Del via


Forstå overstyringer på e-postenhetssiden i Microsoft Defender for Office 365

På den Microsoft Defender for Office 365 e-postenhetssiden finnes det et vell av nyttig informasjon om en e-postmelding, inkludert om gjeldende overstyringer som påvirket meldingen, og potensielt plasseringen der meldingen ble levert eller flyttet for å legge inn levering.

Denne artikkelen handler om å hjelpe deg med å forstå de ulike overstyringene, hvordan de utløses og nyttig informasjon for diagnostisering når effekten av en overstyring var uventet, for eksempel at en e-post ble blokkert når ingen trusler ble funnet.

Overstyrer detaljtabell

Tabellen nedenfor viser alle overstyringer, en beskrivelse av hva denne overstyringen betyr, og noen utgangspunkt for feilsøking. Ikke alle overstyringer overholdes, avhengig av omstendighetene. En e-postmelding som inneholder skadelig programvare, blokkeres for eksempel automatisk uansett om en sluttbruker angir avsenderen som en «sikker avsender». Hvis du vil lære mer om hvordan overstyring brukes, kan du se denne tabellen.

Overstyre Beskrivelse Merknader
Tredjepartsfilter Vi oppdaget at du bruker en tredjepart for MX-posten og har en SCL-1-transportregel som overstyrer filtrering og sikker som standard.
Admin startet tidsreiser Admin utløst undersøkelse, noe som fører til at nulltimers autopurge (ZAP) endrer leveringsstedet for meldinger. Mer informasjon om ZAP.
Policyblokk for beskyttelse mot skadelig programvare etter filtype Filtypen for et vedlegg i meldingen samsvarte med en utestengt filtype som er oppført i policyen for skadelig programvare for mottakeren Det kan hende du ønsker å justere filtypene som er oppført i delen Vanlige vedleggsfilter i policyen for beskyttelse mot skadelig programvare. Finn ut mer.
Innstillinger for antispam-policy Meldingen samsvarte med et egendefinert alternativ i søppelpostpolicyen for mottakeren. For eksempel: «SPF-post: hard fail» eller «Tomme meldinger». Merk av for «Merk som søppelpost» i policyen for søppelpost for den berørte mottakeren. Finn ut mer.
Tilkoblingspolicy Meldingen stammer fra en tillatt/blokkert IP i tilkoblingsfilterpolicyen. Kontroller «Policy for tilkoblingsfilter» i delen policyer for søppelpost i sikkerhetsportalen. Finn ut mer.
Exchange-transportregel Meldingen samsvarte med en egendefinert transportregel som påvirket den endelige leveringsplasseringen. Du kan bruke e-postenhetssiden eller Exchange-meldingssporingen til å utheve hvilken transportregel som ble utløst. Finn ut mer.
Eksklusiv modus (brukeroverstyring) Mottakeren har valgt å merke alle meldinger som søppelpost med mindre de mottas fra en avsender i den klarerte kontaktlisten. Mottakeren har sannsynligvis konfigurert: «Ikke stol på e-post med mindre den kommer fra noen i listen over klarerte avsendere og mottakere» i søppelpostinnstillingene i Outlook eller OWA. Finn ut mer.
Filtrering hoppet over på grunn av lokal organisasjon Meldingen ble merket som ikke-pam av det lokale Exchange-miljøet før den ble levert til Exchange Online Du bør se gjennom det lokale miljøet for å finne kilden til overstyringen.
IP-områdefilter fra policy Meldingen ble oppdaget som kommer fra et land/område som en administrator har valgt å blokkere i søppelpostpolicyen for mottakeren. Endre alternativet «Fra disse landene/områdene» i policyen for søppelpost som gjelder for den berørte mottakeren. Finn ut mer.
Språkfilter fra policy Meldingen ble oppdaget som inneholder et språk som en administrator har valgt å blokkere i søppelpostpolicyen for mottakeren. Endre alternativet Inneholder bestemte språk i policyen for søppelpost til den berørte mottakeren. Finn ut mer.
Phishing-simulering Meldingen oppfylte kriteriene som er definert av en administrator for å bli betraktet som en phishing-simuleringsmelding. Kriteriene er i fanen «Phishing-simulering» i Avansert levering i sikkerhetsportalen. Finn ut mer.
Frigi karantene Mottakeren eller en administrator slapp denne meldingen fra karantene. Finn ut mer.
SecOps-postboks Meldingen ble sendt til den bestemte postboksen for sikkerhetsoperasjoner som er definert av en administrator. Postbokser er definert i fanen SecOps-postboks i Avansert levering i sikkerhetsportalen. Finn ut mer.
Avsenderadresseliste (Admin overstyring) Meldingen samsvarte med en oppføring i tillatte/blokkerte avsendere i søppelpostpolicyen for mottakeren. Merk av for «Tillatte og blokkerte avsendere og domener» i den relevante søppelpostpolicyen. (tillater med denne metoden anbefales ikke). Finn ut mer.
Avsenderadresseliste (brukeroverstyring) Mottakeren har manuelt angitt denne avsenderadressen som skal leveres til innboksen (tillatt) eller søppelpostmappen (blokkert). Mottakeren har sannsynligvis konfigurert «Klarerte avsendere og domener» eller «Blokkerte avsendere og domener» i innstillingene for søppelpost i Outlook eller OWA. Finn ut mer.
Overstyring av avsenderdomeneliste (Admin) Meldingen samsvarte med en oppføring i de tillatte/blokkerte domenene i søppelpostpolicyen for mottakeren. Merk av for «Tillatte og blokkerte avsendere og domener» i den relevante søppelpostpolicyen. (tillater med denne metoden anbefales ikke). Finn ut mer.
Avsenderdomeneliste (brukeroverstyring) Mottakeren har manuelt angitt at avsenderdomenet skal leveres til innboksen (tillatt) eller søppelpostmappen (blokkert). Mottakeren har sannsynligvis konfigurert «Klarerte avsendere og domener» eller «Blokkerte avsendere og domener» i innstillingene for søppelpost i Outlook eller OWA. Finn ut mer.
Tillatelses-/blokkeringslistefil for leier En oppføring ble tilordnet for en fil-hash som er oppført i tillatelses-/blokkeringslisten for leieren. Se gjennom hele innenfor siden «Tillat/blokker Lister»-siden i sikkerhetsportalen. Finn ut mer.
E-postadresse for tillat/blokkeringsliste for leier Det ble tilordnet en oppføring for en avsenderadresse som er oppført i tillatelses-/blokkeringslisten for leieren. Se gjennom hele innenfor siden «Tillat/blokker Lister»-siden i sikkerhetsportalen. Finn ut mer.
Forfalsfalsing av leierens tillatelses-/blokkeringsliste En oppføring ble tilordnet for forfalskningsgjenkjenning i tillatelses-/blokkeringslisten for leieren. Se gjennom hele innenfor siden «Tillat/blokker Lister»-siden i sikkerhetsportalen. Finn ut mer.
Url-adresse for leier-tillatelse/blokkeringsliste En oppføring ble tilordnet for en URL-adresse som er oppført i tillatelses-/blokkeringslisten for leieren. Se gjennom hele innenfor siden «Tillat/blokker Lister»-siden i sikkerhetsportalen. Finn ut mer.
Klarert kontaktliste (brukeroverstyring) Mottakeren har valgt å merke kontakter i kontaktmappen som klarerte avsendere automatisk. Mottakeren har sannsynligvis konfigurert: «Klarer e-post fra kontaktene mine» i innstillingene for søppelpost i Outlook eller OWA. Finn ut mer.
Klarert domene (brukeroverstyring) Mottakeren har lagt til dette domenet i listen over klarerte mottakere i Outlook. E-postmeldinger som sendes til dette domenet, behandles ikke som søppelpost. Mottakeren har sannsynligvis konfigurert «Klarerte mottakere» i outlooks alternativer for søppelpost. Finn ut mer.
Klarert mottaker (brukeroverstyring) Mottakeren har lagt til denne avsenderen i listen over klarerte mottakere i Outlook. E-postmeldinger som sendes til denne avsenderen, behandles ikke som søppelpost. Mottakeren har sannsynligvis konfigurert «Klarerte mottakere» i outlooks alternativer for søppelpost. Finn ut mer.
Bare klarerte avsendere (brukeroverstyring) Denne overstyringen har samme virkemåte som alenemodus (brukeroverstyring), hovedsakelig brukt i outlook.com. Se «Alenemodus (brukeroverstyring)»

Neste trinn

Du finner en lignende detaljert tabell som dekker alle de forskjellige gjenkjenningsteknologiene på aka.ms/emailtech.