Create lister over sikre afsendere i EOP

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Hvis du er Microsoft 365-kunde med postkasser i Exchange Online eller en separat EOP-kunde (Exchange Online Protection) uden Exchange Online postkasser, tilbyder EOP flere måder at sikre, at brugerne modtager mail fra afsendere, der er tillid til. Samlet set kan du tænke på disse indstillinger som sikre afsenderlister.

De tilgængelige lister over sikre afsendere er beskrevet på følgende liste i rækkefølge fra de mest anbefalede til mindst anbefalede:

  1. Tillad poster for domæner og mailadresser (herunder spoofede afsendere) på lejerlisten tillad/bloker.
  2. Regler for mailflow (også kaldet transportregler).
  3. Outlook Safe Senders (listen Afsendere, der er tillid til, som er gemt i hver postkasse, som kun påvirker den pågældende postkasse).
  4. Liste over IP-tilladte (forbindelsesfiltrering)
  5. Lister over tilladte afsendere eller tilladte domænelister (politikker til bekæmpelse af spam)

Resten af denne artikel indeholder specifikke oplysninger om hver metode.

Vigtigt!

Meddelelser, der identificeres som malware* eller phishing med høj sikkerhed, er altid sat i karantæne, uanset hvilken liste over sikre afsendere du bruger. Du kan få flere oplysninger under Sikker som standard i Office 365.

* Filtrering af malware springes over på SecOps-postkasser, der er identificeret i den avancerede leveringspolitik. Du kan få flere oplysninger under Konfigurer den avancerede leveringspolitik for phishing-simuleringer fra tredjepart og levering af mail til SecOps-postkasser.

Vær forsigtig med nøje at overvåge eventuelle undtagelser, som du gør for spamfiltrering ved hjælp af sikre afsenderlister.

Send altid meddelelser på dine lister over sikre afsendere til Microsoft til analyse. Du kan finde instruktioner under Rapportér en god mail til Microsoft. Hvis det bestemmes, at meddelelserne eller meddelelseskilderne er godartede, kan Microsoft automatisk tillade meddelelserne, og du behøver ikke at vedligeholde posten på lister over sikre afsendere manuelt.

I stedet for at tillade mail har du også flere muligheder for at blokere mail fra bestemte kilder ved hjælp af lister over blokerede afsendere. Du kan få flere oplysninger under Create blokere afsenderlister i EOP.

Brug tilladte poster på listen Over tilladte lejere/bloker

Vores første anbefalede mulighed for at tillade mail fra afsendere eller domæner er lejerens tillad/bloker-liste. Du kan finde instruktioner under Create tillade poster for domæner og mailadresser og Create tillade poster for forfalskede afsendere.

Kun hvis du af en eller anden grund ikke kan bruge listen over tilladte/blokerede lejere, bør du overveje at bruge en anden metode til at tillade afsendere.

Brug regler for mailflow

Bemærk!

Du kan ikke bruge regler for brevhoveder og mailflow til at angive en intern afsender som en sikker afsender. Procedurerne i dette afsnit fungerer kun for eksterne afsendere.

Regler for mailflow i Exchange Online og separat EOP bruger betingelser og undtagelser til at identificere meddelelser og handlinger til at angive, hvad der skal gøres for disse meddelelser. Du kan få flere oplysninger under Regler for mailflow (transportregler) i Exchange Online.

I følgende eksempel antages det, at du har brug for mail fra contoso.com til at springe spamfiltrering over. Det gør du ved at konfigurere følgende indstillinger:

  1. Betingelse: Afsenderens>domæne er> contoso.com.

  2. Konfigurer en af følgende indstillinger:

    • Regelbetingelse for mailflow: Brevhovederne>indeholder et af følgende ord:

      • Overskriftsnavn: Authentication-Results
      • Headerværdi: dmarc=pass eller dmarc=bestguesspass (tilføj begge værdier).

      Denne betingelse kontrollerer godkendelsesstatussen for mail for det sendende maildomæne for at sikre, at det afsendende domæne ikke bliver spoofed. Du kan få flere oplysninger om mailgodkendelse under SPF, DKIM og DMARC.

    • Ip-tilladelsesliste: Angiv kildens IP-adresse eller adresseområde i forbindelsesfilterpolitikken. Du kan finde instruktioner under Konfigurer forbindelsesfiltrering.

      Brug denne indstilling, hvis det afsendende domæne ikke bruger mailgodkendelse. Vær så restriktiv som muligt, når det kommer til kilde-IP-adresserne på listen over tilladte IP-adresser. Vi anbefaler et IP-adresseinterval på /24 eller mindre (mindre er bedre). Brug ikke IP-adresseintervaller, der tilhører forbrugertjenester (f.eks. outlook.com) eller delte infrastrukturer.

    Vigtigt!

    • Konfigurer aldrig regler for mailflow med kun afsenderdomænet som betingelse for at springe spamfiltrering over. Hvis du gør det , øges sandsynligheden for, at hackere kan forfalske det afsendende domæne (eller repræsentere den fulde mailadresse), springe al spamfiltrering over og springe kontrol over afsendergodkendelse, så meddelelsen modtages i modtagerens indbakke.

    • Brug ikke domæner, du ejer (også kendt som accepterede domæner) eller populære domæner (f.eks. microsoft.com) som betingelser i regler for mailflow. Det anses for at være en høj risiko, fordi det giver personer med ondsindede hensigter mulighed for at sende mails, der ellers ville blive filtreret.

    • Hvis du tillader en IP-adresse bag en NAT-gateway (Network Address Translation), skal du kende de servere, der er involveret i NAT-gruppen, for at kende omfanget af din IP-liste over tilladte. IP-adresser og NAT-deltagere kan ændre sig. Du skal jævnligt kontrollere dine IP-listeposter som en del af dine standardvedligeholdelsesprocedurer.

  3. Valgfrie betingelser:

    • Afsenderen>er intern/ekstern>Uden for organisationen: Denne betingelse er implicit, men det er OK at bruge den til at tage højde for mailservere i det lokale miljø, der muligvis ikke er konfigureret korrekt.
    • Emnet eller brødteksten>emne eller brødtekst indeholder et af disse ord><>nøgleord: Hvis du yderligere kan begrænse meddelelserne efter nøgleord eller udtryk i emnelinjen eller meddelelsesteksten, kan du bruge disse ord som en betingelse.

  4. Handling: Konfigurer begge følgende handlinger i reglen:

    1. Rediger meddelelsesegenskaberne>angiv niveauet for spamsikkerhed (SCL)>Omgå filtrering af spam.

    2. Rediger meddelelsesegenskaberne>angiv en meddelelsesoverskrift:

      • Headernavn: f.eks. X-ETR.
      • Headerværdi: f.eks. Bypass spam filtering for authenticated sender 'contoso.com'.

      Hvis du har mere end ét domæne i reglen, kan du tilpasse overskriftsteksten efter behov.

Når en meddelelse springer spamfiltrering over pga. en regel for mailflow, stemples værdien SFV:SKN i headeren X-Forefront-Antispam-Report . Hvis meddelelsen kommer fra en kilde, der er på listen over tilladte IP-adresser, tilføjes værdien IPV:CAL også. Disse værdier kan hjælpe dig med fejlfinding.

Eksempel på indstillinger for regler for mailflow i den nye EAC til at omgå filtrering af spam.

Brug Afsendere, der er tillid til i Outlook

Forsigtighed

Denne metode skaber en høj risiko for, at personer med ondsindede hensigter leverer mails til indbakken, som ellers ville blive filtreret. Men hvis en meddelelse fra en post på brugerens lister over sikre afsendere eller sikre domæner bestemmes for at være malware eller phishing med høj sikkerhed, filtreres meddelelsen.

I stedet for en organisationsindstilling kan brugere eller administratorer føje afsendermailadresserne til listen Afsendere, der er tillid til i postkassen. Du kan finde instruktioner under Konfigurer indstillinger for uønsket mail på Exchange Online postkasser i Office 365. Listeposter for afsendere, der er tillid til, i postkassen påvirker kun den pågældende postkasse.

Denne metode er ikke ønskelig i de fleste situationer, da afsendere tilsidesætter dele af filtreringsstakken. Selvom du har tillid til afsenderen, kan afsenderen stadig blive kompromitteret og sende skadeligt indhold. Du bør lade vores filtre kontrollere hver meddelelse og derefter rapportere den falske positive/negative til Microsoft , hvis vi fik det forkert. Omgåelse af filtreringsstakken forstyrrer også automatisk udrensning på nul timer (ZAP).

Når meddelelser springer spamfiltrering over pga. poster på en brugers liste over afsendere, der er tillid til, indeholder headerfeltet X-Forefront-Antispam-Report værdien SFV:SFE, hvilket angiver, at filtrering efter spam, spoof og phishing (ikke phishing med høj genkendelsessikkerhed) blev omgået.

Noter:

  • I Exchange Online afhænger det af dommen og handlingen i den politik, der identificerede meddelelsen, om poster på listen Afsendere, der er tillid til fungerer eller ikke fungerer:
    • Flyt meddelelser til mappen Uønsket mail: Der anvendes domæneposter og afsendermailadresseposter. Meddelelser fra disse afsendere flyttes ikke til mappen Uønsket mail.
    • Karantæne: Domæneposter anvendes ikke (meddelelser fra disse afsendere er sat i karantæne). Adresser til mailadresser anvendes (meddelelser fra disse afsendere er ikke sat i karantæne), hvis et af følgende udsagn er sande:
      • Meddelelsen identificeres ikke som malware eller phishing med høj genkendelsessikkerhed (malware og phishing-meddelelser med høj genkendelsessikkerhed er sat i karantæne).
      • Mailadressen findes ikke også i en blokpost på listen over tilladte/blokerede lejere.
  • Poster for blokerede afsendere og blokerede domæner anvendes (meddelelser fra disse afsendere flyttes til mappen Uønsket mail). Sikre indstillinger for adresselister ignoreres.

Brug listen over tilladte IP-adresser

Forsigtighed

Uden yderligere bekræftelse, f.eks. regler for mailflow, springer mail fra kilder på IP-listen over filtrering af spam og sendergodkendelse (SPF, DKIM, DMARC) kontrol. Dette resultat skaber en høj risiko for, at angribere leverer mails til indbakken, som ellers ville blive filtreret. Men hvis en meddelelse fra en post på listen over tilladte IP-adresser bestemmes til at være malware eller phishing med høj genkendelsessikkerhed, filtreres meddelelsen.

Den næste bedste mulighed er at føje kildemailserveren eller -serverne til IP-tilladelseslisten i politikken for forbindelsesfilteret. Du kan finde flere oplysninger under Konfigurer forbindelsesfiltrering i EOP.

Noter:

  • Det er vigtigt, at du holder antallet af tilladte IP-adresser på et minimum, så undgå at bruge hele IP-adresseintervaller, når det er muligt.
  • Brug ikke IP-adresseintervaller, der tilhører forbrugertjenester (f.eks. outlook.com) eller delte infrastrukturer.
  • Gennemse jævnligt posterne på listen over tilladte IP-adresser, og fjern de poster, du ikke længere har brug for.

Brug lister over tilladte afsendere eller tilladte domænelister

Forsigtighed

Denne metode skaber en høj risiko for, at personer med ondsindede hensigter leverer mails til indbakken, som ellers ville blive filtreret. Men hvis en meddelelse fra en post på listen over tilladte afsendere eller tilladte domæner bestemmes til at være malware eller phishing med høj genkendelsessikkerhed, filtreres meddelelsen.

Brug ikke populære domæner (f.eks. microsoft.com) på tilladte domænelister.

Den mindst ønskværdige mulighed er at bruge de tilladte afsenderlister eller tilladte domænelister i politikker til bekæmpelse af spam. Du bør undgå denne indstilling , hvis det overhovedet er muligt , fordi afsendere tilsidesætter al spam, spoof, phishing-beskyttelse (undtagen phishing med høj tillid) og afsendergodkendelse (SPF, DKIM, DMARC). Denne metode bruges bedst kun til midlertidig test. Du kan finde de detaljerede trin i emnet Konfigurer politikker mod spam i EOP .

Den maksimale grænse for disse lister er ca. 1000 poster. Du kan dog kun angive 30 poster på portalen. Du skal bruge PowerShell til at tilføje mere end 30 poster.

Bemærk!

Hvis en tilladt afsender, et domæne eller et underdomæne er i et accepteret domæne i din organisation fra september 2022, skal afsenderen, domænet eller underdomænet bestå kontrol af mailgodkendelse for at springe spamfiltrering over.

Overvejelser i forbindelse med massemail

En standard-SMTP-mail består af en meddelelseskonvolut og meddelelsesindhold. Meddelelseskonvolutten indeholder oplysninger, der kræves for at sende og levere meddelelsen mellem SMTP-servere. Meddelelsesindholdet indeholder brevhovedfelter (samlet kaldet meddelelsesoverskriften) og meddelelsens brødtekst. Meddelelseskonvolutten er beskrevet i RFC 5321, og brevhovedet er beskrevet i RFC 5322. Modtagerne får aldrig vist den faktiske meddelelseskonvolut, fordi den genereres af meddelelsesoverførselsprocessen, og den er faktisk ikke en del af meddelelsen.

  • Adressen 5321.MailFrom (også kendt som MAIL FROM-adresse , P1-afsender eller konvolut afsender) er den mailadresse, der bruges i SMTP-overførslen af meddelelsen. Denne mailadresse registreres typisk i headerfeltet Return-Path i meddelelsesoverskriften (selvom det er muligt for afsenderen at angive en anden mailadresse for returstien ). Hvis meddelelsen ikke kan leveres, er det modtageren af rapporten om manglende levering (også kendt som en NDR eller bounce-meddelelse).
  • Adressen 5322.From (også kendt som Fra-adressen eller P2-afsenderen) er mailadressen i headerfeltet Fra og er afsenderens mailadresse, der vises i mailklienter.

Adresserne 5321.MailFrom og 5322.From er ofte de samme (person til person-kommunikation). Men når mail sendes på vegne af en anden, kan adresserne være forskellige. Dette sker oftest for massemailmeddelelser.

Lad os f.eks. antage, at Blue Yonder Airlines har hyret Margie's Travel til at sende reklamemailmeddelelser. Den meddelelse, du modtager i indbakken, har følgende egenskaber:

  • Adressen 5321.MailFrom er blueyonder.airlines@margiestravel.com.
  • Adressen 5322.From er blueyonder@news.blueyonderairlines.com, hvilket er det, du ser i Outlook.

Lister over sikre afsendere og lister over sikre domæner i politikker til bekæmpelse af spam i EOP undersøger kun adresserne 5322.From . Denne funktionsmåde svarer til afsendere, der er tillid til i Outlook, og som bruger adressen 5322.From .

Hvis du vil forhindre, at denne meddelelse filtreres, kan du benytte følgende fremgangsmåde:

  • Tilføj blueyonder@news.blueyonderairlines.com (adressen 5322.From ) som en Outlook Safe Sender.
  • Brug en regel for mailflow med en betingelse, der søger efter meddelelser fra blueyonder@news.blueyonderairlines.com (adressen 5322.From ), blueyonder.airlines@margiestravel.com (adressen 5321.MailFrom ) eller begge dele.