registreres typisk i headerfeltet Return-Path i meddelelsesoverskriften (selvom det er muligt for afsenderen at angive en anden mailadresse for returstien ). Hvis meddelelsen ikke kan leveres, er det modtageren af rapporten om manglende levering (også kendt som en NDR eller bounce-meddelelse).Adressen
5322.From(også kendt som Fra-adressen eller P2-afsenderen) er mailadressen i headerfeltet Fra og er afsenderens mailadresse, der vises i mailklienter.
Adresserne 5321.MailFrom og 5322.From er ofte de samme (person til person-kommunikation). Men når mail sendes på vegne af en anden, kan adresserne være forskellige.
Lister over blokerede afsendere og blokerede domænelister i politikker til bekæmpelse af spam i EOP undersøger kun adresserne 5322.From . Denne funktionsmåde svarer til outlook-blokerede afsendere, der bruger adressen 5322.From .
Brug blokposter på listen over tilladte/blokerede lejere
Vores første anbefalede mulighed for at blokere mail fra bestemte afsendere eller domæner er lejerens tilladelses-/blokliste. Du kan finde instruktioner under Create blokposter for domæner og mailadresser og Create blokposter for forfalskede afsendere.
Mails fra disse afsendere er markeret som spam med høj genkendelsessikkerhed (SCL = 9). Hvad der sker med meddelelserne bestemmes af den anti-spam-politik , der har registreret meddelelsen til modtageren. I standardpolitikken for uønsket mail og nye brugerdefinerede politikker leveres meddelelser, der er markeret som spam med høj sikkerhed, som standard til mappen Uønsket mail. I Standard- og Strict-forudindstillede sikkerhedspolitikker er spammeddelelser med høj tillid sat i karantæne.
Som en ekstra fordel kan brugere i organisationen ikke sende mail til disse blokerede domæner og adresser. De modtager følgende rapport om manglende levering (også kendt som en NDR- eller bounce-meddelelse): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hele meddelelsen er blokeret for alle interne og eksterne modtagere af meddelelsen, selvom kun én modtagermailadresse eller et domæne er defineret i en blokpost.
Kun hvis du af en eller anden grund ikke kan bruge listen over tilladte/blokerede lejere, bør du overveje at bruge en anden metode til at blokere afsendere.
Brug outlook-blokerede afsendere
Når kun et lille antal brugere har modtaget uønsket mail, kan brugere eller administratorer føje afsendermailadresserne til listen Blokerede afsendere i postkassen. Du kan finde instruktioner under Konfigurer indstillinger for uønsket mail på Exchange Online postkasser.
Når meddelelser blokeres på grund af en brugers liste over blokerede afsendere, indeholder headerfeltet X-Forefront-Antispam-Report værdien SFV:BLK.
Bemærk!
Hvis de uønskede meddelelser er nyhedsbreve fra en velanset og genkendelig kilde, er opsigelse af abonnementet på mailen en anden mulighed for at forhindre brugeren i at modtage meddelelserne.
Brug lister over blokerede afsendere eller blokerede domænelister
Når flere brugere påvirkes, er omfanget bredere, så den næstbedste mulighed er blokerede afsenderlister eller blokerede domænelister i politikker til bekæmpelse af spam. Meddelelser fra afsendere på listerne er markeret som spam med høj genkendelsessikkerhed, og den handling, du har konfigureret for filteret med høj genkendelsessikkerhed for spamfilteret, udføres på meddelelserne. Du kan få flere oplysninger under Konfigurer politikker til bekæmpelse af spam.
Den maksimale grænse for disse lister er ca. 1000 poster.
Brug regler for mailflow
Regler for mailflow kan også søge efter nøgleord eller andre egenskaber i de uønskede meddelelser.
Uanset de betingelser eller undtagelser, du bruger til at identificere meddelelserne, konfigurerer du handlingen for at angive niveauet for spamsikkerhed (SCL) for meddelelsen til 9, hvilket markerer meddelelsen som spam med høj tillid. Du kan få flere oplysninger under Brug regler for mailflow til at angive SCL'en i meddelelser.
Vigtigt!
Det er nemt at oprette regler, der er alt for aggressive, så det er vigtigt, at du kun identificerer de meddelelser, du vil blokere, ved hjælp af meget specifikke kriterier. Sørg også for at overvåge brugen af reglen for at sikre, at alt fungerer som forventet.
Brug IP-bloklisten
Når det ikke er muligt at bruge en af de andre indstillinger til at blokere en afsender, skal du først bruge IP-blokeringslisten i politikken for forbindelsesfilteret. Du kan få flere oplysninger under Konfigurer politikken for forbindelsesfilter. Det er vigtigt at holde antallet af blokerede IP-adresser på et minimum, så det anbefales ikke at blokere hele IP-adresseintervaller.
Du bør især undgå at tilføje IP-adresseintervaller, der tilhører forbrugertjenester (f.eks. outlook.com) eller delte infrastrukturer, og du skal også sikre, at du gennemser listen over blokerede IP-adresser som en del af den regelmæssige vedligeholdelse.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om