Roskapostin torjunta EOP:ssa

• Koskee seuraavia::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Huomautus

Tämä ohjeaihe on tarkoitettu järjestelmänvalvojille. Loppukäyttäjän aiheet ovat ohjeaiheessa Roskapostisuodattimen yleiskatsaus ja Lisätietoja roskapostista ja tietojenkalastelusta.

Microsoft 365 -organisaatioissa, joiden postilaatikot ovat Exchange Online organisaatioissa tai erillisissä Exchange Online Protection (EOP) organisaatioissa ilman Exchange Online postilaatikoita, EOP suojaa sähköpostiviestit automaattisesti roskapostilta.

Roskapostin vähentämiseksi EOP sisältää roskapostisuojausta, jossa käytetään roskapostin suodatuksen (eli sisällön suodatuksen) tekniikoita roskapostin tunnistamiseen ja erottamiseen laillisesta sähköpostista. EOP-roskapostisuodatus oppii tunnetuista roskaposti- ja tietojenkalasteluuhkista sekä käyttäjäpalautteesta kuluttajaympäristöstämme, Outlook.com. Jatkuva palaute järjestelmänvalvojilta ja käyttäjiltä auttaa varmistamaan, että EOP-tekniikoita harjoitetaan ja parannetaan jatkuvasti.

EOP luokittelee viestit seuraavien roskapostisuodatuspäätösten avulla:

• Roskaposti: Viestin roskapostin luotettavuustaso (SCL) oli 5 tai 6.
• Erittäin luotettava roskaposti: Viestin SCL-käyttöoikeusluettelo oli 7, 8 tai 9.
• Tietojenkalastelu
• Erittäin luotettava tietojenkalastelu: Osana oletusarvoista suojausta erittäin luotettavaksi tietojenkalasteluksi tunnistetut viestit asetetaan aina karanteeniin, eivätkä käyttäjät voi vapauttaa omia karanteeniin asetettuja erittäin luotettavan tietojenkalasteluviestinsä järjestelmänvalvojien määrittämistä käytettävissä olevista asetuksista riippumatta.
• Joukko: Viestin lähde täyttyi tai ylitti määritetyn joukkovalitustason . Kynnys.

Lisätietoja roskapostin torjuntaa koskevista usein kysytyistä kysymyksistä

Oletusarvoisessa roskapostin vastaisessa käytännössä ja mukautetuissa roskapostin vastaisissa käytännöissä voit määrittää näiden tuomioiden perusteella suoritettavat toimet. Vakio- ja Tiukat esiasetetut suojauskäytännöt-kohdassa toiminnot on jo määritetty ja muokkaamattomia kohdassa Roskapostin torjuntakäytännön asetukset kuvatulla tavalla.

Jos haluat määrittää oletusarvoisen roskapostin torjuntakäytännön sekä luoda, muokata ja poistaa mukautettuja roskapostin torjuntakäytäntöjä, katso Roskapostin torjuntakäytäntöjen määrittäminen Microsoft 365:ssä.

Vihje

Jos olet eri mieltä roskapostin suodatuspäätöksestä, voit ilmoittaa viestin Microsoftille vääränä positiivisena (hyvä sähköposti merkitty virheelliseksi) tai vääränä negatiivisena (virheellinen sähköposti sallittu). Lisätietoja on seuraavissa artikkeleissa:

• Ohjevalikko ilmoittaa epäilyttävästä sähköpostista tai tiedostosta Microsoftille?.
• Kuinka käsitellä laillisia sähköpostiviestejä estetään (false-positiivinen), käyttämällä Microsoft Defender for Office 365
• Kuinka käsitellä vastaanottajille toimitettuja haitallisia sähköpostiviestejä (false-negatiivisia) käyttämällä Microsoft Defender for Office 365

Roskapostin torjuntaviestien otsikot voivat kertoa, miksi viesti oli merkitty roskapostiksi tai miksi se ohitti roskapostisuodattimen. Lisätietoja on artikkelissa Roskapostin torjuntaviestien otsikot.

Et voi poistaa roskapostisuodatinta kokonaan käytöstä Microsoft 365:ssä, mutta voit käyttää Exchange-postinkulkusääntöjä (joita kutsutaan myös siirtosäännöiksi) ohittaaksesi suurimman osan saapuvien viestien roskapostisuodatuksesta (jos esimerkiksi reitität sähköpostiviestin kolmannen osapuolen suojauspalvelun tai laitteen kautta ennen toimitusta Microsoft 365:een). Lisätietoja on artikkelissa Roskapostin luotettavuustason (SCL) määrittäminen viesteissä postinkulkusääntöjen avulla.

• Erittäin luotettavat tietojenkalasteluviestit suodatetaan edelleen. Tämä ei vaikuta muihin EOP:n ominaisuuksiin (esimerkiksi viestit skannataan aina haittaohjelmien takia).
• Jos sinun on ohitettava roskapostin suodatus SecOps-postilaatikoissa tai tietojenkalastelusimulaatioissa, älä käytä postinkulun sääntöjä. Lisätietoja on artikkelissa Kolmannen osapuolen tietojenkalastelusimulaatioiden toimitus käyttäjille ja suodattamattomat viestit SecOps-postilaatikoihin.

Yhdistelmäympäristöissä, joissa EOP suojaa paikallisia Exchange-postilaatikoita, sinun on määritettävä paikallisen Exchange-organisaation kaksi postinkulun sääntöä (joita kutsutaan myös siirtosäännöiksi) tunnistamaan viesteihin lisätyt EOP-roskapostiotsikot. Lisätietoja on kohdassa Määritä EOP toimittamaan roskapostia hybridiympäristöjen Roskaposti-kansioon.

Roskapostin torjuntakäytännöt

Roskapostin torjuntakäytännöt ohjaavat roskapostin suodatuksen määritettävissä olevia asetuksia. Roskapostin torjuntakäytäntöjen tärkeät asetukset on kuvattu seuraavissa alakohdissa.

Vihje

Jos haluat nähdä roskapostin torjuntakäytännön asetukset oletuskäytännössä, vakiotason suojauskäytännössä ja Strict preset -suojauskäytännössä, katso EOP:n roskapostin torjuntakäytännön asetukset.

Vastaanottajasuodattimet roskapostin vastaisissa käytännöissä

Vastaanottajasuodattimet käyttävät ehtoja ja poikkeuksia tunnistaakseen sisäiset vastaanottajat, joita käytäntö koskee. Mukautetuissa käytännöissä vaaditaan vähintään yksi ehto. Ehdot ja poikkeukset eivät ole käytettävissä oletuskäytännössä (oletuskäytäntö koskee kaikkia vastaanottajia). Voit käyttää seuraavia vastaanottajasuodattimia ehdoille ja poikkeuksille:

• Käyttäjät: Yksi tai useampi organisaation postilaatikko, sähköpostin käyttäjä tai sähköpostiyhteystieto.
• Ryhmät:
  • Määritettyjen jakeluryhmien tai sähköpostia käyttävien käyttöoikeusryhmien jäsenet (dynaamisia jakeluryhmiä ei tueta).
  • Määritetty Microsoft 365 -ryhmät.
• Toimialueet: Vähintään yksi Microsoft 365:n määritetyistä hyväksytyistä toimialueista . Vastaanottajan ensisijainen sähköpostiosoite on määritetyssä toimialueessa.

Voit käyttää ehtoa tai poikkeusta vain kerran, mutta ehto tai poikkeus voi sisältää useita arvoja:

• Useat saman ehdon tai poikkeuksenarvot käyttävät OR-logiikkaa (esimerkiksi <vastaanottaja1> tai <vastaanottaja2>):

  • Ehdot: Jos vastaanottaja vastaa jotakin määritetyistä arvoista, käytäntöä sovelletaan niihin.
  • Poikkeukset: Jos vastaanottaja vastaa jotakin määritetyistä arvoista, käytäntöä ei sovelleta niihin.

• ERI poikkeustyypit käyttävät OR-logiikkaa (esimerkiksi <vastaanottaja1> tai <group1>:n jäsen tai <toimialueen1> jäsen). Jos vastaanottaja vastaa jotakin määritetyistä poikkeusarvoista, käytäntöä ei sovelleta niihin.

• Erityyppiset ehdot käyttävät AND-logiikkaa. Vastaanottajan on vastattava kaikkia määritettyjä ehtoja, jotta käytäntöä voidaan soveltaa niihin. Voit esimerkiksi määrittää ehdon seuraavilla arvoilla:

  • Käyttäjät: romain@contoso.com
  • Ryhmät: Johtajat

  Käytäntöä romain@contoso.com sovelletaan vain, jos hän on myös Johtajat-ryhmän jäsen. Muuten käytäntöä ei sovelleta häneen.

Joukkovalituksen raja-arvo roskapostin vastaisissa käytännöissä

EOP määrittää joukkovalitustason (BCL) arvon joukko lähettäjien saapuville viesteille. Joukkoviestien lähettäjien viestejä kutsutaan myös joukkosähköposteiksi tai harmaiksi viesteinä.

Lisätietoja BCL:stä on kohdassa Joukkovalitustaso (BCL) EOP:ssa.

Vihje

Oletusarvoisesti Vain PowerShell-asetus MarkAsSpamBulkMail on On roskapostin vastaisissa käytännöissä Exchange Online PowerShellissä. Tämä asetus vaikuttaa dramaattisesti yhteensopimattoman joukkotason (BCL) tuloksiin, joka täyttyi tai ylitti suodatuspäätöksen:

• MarkAsSpamBulkMail on Käytössä: BCL, joka on suurempi tai yhtä suuri kuin kynnysarvo, muunnetaan SCL 6:ksi, joka vastaa roskapostin suodatuspäätöstä, ja viestistä suoritetaan toiminto sille joukkoyhdenmukaiselle tasolle (BCL), joka täyttyi tai ylitti suodatuspäätöksen.
• MarkAsSpamBulkMail ei ole käytössä: Viesti on leimattu BCL:llä, mutta joukkoyhdenmukaiselle tasolle (BCL)ei tehdä toimia, tai se on ylittänyt suodatuspäätöksen. Itse asiassa BCL-raja-arvo ja Joukko-yhteensopiva taso (BCL) täyttävät tai ylittävät suodatuspäätöksen toiminnon, ovat merkityksettömiä.

Roskapostin torjuntakäytännöt

Testitilan asetukset, Roskapostin lisääminen -asetukset ja suurin osa Merkitse roskaposti-asetuksista ovat osa roskapostin torjunnan lisäsuodatusta (ASF).

Näitä asetuksia ei ole oletusarvoisesti määritetty oletusarvoisesti roskapostin vastaisessa oletuskäytännössä tai vakio- tai strict-suojauskäytännöissä.

Lisätietoja ASF-asetuksista on artikkelissa EOP:n asf-asetusten lisäasetukset.

Muut tässä luokassa käytettävissä olevat asetukset ovat:

• Sisältää tiettyjä kieliä: Määritetyillä kielillä olevat viestit tunnistetaan automaattisesti roskapostiksi.
• Näistä maista*: Määritettyjen maiden viestit tunnistetaan automaattisesti roskapostiksi.

Näitä asetuksia ei ole oletusarvoisesti määritetty oletusarvoisesti roskapostin vastaisessa oletuskäytännössä tai vakio- tai strict-suojauskäytännöissä.

Roskapostin torjuntakäytäntöjen toiminnot

• Mukautetuissa roskapostin torjuntakäytännöissä ja oletusarvoisessa roskapostin torjuntakäytännössä käytettävissä olevat toiminnot roskapostin suodatuksen tuomioille on kuvattu seuraavassa taulukossa.

  • Valintamerkki ( ✔ ) ilmaisee, että toiminto on käytettävissä (kaikki toiminnot eivät ole käytettävissä kaikissa tuomioissa).
  • Tähti ( ^* ) valintamerkin jälkeen ilmaisee roskapostin suodatuspäätöksen oletustoiminnon.

  Toiminta	Roskapostia	Korkea Luottamusta roskaposti	Tietojenkalastelu	Korkea Luottamusta Phishing	Irtotavarana
  Siirrä viesti Roskaposti-kansioon: Viesti toimitetaan postilaatikkoon ja siirretään Roskaposti-kansioon.1	✔*	✔*	✔	²	✔*
  Lisää X-otsikko: Lisää X-otsikon viestin otsikkoon ja toimittaa viestin postilaatikkoon. Kirjoita X-otsikon kentän nimi (ei arvoa) käytettävissä olevaan Lisää tämä X-otsikko -tekstiruutuun . Roskaposti- ja Erittäin luotettavat roskapostipäätökset-kohdassa viesti siirretään Roskaposti-kansioon.1 ³	✔	✔	✔		✔
  Esitä aiherivi ja teksti: lisää tekstin viestin aiherivin alkuun. Viesti toimitetaan postilaatikkoon ja siirretään Roskaposti-kansioon.1 ³ Kirjoita teksti käytettävissä olevalle etuliitteen aiheriville, jossa on tämä tekstiruutu .	✔	✔	✔		✔
  Uudelleenohjaa viesti sähköpostiosoitteeseen: Lähettää viestin muille vastaanottajille aiottujen vastaanottajien sijaan. Määrität vastaanottajat Uudelleenohjaa tähän sähköpostiosoitteeseen -ruudussa.	✔	✔	✔	✔	✔
  Poista viesti: Poistaa viestin kokonaan, kaikki liitteet mukaan lukien.	✔	✔	✔		✔
  Karanteeniviesti: Viesti lähetetään karanteeniin vastaanottajien asemien sijaan. Valitset tai käytät oletusarvoista karanteenikäytäntöä roskapostin suodatuspäätökselle Avautuvassa Valitse karanteenikäytäntö -ruudussa.Karanteenikäytännöt määrittävät, mitä käyttäjät voivat tehdä karanteeniin asetettuihin viesteihin ja saavatko käyttäjät karanteeniilmoituksia. Lisätietoja on kohdassa Karanteenikäytännön anatomia. Määrität, kuinka kauan viestejä pidetään karanteenissa käytettävissä olevassa Säilytä roskaposti karanteenissa näin monen päivän ajan -ruudussa .	✔	✔	✔*	✔* ⁵	✔
  Ei toimintoja					✔

  ¹ EOP käyttää omaa postinkulun toimitusagenttiaan viestien reitittämiseen Roskaposti-kansioon sen sijaan, että käyttäisit roskapostisääntöä postilaatikossa. Käytössä-parametri Set-MailboxJunkEmailConfiguration cmdlet-komennolla kohteessa Exchange Online PowerShell vaikuttaa postinkulkuun pilvipalvelupostilaatikoissa. Lisätietoja on artikkelissa Roskapostiasetusten määrittäminen Exchange Online postilaatikoissa.

  ² Erittäin luotettavassa tietojenkalastelussaSiirrä viesti roskapostikansioon -toiminto on käytännössä vanhentunut. Vaikka saatat pystyä valitsemaan Siirrä viesti Roskaposti-kansioon - toiminnon, erittäin luotettavat tietojenkalasteluviestit ovat aina karanteenissa (vastaa karanteeniviestin valitsemista).

  ³ Voit käyttää arvoa ehdona postinkulun säännöissä viestin suodattamiseen tai reititykseen.

  Jos roskapostisuodatuksen tuomio asettaa viestit karanteeniin oletusarvoisesti (karanteenisanoma on jo valittu, kun siirryt sivulle), karanteenikäytännön oletusnimi näkyy Valitse karanteenikäytäntö -ruudussa. Jos muutat roskapostisuodatuspäätöksen toiminnoksi Karanteeni-sanoman, Valitse karanteenikäytäntö -ruutu on oletusarvoisesti tyhjä. Tyhjä arvo tarkoittaa, että kyseiselle päätökselle käytetään karanteenin oletuskäytäntöä. Kun myöhemmin tarkastelet tai muokkaat roskapostin vastaisia käytäntöasetuksia, karanteenikäytännön nimi tulee näkyviin. Lisätietoja karanteenikäytännöistä, joita käytetään oletusarvoisesti roskapostisuodatintuomioissa, on artikkelissa Roskapostin eOP-käytäntöasetukset.

  Käyttäjät eivät voi julkaista omia viestejään, jotka on asetettu karanteeniin erittäin luotettavana tietojenkalasteluna, riippumatta siitä, miten karanteenikäytäntö on määritetty. Jos käytäntö sallii käyttäjien vapauttaa omia karanteeniin asetettuja viestejään, käyttäjät voivat sen sijaan pyytää karanteeniin asetettujen erittäin luotettavan tietojenkalasteluviestinsä vapauttamista.

• Organisaation sisäiset sanomat, joihin toiminto suoritetaan: Määrittää, käytetäänkö roskapostin suodatusta ja vastaavia tuomiotoimintoja sisäisiin viesteihin (organisaation käyttäjien välillä lähetettävät viestit). Toiminto, joka on määritetty käytäntöön määritetyille roskapostisuodatintuomioille, tehdään sisäisiltä käyttäjiltä lähetetyille viesteille. Käytettävissä olevat arvot ovat:

  • Oletusarvo: Tämä on oletusarvo. Tämä arvo on sama kuin erittäin luotettavan tietojenkalasteluviestin valitseminen.
  • Ei mitään
  • Erittäin luotettavat tietojenkalasteluviestit
  • Tietojenkalastelu ja erittäin luotettavat tietojenkalasteluviestit
  • Kaikki tietojenkalastelu ja erittäin luotettavat roskapostiviestit
  • Kaikki tietojenkalastelu- ja roskapostiviestit

  Saat oletusarvot, joita käytetään roskapostin oletusarvokäytännössä ja vakio- ja tiukassa esimääritetyssä suojauskäytännössä, organisaation sisäisistä viesteistä , jotka koskevat tietojen syöttämistä EOP:n roskapostin torjuntakäytännön asetuksissa.

• Säilytä roskaposti karanteenissa näin monen päivän ajan: Määrittää, kuinka kauan viesti säilytetään karanteenissa, jos valitsit karanteeniviestin roskapostisuodattimen päätöksen toiminnoksi. Aikajakson päätyttyä viesti poistetaan, eikä sitä voi palauttaa. Kelvollinen arvo on 1 - 30 päivää.

  Saat oletusarvot, joita käytetään roskapostin oletuskäytännössä ja vakio- ja tiukassa esimääritetyssä suojauskäytännössä, artikkelista Roskapostin lisääminen karanteeniin näin monen päivän ajan -kohta EOP:n roskapostin torjuntakäytännön asetuksissa.

  Vihje

  Tämä asetus määrittää myös, kuinka kauan tietojenkalastelun torjuntakäytäntöjen karanteeniin asettamia viestejä säilytetään. Lisätietoja on kohdassa Karanteenin säilyttäminen.

Nolla tunnin automaattinen puhdistus (ZAP) roskapostin vastaisissa käytännöissä

ZAP tietojenkalasteluun ja ZAP roskapostille voi toimia viesteissä sen jälkeen, kun ne on toimitettu Exchange Online postilaatikoihin. Oletusarvoisesti ZAP tietojenkalasteluun ja ZAP roskapostia varten on käytössä, ja suosittelemme, että jätät ne päälle. Lisätietoja on seuraavissa artikkeleissa:

• Nollatuntinen automaattinen puhdistus (ZAP) tietojenkalasteluun
• Nollatuntinen automaattinen puhdistus (ZAP) erittäin luotettavaan tietojenkalasteluun
• Roskapostin automaattinen tyhjennys nollatuntisydän (ZAP)

Karanteenikäytännöt roskapostin vastaisissa käytännöissä

Jos roskapostin torjuntakäytännön tuomio on määritetty asettamaan viestit karanteeniin, karanteenikäytännöt määrittävät, mitä käyttäjät voivat tehdä karanteenissa oleville viesteille ja saavatko käyttäjät karanteeniilmoituksia. Lisätietoja on kohdassa Karanteenikäytännön anatomia.

Salli ja estä luettelot roskapostin vastaisissa käytännöissä

Roskapostin torjuntakäytännöt sisältävät seuraavat luettelot tiettyjen lähettäjien tai toimialueiden sallimiseksi tai estämiseksi:

• Sallittujen lähettäjien luettelo
• Sallittujen toimialueiden luettelo
• Estettyjen lähettäjien luettelo
• Estettyjen toimialueiden luettelo

Näitä asetuksia ei ole oletusarvoisesti määritetty oletusarvoisesti roskapostin vastaisessa oletuskäytännössä tai vakio- tai strict-suojauskäytännöissä.

Näiden luetteloiden toiminnot on korvattu suurelta osin seuraavilla:

• Estä toimialueiden ja sähköpostiosoitteiden merkinnät Create estää toimialueiden ja sähköpostiosoitteiden merkinnät.

  Tärkein syy käyttää estettyjen lähettäjien luetteloa tai estettyjen toimialueiden luetteloa roskapostin vastaisissa käytännöissä: Estä merkinnät vuokraajan salli/estä-luettelossa estää myös organisaation käyttäjiä lähettämästä sähköpostia kyseisiin sähköpostiosoitteisiin tai toimialueisiin.

• Hyvän sähköpostin raportointi Microsoftille Microsoft Defender-portaalin Lähetykset-sivulta (jossa voit halutessasi sallia samankaltaisia määritteitä sisältävät sähköpostiviestit, mikä luo vaaditut tilapäiset merkinnät vuokraajan sallittujen ja estettyjen luetteloon).

  Tärkeää

  Sallittujen lähettäjien luettelon tai sallittujen toimialueiden luettelon merkinnöistä lähetetyt viestit ohittavat suurimman osan sähköpostin suojauksesta (haittaohjelmia ja erittäin luotettavaa tietojenkalastelua lukuun ottamatta) ja sähköpostin todennustarkistukset (SPF, DKIM ja DMARC). Sallittujen lähettäjien luettelon tai sallittujen toimialueiden luettelon merkinnät luovat suuren riskin sille, että hyökkääjät toimittavat sähköpostin Saapuneet-kansioon, joka muuten suodatettaisiin. Näitä luetteloita kannattaa käyttää vain väliaikaiseen testaukseen.

  Älä koskaan lisää yleisiä toimialueita (esimerkiksi microsoft.com tai office.com) sallittujen toimialueiden luetteloon. Hyökkääjät voivat helposti lähettää huijattuja viestejä näistä yleisistä toimialueista organisaatioosi.

  Syyskuusta 2022 alkaen, jos sallittu lähettäjä, toimialue tai alitoimialue on organisaation hyväksytyllä toimialueella , kyseisen lähettäjän, toimialueen tai alitoimialueen on läpäistävä sähköpostin todennustarkistukset, jotta roskapostisuodatus voidaan ohittaa.

  Jos aiot säilyttää sallitun toimialuemerkinnän luettelossa pitkään, pyydä lähettäjää varmistamaan, että hänen SPF-tietueensa on ajan tasalla toimialueen sähköpostilähteiden kanssa ja että DMARC-tietueen käytännöksi p=rejecton määritetty .

Roskapostin torjuntakäytäntöjen prioriteetti

Jos ne on otettu käyttöön, vakio- ja tiukat ennalta määritetyt suojauskäytännöt otetaan käyttöön ennen mukautettuja roskapostin vastaisia käytäntöjä tai oletuskäytäntöä (Strict on aina ensimmäinen). Jos luot useita mukautettuja roskapostin torjuntakäytäntöjä, voit määrittää niiden käyttöönottojärjestyksen. Käytännön käsittely pysähtyy, kun ensimmäinen käytäntö on otettu käyttöön (kyseisen vastaanottajan suurin prioriteettikäytäntö).

Lisätietoja käsittelyjärjestyksestä ja siitä, miten useita käytäntöjä arvioidaan, on kohdassa Sähköpostin suojauksen järjestys ja käsittelyjärjestys sekä Esiasetusten suojauskäytäntöjen ja muiden käytäntöjen käsittelyjärjestys.

Oletusarvoinen roskapostin vastainen käytäntö

Jokaisella organisaatiolla on sisäinen roskapostintorjuntakäytäntö nimeltä Default, jolla on seuraavat ominaisuudet:

• Käytäntö on oletuskäytäntö ( IsDefault-ominaisuudella on arvo True), etkä voi poistaa oletuskäytäntöä.
• Käytäntö otetaan automaattisesti käyttöön kaikille organisaation vastaanottajille, etkä voi poistaa sitä käytöstä.
• Käytäntöä käytetään aina viimeisenä ( Prioriteetti-arvo on Pienin , etkä voi muuttaa sitä).