Beskyttelse mot søppelpost i skyorganisasjoner

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk 90-dagers Defender for Office 365 prøveversjon på Microsoft Defender portalens prøveversjonshub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Obs!

Denne artikkelen er ment for administratorer. For sluttbrukerartikler kan du se Oversikt over søppelpostfilteret og Lær om søppelpost og phishing.

I alle organisasjoner med postbokser i skyen beskyttes e-postmeldinger automatisk mot søppelpost (søppelpost).

Microsoft 365 inkluderer beskyttelse mot søppelpost ved hjelp av rettighetsbeskyttet filtrering av søppelpost (også kjent som innholdsfiltrering) for å identifisere og skille søppelpost fra ekte e-post. Søppelpostfiltrering lærer av kjente søppelpost- og phishing-trusler og tilbakemeldinger fra brukerplattformen vår, Outlook.com. Kontinuerlig tilbakemelding fra administratorer og brukere bidrar til å sikre at filtreringsteknologiene våre kontinuerlig blir opplært og forbedret.

Microsoft 365 bruker følgende meldinger for filtrering av søppelpost til å klassifisere meldinger:

• Søppelpost: Meldingen mottok et søppelpostnivå (SCL) på 5 eller 6.
• Søppelpost med høy visshet: Meldingen mottok en SCL på 7, 8 eller 9.
• Phishing
• Phishing med høy visshet: Som en del av sikkert som standard er phishing-meldinger med høy visshet alltid satt i karantene. Brukere kan ikke frigi sine egne phishing-meldinger med høy visshet i karantene, uavhengig av eventuelle tilgjengelige innstillinger som er konfigurert av administratorer.
• Masse: Meldingskilden oppfylte eller overskred den konfigurerte terskelen for masseklagenivå (BCL ).

Hvis du vil ha mer informasjon om beskyttelse mot søppelpost, kan du se vanlige spørsmål: Beskyttelse mot søppelpost for postbokser i skyen

I standardpolicyen mot søppelpost og i egendefinerte policyer for søppelpost kan du konfigurere handlingene basert på disse dommene. I Standard og strenge forhåndsinnstilte sikkerhetspolicyer er handlingene allerede konfigurert og umodifiserbare som beskrevet i innstillinger for søppelpostpolicyer.

Hvis du vil konfigurere standard policy for søppelpost og opprette, endre og fjerne egendefinerte policyer for søppelpost, kan du se Konfigurere policyer for søppelpost.

Tips

• Hvis du er uenig i dommen om filtrering av søppelpost, kan du rapportere meldingen til Microsoft som en falsk positiv (god e-post merket som dårlig) eller en falsk negativ (ugyldig e-post tillatt). Hvis du vil ha mer informasjon, kan du se:

  • Hvordan rapportere en mistenkelig e-post eller fil til Microsoft?.
  • Slik håndterer du at legitime e-postmeldinger blir blokkert (falske positive), ved hjelp av Microsoft Defender for Office 365
  • Slik håndterer du skadelige e-postmeldinger som leveres til mottakere (falske negativer), ved hjelp av Microsoft Defender for Office 365

  Meldingshodene for søppelpost kan fortelle deg hvorfor en melding ble merket som søppelpost, eller hvorfor den hoppet over filtrering av søppelpost. Hvis du vil ha mer informasjon, kan du se meldingshoder for søppelpost.

• Du kan ikke slå av filtrering av søppelpost i Microsoft 365 fullstendig, men du kan bruke regler for Exchange-e-postflyt (også kalt transportregler) til å omgå de fleste filtrering av søppelpost på innkommende meldinger. Hvis du for eksempel ruter e-post via en ikke-Microsoft-beskyttelsestjeneste eller enhet før levering til Microsoft 365. Hvis du vil ha mer informasjon, kan du se Bruke regler for e-postflyt til å angi søppelpostnivå (SCL) i meldinger.

  • Phishing-meldinger med høy visshet filtreres fortsatt. Andre filtre i Microsoft 365 påvirkes ikke (meldinger skannes for eksempel alltid etter skadelig programvare).
  • Hvis du trenger å hoppe over søppelpostfiltrering for SecOps-postbokser eller phishing-simuleringer, må du ikke bruke regler for e-postflyt. Hvis du vil ha mer informasjon, kan du se Konfigurere levering av ikke-Microsoft phishing-simuleringer til brukere og ufiltrerte meldinger til SecOps-postbokser.

• I miljøer der de innebygde sikkerhetsfunksjonene for alle postbokser i skyen beskytter lokale Exchange-postbokser, må du konfigurere Exchange-regler for e-postflyt (også kjent som transportregler) i den lokale Exchange-organisasjonen for å gjenkjenne dommene for søppelpostfiltrering fra skyen. Hvis du vil ha mer informasjon, kan du se Levere søppelpost som er oppdaget i skyen, til Søppelpost-mappen i lokale postbokser.

  Når du har opprettet regelen manuelt i Microsoft 365 for å samsvare med regelen i lokal Exchange, replikeres regelen i hybridmiljøer.

Policyer mot søppelpost

Policyer for søppelpost kontrollerer konfigurerbare innstillinger for filtrering av søppelpost. De viktige innstillingene i policyer for søppelpost beskrives i følgende avsnitt. Hvis du vil ha informasjon om feilsøking, kan du se Feilsøke vanlige problemer med søppelpostpolicyer.

Tips

Policyinnstillingene for søppelpost i standardpolicyen og i Standard og strenge forhåndsinnstilte sikkerhetspolicyer beskrives i policyer for søppelpostpolicyer.

Mottakerfiltre i søppelpostpolicyer

Mottakerfiltre bruker betingelser og unntak for å identifisere de interne mottakerne som policyen gjelder for. Minst én betingelse kreves i egendefinerte policyer. Betingelser og unntak er ikke tilgjengelige i standardpolicyen (standardpolicyen gjelder for alle mottakere). Du kan bruke følgende mottakerfiltre for betingelser og unntak:

• Brukere: Én eller flere postbokser eller e-postbrukere i organisasjonen.
• Grupper:
  • Medlemmer av de angitte distribusjonsgruppene eller e-postaktiverte sikkerhetsgruppene (dynamiske distribusjonsgrupper støttes ikke).
  • Den angitte Microsoft 365 Groups (dynamiske medlemsgrupper i Microsoft Entra ID støttes ikke).
• Domener: Ett eller flere av de konfigurerte godtatte domenene i Microsoft 365. Mottakerens primære e-postadresse er i det angitte domenet.

Du kan bare bruke en betingelse eller et unntak én gang, men betingelsen eller unntaket kan inneholde flere verdier:

• Flere verdier av samme betingelse eller unntak bruker ELLER logikk (for eksempel <mottaker1> eller <mottaker2>):

  • Betingelser: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes policyen på dem.
  • Unntak: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes ikke policyen for dem.

• Ulike typer unntak bruker OR-logikk (for eksempel <mottaker1> eller <medlem av gruppe1> eller <medlem av domene1>). Hvis mottakeren samsvarer med noen av de angitte unntaksverdiene, brukes ikke policyen på dem.

• Ulike typer betingelser bruker AND-logikk. Mottakeren må samsvare med alle de angitte betingelsene for at policyen skal gjelde for dem. Du kan for eksempel konfigurere en betingelse med følgende verdier:

  • Brukere: romain@contoso.com
  • Grupper: Ledere

  Policyen gjelder romain@contoso.combare for hvis han også er medlem av Leder-gruppen. Ellers er politikken ikke brukt på ham.

Masseklageterskel (BCL) i policyer for søppelpost

Microsoft 365 tilordner en verdi på masseklagenivå (BCL) til innkommende meldinger fra masseavsendere. Meldinger fra masseavsendere kalles også masseutsendere eller grå e-post.

Hvis du vil ha mer informasjon om BCL, kan du se Masseklagenivå (BCL).

Tips

Som standard er On Bare PowerShell-innstillingen MarkAsSpamBulkMail i policyer for søppelpost i Exchange Online PowerShell. Denne innstillingen påvirker resultatene av et bulkkompatibelt nivå (BCL) oppfylt eller overskredet filtreringsdom:

• MarkAsSpamBulkMail er på: En BCL som er større enn eller lik terskelverdien, konverteres til en SCL 6 som tilsvarer en filtreringsdom av søppelpost, og handlingen for bulkkompatibelt nivå (BCL) oppfylt eller overskredet filtreringsdom, utføres på meldingen.
• MarkAsSpamBulkMail er av: Meldingen er stemplet med BCL, men ingen handling utføres for et bulkkompatibelt nivå (BCL) oppfylt eller overskredet filtreringsdom. I praksis er BCL-terskelen og bulkkompatibelt nivå (BCL) oppfylt eller overskredet filtreringsdomshandling irrelevant.

Søppelpostegenskaper i søppelpostpolicyer

Innstillingene for testmodus, innstillingene for øk søppelpostpoengsummen og de fleste innstillingene for Marker som søppelpost er en del av AVANSERT søppelpostfiltrering (ASF) i policyer for søppelpost.

Disse innstillingene er ikke konfigurert i standard policy for søppelpost som standard, eller i Standard eller strenge forhåndsinnstilte sikkerhetspolicyer.

Hvis du vil ha fullstendig informasjon om ASF-innstillinger, kan du se Avanserte innstillinger for søppelpostfilter (ASF) i policyer for søppelpost.

De andre innstillingene som er tilgjengelige i denne kategorien, er:

• Inneholder bestemte språk: Meldinger på de angitte språkene identifiseres automatisk som søppelpost.
• Fra disse landene: Meldinger fra de angitte landene identifiseres automatisk som søppelpost.

Disse innstillingene er ikke konfigurert i standard policy for søppelpost som standard, eller i Standard eller strenge forhåndsinnstilte sikkerhetspolicyer.

Handlinger i søppelpostpolicyer

• De tilgjengelige handlingene for søppelpostfiltrering beskrives i tabellen nedenfor i egendefinerte policyer for søppelpost og standard policy for søppelpost.

  • En hake (✔) angir at handlingen er tilgjengelig (ikke alle handlinger er tilgjengelige for alle dommer).
  • En stjerne (^*) etter haken angir standardhandlingen for dommen for søppelpostfiltrering.

  Handling	Søppelpost	Høy Tillit søppelpost	Phishing	Høy Tillit Phishing	Masseutsendelse
  Flytt melding til Søppelpost-mappen: Meldingen leveres til Søppelpost-mappen i postboksen.¹	✔*	✔*	✔	²	✔*
  Legg til X-topptekst: Legger til en X-topptekst i meldingshodet og leverer meldingen til postboksen. Du skriver inn feltnavnet for X-toppteksten (ikke verdien) i den tilgjengelige tekstboksen Legg til denne X-toppteksten . Meldingen flyttes til Søppelpost-mappen for søppelpostog søppelpost.¹ ³	✔	✔	✔		✔
  Innledende emnelinje med tekst: Legger til tekst i begynnelsen av meldingens emnelinje. Meldingen leveres til postboksen og flyttes til søppelpostmappen.¹ ³ Du skriver inn teksten i den tilgjengelige prefiksemnelinjen med denne tekstboksen .	✔	✔	✔		✔
  Omadresser melding til e-postadresse: Sender meldingen til andre mottakere i stedet for de tiltenkte mottakerne. Du angir mottakerne i boksen Omdiriger til denne e-postadressen .	✔	✔	✔	✔	✔
  Slett melding: Hele meldingen slettes i stillhet, inkludert alle vedlegg.	✔	✔	✔		✔
  Karantenemelding: Sender meldingen til karantene i stedet for de tiltenkte mottakerne. Du velger eller bruker standard karantenepolicy for dommen for søppelpostfiltrering i boksen Velg karantenepolicy som vises.⁴ Karantenepolicyer definerer hva brukere kan gjøre med meldinger i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy. Du angir hvor lenge meldingene holdes i karantene i boksen Behold søppelpost i karantene for dette antallet dager .	✔	✔	✔*	✔* ⁵	✔
  Ingen handling					✔

  ¹ Microsoft 365 bruker en e-postflytleveringsagent til å rute meldinger til Søppelpost-mappen. Den bruker ikke søppelpostregelen i postboksen. Den aktiverte parameteren på cmdleten Set-MailboxJunkEmailConfiguration i Exchange Online PowerShell har ingen innvirkning på e-postflyten i postbokser i skyen. Hvis du vil ha mer informasjon, kan du se Konfigurere innstillinger for søppelpost i postbokser i skyen.

  ² For phishing med høy visshet er handlingen Flytt melding til søppelpost-mappen effektivt avskrevet. Selv om du kanskje kan velge handlingen Flytt melding til søppelpostmappe , er phishing-meldinger med høy visshet alltid satt i karantene (tilsvarende å velge karantenemelding).

  ³ Du kan bruke denne verdien som en betingelse i regler for e-postflyt til å filtrere eller rute meldinger for postbokser i lokale Exchange-miljøer (ikke i Exchange Online).

  ⁴ Hvis søppelpostfiltreringsdommen setter meldinger i karantene som standard (karantenemelding er allerede valgt når du kommer til siden), vises standard karantenepolicynavn i boksen Velg karantenepolicy . Hvis du endrer handlingen for en dom for søppelpostfiltrering til karantenemelding, er boksen Velg karantenepolicy tom som standard. En tom verdi betyr at standard karantenepolicy for denne dommen brukes. Når du senere viser eller redigerer policyinnstillingene for søppelpost, vises policynavnet for karantene. Hvis du vil ha mer informasjon om karantenepolicyene som brukes som standard for vurderinger av søppelpostfilter, kan du se Innstillinger for søppelpostpolicyer.

  Mottakere kan ikke frigi meldinger som er satt i karantene som phishing med høy visshet, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis karantenepolicyen tillater mottakere å frigi meldinger, kan de bare be om utgivelse av meldinger som er satt i karantene som phishing med høy visshet.

• Massetrekk aktivert (for øyeblikket i forhåndsvisning): Skyv veksleknappen til På for å merke all masseutsendelse som masseutsendelse i støttede versjoner av Outlook, og for å levere masseutsendelse av e-post under terskelen for masseutsendelse av e-post til Mappen Kampanjer i postboksen. Hvis du vil ha mer informasjon, kan du se Levere masseutsendelse av e-post under BCL-terskelen til Kampanjer-mappen.

• Intra-organizational messages to take action on: Controls whether spam filtering and the corresponding verdict actions are applied to internal messages (messages sent between users within the organization). Den angitte handlingen for dommen for søppelpostfilteret utføres på meldinger som sendes mellom interne brukere. De tilgjengelige verdiene er:

  • Standard: Standardverdien. Denne verdien er den samme som å velge phishing-meldinger med høy visshet.
  • Ingen
  • Phishing-meldinger med høy visshet
  • Phishing- og phishing-meldinger med høy visshet
  • Alle søppelpostmeldinger med phishing og høy visshet
  • Alle phishing- og søppelpostmeldinger

  Hvis du vil se standardverdiene som brukes i standardpolicyen mot søppelpost og i sikkerhetspolicyer for Standard og strenge forhåndsinnstilte sikkerhetspolicyer, kan du se intraorganisasjonsmeldinger for å utføre handlinger ved oppføring i policyinnstillinger for søppelpost.

• Behold søppelpost i karantene i så mange dager: Angir hvor lenge meldingen skal holdes i karantene hvis du valgte karantenemelding som handling for en dom for søppelpostfiltrering. Når tidsperioden utløper, slettes meldingen og kan ikke gjenopprettes. En gyldig verdi er fra 1 til 30 dager.

  Hvis du vil se standardverdiene som brukes i standardpolicyen for søppelpost og i sikkerhetspolicyer for Standard og strenge forhåndsinnstilte sikkerhetspolicyer, kan du se behold søppelpost i karantene for dette antallet dager i innstillinger for søppelpostpolicyer.

  Tips

  Denne innstillingen kontrollerer også hvor lenge meldinger som ble satt i karantene av policyer for anti-phishing , beholdes. Hvis du vil ha mer informasjon, kan du se Oppbevaring av karantene.

Nulltimers automatisk tømming (ZAP) i policyer for søppelpost

ZAP for phishing og ZAP for søppelpost kan handle på meldinger etter at de er levert til Exchange Online postbokser. ZAP for phishing og ZAP for søppelpost er aktivert som standard, og vi anbefaler at du lar dem være på. Hvis du vil ha mer informasjon, kan du se:

• Nulltimers automatisk tømming (ZAP) for phishing
• Nulltimers automatisk tømming (ZAP) for phishing med høy visshet
• Nulltimers automatisk tømming (ZAP) for søppelpost

Karantenepolicyer i policyer for søppelpost

Når det gjelder karantenevurderinger i policyer for søppelpost, definerer karantenepolicyer hva brukerne kan gjøre med disse meldingene i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.

Tillat og blokker lister i søppelpostpolicyer

Søppelpostpolicyer inneholder følgende lister for å tillate eller blokkere bestemte avsendere eller domener:

• Listen over tillatte avsendere
• Listen over tillatte domener
• Listen over blokkerte avsendere
• Listen over blokkerte domener

Disse listene er som standard ikke konfigurert i standard policy for søppelpost. Du kan ikke konfigurere listene i Standard eller strenge forhåndsinnstilte sikkerhetspolicyer.

Følgende funksjoner erstatter for det meste disse listene:

• Blokker oppføringer for domener og e-postadresser i Opprett blokkoppføringer for domener og e-postadresser.

  Tips

  Hvis du vil tillate brukere å sende e-post til blokkerte e-postadresser eller domener, kan du bruke listene over blokkerte avsendere eller blokkerte domener i policyer for søppelpost. Blokker oppføringer for domener og e-postadresser i tillatelses-/blokkeringslisten for leier hindrer også brukere i å sende e-post til blokkerte e-postadresser eller domener.

• Rapporterer god e-post til Microsoft fra Innsendinger-siden i Microsoft Defender-portalen (der du kan velge å tillate e-postmeldinger med lignende attributter, noe som oppretter de nødvendige midlertidige oppføringene i leierens tillatelses-/blokkeringsliste).

  Viktig

  Meldinger fra oppføringer i listen over tillatte avsendere eller listen over tillatte domener omgår mesteparten av e-postbeskyttelsen (unntatt skadelig programvare og phishing med høy visshet) og e-postgodkjenningskontroller (SPF, DKIM og DMARC). Oppføringer i listen over tillatte avsendere eller listen over tillatte domener skaper en høy risiko for at angripere kan levere e-post til innboksen som ellers ville blitt filtrert. Disse listene brukes best til midlertidig testing.

  Legg aldri til vanlige domener (for eksempel microsoft.com eller office.com) i listen over tillatte domener. Angripere kan enkelt sende falske meldinger fra disse vanlige domenene til organisasjonen.

  Fra og med september 2022 må tillatte avsendere, domener eller underdomener i organisasjonens godtatte domener bestå e-postgodkjenningskontroller for å hoppe over filtrering av søppelpost.

  Hvis du skal beholde en tillatt domeneoppføring i listen i en lengre periode, ber du avsenderen om å bekrefte at SPF-posten er oppdatert med e-postkilder for domenet, og at policyen i DMARC-posten er satt til p=reject.

Prioritet for søppelpostpolicyer

Hvis forhåndsinnstilte sikkerhetspolicyer er aktivert, brukes de Standard og strenge forhåndsinnstilte sikkerhetspolicyene før eventuelle egendefinerte policyer for søppelpost eller standardpolicyen. Hvis du oppretter flere egendefinerte policyer for søppelpost, kan du angi rekkefølgen på policyprogrammet. Policybehandlingen stopper for kvalifiserte mottakere etter at den første kvalifiserte policyen (den høyeste prioritetspolicyen for denne mottakeren) er angitt.

Hvis du vil ha mer informasjon om prioritetsrekkefølgen og hvordan flere policyer evalueres, kan du se Rekkefølge og prioritet for e-postbeskyttelse og Prioritetsrekkefølge for forhåndsinnstilte sikkerhetspolicyer og andre policyer.

Standard policy for søppelpost

Hver organisasjon har en innebygd policy for søppelpost kalt Standard, som har følgende egenskaper:

• Policyen er standardpolicyen ( IsDefault-egenskapen har verdien True), og du kan ikke slette standardpolicyen.
• Policyen brukes automatisk for alle mottakere i organisasjonen, og du kan ikke deaktivere den.
• Policyen brukes alltid sist ( prioritetsverdien er lavest , og du kan ikke endre den).