Del via


Slik validerer EOP Fra-adressen for å forhindre phishing

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Phishing-angrep er en konstant trussel mot enhver e-postorganisasjon. I tillegg til å bruke falske (forfalskede) avsender-e-postadresser, bruker angripere ofte verdier i Fra-adressen som bryter med Internett-standarder. For å forhindre denne typen phishing krever Exchange Online Protection (EOP) og Outlook.com innkommende meldinger for å inkludere en RFC-kompatibel Fra-adresse som beskrevet i denne artikkelen.

  • Hvis du regelmessig mottar e-post fra organisasjoner som har misformet Fra-adresser som beskrevet i denne artikkelen, oppfordrer du disse organisasjonene til å oppdatere sine e-postservere for å overholde moderne sikkerhetsstandarder.

  • Det relaterte avsenderfeltet (brukt av Send på vegne av og adresselister) påvirkes ikke av disse kravene. Hvis du vil ha mer informasjon, kan du se følgende blogginnlegg: Hva mener vi når vi refererer til avsenderen av en e-postmelding?.

En oversikt over standarder for e-postmeldinger

En standard SMTP-e-postmelding består av en meldingskonvolutt og meldingsinnhold. Meldingskonvolutten inneholder informasjon som kreves for å overføre og levere meldingen mellom SMTP-servere. Meldingsinnholdet inneholder meldingshodefelt (samlet kalt meldingshodet) og meldingsteksten. Meldingskonvolutten er beskrevet i RFC 5321, og meldingshodet er beskrevet i RFC 5322. Mottakerne ser aldri den faktiske meldingskonvolutten fordi den genereres av overføringsprosessen for meldinger, og den er faktisk ikke en del av meldingen.

  • MAIL FROM-adressen (også kjent som 5321.MailFrom adresse, P1-avsender eller konvoluttavsender) er e-postadressen som brukes i SMTP-overføringen av meldingen. Denne e-postadressen registreres vanligvis i returbanehodefeltet i meldingshodet (selv om det er mulig for avsenderen å angi en annen e-postadresse for returbane ).

  • Fra-adressen (også kjent som 5322.From adressen eller P2-avsenderen) er e-postadressen i Fra-topptekstfeltet, og er avsenderens e-postadresse som vises i e-postklienter. Fra-adressen er fokus for kravene i denne artikkelen.

Fra-adressen er definert i detalj på tvers av flere RFCer (for eksempel RFC 5322-seksjoner 3.2.3, 3.4 og 3.4.1 og RFC 3696). Det finnes mange variasjoner i adressering og hva som anses som gyldig eller ugyldig. Hvis du vil gjøre det enkelt, anbefaler vi følgende format og definisjoner:

From: "Display Name" <EmailAddress>

  • Visningsnavn: Et valgfritt uttrykk som beskriver eieren av e-postadressen.

    • Vi anbefaler at du alltid omslutter visningsnavnet i doble anførselstegn (") som vist. Hvis visningsnavnet inneholder et komma, du omslutte strengen i doble anførselstegn per RFC 5322.
    • Hvis Fra-adressen inneholder et visningsnavn, må EmailAddress-verdien stå i vinkelparenteser (<>) som vist.
    • Microsoft anbefaler på det sterkeste at du setter inn et mellomrom mellom visningsnavnet og e-postadressen.
  • E-postadresse: En e-postadresse bruker formatet local-part@domain:

    • lokal del: En streng som identifiserer postboksen som er knyttet til adressen. Denne verdien er unik i domenet. Postbokseierens brukernavn eller GUID brukes ofte.
    • domene: Det fullstendige domenenavnet (FQDN) for e-postserveren som er vert for postboksen som identifiseres av den lokale delen av e-postadressen.

    Også:

    • Bare én e-postadresse.
    • Vi anbefaler at du ikke skiller vinkelparentesene med mellomrom.
    • Ikke ta med tekst etter e-postadressen.

Eksempler på gode og dårlige Fra-adresser

Tabellen nedenfor inneholder eksempler på gyldige Fra-adresser:

Adresse Kommentarer
From: sender@contoso.com OK
From: <sender@contoso.com> OK
From: < sender@contoso.com > OK, men anbefales ikke fordi det er mellomrom mellom vinkelparentesene og e-postadressen.
From: "Sender, Example" <sender.example@contoso.com> OK
From: "Microsoft 365" <sender@contoso.com> OK
From: Microsoft 365 <sender@contoso.com> OK, men anbefales ikke fordi visningsnavnet ikke er omsluttet av doble anførselstegn.

Tabellen nedenfor inneholder eksempler på Fra-adresser som ikke er gyldige:

Adresse Kommentarer
Nei fra-adresse Når det kommer en melding til Microsoft 365 eller Outlook.com uten en Fra-adresse, prøver vi å tilordne E-POST FRA-adressen til Fra-adressen for å sikre at meldingen kan leveres. Disse meldingene godtas for øyeblikket av tjenesten, selv om den opprinnelige Fra-adressen er From: <>.
From: <firstname lastname@contoso.com> E-postadressen inneholder et mellomrom.
From: Microsoft 365 sender@contoso.com Visningsnavnet finnes, men e-postadressen er ikke omsluttet av vinkelparenteser.
From: "Microsoft 365" <sender@contoso.com> (Sent by a process) Tekst etter e-postadressen.
From: Sender, Example <sender.example@contoso.com> Visningsnavnet inneholder et komma, men er ikke omsluttet av doble anførselstegn.
From: "Microsoft 365 <sender@contoso.com>" Hele verdien er feilaktig omsluttet av doble anførselstegn.
From: "Microsoft 365 <sender@contoso.com>" sender@contoso.com Visningsnavnet finnes, men e-postadressen er ikke omsluttet av vinkelparenteser.
From: Microsoft 365<sender@contoso.com> Ingen mellomrom mellom visningsnavnet og venstre vinkelparentes.
From: "Microsoft 365"<sender@contoso.com> Ingen mellomrom mellom det doble anførselstegnet og venstre vinkelparentes.

Undertrykk automatiske svar på egendefinerte domener

Du kan ikke bruke verdien From: <> til å undertrykke automatiske svar. I stedet må du konfigurere en null MX-post for det egendefinerte domenet. Når du har konfigurert null-MX-posten, undertrykkes alle svarene naturlig fordi det ikke finnes noen publisert adresse for svarserveren å sende meldinger til.

Velg et e-postdomene som ikke kan motta e-post, for null-MX-posten. Hvis for eksempel det primære domenet er contoso.com, kan du velge noreply.contoso.com. Null-MX-posten for dette domenet består av én enkelt periode. Eksempel:

noreply.contoso.com IN MX .

Hvis du vil ha mer informasjon om hvordan du konfigurerer MX-poster, kan du se Opprette DNS-poster hos en DNS-vertstjenesteleverandør for Microsoft 365.

Hvis du vil ha mer informasjon om hvordan du publiserer en null MX, kan du se RFC 7505.

Overstyr fra adressehåndhevelse

Hvis du vil hoppe over fra-adressekravene for innkommende e-post, kan du bruke ip-tillatelseslisten (tilkoblingsfiltrering) eller regler for e-postflyt (også kalt transportregler) som beskrevet i Opprett lister over klarerte avsendere i Microsoft 365. Outlook.com tillater ikke overstyringer av noe slag, selv ikke gjennom støtteforespørsler.

Du kan ikke overstyre Fra-adressekravene for utgående e-post som du sender fra Microsoft 365 eller Outlook.com.

Andre måter å forhindre og beskytte mot nettkriminalitet på i Microsoft 365

Hvis du vil ha mer informasjon om hvordan du styrker organisasjonen mot phishing, søppelpost, databrudd og andre trusler, kan du se Anbefalte fremgangsmåter for å sikre Microsoft 365 for bedriftsplaner.