Criar listas de remetente bloqueadas no EOP

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Em organizações do Microsoft 365 com caixas de correio em organizações Exchange Online ou EOP (Proteção do Exchange Online autônomo) sem caixas de correio Exchange Online, o EOP oferece várias maneiras de bloquear emails de remetentes indesejados. Coletivamente, você pode pensar nessas opções como listas de remetente bloqueadas.

As listas de remetente bloqueadas disponíveis são descritas na lista a seguir, da mais recomendada para a menos recomendada:

1. Bloquear entradas para domínios e endereços de email (incluindo remetentes falsificados) na Lista de Permissões/Blocos do Locatário.
2. Remetentes bloqueados do Outlook (a lista de remetentes bloqueados armazenada em cada caixa de correio).
3. Listas de remetentes bloqueadas ou listas de domínio bloqueadas (políticas anti-spam).
4. Regras de fluxo de email (também conhecidas como regras de transporte).
5. A Lista de Blocos IP (filtragem de conexão).

O restante deste artigo contém detalhes sobre cada método.

Observação

Sempre envie mensagens em suas listas de remetente bloqueadas para a Microsoft para análise. Para obter instruções, consulte Relatar email questionável para a Microsoft. Se as mensagens ou fontes de mensagem forem determinadas como prejudiciais, a Microsoft poderá bloquear automaticamente as mensagens e você não precisará manter manualmente a entrada em listas de remetente bloqueadas.

Em vez de bloquear o email, você também tem várias opções para permitir emails de fontes específicas usando listas de remetentes seguros. Para obter mais informações, confira Criar listas de remetentes seguros.

Email noções básicas de mensagem

Uma mensagem de email SMTP padrão consiste em um envelope de mensagem e conteúdo de mensagem. O envelope de mensagem contém informações necessárias para transmitir e entregar a mensagem entre servidores SMTP. O conteúdo da mensagem contém campos de cabeçalho de mensagem (chamado coletivamente de cabeçalho de mensagem) e o corpo da mensagem. O envelope de mensagem é descrito no RFC 5321 e o cabeçalho da mensagem é descrito no RFC 5322. Os destinatários nunca veem o envelope de mensagem real porque ele é gerado pelo processo de transmissão de mensagens e não faz parte da mensagem.

• O 5321.MailFrom endereço (também conhecido como endereço MAIL FROM , remetente P1 ou remetente de envelope) é o endereço de email usado na transmissão SMTP da mensagem. Esse endereço de email normalmente é registrado no campo cabeçalho Caminho de Retorno no cabeçalho da mensagem (embora seja possível que o remetente designe um endereço de email return-path diferente). Se a mensagem não puder ser entregue, será o destinatário do relatório de não entrega (também conhecido como NDR ou mensagem de retorno).

• O 5322.From endereço (também conhecido como o remetente From ou P2) é o endereço de email no campo De cabeçalho e é o endereço de email do remetente exibido em clientes de email.

Com frequência, os 5321.MailFrom endereços e 5322.From são os mesmos (comunicação de pessoa para pessoa). No entanto, quando o email é enviado em nome de outra pessoa, os endereços podem ser diferentes.

Listas de remetentes bloqueadas e listas de domínio bloqueadas em políticas anti-spam no EOP inspecionam apenas os 5322.From endereços. Esse comportamento é semelhante aos Remetentes Bloqueados do Outlook que usam o 5322.From endereço.

Usar entradas de bloco na Lista de Permissões/Blocos do Locatário

Nossa opção recomendada número um para bloquear emails de remetentes ou domínios específicos é a Lista de Permissões/Blocos do Locatário. Para obter instruções, consulte Criar entradas de bloco para domínios e endereços de email e Criar entradas de bloco para remetentes falsificados.

Email mensagens desses remetentes são marcadas como spam de alta confiança (SCL = 9). O que acontece com as mensagens é determinado pela política anti-spam que detectou a mensagem para o destinatário. Na política anti-spam padrão e em novas políticas personalizadas, as mensagens marcadas como spam de alta confiança são entregues à pasta Junk Email por padrão. Em políticas de segurança predefinidas Standard e Strict, as mensagens de spam de alta confiança são colocadas em quarentena.

Como um benefício adicional, os usuários da organização não podem enviar email para esses domínios e endereços bloqueados. Eles receberão o seguinte relatório de não entrega (também conhecido como NDR ou mensagem de salto): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. toda a mensagem é bloqueada para todos os destinatários internos e externos da mensagem, mesmo que apenas um endereço de email ou domínio do destinatário seja definido em uma entrada de bloco.

Somente se você não puder usar a Lista de Permissões/Blocos do Locatário por algum motivo, você considerará usar um método diferente para bloquear remetentes.

Usar remetentes bloqueados do Outlook

Quando apenas um pequeno número de usuários recebeu email indesejado, usuários ou administradores podem adicionar os endereços de email do remetente à lista de remetentes bloqueados na caixa de correio. Para obter instruções, consulte Configurar configurações de email de lixo eletrônico em caixas de correio Exchange Online.

Quando as mensagens forem bloqueadas com êxito devido à lista de remetentes bloqueados de um usuário, o campo de cabeçalho X-Forefront-Antispam-Report conterá o valor SFV:BLK.

Observação

Se as mensagens indesejadas forem boletins informativos de uma fonte respeitável e reconhecível, a não assinatura do email será outra opção para impedir que o usuário receba as mensagens.

Usar listas de remetente bloqueadas ou listas de domínio bloqueadas

Quando vários usuários são afetados, o escopo é mais amplo, portanto, a próxima melhor opção é bloquear listas de remetentes ou listas de domínio bloqueadas em políticas anti-spam. As mensagens de remetentes nas listas são marcadas como spam de alta confiança e a ação que você configurou para o veredicto do filtro spam de alta confiança é tomada nas mensagens. Para saber mais, confira Configurar políticas anti-spam.

O limite máximo para essas listas é de aproximadamente 1000 entradas.

Usar regras de fluxo de email

As regras de fluxo de email também podem procurar palavras-chave ou outras propriedades nas mensagens indesejadas.

Independentemente das condições ou exceções que você usa para identificar as mensagens, você configura a ação para definir o nível de confiança de spam (SCL) da mensagem como 9, que marca a mensagem como spam de alta confiança. Para obter mais informações, consulte Usar regras de fluxo de email para definir a SCL em mensagens.

Importante

É fácil criar regras excessivamente agressivas, portanto, é importante que você identifique apenas as mensagens que deseja bloquear usando critérios muito específicos. Além disso, certifique-se de monitorar o uso da regra para garantir que tudo funcione conforme o esperado.

Usar a Lista de Blocos IP

Quando não é possível usar uma das outras opções para bloquear um remetente, só então você deve usar a Lista de Blocos IP na política de filtro de conexão. Para obter mais informações, consulte Configurar a política de filtro de conexão. É importante manter o número de IPs bloqueados no mínimo, portanto, não é recomendável bloquear intervalos de endereços IP inteiros.

Você deve especialmente evitar adicionar intervalos de endereços IP que pertencem a serviços de consumidor (por exemplo, outlook.com) ou infraestruturas compartilhadas e também garantir que você examine a lista de endereços IP bloqueados como parte da manutenção regular.