Tworzenie zablokowanych list nadawców w ramach EOP

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft 365 Defender Office 365 Plan 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnych portalu Microsoft 365 Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Dotyczy

W Microsoft 365 organizacji ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych, usługa EOP oferuje wiele sposobów blokowania wiadomości e-mail od niechcianych nadawców. Łącznie te opcje można traktować jako listy zablokowanych nadawców.

Listy zablokowanych nadawców są opisane na poniższej liście w kolejności od najbardziej zalecanych do najmniej zalecanych:

  1. Blokuj wpisy domen i adresów e-mail (w tym sfałszowanych nadawców) na liście dozwolonych/zablokowanych dzierżaw.
  2. Zablokowani nadawcy programu Outlook (lista zablokowanych nadawców przechowywana w każdej skrzynce pocztowej).
  3. Zablokowane listy nadawców lub zablokowane listy domen (zasady ochrony przed spamem).
  4. Reguły przepływu poczty (nazywane również regułami transportu).
  5. Lista zablokowanych adresów IP (filtrowanie połączeń).

Pozostała część tego artykułu zawiera szczegółowe informacje o każdej metodzie.

Uwaga

Zawsze przesyłaj komunikaty na listach zablokowanych nadawców, aby Microsoft do analizy. Aby uzyskać instrukcje, zobacz Zgłaszanie wątpliwych wiadomości e-mail do Microsoft. Jeśli komunikaty lub źródła komunikatów zostaną uznane za szkodliwe, Microsoft może automatycznie blokować komunikaty i nie będzie konieczne ręczne utrzymywanie wpisu na zablokowanych listach nadawców.

Zamiast blokować pocztę e-mail, masz również kilka opcji zezwalania na wysyłanie wiadomości e-mail z określonych źródeł przy użyciu list bezpiecznych nadawców. Aby uzyskać więcej informacji, zobacz Tworzenie list bezpiecznych nadawców.

Email podstawowe informacje o wiadomościach

Standardowa wiadomość e-mail SMTP składa się z koperty wiadomości i zawartości wiadomości. Koperta wiadomości zawiera informacje wymagane do przesyłania i dostarczania komunikatu między serwerami SMTP. Zawartość wiadomości zawiera pola nagłówka wiadomości (łącznie nazywane nagłówkiem komunikatu) i treść komunikatu. Koperta komunikatu jest opisana w dokumencie RFC 5321, a nagłówek komunikatu jest opisany w dokumencie RFC 5322. Adresaci nigdy nie widzą rzeczywistej koperty wiadomości, ponieważ jest ona generowana przez proces transmisji komunikatów i w rzeczywistości nie jest częścią wiadomości.

  • Adres 5321.MailFrom (znany również jako adres MAIL FROM , nadawca P1 lub nadawca koperty) to adres e-mail używany podczas transmisji wiadomości przez protokół SMTP. Ten adres e-mail jest zwykle rejestrowany w polu nagłówek Return-Path w nagłówku wiadomości (chociaż nadawca może wyznaczyć inny adres e-mail ze ścieżką powrotną ). Jeśli nie można dostarczyć wiadomości, jest to adresat raportu o braku dostarczenia (znany również jako komunikat NDR lub bounce).

  • Adres 5322.From (znany również jako adres od lub nadawca P2) to adres e-mail w polu Nagłówek od i jest adresem e-mail nadawcy wyświetlanym w klientach poczty e-mail.

Często adresy 5321.MailFrom i 5322.From są takie same (komunikacja między osobami). Jednak gdy wiadomość e-mail jest wysyłana w imieniu innej osoby, adresy mogą być inne.

Zablokowane listy nadawców i listy zablokowanych domen w zasadach ochrony przed spamem w ramach EOP sprawdzają tylko 5322.From adresy. To zachowanie jest podobne do zablokowanych nadawców programu Outlook, którzy używają tego 5322.From adresu.

Używanie wpisów blokowych na liście dozwolonych/zablokowanych dzierżaw

Zalecaną opcją numer jeden do blokowania poczty od określonych nadawców lub domen jest lista dozwolonych/zablokowanych dzierżaw. Aby uzyskać instrukcje, zobacz Zezwalaj lub blokuj pocztę e-mail przy użyciu listy dozwolonych/zablokowanych dzierżaw.

Email wiadomości od tych nadawców są oznaczone jako spam o wysokim poziomie ufności (SCL = 9). To, co dzieje się z wiadomościami, zależy od zasad ochrony przed spamem , które wykryły wiadomość dla adresata. W domyślnych zasadach ochrony przed spamem i nowych zasadach niestandardowych wiadomości oznaczone jako spam o wysokim poziomie ufności są domyślnie dostarczane do folderu Junk Email. W przypadku standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń wiadomości spamowe o wysokim poziomie zaufania są poddawane kwarantannie.

Dodatkowo użytkownicy w organizacji nie mogą wysyłać wiadomości e-mail do zablokowanych domen i adresów. Otrzymają następujący raport o braku dostarczania (znany również jako komunikat NDR lub bounce): 5.7.1 Your message can't be delivered because one or more recipients are blocked by your organization's tenant allow/block list policy. cała wiadomość jest zablokowana dla wszystkich adresatów, jeśli wiadomość e-mail zostanie wysłana do dowolnego z wpisów na liście.

Tylko wtedy, gdy z jakiegoś powodu nie możesz użyć listy dozwolonych/zablokowanych dzierżaw, rozważ użycie innej metody do blokowania nadawców.

Używanie zablokowanych nadawców programu Outlook

Gdy tylko niewielka liczba użytkowników otrzymała niepożądaną wiadomość e-mail, użytkownicy lub administratorzy mogą dodać adresy e-mail nadawcy do listy zablokowanych nadawców w skrzynce pocztowej. Aby uzyskać instrukcje, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych.

Gdy komunikaty zostaną pomyślnie zablokowane z powodu listy zablokowanych nadawców użytkownika, pole nagłówka X-Forefront-Antispam-Report będzie zawierać wartość SFV:BLK.

Uwaga

Jeśli niechciane wiadomości są biuletynami z renomowanego i rozpoznawalnego źródła, anulowanie subskrypcji wiadomości e-mail jest inną opcją, aby uniemożliwić użytkownikowi odbieranie wiadomości.

Używanie zablokowanych list nadawców lub zablokowanych list domen

Jeśli dotyczy to wielu użytkowników, zakres jest szerszy, więc następną najlepszą opcją jest zablokowanie list nadawców lub zablokowanych list domen w zasadach ochrony przed spamem. Wiadomości od nadawców na listach są oznaczone jako spam o wysokim poziomie ufności, a akcja skonfigurowana pod kątem werdyktu filtru spamu o wysokim poziomie ufności jest podejmowana w przypadku wiadomości. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.

Maksymalny limit dla tych list wynosi około 1000 wpisów.

Używanie reguł przepływu poczty

Reguły przepływu poczty mogą również wyszukiwać słowa kluczowe lub inne właściwości w niechcianych wiadomościach.

Niezależnie od warunków lub wyjątków używanych do identyfikowania komunikatów, należy skonfigurować akcję tak, aby ustawić poziom ufności spamu (SCL) wiadomości na 9, co oznacza wiadomość jako spam o wysokim poziomie ufności. Aby uzyskać więcej informacji, zobacz Używanie reguł przepływu poczty do ustawiania listy SCL w wiadomościach.

Ważna

Łatwo jest tworzyć reguły, które są zbyt agresywne, dlatego ważne jest, aby zidentyfikować tylko komunikaty, które chcesz zablokować, używając bardzo konkretnych kryteriów. Ponadto należy monitorować użycie reguły , aby upewnić się, że wszystko działa zgodnie z oczekiwaniami.

Korzystanie z listy zablokowanych adresów IP

Jeśli nie można użyć jednej z innych opcji do zablokowania nadawcy, tylko wtedy należy użyć listy zablokowanych adresów IP w zasadach filtru połączeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad filtrowania połączeń. Ważne jest, aby minimalna liczba zablokowanych adresów IP była minimalna, dlatego blokowanie całych zakresów adresów IP nie jest zalecane.

Należy szczególnie unikać dodawania zakresów adresów IP należących do usług konsumenckich (na przykład outlook.com) lub infrastruktur udostępnionych, a także zapewnić przeglądanie listy zablokowanych adresów IP w ramach regularnej konserwacji.