Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
Gjelder for
- Exchange Online Protection
- Microsoft Defender for Office 365-pakke 1 og Plan 2
- Microsoft Defender XDR
Denne artikkelen inneholder vanlige spørsmål og svar om beskyttelse mot søppelpost for Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser.
Hvis du vil ha spørsmål og svar om karantene, kan du se Vanlige spørsmål om karantene.
Hvis du vil ha spørsmål og svar om beskyttelse mot skadelig programvare, kan du se Vanlige spørsmål om beskyttelse mot skadelig programvare.
Hvis du vil ha spørsmål og svar om beskyttelse mot forfalskning, kan du se Vanlige spørsmål om beskyttelse mot forfalskning.
Hva skjer som standard med en melding som oppdages som søppelpost?
Innkommende meldinger: Det meste av søppelpost oppdages via tilkoblingsfiltrering på kanten av tjenesten, som er basert på IP-adressen til kilde-e-postserveren. Policyer for søppelpost (også kalt policyer for søppelpostfilter eller policyer for innholdsfilter) inspiserer og klassifiserer meldinger som massesøppel, søppelpost, søppelpost med høy visshet, phishing eller phishing med høy visshet.
Policyer for søppelpost brukes i standard- og strenge forhåndsinnstilte sikkerhetspolicyer. Du kan opprette egendefinerte policyer for søppelpost som gjelder for bestemte brukergrupper. Det finnes også en standard policy for søppelpost som gjelder for alle mottakere som ikke er angitt i standard og strenge forhåndsinnstilte sikkerhetspolicyer eller i egendefinerte policyer.
Som standard flyttes meldinger som identifiseres som søppelpost til Søppelpost-mappen av standard sikkerhetspolicy, egendefinerte policyer for søppelpost (konfigurerbar) og standard policy for søppelpost (konfigurerbar). I den strenge forhåndsinnstilte sikkerhetspolicyen settes søppelpost i karantene.
Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for søppelpost og anbefalte innstillinger for søppelpostpolicyer.
Viktig
I hybriddistribusjoner der EOP beskytter lokale Exchange-postbokser, må du konfigurere to Exchange-regler for e-postflyt (også kjent som transportregler) i den lokale Exchange-organisasjonen for å oppdage EOP-søppelpostfiltreringshodene som legges til i meldinger. Hvis du vil ha mer informasjon, kan du se Konfigurere EOP til å levere søppelpost til Søppelpost-mappen i hybridmiljøer.
Utgående meldinger: Meldingen rutes enten gjennom leveringsutvalget med høy risiko eller returneres til avsenderen i en rapport om manglende levering (også kjent som en NDR- eller returmelding). Hvis du vil ha mer informasjon om beskyttelse mot utgående søppelpost, kan du se Utgående søppelpostkontroller.
Hva er en nulldags søppelpostvariant, og hvordan håndteres den av tjenesten?
En nulldags søppelpostvariant er en første generasjon, tidligere ukjent variant av søppelpost som aldri har blitt registrert eller analysert, slik at søppelpostfiltrene våre ennå ikke har informasjon tilgjengelig for å oppdage den. Etter at en nulldags søppelpostprøve fanges opp og analyseres av søppelpostanalytikerne våre, oppdateres søppelpostfiltrene våre for å oppdage det, og de regnes ikke lenger som «nulldag».
Obs!
Hvis du mottar en melding som kan være en nulldags søppelpostvariant, for å hjelpe oss med å forbedre tjenesten, kan du sende meldingen til Microsoft ved hjelp av en av metodene som er beskrevet i rapportmeldinger og filer til Microsoft.
Må jeg konfigurere tjenesten til å gi beskyttelse mot søppelpost?
Nei. Standard policy for søppelpost beskytter alle nåværende og fremtidige mottakere i Microsoft 365-organisasjonen etter at du har registrert deg for tjenesten og lagt til domenet. Det eneste unntaket er det tidligere beskrevne kravet for frittstående frittstående EOP-kunder i hybridmiljøer
Som administrator kan du bruke følgende metoder til ytterligere å begrense beskyttelse mot søppelpost:
- Legg til brukere i standard- og strenge forhåndsinnstilte sikkerhetspolicyer.
- Rediger standardinnstillingene for søppelpostfiltrering i standardpolicyen for søppelpost.
- Opprett søppelpostpolicyer som brukes for angitte brukere, grupper eller domener i organisasjonen.
Hvis du vil ha mer informasjon, kan du se følgende artikler:
Hvor lang tid tar det før endringene trer i kraft hvis jeg endrer en policy for søppelpost?
Det kan ta opptil 1 time etter at du lagrer endringene for at disse endringene skal tre i kraft.
Er massefiltrering av e-post automatisk aktivert?
Ja. Hvis du vil ha mer informasjon om masse-e-post, kan du se Hva er forskjellen mellom søppelpost og masse-e-post? og masseklagenivå (BCL) i EOP.
Gir tjenesten nettadressefiltrering?
Ja, tjenesten har et nettadressefilter som ser etter nettadresser i meldinger. Hvis URL-adresser som er knyttet til kjent søppelpost eller skadelig innhold oppdages, merkes meldingen som søppelpost.
Kunder med Microsoft Defender XDR for Office 365-lisenser får også beskyttelse mot klarerte koblinger. Hvis du vil ha mer informasjon, kan du se Klarerte koblinger i Microsoft Defender for Office 365.
Hvordan kan Microsoft 365-kunder sende falske positive (dårlige) og falske negative (gode) meldinger til Microsoft?
Kan jeg få søppelpostrapporter?
Ja. Følgende rapporter er tilgjengelige:
Noen sendte meg en melding, og jeg finner den ikke. Jeg mistenker at det kan ha blitt oppdaget som søppelpost. Finnes det et verktøy jeg kan bruke til å finne det ut?
Ja, verktøyet for meldingssporing gjør det mulig å følge e-postmeldinger etter hvert som de passerer gjennom tjenesten, for å finne ut hva som skjedde med dem. Hvis du vil ha mer informasjon om hvordan du bruker verktøyet for meldingssporing til å finne ut hvorfor en melding ble merket som søppelpost, kan du se Ble en melding merket som søppelpost?
Begrenser tjenestebegrensningen (vurderingsgrensen) e-posten min hvis brukere sender utgående søppelpost?
Hvis mer enn halvparten av e-postmeldingene som sendes fra en bruker via tjenesten innen en bestemt tidsramme (for eksempel per time), er fastslått å være søppelpost av EOP, blokkeres brukeren fra å sende meldinger. I de fleste tilfeller, hvis en utgående melding er fast bestemt på å være søppelpost, rutes den gjennom leveringsutvalget med høy risiko, noe som reduserer sannsynligheten for at det normale utgående IP-utvalget legges til i en blokkeringsliste.
Varsler sendes automatisk når brukere blokkeres på grunn av sending av utgående søppelpost eller overskrider grensen for sending. Hvis du vil ha mer informasjon, kan du se Beskyttelse mot utgående søppelpost i EOP.
Kan jeg bruke en tredjeparts leverandør av søppelpost og skadelig programvare med Microsoft 365?
Ja. Selv om vi anbefaler at du henviser MX-posten direkte til Microsoft, innser vi at det finnes legitime forretningsgrunner til å rute e-posten til et annet sted enn Microsoft først.
- Innkommende: Endre MX-postene slik at de peker til tredjepartsleverandøren, og omadresser deretter meldingene til EOP for ytterligere behandling. Hvis du vil ha mer informasjon, kan du se Utvidet filtrering for koblinger i Exchange Online.
- Utgående: Konfigurer smartvertruting fra Microsoft 365 til målleverandøren for tredjeparter.
Har Microsoft dokumentasjon om hvordan jeg kan beskytte meg mot phishingsvindel?
Ja. Hvis du vil ha mer informasjon, kan du se Beskytte personvernet ditt på Internett
Undersøkes søppelpostmeldinger og skadelige meldinger om hvem som sendte dem, eller overføres til rettshåndhevelsesenheter?
Tjenesten fokuserer på gjenkjenning og fjerning av søppelpost og skadelig programvare, selv om vi av og til kan undersøke spesielt farlige eller skadelige kampanjer og forfølge gjerningsmennene. Denne jakten kan innebære å jobbe med våre juridiske og digitale kriminalitet enheter for å ta ned en botnet, blokkere søppelpost fra å bruke tjenesten (hvis de bruker den for å sende utgående e-post), og sende informasjonen videre til politiet for straffeforfølgelse.
Hva er de anbefalte fremgangsmåtene for utgående e-post som bidrar til å sikre at e-posten leveres?
Retningslinjene til eksterne avsendere – Feilsøking av e-post sendt til Microsoft 365 og følgende retningslinjer er anbefalte fremgangsmåter for å sende utgående e-postmeldinger:
Kilde-e-postdomenet skal løses i DNS: Hvis for eksempel avsenderen er user@fabrikam, løses domenet fabrikam til IP-adressen 192.168.43.10.
Hvis et avsenderdomene ikke har noen A-post og ingen MX-post i DNS, ruter tjenesten meldingen gjennom leveringsutvalget med høyere risiko, uavhengig av meldingsinnholdet. Hvis du vil ha mer informasjon om leveringsutvalget med høy risiko, kan du se utvalget for levering med høy risiko for utgående meldinger.
Kilde-e-postserveren må ha en omvendt DNS-oppføring (PTR): Hvis for eksempel IP-adressen for e-postkilden er 192.168.43.10, vil den omvendte DNS-oppføringen være
43-10.any.icann.org
.'KOMMANDOENE HELO/EHLO og MAIL FROM bør være konsekvente, tilstede og bruke et domenenavn i stedet for en IP-adresse: HELO/EHLO-kommandoen bør konfigureres til å samsvare med omvendt DNS for ip-adressen som sendes. Denne innstillingen bidrar til å sikre at domenet forblir det samme på tvers av de ulike delene av meldingshodene.
Kontroller at riktige SPF-poster er konfigurert i DNS: SPF-poster er en mekanisme for å validere at e-post som sendes fra et domene, virkelig kommer fra dette domenet og ikke er forfalsket. Hvis du vil ha mer informasjon om SPF-poster, kan du se følgende koblinger:
Signering av e-post med DKIM, signer med avslappet kanonisering: Hvis en avsender ønsker å signere meldingene sine ved hjelp av Domain Keys Identified Mail (DKIM) og de ønsker å sende utgående e-post gjennom tjenesten, bør de signere ved hjelp av den avslappede kanonisk algoritmen for topptekst. Signering med streng kanonisk overskrift kan gjøre signaturen ugyldig når den passerer gjennom tjenesten.
Domeneeiere bør ha nøyaktig informasjon i WHOIS-databasen: Denne konfigurasjonen identifiserer eierne av domenet og hvordan de kan kontaktes ved å skrive inn det stabile overordnede selskapet, kontaktpunktet og navneserverne.
Formatere utgående returmeldinger: Når meldinger genererer rapporter om manglende levering (også kjente NDR-er eller returmeldinger), bør avsendere følge formatet til en retur som angitt i RFC 3464.
Fjern returnerte e-postadresser for ikke-eksisterende brukere: Hvis du mottar en NDR som angir at en e-postadresse ikke lenger er i bruk, fjerner du det ikke-eksisterende e-postaliaset fra listen. E-postadresser endres over tid, og noen ganger forkaster personer dem.
Bruk Outlook.com Smart Network Data Services (SNDS)-program: Hvis du vil ha mer informasjon, kan du se Smart Network Data Service.
Hvordan deaktivere filtrering av søppelpost?
Hvis du bruker en tredjeparts beskyttelsestjeneste eller enhet til å skanne e-post før den leveres til Microsoft 365, kan du bruke en regel for e-postflyt (også kjent som en transportregel) til å omgå mest søppelpostfiltrering for innkommende meldinger. Hvis du vil ha instruksjoner, kan du se Bruke regler for e-postflyt til å angi søppelpostnivå (SCL) i meldinger. Skanning etter skadelig programvare og phishing-meldinger med høy visshet kan ikke hoppes over.
Hvis du bruker en tredjeparts beskyttelsestjeneste eller enhet til å skanne e-post før den leveres til Microsoft 365, bør du også aktivere utvidet filtrering for koblinger (også kjent som hopp over oppføring), slik at gjenkjennings-, rapporterings- og undersøkelsesfunksjoner i Microsoft 365 kan identifisere meldingskilder på riktig måte. Hvis du vil ha mer informasjon, kan du se Utvidet filtrering for koblinger.
Hvis du trenger å hoppe over søppelpostfiltrering for SecOps-postbokser eller phishing-simuleringer, må du ikke bruke regler for e-postflyt. Hvis du vil ha mer informasjon, kan du se Konfigurere levering av tredjeparts phishing-simuleringer til brukere og ufiltrerte meldinger til SecOps-postbokser.