Opprette blokkerte avsenderlister i EOP

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, tilbyr EOP flere måter å blokkere e-post fra uønskede avsendere på. Samlet sett kan du tenke på disse alternativene som blokkerte avsenderlister.

Listen nedenfor inneholder de tilgjengelige metodene for å blokkere avsendere i EOP fra de mest anbefalte til minst anbefalte:

1. Blokker oppføringer for domener og e-postadresser (inkludert falske avsendere) i leierens tillatelses-/blokkeringsliste.
2. Blokkerte avsendere i Outlook (listen over blokkerte avsendere i hver postboks som bare påvirker denne postboksen).
3. Blokkerte avsenderlister eller blokkerte domenelister (policyer for søppelpost).
4. Regler for Exchange-e-postflyt (også kjent som transportregler).
5. IP-blokkeringslisten (tilkoblingsfiltrering).

Resten av denne artikkelen inneholder detaljer om hver metode.

Tips

Send alltid meldinger i listen over blokkerte avsendere til Microsoft for analyse. Hvis du vil ha instruksjoner, kan du se Rapporter tvilsom e-post til Microsoft. Hvis meldingene eller meldingskildene er funnet å være skadelige, kan Microsoft automatisk blokkere meldingene, og du trenger ikke å vedlikeholde oppføringen manuelt i listene over blokkerte avsendere.

I stedet for å blokkere e-post, har du også flere alternativer for å tillate e-post fra bestemte kilder ved hjelp av lister over klarerte avsendere. Hvis du vil ha mer informasjon, kan du se Opprette lister over klarerte avsendere.

En standard SMTP-e-postmelding kan inneholde forskjellige avsender-e-postadresser som beskrevet i hvorfor Internett-e-post trenger godkjenning. OFTE er MAIL FROM-adressen (også kjent som 5321.MailFrom adressen, P1-avsenderen eller konvoluttavsenderen) og Fra-adressen (også kjent som 5322.From adressen eller P2-avsenderen) den samme. Når e-post sendes på vegne av noen andre, kan adressene imidlertid være forskjellige. Blokkerte avsenderlister og blokkerte domenelister i policyer for søppelpost inspiserer bare Fra-adressen. Denne virkemåten ligner på blokkerte avsendere i Outlook som bruker Fra-adressen.

Bruke blokkoppføringer i leierens tillatelses-/blokkeringsliste

Det anbefalte alternativet for nummer én for å blokkere e-post fra bestemte avsendere eller domener er leierens tillatelses-/blokkeringsliste. Hvis du vil ha instruksjoner, kan du se Opprette blokkoppføringer for domener og e-postadresser og opprette blokkoppføringer for falske avsendere.

E-postmeldinger fra disse avsenderne er merket som søppelpost med høy visshet (SCL = 9). Hva som skjer med meldingene, bestemmes av policyen for søppelpost som oppdaget meldingen for mottakeren. I standard og strenge forhåndsinnstilte sikkerhetspolicyer er søppelpostmeldinger med høy visshet satt i karantene.

Som en ekstra fordel kan ikke brukere i organisasjonen sende e-post til disse blokkerte domenene og adressene. Meldingen returneres i følgende rapport om manglende levering (også kjent som en NDR- eller returmelding): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hele meldingen blokkeres for alle interne og eksterne mottakere av meldingen, selv om bare én mottakers e-postadresse eller domene er definert i en blokkoppføring.

Bare hvis du av en eller annen grunn ikke kan bruke tillatelses-/blokkeringslisten for leier, bør du vurdere å bruke en annen metode for å blokkere avsendere.

Bruke blokkerte avsendere i Outlook

Når bare noen få brukere har mottatt uønsket e-post, kan brukere eller administratorer legge til avsenderens e-postadresser i listen over blokkerte avsendere i postboksen. Hvis du vil ha instruksjoner, kan du se følgende artikler:

• Brukere: Blokkere eller oppheve blokkeringen av avsendere i Outlook.
• Administratorer: Konfigurere innstillinger for søppelpost på Exchange Online postbokser i Microsoft 365.

Når meldinger blokkeres på grunn av en brukers liste over blokkerte avsendere, inneholder topptekstfeltet X-Forefront-Antispam-Report verdien SFV:BLK.

Tips

Hvis uønskede meldinger er nyhetsbrev fra en anerkjent og gjenkjennelig kilde, kan du stoppe abonnementet på e-postmeldingen for å hindre brukeren i å motta meldingene.

Bruke lister over blokkerte avsendere eller blokkerte domenelister

Når flere brukere påvirkes, er omfanget bredere, så det nest beste alternativet er å blokkere avsenderlister eller blokkerte domenelister i egendefinerte policyer for søppelpost eller standard policy for søppelpost. Meldinger fra avsendere på listene merkes som søppelpost med høy visshet, og handlingen du konfigurerte for søppelpostfilteret med høy visshet , blir tatt på meldingene. Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for søppelpost.

Maksimumsgrensen for disse listene er omtrent 1000 oppføringer.

Bruk regler for e-postflyt

Regler for e-postflyt kan også se etter nøkkelord eller andre egenskaper i uønskede meldinger.

Uavhengig av betingelsene eller unntakene du bruker til å identifisere meldingene, konfigurerer du handlingen til å angi søppelpostkonfidensnivået (SCL) for meldingen til 9, som markerer meldingen som søppelpost med høy visshet. Hvis du vil ha mer informasjon, kan du se Bruke regler for e-postflyt til å angi SCL i meldinger.

Viktig

Det er enkelt å opprette regler som er altfor aggressive, så det er viktig at du bare identifiserer meldingene du vil blokkere ved hjelp av svært spesifikke kriterier. Pass også på å overvåke bruken av regelen for å sikre at alt fungerer som forventet.

Bruk IP-blokkeringslisten

Når det ikke er mulig å bruke ett av de andre alternativene til å blokkere en avsender, bør du bare bruke IP-blokkeringslisten i policyen for tilkoblingsfilter. Hvis du vil ha mer informasjon, kan du se Konfigurere policyen for tilkoblingsfilter. Det er viktig å holde antall blokkerte IP-adresser på et minimum, så vi anbefaler ikke å blokkere hele IP-adresseområder.

Du bør spesielt unngå å legge til IP-adresseområder som tilhører forbrukertjenester (for eksempel outlook.com) eller delte infrastrukturer. Du må også se gjennom listen over blokkerte IP-adresser som en del av vanlig vedlikehold.