Antispambeveiliging in EOP
Tip
Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Opmerking
Dit onderwerp is bedoeld voor beheerders. Zie Overzicht van het Email Filter voor eindgebruikers en Meer informatie over ongewenste e-mail en phishing.
In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection (EOP)-organisaties zonder Exchange Online postvakken, worden e-mailberichten automatisch beveiligd tegen spam (ongewenste e-mail) door EOP.
Om ongewenste e-mail te helpen verminderen, bevat EOP bescherming tegen ongewenste e-mail die gebruikmaakt van eigen spamfilters (ook wel bekend als inhoudsfiltering) om ongewenste e-mail te identificeren en te scheiden van legitieme e-mail. EOP-spamfilters leren van bekende spam- en phishingbedreigingen en gebruikersfeedback van ons consumentenplatform, Outlook.com. Doorlopende feedback van beheerders en gebruikers helpt ervoor te zorgen dat de EOP-technologieën voortdurend worden getraind en verbeterd.
EOP gebruikt de volgende spamfilterbeoordelingen om berichten te classificeren:
- Spam: Het bericht heeft een spamvertrouwensniveau (SCL) van 5 of 6 ontvangen.
- Spam met hoge betrouwbaarheid: Het bericht heeft een SCL van 7, 8 of 9 ontvangen.
- phishing
- Phishing met hoge betrouwbaarheid: als onderdeel van beveiliging standaard worden berichten die worden geïdentificeerd als phishing met hoge betrouwbaarheid altijd in quarantaine geplaatst en kunnen gebruikers hun eigen phishingberichten met hoge betrouwbaarheid in quarantaine niet vrijgeven, ongeacht de beschikbare instellingen die beheerders configureren.
- Bulk: de berichtbron heeft de geconfigureerde drempelwaarde voor bulkklachtniveau (BCL) bereikt of overschreden.
Zie de veelgestelde vragen over antispambeveiliging voor meer informatie over antispambeveiliging
In het standaard antispambeleid en in het aangepaste antispambeleid kunt u de acties configureren die moeten worden uitgevoerd op basis van deze uitspraken. In het standaard- en strikt vooraf ingestelde beveiligingsbeleid zijn de acties al geconfigureerd en onmodifieerbaar, zoals beschreven in EOP-instellingen voor antispambeleid.
Zie Antispambeleid configureren in Microsoft 365 om het standaard antispambeleid te configureren en om aangepast antispambeleid te maken, wijzigen en verwijderen.
Tip
Als u het niet eens bent met de spamfilterbeoordeling, kunt u het bericht aan Microsoft melden als een fout-positief (goede e-mail gemarkeerd als slecht) of een fout-negatief (slechte e-mail toegestaan). Zie voor meer informatie:
- Hoe kan ik een verdacht e-mailbericht of bestand melden aan Microsoft?
- Hoe u legitieme e-mailberichten kunt afhandelen die worden geblokkeerd (fout-positief), met behulp van Microsoft Defender voor Office 365
- Hoe u schadelijke e-mailberichten verwerkt die worden bezorgd bij geadresseerden (fout-negatieven), met behulp van Microsoft Defender voor Office 365
De kopteksten van antispamberichten kunnen u vertellen waarom een bericht is gemarkeerd als spam of waarom het spamfilter is overgeslagen. Zie Antispam berichtkoppen voor meer informatie.
U kunt spamfilters niet volledig uitschakelen in Microsoft 365, maar u kunt exchange-e-mailstroomregels (ook wel transportregels genoemd) gebruiken om de meeste spamfilters op binnenkomende berichten te omzeilen (bijvoorbeeld als u e-mail doorgeeft via een beveiligingsservice of apparaat van derden voordat ze worden bezorgd bij Microsoft 365). Zie E-mailstroomregels gebruiken om de spamwaarschijnlijkheidswaarde (SCL) in te stellen in berichten voor meer informatie.
- Berichten met phishing met hoge waarschijnlijkheid worden nog steeds gefilterd. Andere functies in EOP worden niet beïnvloed (berichten worden bijvoorbeeld altijd gescand op malware).
- Als u spamfilters voor SecOps-postvakken of phishingsimulaties wilt omzeilen, gebruikt u geen e-mailstroomregels. Zie De bezorging van phishingsimulaties van derden configureren voor gebruikers en ongefilterde berichten in SecOps-postvakken voor meer informatie.
In hybride omgevingen waarin EOP on-premises Exchange-postvakken beveiligt, moet u twee e-mailstroomregels (ook wel transportregels genoemd) configureren in uw on-premises Exchange-organisatie om de EOP-spamheaders te herkennen die aan berichten worden toegevoegd. Zie EOP configureren om in hybride omgevingen spam te bezorgen in de map Ongewenste e-mail voor meer informatie.
Antispambeleid
Antispambeleid bepaalt de configureerbare instellingen voor spamfilters. De belangrijke instellingen in antispambeleid worden beschreven in de volgende subsecties.
Tip
Zie EOP-instellingen voor antispambeleid voor informatie over de instellingen voor antispambeleid in het standaardbeleid, standaard vooraf ingesteld beveiligingsbeleid en streng vooraf ingesteld beveiligingsbeleid.
Geadresseerde filtert in antispambeleid
Ontvangersfilters gebruiken voorwaarden en uitzonderingen om de interne geadresseerden te identificeren waarop het beleid van toepassing is. Er is ten minste één voorwaarde vereist in aangepaste beleidsregels. Voorwaarden en uitzonderingen zijn niet beschikbaar in het standaardbeleid (het standaardbeleid is van toepassing op alle geadresseerden). U kunt de volgende ontvangersfilters gebruiken voor voorwaarden en uitzonderingen:
- Gebruikers: een of meer postvakken, e-mailgebruikers of e-mailcontactpersonen in de organisatie.
-
Groepen:
- Leden van de opgegeven distributiegroepen of beveiligingsgroepen met e-mail (dynamische distributiegroepen worden niet ondersteund).
- De opgegeven Microsoft 365 Groepen.
- Domeinen: een of meer van de geconfigureerde geaccepteerde domeinen in Microsoft 365. Het primaire e-mailadres van de geadresseerde bevindt zich in het opgegeven domein.
U kunt een voorwaarde of uitzondering slechts één keer gebruiken, maar de voorwaarde of uitzondering kan meerdere waarden bevatten:
Meerdere waarden van dezelfde voorwaarde of uitzondering gebruiken OR-logica (bijvoorbeeld <geadresseerde1> of <geadresseerde2>):
- Voorwaarden: als de ontvanger overeenkomt met een van de opgegeven waarden, wordt het beleid op deze waarden toegepast.
- Uitzonderingen: als de ontvanger overeenkomt met een van de opgegeven waarden, wordt het beleid hierop niet toegepast.
Verschillende soorten uitzonderingen gebruiken OR-logica (bijvoorbeeld <ontvanger1> of <lid van groep1> of <lid van domein1>). Als de ontvanger overeenkomt met een van de opgegeven uitzonderingswaarden, wordt het beleid hierop niet toegepast.
Verschillende typen voorwaarden gebruiken AND-logica. De geadresseerde moet voldoen aan alle opgegeven voorwaarden om het beleid op hen toe te passen. U configureert bijvoorbeeld een voorwaarde met de volgende waarden:
- Gebruikers:
romain@contoso.com
- Groepen: Leidinggevenden
Het beleid wordt alleen toegepast
romain@contoso.com
als hij ook lid is van de groep Leidinggevenden. Anders wordt het beleid niet op hem toegepast.- Gebruikers:
Drempelwaarde voor bulkklacht (BCL) in antispambeleid
EOP wijst een BCL-waarde (bulkklachtniveau) toe aan inkomende berichten van bulkzenders. Berichten van bulkzenders worden ook wel bulkmail of grijze e-mail genoemd.
Zie Bulkklachtniveau (BCL) in EOP voor meer informatie over BCL.
Tip
Standaard bevindt On
de PowerShell-instelling MarkAsSpamBulkMail zich in het antispambeleid in Exchange Online PowerShell. Deze instelling heeft een grote invloed op de resultaten van een BCL (Bulk Compliant Level) die is bereikt of het filteroordeel heeft overschreden :
- MarkAsSpamBulkMail is Aan: een BCL die groter is dan of gelijk is aan de drempelwaarde, wordt geconverteerd naar een SCL 6 die overeenkomt met een filteroordeel van Spam en de actie voor het bulksgewijs compatibele niveau (BCL) wordt bereikt of overschreden voor het bericht.
- MarkAsSpamBulkMail is uitgeschakeld: het bericht is voorzien van een stempel met de BCL, maar er wordt geen actie ondernomen voor een BCL (Bulk compliant level) die voldoet aan of het filterveroordeel overschrijdt. In feite zijn de BCL-drempelwaarde en het BCL-niveau (BCL) bereikt of overschreden filteroordeel niet relevant.
Spam-eigenschappen in antispambeleid
De instellingen voor de testmodus , de instellingen voor de spamscore verhogen en de meeste instellingen voor Markeren als spam maken deel uit van geavanceerde spamfilters (ASF) in antispambeleid.
Deze instellingen worden niet standaard geconfigureerd in het standaard antispambeleid of in het standaard- of strikt vooraf ingestelde beveiligingsbeleid.
Zie Advanced Spam Filter (ASF)-instellingen in EOP voor volledige informatie over ASF-instellingen.
De andere instellingen die beschikbaar zijn in deze categorie zijn:
- Bevat specifieke talen: Berichten in de opgegeven talen worden automatisch geïdentificeerd als spam.
- Vanuit deze landen: Berichten uit de opgegeven landen worden automatisch geïdentificeerd als spam.
Deze instellingen worden niet standaard geconfigureerd in het standaard antispambeleid of in het standaard- of strikt vooraf ingestelde beveiligingsbeleid.
Acties in antispambeleid
In aangepast antispambeleid en het standaard antispambeleid worden de beschikbare acties voor spamfilterbeoordelingen beschreven in de volgende tabel.
- Een vinkje ( ✔ ) geeft aan dat de actie beschikbaar is (niet alle acties zijn beschikbaar voor alle oordelen).
- Een asterisk (*) na het vinkje geeft de standaardactie aan voor de spamfilterbeoordeling.
Actie Spam Hoog
betrouwbaarheid
spamPhishing Hoog
betrouwbaarheid
phishingBulk Bericht verplaatsen naar de map Ongewenste Email: het bericht wordt bezorgd in het postvak en verplaatst naar de map Ongewenste Email.¹ ✔* ✔* ✔ ² ✔* X-kop toevoegen: hiermee wordt een X-kop toegevoegd aan de berichtkop en het bericht bezorgd in het postvak.
U voert de veldnaam van de X-header (niet de waarde) in het beschikbare tekstvak Deze X-header toevoegen in .
Voor spam- en spambeoordelingen met hoge betrouwbaarheid wordt het bericht verplaatst naar de map Ongewenste Email.¹ ³✔ ✔ ✔ ✔ Onderwerpregel vooraan uitbreiden met tekst: hiermee wordt tekst toegevoegd aan het begin van de onderwerpregel van het bericht. Het bericht wordt bezorgd in het postvak en verplaatst naar de map Ongewenste e-mail.¹ ³
U voert de tekst in de onderwerpregel van het beschikbare voorvoegsel in met dit tekstvak .✔ ✔ ✔ ✔ Bericht naar e-mailadres omleiden: hiermee wordt het bericht omgeleid naar andere geadresseerden in plaats van de beoogde geadresseerde.
U geeft de geadresseerden op in het vak Omleiden naar dit e-mailadres .✔ ✔ ✔ ✔ ✔ Bericht verwijderen: hiermee wordt het volledige bericht verwijderd, inclusief alle bijlagen. ✔ ✔ ✔ ✔ Bericht in quarantaine: hiermee wordt het bericht in quarantaine geplaatst in plaats van verzonden naar de beoogde geadresseerden.
U selecteert of gebruikt het standaardquarantainebeleid voor het spamfilter in het vak Quarantainebeleid selecteren dat wordt weergegeven.⁴ Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.
U geeft op hoe lang de berichten in quarantaine worden bewaard in het beschikbare vak Spam in quarantaine bewaren voor dit aantal dagen .✔ ✔ ✔* ✔* ⁵ ✔ Geen actie ✔ ¹ EOP gebruikt een eigen e-mailstroombezorgingsagent om berichten te routeren naar de map Ongewenste e-mail Email in plaats van de regel voor ongewenste e-mail in het postvak te gebruiken. De parameter Enabled op de cmdlet Set-MailboxJunkEmailConfiguration in Exchange Online PowerShell heeft invloed op de e-mailstroom in postvakken in de cloud. Zie Instellingen voor ongewenste e-mail configureren voor Exchange Online-postvakken voor meer informatie.
² Voor phishing met hoge betrouwbaarheid wordt de actie Bericht verplaatsen naar ongewenste Email map effectief afgeschaft. Hoewel u mogelijk de actie Bericht verplaatsen naar ongewenste e-mail Email map kunt selecteren, worden phishingberichten met een hoge betrouwbaarheid altijd in quarantaine geplaatst (vergelijkbaar met het selecteren van Quarantainebericht).
³ U kunt deze waarde gebruiken als voorwaarde in e-mailstroomregels om het bericht te filteren of te routeren.
⁴ Als de spamfilterbeoordeling berichten standaard in quarantaine plaatst (Quarantainebericht is al geselecteerd wanneer u de pagina opent), wordt de standaardnaam van het quarantainebeleid weergegeven in het vak Quarantainebeleid selecteren . Als u de actie van een spamfilterbeoordeling wijzigt in Quarantainebericht, is het vak Quarantainebeleid selecteren standaard leeg. Een lege waarde betekent dat het standaard quarantainebeleid voor dat oordeel wordt gebruikt. Wanneer u de instellingen voor het antispambeleid later weergeeft of bewerkt, wordt de naam van het quarantainebeleid weergegeven. Zie EOP antispambeleidsinstellingen voor meer informatie over het quarantainebeleid dat standaard wordt gebruikt voor spamfilterbeoordelingen.
⁵ Gebruikers kunnen hun eigen berichten die in quarantaine zijn geplaatst als phishing met hoge betrouwbaarheid niet vrijgeven, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun phishingberichten met hoge betrouwbaarheid in quarantaine aanvragen .
Berichten binnen de organisatie waarop actie moet worden ondernomen: hiermee bepaalt u of spamfilters en de bijbehorende beoordelingsacties worden toegepast op interne berichten (berichten die tussen gebruikers binnen de organisatie worden verzonden). De actie die is geconfigureerd in het beleid voor de opgegeven spamfilterbeoordelingen, wordt uitgevoerd op berichten die tussen interne gebruikers worden verzonden. De beschikbare waarden zijn:
- Standaard: dit is de standaardwaarde. Deze waarde is hetzelfde als het selecteren van phishingberichten met hoge betrouwbaarheid.
- Geen
- Phishingberichten met hoge betrouwbaarheid
- Phishing- en phishingberichten met hoge betrouwbaarheid
- Alle phishing- en spamberichten met hoge betrouwbaarheid
- Alle phishing- en spamberichten
Voor de standaardwaarden die worden gebruikt in het standaard antispambeleid en in het standaard- en strikt vooraf ingestelde beveiligingsbeleid, raadpleegt u de berichten binnen de organisatie om actie te ondernemen bij invoer in de EOP-instellingen voor antispambeleid.
Spam in quarantaine plaatsen voor zoveel dagen: geeft aan hoe lang het bericht in quarantaine moet worden gehouden als u de actie Bericht in quarantaine plaatsen hebt geselecteerd voor een spamfilterbeoordeling. Nadat de periode is verstreken, wordt het bericht verwijderd en kan het niet meer worden hersteld. Een geldige waarde ligt tussen de 1 en 30 dagen.
Voor de standaardwaarden die worden gebruikt in het standaard antispambeleid en in het standaard- en strikt vooraf ingestelde beveiligingsbeleid, raadpleegt u de vermelding Spam in quarantaine bewaren voor dit aantal dagen in de EOP antispambeleidsinstellingen.
Tip
Met deze instelling bepaalt u ook hoelang berichten worden bewaard die in quarantaine zijn geplaatst door het antiphishingbeleid. Zie Retentie in quarantaine voor meer informatie.
Zero-hour auto purge (ZAP) in antispambeleid
ZAP voor phishing en ZAP voor spam kan reageren op berichten nadat ze zijn bezorgd in Exchange Online postvakken. ZAP voor phishing en ZAP voor spam zijn standaard ingeschakeld. U wordt aangeraden deze ingeschakeld te laten. Zie voor meer informatie:
- Zero-hour auto purge (ZAP) voor phishing
- Zero-hour auto purge (ZAP) voor phishing met hoge betrouwbaarheid
- Zero-hour auto purge (ZAP) voor spam
Beleid in quarantaine plaatsen in antispambeleid
Als het oordeel in het antispambeleid is geconfigureerd om berichten in quarantaine te plaatsen, bepaalt het quarantainebeleid wat gebruikers kunnen doen met die berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.
Lijsten in antispambeleid toestaan en blokkeren
Antispambeleid bevat de volgende lijsten om specifieke afzenders of domeinen toe te staan of te blokkeren:
- De lijst met toegestane afzenders
- De lijst met toegestane domeinen
- De lijst met geblokkeerde afzenders
- De lijst met geblokkeerde domeinen
Deze instellingen worden niet standaard geconfigureerd in het standaard antispambeleid of in het standaard- of strikt vooraf ingestelde beveiligingsbeleid.
De functionaliteit van deze lijsten is grotendeels vervangen door:
Blokkeer vermeldingen voor domeinen en e-mailadressen in De blokvermeldingen voor domeinen en e-mailadressen maken.
De belangrijkste reden voor het gebruik van de lijst met geblokkeerde afzenders of de lijst met geblokkeerde domeinen in antispambeleidsregels: met blokkeringsvermeldingen in de lijst voor toestaan/blokkeren van tenants kunnen gebruikers in de organisatie ook geen e-mail verzenden naar die e-mailadressen of domeinen.
Goede e-mail rapporteren aan Microsoft vanaf de pagina Inzendingen in de Microsoft Defender portal (waar u kunt kiezen voor E-mailberichten met vergelijkbare kenmerken toestaan, waardoor de vereiste tijdelijke vermeldingen worden gemaakt in de lijst Tenant toestaan/blokkeren).
Belangrijk
Berichten van vermeldingen in de lijst met toegestane afzenders of de lijst met toegestane domeinen omzeilen de meeste e-mailbeveiliging (behalve malware en phishing met hoge betrouwbaarheid) en e-mailverificatiecontroles (SPF, DKIM en DMARC). Vermeldingen in de lijst met toegestane afzenders of de lijst met toegestane domeinen vormen een hoog risico dat aanvallers e-mail naar het Postvak IN sturen dat anders zou worden gefilterd. Deze lijsten kunnen het beste alleen worden gebruikt voor tijdelijke tests.
Voeg nooit algemene domeinen (bijvoorbeeld microsoft.com of office.com) toe aan de lijst met toegestane domeinen. Aanvallers kunnen eenvoudig vervalste berichten van deze algemene domeinen naar uw organisatie verzenden.
Vanaf september 2022, als een toegestane afzender, domein of subdomein zich in een geaccepteerd domein in uw organisatie bevindt, moet die afzender, domein of subdomein e-mailverificatiecontroles doorstaan om spamfiltering over te slaan.
Als u een toegestane domeinvermelding gedurende een langere periode in de lijst wilt bewaren, vertelt u de afzender om te controleren of de SPF-record is bijgewerkt met e-mailbronnen voor hun domein en dat het beleid in de DMARC-record is ingesteld op
p=reject
.
Prioriteit van antispambeleid
Als ze zijn ingeschakeld, worden het standaard- en strikt vooraf ingestelde beveiligingsbeleid toegepast voordat een aangepast antispambeleid of het standaardbeleid (Strikt is altijd eerst). Als u meerdere aangepaste antispambeleidsregels maakt, kunt u de volgorde opgeven waarin ze worden toegepast. De beleidsverwerking stopt nadat het eerste beleid is toegepast (het beleid met de hoogste prioriteit voor die ontvanger).
Zie Volgorde en prioriteit van e-mailbeveiliging en Volgorde van prioriteit voor vooraf ingesteld beveiligingsbeleid en andere beleidsregels voor meer informatie over de volgorde van prioriteit en hoe meerdere beleidsregels worden geëvalueerd.
Standaardantispambeleid
Elke organisatie heeft een ingebouwd antispambeleid met de naam Standaard met de volgende eigenschappen:
- Het beleid is het standaardbeleid (de eigenschap IsDefault heeft de waarde
True
) en u kunt het standaardbeleid niet verwijderen. - Het beleid wordt automatisch toegepast op alle geadresseerden in de organisatie en u kunt het niet uitschakelen.
- Het beleid wordt altijd als laatste toegepast (de prioriteitswaarde is Laagste en u kunt dit niet wijzigen).