Freigeben über


Erstellen von Listen blockierter Absender in EOP

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online Postfächer bietet EOP mehrere Möglichkeiten, E-Mails von unerwünschten Absendern zu blockieren. Zusammenfassend können Sie sich diese Optionen als blockierte Absenderlisten vorstellen.

Die folgende Liste enthält die verfügbaren Methoden zum Blockieren von Absendern in EOP von am meisten empfohlen bis am wenigsten empfohlen:

  1. Blockieren Von Einträgen für Domänen und E-Mail-Adressen (einschließlich gefälschter Absender) in der Zulassungs-/Sperrliste des Mandanten.
  2. Blockierte Outlook-Absender (die Liste blockierter Absender in jedem Postfach, die sich nur auf dieses Postfach auswirkt).
  3. Blockierte Absenderlisten oder Blockierte Domänenlisten (Antispamrichtlinien).
  4. Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet).
  5. Die IP-Sperrliste (Verbindungsfilterung).

Der Rest dieses Artikels enthält Einzelheiten zu den einzelnen Methoden.

Tipp

Senden Sie Nachrichten in Ihren Blockierten Absenderlisten immer zur Analyse an Microsoft. Anweisungen finden Sie unter Melden fragwürdiger E-Mails an Microsoft. Wenn die Nachrichten oder Nachrichtenquellen als schädlich eingestuft werden, kann Microsoft die Nachrichten automatisch blockieren, und Sie müssen den Eintrag nicht manuell in den Listen blockierter Absender verwalten.

Anstatt E-Mails zu blockieren, haben Sie auch mehrere Optionen, um E-Mails aus bestimmten Quellen mithilfe von Listen sicherer Absender zuzulassen. Weitere Informationen finden Sie unter Erstellen von Listen sicherer Absender.

Eine STANDARD-SMTP-E-Mail-Nachricht kann unterschiedliche Absender-E-Mail-Adressen enthalten, wie unter Warum Internet-E-Mail-Authentifizierung erforderlich ist beschrieben. Häufig sind die MAIL FROM-Adresse (auch als 5321.MailFrom Adresse, P1-Absender oder Umschlagsender bezeichnet) und Von-Adresse (auch als 5322.From Adresse oder P2-Absender bezeichnet) identisch. Wenn jedoch E-Mails im Namen einer anderen Person gesendet werden, können die Adressen unterschiedlich sein. Blockierte Absenderlisten und Blockierte Domänenlisten in Antispamrichtlinien überprüfen nur die Von-Adresse. Dieses Verhalten ähnelt outlook-blockierten Absendern, die die Von-Adresse verwenden.

Verwenden von Blockeinträgen in der Zulassungs-/Sperrliste des Mandanten

Unsere empfohlene Option zum Blockieren von E-Mails von bestimmten Absendern oder Domänen ist die Zulassungs-/Sperrliste für Mandanten. Anweisungen hierzu finden Sie unter Erstellen von Blockeinträgen für Domänen und E-Mail-Adressen und Erstellen von Blockeinträgen für gefälschte Absender.

Email Nachrichten von diesen Absendern werden als Spam mit hoher Zuverlässigkeit (SCL = 9) gekennzeichnet. Was mit den Nachrichten geschieht, wird durch die Antispamrichtlinie bestimmt, die die Nachricht für den Empfänger erkannt hat. In den voreingestellten Sicherheitsrichtlinien "Standard" und "Strict" werden Spamnachrichten mit hoher Zuverlässigkeit unter Quarantäne gesetzt.

Ein zusätzlicher Vorteil ist, dass Benutzer im organization keine E-Mails an diese blockierten Domänen und Adressen senden können. Die Nachricht wird im folgenden Nichtzustellbarkeitsbericht (auch als NDR oder Unzustellbarkeitsnachricht bezeichnet) zurückgegeben: 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Die gesamte Nachricht wird für alle internen und externen Empfänger der Nachricht blockiert, auch wenn nur eine Empfänger-E-Mail-Adresse oder Domäne in einem Blockeintrag definiert ist.

Nur wenn Sie die Mandanten-Zulassungs-/Sperrliste aus irgendeinem Grund nicht verwenden können, sollten Sie eine andere Methode zum Blockieren von Absendern in Betracht ziehen.

Verwenden von blockierten Outlook-Absendern

Wenn nur wenige Benutzer unerwünschte E-Mails erhalten haben, können Benutzer oder Administratoren die Absender-E-Mail-Adressen der Liste Blockierte Absender im Postfach hinzufügen. Anweisungen finden Sie in den folgenden Artikeln:

Wenn Nachrichten aufgrund der Liste blockierter Absender eines Benutzers erfolgreich blockiert werden, enthält das X-Forefront-Antispam-Report-Headerfeld den Wert SFV:BLK.

Tipp

Wenn es sich bei den unerwünschten Nachrichten um Newsletter aus einer seriösen und erkennbaren Quelle handelt, ist die Abmeldung von der E-Mail eine weitere Möglichkeit, den Benutzer am Empfang der Nachrichten zu hindern.

Verwenden von Listen blockierter Absender oder blockierter Domänen

Wenn mehrere Benutzer betroffen sind, ist der Bereich breiter, sodass die nächstbeste Option blockierte Absenderlisten oder Blockierte Domänenlisten in benutzerdefinierten Antispamrichtlinien oder der Standard-Antispamrichtlinie sind. Nachrichten von Absendern in den Listen sind als Spam mit hoher Zuverlässigkeit gekennzeichnet, und die Aktion, die Sie für die Bewertung des Spamfilters "Hohe Zuverlässigkeit " konfiguriert haben, wird für die Nachrichten ausgeführt. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien.

Der maximale Grenzwert für diese Listen beträgt ungefähr 1.000 Einträge.

Verwenden von Nachrichtenflussregeln

Nachrichtenflussregeln können auch nach Schlüsselwörtern oder anderen Eigenschaften in den unerwünschten Nachrichten suchen.

Unabhängig von den Bedingungen oder Ausnahmen, die Sie zum Identifizieren der Nachrichten verwenden, konfigurieren Sie die Aktion so, dass die Spam-Konfidenzstufe (SCL) der Nachricht auf 9 festgelegt wird, wodurch die Nachricht als Spam mit hoher Zuverlässigkeit gekennzeichnet wird. Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln zum Festlegen der SCL in Nachrichten.

Wichtig

Es ist einfach, Regeln zu erstellen, die zu aggressiv sind. Daher ist es wichtig, dass Sie nur die Nachrichten identifizieren, die Sie blockieren möchten, mit sehr spezifischen Kriterien. Achten Sie außerdem darauf, die Verwendung der Regel zu überwachen , um sicherzustellen, dass alles wie erwartet funktioniert.

Verwenden der IP-Sperrliste

Wenn es nicht möglich ist, eine der anderen Optionen zum Blockieren eines Absenders zu verwenden, sollten Sie nur die IP-Sperrliste in der Verbindungsfilterrichtlinie verwenden. Weitere Informationen finden Sie unter Configure the connection filter policy. Es ist wichtig, die Anzahl der blockierten IP-Adressen auf ein Minimum zu beschränken, daher wird davon abgeraten, ganze IP-Adressbereiche zu blockieren.

Sie sollten insbesondere das Hinzufügen von IP-Adressbereichen vermeiden, die zu Consumerdiensten (z. B. outlook.com) oder freigegebenen Infrastrukturen gehören. Sie müssen auch die Liste der blockierten IP-Adressen im Rahmen der regelmäßigen Wartung überprüfen.