Turvallisten lähettäjäluetteloiden luominen EOP:ssa

• Koskee seuraavia::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Jos olet Microsoft 365 -asiakas, jonka postilaatikot ovat Exchange Online tai itsenäinen Exchange Online Protection (EOP) -asiakas ilman Exchange Online postilaatikoita, EOP tarjoaa useita tapoja varmistaa, että käyttäjät saavat sähköpostia luotetuilta lähettäjiltä. Yhdessä voit ajatella näitä vaihtoehtoja turvallisina lähettäjäluetteloina.

Seuraavassa luettelossa on käytettävissä olevat menetelmät, jotka sallivat lähettäjien lähettämisen EOP:ssa suositelluimmista vähiten suositeltuihin:

1. Salli toimialueiden ja sähköpostiosoitteiden merkinnät (mukaan lukien huijatut lähettäjät) vuokraajan sallittujen ja estettyjen luettelossa.
2. Exchange-postinkulun säännöt (siirtosäännöt).
3. Outlookin turvalliset lähettäjät (kunkin postilaatikon Turvalliset lähettäjät -luettelo, joka vaikuttaa vain kyseiseen postilaatikkoon).
4. SALLITTUJEN IP-osoitteiden luettelo (yhteyden suodatus)
5. Sallitut lähettäjäluettelot tai sallitut toimialueluettelot (roskapostin vastaiset käytännöt)

Tämän artikkelin loppuosassa on tietoja kustakin menetelmästä.

Tärkeää

Viestit, jotka tunnistetaan haittaohjelmiksi^* tai erittäin luotettavaksi tietojenkalasteluksi, asetetaan aina karanteeniin käyttämästäsi turvallisen lähettäjän luettelon vaihtoehdosta riippumatta. Lisätietoja on artikkelissa Office 365 oletusarvoisesti suojattu.

^* Haittaohjelmien suodatus ohitetaan SecOps-postilaatikoissa, jotka on tunnistettu kehittyneen toimituksen käytännössä. Lisätietoja on artikkelissa Kehittyneiden toimituskäytäntöjen määrittäminen kolmannen osapuolen tietojenkalastelusimulaatioille ja sähköpostin toimittamiselle SecOps-postilaatikoihin.

Seuraa tarkasti poikkeuksia , joita teet roskapostisuodatukseen turvallisten lähettäjäluetteloiden avulla.

Lähetä turvalliset lähettäjäluettelot aina Microsoftille analysoitaviksi. Katso ohjeet kohdasta Ilmoita hyvistä sähköposteista Microsoftille. Jos viestit tai viestilähteet on määritetty hyvänlaatuisiksi, Microsoft voi sallia viestit automaattisesti, eikä sinun tarvitse säilyttää merkintää turvallisessa lähettäjäluettelossa manuaalisesti.

Sen sijaan, että sallisit sähköpostin, sinulla on myös useita vaihtoehtoja estää sähköposti tietyistä lähteistä käyttämällä estettyjä lähettäjäluetteloita. Lisätietoja on artikkelissa EOP-lohkojen lähettäjäluetteloiden luominen.

Salli merkinnät vuokraajan sallittujen ja estettyjen luettelossa

Suositeltava vaihtoehto, joka sallii sähköpostin lähettäjiltä tai toimialueilta, on vuokraajien sallittujen ja estettyjen luettelo. Katso ohjeet kohdasta Salli merkinnät toimialueille ja sähköpostiosoitteet ja Luo sallitut merkinnät huijatuille lähettäjille.

Vain jos et jostain syystä voi käyttää vuokraajan sallittujen ja estettyjen luetteloa, harkitse toisen menetelmän käyttämistä lähettäjien sallimiseen.

Postinkulun sääntöjen käyttäminen

Huomautus

Et voi määrittää sisäistä lähettäjää turvalliseksi lähettäjäksi viestien otsikoiden ja postinkulkusääntöjen avulla. Tämän osion toimintosarjoja käytetään vain ulkoisille lähettäjille.

Exchange Online ja erillisen EOP:n postinkulun säännöt tunnistavat viestit ehdoilla ja poikkeuksilla, ja toiminnot määrittävät, mitä sanomia varten pitäisi tehdä. Lisätietoja on Exchange Online kohdassa Postinkulun säännöt (siirtosäännöt).

Seuraavassa esimerkissä oletetaan, että tarvitset sähköpostin contoso.com roskapostisuodattimen ohittamiseksi. Määritä seuraavat asetukset:

1. Käytä tätä sääntöä, jos (ehto): Lähettäjän>toimialue on> contoso.com.

2. Määritä jompikumpi seuraavista asetuksista:

   • Käytä tätä sääntöä, jos (lisäehto): Viestin otsikot>sisältävät jonkin seuraavista sanoista:

     • Kirjoita teksti (otsikon nimi): Authentication-Results
     • Kirjoita sanat (otsikon arvo): dmarc=pass tai dmarc=bestguesspass (lisää molemmat arvot).

     Tämä ehto tarkistaa lähettävän sähköpostin toimialueen sähköpostin todennustilan varmistaaksesi, ettei lähettävää toimialuetta luoda huijatuksi. Lisätietoja sähköpostin todennuksesta on artikkelissa Sähköpostin todennus Microsoft 365:ssä.

   • SALLITTUJEN IP-osoitteiden luettelo: Määritä lähde-IP-osoite tai osoitealue yhteyssuodatinkäytännössä. Katso ohjeet kohdasta Yhteyssuodatuksen määrittäminen.

     Käytä tätä asetusta, jos lähettävä toimialue ei käytä sähköpostin todennusta. Ole mahdollisimman rajoittava sallivien IP-lähdeosoitteiden suhteen. Suosittelemme IP-osoitealuetta, joka on enintään /24 (vähemmän on parempi). Älä käytä kuluttajapalveluihin (esimerkiksi outlook.com) tai jaettuihin infrastruktuureihin kuuluvia IP-osoitealueita.

   Tärkeää

   • Älä koskaan määritä postinkulun sääntöjä, joiden ehtona on roskapostin suodatuksen ohittaminen vain lähettäjän toimialueella. Tämä lisää merkittävästi todennäköisyyttä, että hyökkääjät voivat huijata lähettävää toimialuetta (tai tekeytyä koko sähköpostiosoitteeksi), ohittaa kaiken roskapostisuodatuksen ja ohittaa lähettäjän todentamisen tarkistukset, jotta viesti saapuu vastaanottajan Saapuneet-kansioon.

   • Älä käytä omistamiasi toimialueita (joita kutsutaan myös hyväksytyiksi toimialueiksi) tai suosittuja toimialueita (esimerkiksi microsoft.com) ehdoiksi postinkulun säännöissä, koska se luo hyökkääjille mahdollisuuksia lähettää sähköpostia, joka muuten suodatettaisiin.

   • Jos sallit IP-osoitteen, joka on verkko-osoitteen käännöksen (NAT) yhdyskäytävän takana, sinun on tiedettävä NAT-varannossa olevat palvelimet. IP-osoitteet ja NAT-osallistujat voivat muuttaa. Sinun on säännöllisesti tarkistettava Salli luettelo -IP-osoitteesi osana vakio ylläpitotoimia.

3. Valinnaiset ehdot:

   • Lähettäjä>on sisäinen/ulkoinen>Organisaation ulkopuolella: Tämä ehto on implisiittinen, mutta sen avulla voidaan ottaa huomioon paikalliset sähköpostipalvelimet, joita ei ehkä ole määritetty oikein.
   • Aihe tai teksti>aihe tai leipäteksti sisältää jonkin näistä sanoista><avainsanat>: Jos voit rajoittaa sanomia entisestään aiherivin tai viestin tekstin avainsanoilla tai lauseilla, voit käyttää näitä sanoja ehtona.

4. Toimi seuraavasti (toiminnot): Määritä molemmat seuraavista säännön toiminnoista:

   1. Viestin ominaisuuksien> muokkaaminenroskapostin luotettavuustason määrittäminen>Ohita roskapostisuodatus.

   2. Viestin ominaisuuksien> muokkaaminenmääritä viestin otsikko:

      • Kirjoita teksti (otsikon nimi): Esimerkiksi X-ETR.
      • Kirjoita sanat (otsikon arvo): Esimerkiksi Bypass spam filtering for authenticated sender 'contoso.com'.

      Voit mukauttaa ylätunnistetekstiä tarpeen mukaan usealle säännön toimialueelle.

Kun viesti ohittaa roskapostisuodattimen postinkulkusäännön vuoksi, arvo SFV:SKN merkitään X-Forefront-Antispam-Report-otsikkoon . Jos viesti on peräisin lähteestä, joka on sallittujen IP-osoitteiden luettelossa, myös arvo IPV:CAL lisätään. Nämä arvot voivat auttaa vianmäärityksessä.

Käytä Outlookin turvallisia lähettäjiä

Varoitus

Tämä menetelmä aiheuttaa suuren riskin sille, että hyökkääjät toimittavat Saapuneet-kansioon sähköpostin, joka muuten suodatettaisiin. Viestit, jotka on määritetty haittaohjelmistoksi tai erittäin luotettavaksi tietojenkalasteluksi, suodatetaan. Lisätietoja on artikkelissa Käyttäjä- ja vuokraaja-asetusten ristiriita.

Organisaation asetusten sijaan käyttäjät tai järjestelmänvalvojat voivat lisätä lähettäjän sähköpostiosoitteet postilaatikon Turvalliset lähettäjät -luetteloon. Postilaatikon turvalliset lähettäjäluettelomerkinnät vaikuttavat vain kyseiseen postilaatikkoon. Katso ohjeet seuraavista artikkeleista:

• Käyttäjät: Lisää sähköpostiviestien vastaanottajat Turvallisten lähettäjien luetteloon.
• Järjestelmänvalvojat: Exchange Online postilaatikoiden roskapostiasetusten määrittäminen Microsoft 365:ssä.

Tämä menetelmä ei ole toivottava useimmissa tilanteissa, koska lähettäjät ohittavat suodatuspinon osat. Vaikka luotat lähettäjään, lähettäjä voi silti olla vaarantunut ja lähettää haitallista sisältöä. Anna suodattimiemme tarkistaa jokainen viesti ja ilmoittaa sitten false-positiivisesta/negatiivisesta Microsoftille , jos virhe havaittiin. Suodatuspinon ohittaminen häiritsee myös nolla tunnin automaattista puhdistusta (ZAP).

Kun viestit ohittavat roskapostisuodattimen käyttäjän Turvallisten lähettäjien luettelon merkintöjen vuoksi, X-Forefront-Antispam-Report-otsikkokenttä sisältää arvon SFV:SFE, joka ilmaisee, että roskapostin, huijarin ja tietojenkalastelun suodattaminen (ei erittäin luotettava tietojenkalastelu) ohitettiin.

• Exchange Online, toimivatko Turvalliset lähettäjät -luettelon merkinnät vai eivät, riippuu viestin tunnistaneen käytännön tuomiosta ja toiminnosta:
  • Siirrä viestit Roskaposti-kansioon: Toimialueen merkinnät ja lähettäjän sähköpostiosoitemerkinnät ovat kunnioitetut. Näiden lähettäjien viestejä ei siirretä Roskaposti-kansioon.
  • Karanteeni: Toimialueen merkintöjä ei kunnioiteta (näiden lähettäjien viestit on asetettu karanteeniin). Sähköpostiosoitteet ovat kunnioitettuja (näiden lähettäjien viestejä ei ole asetettu karanteeniin), jos jompikumpi seuraavista väitteistä pitää paikkansa:
    • Viestiä ei tunnisteta haittaohjelmaksi tai erittäin luotettavaksi tietojenkalasteluksi (haittaohjelmat ja erittäin luotettavat tietojenkalasteluviestit on asetettu karanteeniin).
    • Sähköpostiviestin sähköpostiosoite, URL-osoite tai tiedosto ei ole myös palveltavan kohteen salli/estä-luettelon estomerkinnässä.
• Estettyjen lähettäjien ja estettyjen toimialueiden merkinnät ovat kunnianarvoisia (näiden lähettäjien viestit siirretään Roskaposti-kansioon). Turvalliset postitusluettelon asetukset ohitetaan.

Sallittujen IP-osoitteiden luettelon käyttäminen

Varoitus

Ilman lisävahvistusta, kuten postinkulun sääntöjä, SALLI IP-luettelon lähteistä lähetetyt sähköpostiviestit ohittavat roskapostin suodatuksen ja lähettäjän todentamisen (SPF, DKIM, DMARC) tarkistukset. Tämä menetelmä aiheuttaa suuren riskin sille, että hyökkääjät toimittavat Saapuneet-kansioon sähköpostin, joka muuten suodatettaisiin. Viestit, jotka on määritetty haittaohjelmistoksi tai erittäin luotettavaksi tietojenkalasteluksi, suodatetaan. Lisätietoja on artikkelissa Käyttäjä- ja vuokraaja-asetusten ristiriita.

Seuraavaksi paras vaihtoehto on lisätä lähdesähköpostipalvelimet IP-osoitteiden sallittujen luetteloon yhteyden suodatuskäytännössä. Lisätietoja on artikkelissa Yhteyden suodatuksen määrittäminen EOP:ssa.

• On tärkeää, että pidät sallittujen IP-osoitteiden määrän mahdollisimman pienenä, joten vältä kokonaisten IP-osoitealueiden käyttämistä aina, kun se on mahdollista.
• Älä käytä kuluttajapalveluihin (esimerkiksi outlook.com) tai jaettuihin infrastruktuureihin kuuluvia IP-osoitealueita.
• Tarkista säännöllisesti sallittavan IP-luettelon merkinnät ja poista merkinnät, joita et enää tarvitse.

Sallittujen lähettäjäluetteloiden tai sallittujen toimialueluetteloiden käyttäminen

Varoitus

Tämä menetelmä aiheuttaa suuren riskin sille, että hyökkääjät toimittavat Saapuneet-kansioon sähköpostin, joka muuten suodatettaisiin. Viestit, jotka on määritetty haittaohjelmistoksi tai erittäin luotettavaksi tietojenkalasteluksi, suodatetaan. Lisätietoja on artikkelissa Käyttäjä- ja vuokraaja-asetusten ristiriita.

Älä käytä suosittuja toimialueita (esimerkiksi microsoft.com) sallittujen toimialueluetteloiden kanssa.

Vähiten toivottava vaihtoehto on käyttää sallittuja lähettäjäluetteloita tai sallittuja toimialueluetteloita mukautetuissa roskapostin vastaisissa käytännöissä tai oletusarvoisessa roskapostin vastaisessa käytännössä. Vältä tätä vaihtoehtoa , jos mahdollista , koska lähettäjät ohittavat kaiken roskapostin, huijarin, tietojenkalastelun suojauksen (paitsi erittäin luotettavan tietojenkalastelun) ja lähettäjän todennuksen (SPF, DKIM, DMARC). Tätä menetelmää kannattaa käyttää vain tilapäiseen testaukseen. Yksityiskohtaiset ohjeet ovat artikkelissa Roskapostin torjuntakäytäntöjen määrittäminen EOP:ssa.

Näiden luetteloiden enimmäisraja on noin 1 000 merkintää, mutta voit lisätä enintään 30 merkintää Microsoft Defender portaaliin. PowerShellin avulla voit lisätä yli 30 merkintää.

Huomautus

Syyskuusta 2022 alkaen, jos sallittu lähettäjä, toimialue tai alitoimialue on organisaation hyväksytyllä toimialueella , kyseisen lähettäjän, toimialueen tai alitoimialueen on läpäistävä sähköpostin todennuksen tarkistukset, jotta roskapostin torjuntasuodatus voidaan ohittaa.

Huomioitavaa joukkosähköpostissa

SmtP-vakiosähköpostiviesti voi sisältää eri lähettäjän sähköpostiosoitteita, jotka on kuvattu kohdassa Miksi Internet-sähköposti edellyttää todennusta. Kun sähköpostiviesti lähetetään toisen käyttäjän puolesta, osoitteet voivat olla erilaiset. Tämä ehto tapahtuu usein joukkosähköposteille.

Oletetaan esimerkiksi, että Blue Yonder Airlines palkkasi Margie's Travelin lähettämään mainossähköpostiviestejä. Saapuneet-kansioon lähetettävässä viestissä on seuraavat ominaisuudet:

• MAIL FROM -osoite (jota kutsutaan myös osoitteeksi, P1-lähettäjäksi 5321.MailFrom tai kirjekuoren lähettäjäksi) on blueyonder.airlines@margiestravel.com.
• Lähettäjä-osoite (tunnetaan myös nimellä 5322.From osoite tai P2-lähettäjä) on blueyonder@news.blueyonderairlines.com, mikä näkyy Outlookissa.

EOP:n roskapostin torjuntakäytäntöjen turvalliset lähettäjäluettelot ja turvalliset toimialueluettelot tarkistavat vain Lähettäjä-osoitteet. Tämä toiminta on samanlainen kuin Outlookin turvalliset lähettäjät, jotka käyttävät Lähettäjä-osoitetta.

Voit estää tämän viestin suodattamisen seuraavasti:

• Lisää blueyonder@news.blueyonderairlines.com (Lähettäjä-osoite) Outlookin turvalliseksi lähettäjäksi.
• Käytä postinkulun sääntöä , joka sisältää ehdon, joka etsii viestejä kohteesta blueyonder@news.blueyonderairlines.com (Lähettäjä-osoite), blueyonder.airlines@margiestravel.com (MAIL FROM -osoite) tai molemmista.