Opprett blokkerte avsenderlister i EOP
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.
I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, tilbyr EOP flere måter å blokkere e-post fra uønskede avsendere på. Samlet sett kan du tenke på disse alternativene som blokkerte avsenderlister.
De tilgjengelige listene over blokkerte avsendere beskrives i følgende liste i rekkefølge fra de mest anbefalte til minst anbefalte:
- Blokker oppføringer for domener og e-postadresser (inkludert falske avsendere) i leierens tillatelses-/blokkeringsliste.
- Blokkerte avsendere i Outlook (listen over blokkerte avsendere som er lagret i hver postboks).
- Blokkerte avsenderlister eller blokkerte domenelister (policyer for søppelpost).
- Regler for e-postflyt (også kjent som transportregler).
- IP-blokkeringslisten (tilkoblingsfiltrering).
Resten av denne artikkelen inneholder detaljer om hver metode.
Obs!
Send alltid meldinger i listen over blokkerte avsendere til Microsoft for analyse. Hvis du vil ha instruksjoner, kan du se Rapporter tvilsom e-post til Microsoft. Hvis meldingene eller meldingskildene er funnet å være skadelige, kan Microsoft automatisk blokkere meldingene, og du trenger ikke å vedlikeholde oppføringen manuelt i listene over blokkerte avsendere.
I stedet for å blokkere e-post, har du også flere alternativer for å tillate e-post fra bestemte kilder ved hjelp av lister over klarerte avsendere. Hvis du vil ha mer informasjon, kan du se Opprett lister over klarerte avsendere.
Grunnleggende om e-postmeldinger
En standard SMTP-e-postmelding består av en meldingskonvolutt og meldingsinnhold. Meldingskonvolutten inneholder informasjon som kreves for å overføre og levere meldingen mellom SMTP-servere. Meldingsinnholdet inneholder meldingshodefelt (samlet kalt meldingshodet) og meldingsteksten. Meldingskonvolutten er beskrevet i RFC 5321, og meldingshodet er beskrevet i RFC 5322. Mottakerne ser aldri den faktiske meldingskonvolutten fordi den genereres av overføringsprosessen for meldinger, og den er faktisk ikke en del av meldingen.
Adressen
5321.MailFrom(også kjent som MAIL FROM-adressen , P1-avsenderen eller konvoluttavsenderen) er e-postadressen som brukes i SMTP-overføringen av meldingen. Denne e-postadressen registreres vanligvis i returbanehodefeltet i meldingshodet (selv om det er mulig for avsenderen å angi en annen e-postadresse for returbane ). Hvis meldingen ikke kan leveres, er det mottakeren for rapporten om manglende levering (også kjent som en NDR- eller returmelding).Adressen
5322.From(også kjent som Fra-adressen eller P2-avsenderen) er e-postadressen i Fra-topptekstfeltet, og er avsenderens e-postadresse som vises i e-postklienter.
5321.MailFrom Ofte er og 5322.From adressene de samme (person-til-person-kommunikasjon). Når e-post sendes på vegne av noen andre, kan adressene imidlertid være forskjellige.
Blokkerte avsenderlister og blokkerte domenelister i policyer for søppelpost i EOP inspiserer bare 5322.From adressene. Denne virkemåten ligner på blokkerte avsendere i Outlook som bruker 5322.From adressen.
Bruke blokkoppføringer i leierens tillatelses-/blokkeringsliste
Det anbefalte alternativet for nummer én for å blokkere e-post fra bestemte avsendere eller domener er leierens tillatelses-/blokkeringsliste. Hvis du vil ha instruksjoner, kan du se Opprett blokkere oppføringer for domener og e-postadresser og Opprett blokkere oppføringer for falske avsendere.
E-postmeldinger fra disse avsenderne er merket som søppelpost med høy visshet (SCL = 9). Hva som skjer med meldingene, bestemmes av policyen for søppelpost som oppdaget meldingen for mottakeren. I standard søppelpostpolicy og nye egendefinerte policyer leveres meldinger som er merket som søppelpost med høy visshet, til Søppelpost-mappen som standard. I standard og strenge forhåndsinnstilte sikkerhetspolicyer er søppelpostmeldinger med høy visshet satt i karantene.
Som en ekstra fordel kan ikke brukere i organisasjonen sende e-post til disse blokkerte domenene og adressene. De mottar følgende rapport om manglende levering (også kjent som en NDR- eller returmelding): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hele meldingen blokkeres for alle interne og eksterne mottakere av meldingen, selv om bare én mottakers e-postadresse eller domene er definert i en blokkoppføring.
Bare hvis du av en eller annen grunn ikke kan bruke tillatelses-/blokkeringslisten for leier, bør du vurdere å bruke en annen metode for å blokkere avsendere.
Bruke blokkerte avsendere i Outlook
Når bare et lite antall brukere har mottatt uønsket e-post, kan brukere eller administratorer legge til avsenderens e-postadresser i listen over blokkerte avsendere i postboksen. Hvis du vil ha instruksjoner, kan du se Konfigurere innstillinger for søppelpost på Exchange Online postbokser.
Når meldinger blokkeres på grunn av en brukers liste over blokkerte avsendere, vil topptekstfeltet X-Forefront-Antispam-Report inneholde verdien SFV:BLK.
Obs!
Hvis uønskede meldinger er nyhetsbrev fra en anerkjent og gjenkjennelig kilde, kan du stoppe abonnementet på e-postmeldingen for å hindre brukeren i å motta meldingene.
Bruke lister over blokkerte avsendere eller blokkerte domenelister
Når flere brukere påvirkes, er omfanget bredere, slik at det nest beste alternativet er blokkerte avsenderlister eller blokkerte domenelister i policyer for søppelpost. Meldinger fra avsendere på listene merkes som søppelpost med høy visshet, og handlingen du har konfigurert for søppelpostfilteret med høy visshet , tas på meldingene. Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for søppelpost.
Maksimumsgrensen for disse listene er omtrent 1000 oppføringer.
Bruk regler for e-postflyt
Regler for e-postflyt kan også se etter nøkkelord eller andre egenskaper i uønskede meldinger.
Uavhengig av betingelsene eller unntakene du bruker til å identifisere meldingene, konfigurerer du handlingen til å angi søppelpostkonfidensnivået (SCL) for meldingen til 9, som markerer meldingen som søppelpost med høy visshet. Hvis du vil ha mer informasjon, kan du se Bruke regler for e-postflyt til å angi SCL i meldinger.
Viktig
Det er enkelt å opprette regler som er altfor aggressive, så det er viktig at du bare identifiserer meldingene du vil blokkere ved hjelp av svært spesifikke kriterier. Pass også på å overvåke bruken av regelen for å sikre at alt fungerer som forventet.
Bruk IP-blokkeringslisten
Når det ikke er mulig å bruke ett av de andre alternativene til å blokkere en avsender, bør du bare bruke IP-blokkeringslisten i policyen for tilkoblingsfilter. Hvis du vil ha mer informasjon, kan du se Konfigurere policyen for tilkoblingsfilter. Det er viktig å holde antall blokkerte IP-adresser til et minimum, så det anbefales ikke å blokkere hele IP-adresseområder.
Du bør spesielt unngå å legge til IP-adresseområder som tilhører forbrukertjenester (for eksempel outlook.com) eller delte infrastrukturer, og også sørge for at du ser gjennom listen over blokkerte IP-adresser som en del av vanlig vedlikehold.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for