Beskyttelse mot søppelpost i EOP

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Obs!

Dette emnet er ment for administratorer. For sluttbrukeremner kan du se Oversikt over søppelpostfilteret og Lær om søppelpost og phishing.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, beskyttes e-postmeldinger automatisk mot søppelpost (søppelpost) av EOP.

For å redusere søppelpost inkluderer EOP beskyttelse mot søppelpost som bruker rettighetsbeskyttet filtrering av søppelpost (også kjent som innholdsfiltrering) teknologier for å identifisere og skille søppelpost fra legitim e-post. EOP-filtrering av søppelpost lærer av kjente søppelpost- og phishing-trusler og tilbakemeldinger fra brukerplattformen vår, Outlook.com. Kontinuerlig tilbakemelding fra administratorer og brukere bidrar til å sikre at EOP-teknologiene kontinuerlig blir opplært og forbedret.

EOP bruker følgende dommer for filtrering av søppelpost til å klassifisere meldinger:

• Søppelpost: Meldingen mottok et søppelpostnivå (SCL) på 5 eller 6.
• Søppelpost med høy visshet: Meldingen mottok en SCL på 7, 8 eller 9.
• Phishing
• Phishing med høy visshet: Som en del av det sikre som standard er meldinger som identifiseres som phishing med høy visshet, alltid i karantene, og brukere kan ikke frigi sine egne phishing-meldinger med høy visshet, uavhengig av eventuelle tilgjengelige innstillinger som administratorer konfigurerer.
• Masse: Meldingskilden har oppfylt eller overskredet konfigurert nivå for masseklager (BCL). Terskelen.

Hvis du vil ha mer informasjon om beskyttelse mot søppelpost, kan du se vanlige spørsmål om beskyttelse mot søppelpost

I standardpolicyen mot søppelpost og i egendefinerte policyer for søppelpost kan du konfigurere handlingene basert på disse dommene. I standard og strenge forhåndsinnstilte sikkerhetspolicyer er handlingene allerede konfigurert og umodifiserbare, som beskrevet i policyer for søppelpostpolicyer for EOP.

Hvis du vil konfigurere standard policy for søppelpost og opprette, endre og fjerne egendefinerte policyer for søppelpost, kan du se Konfigurere policyer for søppelpost i Microsoft 365.

Tips

Hvis du er uenig i dommen om filtrering av søppelpost, kan du rapportere meldingen til Microsoft som en falsk positiv (god e-post merket som dårlig) eller en falsk negativ (ugyldig e-post tillatt). Hvis du vil ha mer informasjon, kan du se:

• Hvordan rapportere en mistenkelig e-post eller fil til Microsoft?.
• Slik håndterer du at legitime e-postmeldinger blir blokkert (falske positive), ved hjelp av Microsoft Defender for Office 365
• Slik håndterer du skadelige e-postmeldinger som leveres til mottakere (falske negativer), ved hjelp av Microsoft Defender for Office 365

Meldingshodene for søppelpost kan fortelle deg hvorfor en melding ble merket som søppelpost, eller hvorfor den hoppet over filtrering av søppelpost. Hvis du vil ha mer informasjon, kan du se meldingshoder for søppelpost.

Du kan ikke slå av søppelpostfiltrering i Microsoft 365 fullstendig, men du kan bruke regler for Exchange-e-postflyt (også kalt transportregler) til å omgå de fleste filtrering av søppelpost på innkommende meldinger (for eksempel hvis du ruter e-post via en tredjeparts beskyttelsestjeneste eller enhet før levering til Microsoft 365). Hvis du vil ha mer informasjon, kan du se Bruke regler for e-postflyt til å angi søppelpostnivå (SCL) i meldinger.

• Phishing-meldinger med høy visshet filtreres fortsatt. Andre funksjoner i EOP påvirkes ikke (meldinger skannes for eksempel alltid etter skadelig programvare).
• Hvis du trenger å hoppe over søppelpostfiltrering for SecOps-postbokser eller phishing-simuleringer, må du ikke bruke regler for e-postflyt. Hvis du vil ha mer informasjon, kan du se Konfigurere levering av tredjeparts phishing-simuleringer til brukere og ufiltrerte meldinger til SecOps-postbokser.

I hybridmiljøer der EOP beskytter lokale Exchange-postbokser, må du konfigurere to regler for e-postflyt (også kalt transportregler) i den lokale Exchange-organisasjonen for å gjenkjenne søppelposthodene for EOP som legges til i meldinger. Hvis du vil ha mer informasjon, kan du se Konfigurere EOP til å levere søppelpost til Søppelpost-mappen i hybridmiljøer.

Policyer mot søppelpost

Policyer for søppelpost kontrollerer konfigurerbare innstillinger for filtrering av søppelpost. De viktige innstillingene i policyer for søppelpost beskrives i følgende avsnitt.

Tips

Hvis du vil se innstillingene for søppelpostpolicyer i standardpolicyen, policyen for forhåndsinnstilt standardsikkerhet og policyen for streng forhåndsinnstilt sikkerhetspolicy, kan du se EOP-policyinnstillinger for søppelpost.

Mottakerfiltre i søppelpostpolicyer

Mottakerfiltre bruker betingelser og unntak for å identifisere de interne mottakerne som policyen gjelder for. Minst én betingelse kreves i egendefinerte policyer. Betingelser og unntak er ikke tilgjengelige i standardpolicyen (standardpolicyen gjelder for alle mottakere). Du kan bruke følgende mottakerfiltre for betingelser og unntak:

• Brukere: Én eller flere postbokser, e-postbrukere eller e-postkontakter i organisasjonen.
• Grupper:
  • Medlemmer av de angitte distribusjonsgruppene eller e-postaktiverte sikkerhetsgruppene (dynamiske distribusjonsgrupper støttes ikke).
  • Den angitte Microsoft 365 Groups.
• Domener: Ett eller flere av de konfigurerte godtatte domenene i Microsoft 365. Mottakerens primære e-postadresse er i det angitte domenet.

Du kan bare bruke en betingelse eller et unntak én gang, men betingelsen eller unntaket kan inneholde flere verdier:

• Flere verdier av samme betingelse eller unntak bruker ELLER logikk (for eksempel <mottaker1> eller <mottaker2>):

  • Betingelser: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes policyen på dem.
  • Unntak: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes ikke policyen for dem.

• Ulike typer unntak bruker OR-logikk (for eksempel <mottaker1> eller <medlem av gruppe1> eller <medlem av domene1>). Hvis mottakeren samsvarer med noen av de angitte unntaksverdiene, brukes ikke policyen på dem.

• Ulike typer betingelser bruker AND-logikk. Mottakeren må samsvare med alle de angitte betingelsene for at policyen skal gjelde for dem. Du kan for eksempel konfigurere en betingelse med følgende verdier:

  • Brukere: romain@contoso.com
  • Grupper: Ledere

  Policyen gjelder romain@contoso.combare for hvis han også er medlem av Leder-gruppen. Ellers er politikken ikke brukt på ham.

Masseklageterskel (BCL) i policyer for søppelpost

EOP tilordner en verdi for masseklagenivå (BCL) til innkommende meldinger fra masseavsendere. Meldinger fra masseavsendere kalles også masseutsendere eller grå e-post.

Hvis du vil ha mer informasjon om BCL, kan du se Masseklagenivå (BCL) i EOP.

Tips

Som standard er On Bare PowerShell-innstillingen MarkAsSpamBulkMail i policyer for søppelpost i Exchange Online PowerShell. Denne innstillingen påvirker resultatene av et bulkkompatibelt nivå (BCL) oppfylt eller overskredet filtreringsdom:

• MarkAsSpamBulkMail er på: En BCL som er større enn eller lik terskelverdien, konverteres til en SCL 6 som tilsvarer en filtreringsdom av søppelpost, og handlingen for bulkkompatibelt nivå (BCL) oppfylt eller overskredet filtreringsdom, utføres på meldingen.
• MarkAsSpamBulkMail er av: Meldingen er stemplet med BCL, men ingen handling utføres for et bulkkompatibelt nivå (BCL) oppfylt eller overskredet filtreringsdom. I praksis er BCL-terskelen og bulkkompatibelt nivå (BCL) oppfylt eller overskredet filtreringsdomshandling irrelevant.

Søppelpostegenskaper i søppelpostpolicyer

Innstillingene for testmodus, innstillingene for øk søppelpostpoengsummen og de fleste innstillingene for Marker som søppelpost er en del av AVANSERT søppelpostfiltrering (ASF) i policyer for søppelpost.

Disse innstillingene er ikke konfigurert i standard policy for søppelpost som standard, eller i standard sikkerhetspolicyer for standard eller streng forhåndsinnstilte sikkerhetspolicyer.

Hvis du vil ha fullstendig informasjon om ASF-innstillinger, kan du se Avanserte innstillinger for søppelpostfilter (ASF) i EOP.

De andre innstillingene som er tilgjengelige i denne kategorien, er:

• Inneholder bestemte språk: Meldinger på de angitte språkene identifiseres automatisk som søppelpost.
• Fra disse landene*: Meldinger fra de angitte landene identifiseres automatisk som søppelpost.

Disse innstillingene er ikke konfigurert i standard policy for søppelpost som standard, eller i standard sikkerhetspolicyer for standard eller streng forhåndsinnstilte sikkerhetspolicyer.

Handlinger i søppelpostpolicyer

• De tilgjengelige handlingene for søppelpostfiltrering beskrives i tabellen nedenfor i egendefinerte policyer for søppelpost og standard policy for søppelpost.

  • Et merke ( ✔ ) angir at handlingen er tilgjengelig (ikke alle handlinger er tilgjengelige for alle dommer).
  • En stjerne ( ^* ) etter haken angir standardhandlingen for dommen for søppelpostfiltrering.

  Handling	Søppelpost	Høy Tillit søppelpost	Phishing	Høy Tillit Phishing	Masseutsendelse
  Flytt melding til Søppelpost-mappen: Meldingen leveres til postboksen og flyttes til Søppelpost-mappen.¹	✔*	✔*	✔	²	✔*
  Legg til X-topptekst: Legger til en X-topptekst i meldingshodet og leverer meldingen til postboksen. Du skriver inn feltnavnet for X-toppteksten (ikke verdien) i den tilgjengelige tekstboksen Legg til denne X-toppteksten . Meldingen flyttes til Søppelpost-mappen for søppelpostog søppelpost.¹ ³	✔	✔	✔		✔
  Innledende emnelinje med tekst: Legger til tekst i begynnelsen av meldingens emnelinje. Meldingen leveres til postboksen og flyttes til søppelpostmappen.¹ ³ Du skriver inn teksten i den tilgjengelige prefiksemnelinjen med denne tekstboksen .	✔	✔	✔		✔
  Omadresser melding til e-postadresse: Sender meldingen til andre mottakere i stedet for de tiltenkte mottakerne. Du angir mottakerne i boksen Omdiriger til denne e-postadressen .	✔	✔	✔	✔	✔
  Slett melding: Hele meldingen slettes i stillhet, inkludert alle vedlegg.	✔	✔	✔		✔
  Karantenemelding: Sender meldingen til karantene i stedet for de tiltenkte mottakerne. Du velger eller bruker standard karantenepolicy for dommen for søppelpostfiltrering i boksen Velg karantenepolicy som vises.⁴ Karantenepolicyer definerer hva brukere kan gjøre med meldinger i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy. Du angir hvor lenge meldingene holdes i karantene i boksen Behold søppelpost i karantene for dette antallet dager .	✔	✔	✔*	✔* ⁵	✔
  Ingen handling					✔

  ¹ EOP bruker sin egen e-postflytleveringsagent til å rute meldinger til Søppelpost-mappen i stedet for å bruke søppelpostregelen i postboksen. Den aktiverte parameteren på cmdleten Set-MailboxJunkEmailConfiguration i Exchange Online PowerShell har innvirkning på e-postflyten i postbokser i skyen. Hvis du vil ha mer informasjon, kan du se Konfigurere innstillinger for søppelpost på Exchange Online postbokser.

  ² For phishing med høy visshet er handlingen Flytt melding til søppelpost-mappen effektivt avskrevet. Selv om du kanskje kan velge handlingen Flytt melding til søppelpostmappe , er phishing-meldinger med høy visshet alltid satt i karantene (tilsvarende å velge karantenemelding).

  ³ Du kan bruke denne verdien som en betingelse i regler for e-postflyt for å filtrere eller rute meldingen.

  ⁴ Hvis søppelpostfiltreringsdommen setter meldinger i karantene som standard (karantenemelding er allerede valgt når du kommer til siden), vises standard karantenepolicynavn i boksen Velg karantenepolicy . Hvis du endrer handlingen for en dom for søppelpostfiltrering til karantenemelding, er boksen Velg karantenepolicy tom som standard. En tom verdi betyr at standard karantenepolicy for denne dommen brukes. Når du senere viser eller redigerer policyinnstillingene for søppelpost, vises policynavnet for karantene. Hvis du vil ha mer informasjon om karantenepolicyene som brukes som standard for regler for søppelpostfilter, kan du se EOP-policyinnstillinger for søppelpost.

  ⁵ Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som phishing med høy visshet, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av phishing-meldinger med høy visshet i karantene.

• Intra-organizational messages to take action on: Controls whether spam filtering and the corresponding verdict actions are applied to internal messages (messages sent between users within the organization). Handlingen som er konfigurert i policyen for de angitte dommene for søppelpostfilter, utføres på meldinger som sendes mellom interne brukere. De tilgjengelige verdiene er:

  • Standard: Dette er standardverdien. Denne verdien er den samme som å velge phishing-meldinger med høy visshet.
  • Ingen
  • Phishing-meldinger med høy visshet
  • Phishing- og phishing-meldinger med høy visshet
  • Alle søppelpostmeldinger med phishing og høy visshet
  • Alle phishing- og søppelpostmeldinger

  Hvis du vil se standardverdiene som brukes i standard policy for søppelpost og i standard sikkerhetspolicyer for standard og strenge forhåndsinnstilte sikkerhetspolicyer, kan du se intraorganisasjonsmeldinger for å utføre handlinger ved oppføring i policyer for søppelpostpolicyer for EOP.

• Behold søppelpost i karantene i så mange dager: Angir hvor lenge meldingen skal holdes i karantene hvis du valgte karantenemelding som handling for en dom for søppelpostfiltrering. Når tidsperioden utløper, slettes meldingen og kan ikke gjenopprettes. En gyldig verdi er fra 1 til 30 dager.

  Hvis du vil se standardverdiene som brukes i standardpolicyen for søppelpost og i standard sikkerhetspolicyer for standard og strenge forhåndsinnstilte sikkerhetspolicyer, kan du se behold søppelpost i karantene for dette antallet dager i innstillingene for søppelpostpolicyer for EOP.

  Tips

  Denne innstillingen kontrollerer også hvor lenge meldinger som ble satt i karantene av policyer for anti-phishing , beholdes. Hvis du vil ha mer informasjon, kan du se Oppbevaring av karantene.

Nulltimers automatisk tømming (ZAP) i policyer for søppelpost

ZAP for phishing og ZAP for søppelpost kan handle på meldinger etter at de er levert til Exchange Online postbokser. ZAP for phishing og ZAP for søppelpost er aktivert som standard, og vi anbefaler at du lar dem være på. Hvis du vil ha mer informasjon, kan du se:

• Nulltimers automatisk tømming (ZAP) for phishing
• Nulltimers automatisk tømming (ZAP) for phishing med høy visshet
• Nulltimers automatisk tømming (ZAP) for søppelpost

Karantenepolicyer i policyer for søppelpost

Hvis dommen i søppelpostpolicyen er konfigurert til å sette meldinger i karantene, definerer karantenepolicyer hva brukerne kan gjøre med disse meldingene i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.

Tillat og blokker lister i søppelpostpolicyer

Søppelpostpolicyer inneholder følgende lister for å tillate eller blokkere bestemte avsendere eller domener:

• Listen over tillatte avsendere
• Listen over tillatte domener
• Listen over blokkerte avsendere
• Listen over blokkerte domener

Disse innstillingene er ikke konfigurert i standard policy for søppelpost som standard, eller i standard sikkerhetspolicyer for standard eller streng forhåndsinnstilte sikkerhetspolicyer.

Funksjonaliteten til disse listene er i stor grad erstattet av:

• Blokker oppføringer for domener og e-postadresser i Opprett blokkoppføringer for domener og e-postadresser.

  Hovedårsaken til å bruke listen over blokkerte avsendere eller listen over blokkerte domener i policyer for søppelpost: Blokker oppføringer i tillatelses-/blokkeringslisten for tenanten hindrer også brukere i organisasjonen i å sende e-post til disse e-postadressene eller domenene.

• Rapporterer god e-post til Microsoft fra Innsendinger-siden i Microsoft Defender-portalen (der du kan velge å tillate e-postmeldinger med lignende attributter, noe som oppretter de nødvendige midlertidige oppføringene i leierens tillatelses-/blokkeringsliste).

  Viktig

  Meldinger fra oppføringer i listen over tillatte avsendere eller listen over tillatte domener omgår mesteparten av e-postbeskyttelsen (unntatt skadelig programvare og phishing med høy visshet) og e-postgodkjenningskontroller (SPF, DKIM og DMARC). Oppføringer i listen over tillatte avsendere eller listen over tillatte domener skaper en høy risiko for at angripere kan levere e-post til innboksen som ellers ville blitt filtrert. Disse listene brukes best til midlertidig testing.

  Legg aldri til vanlige domener (for eksempel microsoft.com eller office.com) i listen over tillatte domener. Angripere kan enkelt sende falske meldinger fra disse vanlige domenene til organisasjonen.

  Fra og med september 2022, hvis en tillatt avsender, et domene eller underdomene er i et godtatt domene i organisasjonen, må denne avsenderen, domenet eller underdomenet bestå godkjenningskontroller for e-post for å kunne hoppe over filtrering av søppelpost.

  Hvis du skal beholde en tillatt domeneoppføring i listen i en lengre periode, ber du avsenderen om å bekrefte at SPF-posten er oppdatert med e-postkilder for domenet, og at policyen i DMARC-posten er satt til p=reject.

Prioritet for søppelpostpolicyer

Hvis de er aktivert, brukes standard- og strenge forhåndsinnstilte sikkerhetspolicyer før eventuelle egendefinerte policyer for søppelpost eller standardpolicyen (Streng er alltid først). Hvis du oppretter flere egendefinerte policyer for søppelpost, kan du angi rekkefølgen de skal brukes i. Policybehandlingen stopper etter at den første policyen er brukt (policyen med høyest prioritet for denne mottakeren).

Hvis du vil ha mer informasjon om prioritetsrekkefølgen og hvordan flere policyer evalueres, kan du se Rekkefølge og prioritet for e-postbeskyttelse og Prioritetsrekkefølge for forhåndsinnstilte sikkerhetspolicyer og andre policyer.

Standard policy for søppelpost

Hver organisasjon har en innebygd policy for søppelpost kalt Standard, som har følgende egenskaper:

• Policyen er standardpolicyen ( IsDefault-egenskapen har verdien True), og du kan ikke slette standardpolicyen.
• Policyen brukes automatisk for alle mottakere i organisasjonen, og du kan ikke deaktivere den.
• Policyen brukes alltid sist ( prioritetsverdien er lavest , og du kan ikke endre den).