EOP で受信拒否送信者の一覧を作成する
ヒント
Microsoft 365 Defender for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。
Exchange Online メールボックスのないExchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、EOP は望ましくない送信者からのメールをブロックする複数の方法を提供します。 まとめると、これらのオプションは ブロックされた送信者リストと考えることができます。
使用可能なブロックされた送信者リストは、最も推奨されるリストから最も推奨されるリストまで、次の一覧で説明されています。
- テナント許可/ブロック リストのドメインとメール アドレス (なりすまし送信者を含む) のエントリをブロックします。
- Outlook の [ブロックされた送信者] (各メールボックスに格納されている [ブロックされた送信者] の一覧)。
- ブロックされた送信者リストまたはブロックされたドメイン リスト (スパム対策ポリシー)。
- メール フロー ルール (トランスポート ルールとも呼ばれます)。
- IP ブロック リスト (接続フィルター処理)。
この記事の残りの部分には、各メソッドに関する詳細が含まれています。
注:
分析のために、ブロックされた送信者リスト内のメッセージを常に Microsoft に送信します。 手順については、「 疑わしいメールを Microsoft に報告する」を参照してください。 メッセージまたはメッセージ ソースが有害であると判断された場合、Microsoft はメッセージを自動的にブロックできます。また、受信拒否リストのエントリを手動で管理する必要はありません。
メールをブロックする代わりに、 差出人セーフ リストを使用して特定のソースからのメールを許可するオプションがいくつかあります。 詳細については、「信頼できる差出人リストの作成」を参照してください。
Emailメッセージの基本
標準的な SMTP 電子メール メッセージは、メッセージ エンベロープとメッセージのコンテンツで構成されます。 メッセージ エンベロープには、SMTP サーバー間でのメッセージの送信と配信に必要な情報が含まれています。 メッセージのコンテンツには、総称して "メッセージ ヘッダー" と呼ばれるメッセージ ヘッダー フィールドと、メッセージ本文があります。 メッセージ エンベロープは RFC 5321 で定義され、メッセージ ヘッダーは RFC 5322 で定義されます。 メッセージ エンベロープはメッセージ送信プロセスによって生成されるもので、実際にはメッセージの一部ではないため、受信者がメッセージ エンベロープを目にすることはありません。
5321.MailFromアドレス (MAIL FROM アドレス、P1 送信者、またはエンベロープ送信者とも呼ばれます) は、メッセージの SMTP 送信で使用されるメール アドレスです。 このメール アドレスは通常、メッセージ ヘッダーの Return-Path ヘッダー フィールドに記録されます (ただし、送信者は別のReturn-Path メール アドレスを指定できます)。 メッセージを配信できない場合は、配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) を受信します。5322.Fromアドレス (差出人アドレスまたは P2 送信者とも呼ばれます) は、[差出人ヘッダー] フィールドのメール アドレスであり、電子メール クライアントに表示される送信者の電子メール アドレスです。
多くの場合、5321.MailFromと5322.Fromのアドレスは同じです (対人通信)。 ただし、他のユーザーに代わってメールが送信される場合は、これらのアドレスが異なるのが普通です。
EOP のスパム対策ポリシーでブロックされた送信者リストとブロックされたドメイン リストは、アドレスのみを 5322.From 検査します。 この動作は、アドレスを使用する Outlook ブロックされた送信者に 5322.From 似ています。
テナント許可/ブロック一覧でブロック エントリを使用する
特定の送信者またはドメインからのメールをブロックするための推奨オプションの 1 つ目は、テナント許可/ブロック リストです。 手順については、「 ドメインとメール アドレスのブロック エントリを作成する」および 「 なりすまし送信者のブロック エントリを作成する」を参照してください。
これらの送信者からのEmailメッセージは、信頼度の高いスパム (SCL = 9) としてマークされます。 メッセージに対する処理は、受信者のメッセージを検出した スパム対策ポリシー によって決まります。 既定のスパム対策ポリシーと新しいカスタム ポリシーでは、信頼度の高いスパムとしてマークされているメッセージは、既定で迷惑メール Email フォルダーに配信されます。 Standard および Strict の事前設定されたセキュリティ ポリシーでは、信頼度の高いスパム メッセージが検疫されます。
追加の利点として、organizationのユーザーは、これらのブロックされたドメインとアドレスに電子メールを送信できません。 次の配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) を受け取ります。 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 1 つの受信者のメール アドレスまたはドメインがブロック エントリで定義されている場合でも、メッセージの内部および外部のすべての受信者に対してメッセージ全体がブロックされます。
何らかの理由でテナント許可/ブロックリストを使用できない場合にのみ、別の方法を使用して送信者をブロックすることを検討する必要があります。
Outlook のブロックされた送信者を使用する
少数のユーザーだけが不要なメールを受信した場合、ユーザーまたは管理者は、メールボックスの [ブロックされた送信者] リストに送信者のメール アドレスを追加できます。 手順については、「Exchange Online メールボックスの迷惑メール設定を構成する」を参照してください。
ユーザーの [送信者のブロック] リストが原因でメッセージが正常にブロックされると、 X-Forefront-Antispam-Report ヘッダー フィールドに 値 SFV:BLKが含まれます。
注:
望ましくないメッセージが信頼できる、認識可能なソースからのニュースレターである場合、ユーザーがメッセージを受信するのを停止する別のオプションは、電子メールからのサブスクライブ解除です。
ブロックされた送信者リストまたはブロックされたドメイン リストを使用する
複数のユーザーが影響を受ける場合、スコープは広くなります。次に最適なオプションは、スパム対策ポリシーで送信者リストをブロックするか、ブロックされたドメイン リストです。 リストの送信者からのメッセージは 信頼度の高いスパムとしてマークされ、 高信頼スパム フィルターの判定に対して構成したアクションがメッセージに対して実行されます。 詳細については、「スパム対策ポリシーの構成」を参照してください。
これらのリストの上限は約 1,000 エントリです。
メール フロー ルールを使用する
メール フロー ルールは、不要なメッセージ内のキーワードやその他のプロパティを検索することもできます。
メッセージを識別するために使用する条件または例外に関係なく、メッセージのスパム信頼レベル (SCL) を 9 に設定するようにアクションを構成します。これにより、メッセージは 高信頼スパムとしてマークされます。 詳細については、「 メール フロー ルールを使用してメッセージ内の SCL を設定する」を参照してください。
重要
過度に攻撃的なルールを作成するのは簡単なので、非常 に 特定の条件を使用してブロックするメッセージのみを特定することが重要です。 また、 ルールの使用状況を監視 して、すべてが期待どおりに動作することを確認してください。
IP ブロック リストを使用する
他のオプションのいずれかを使用して送信者をブロックできない場合 は 、接続フィルター ポリシーで IP ブロック リストを使用する必要があります。 詳細については、「接続フィルター ポリシーを構成する」を参照してください。 ブロックされた IP の数を最小限に抑える必要があるため、IP アドレス範囲全体をブロックすることはお勧 めしません 。
特に、コンシューマー サービス (outlook.com など) または共有インフラストラクチャに属する IP アドレス範囲を追加しないようにし、ブロックされた IP アドレスの一覧を定期的なメンテナンスの一部として確認する必要があります。