Создание списков заблокированных отправителей в EOP

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection организациях без Exchange Online почтовых ящиков EOP предлагает несколько способов блокировки электронной почты от нежелательных отправителей. В совокупности эти параметры можно рассматривать как списки заблокированных отправителей.

Доступные списки заблокированных отправителей описаны в следующем списке в порядке от наиболее рекомендуемых до наименее рекомендуемых:

1. Блокировать записи для доменов и адресов электронной почты (включая поддельных отправителей) в списке разрешенных и заблокированных клиентов.
2. Заблокированные отправители Outlook (список заблокированных отправителей, хранящийся в каждом почтовом ящике).
3. Списки заблокированных отправителей или списки заблокированных доменов (политики защиты от нежелательной почты).
4. Правила потока обработки почты (также известные как правила транспорта).
5. Список блокировок IP-адресов (фильтрация подключений).

Остальная часть этой статьи содержит сведения о каждом методе.

Примечание.

Всегда отправляйте сообщения из списков заблокированных отправителей в корпорацию Майкрософт для анализа. Инструкции см. в статье Сообщение о сомнительной электронной почте в Корпорацию Майкрософт. Если сообщения или источники сообщений определены как опасные, корпорация Майкрософт может автоматически заблокировать сообщения, и вам не потребуется вручную поддерживать запись в списках заблокированных отправителей.

Вместо блокировки электронной почты вы также можете разрешить электронную почту из определенных источников с помощью списков надежных отправителей. Дополнительные сведения см. в статье Создание списков надежных отправителей.

основные сведения о сообщениях Email

Стандартное SMTP-сообщение электронной почты состоит из конверта сообщения и его содержимого. Конверт сообщения содержит сведения, необходимые для передачи и доставки сообщения между SMTP-серверами. Содержимое сообщения разделяется на поля заголовка сообщения, которые в совокупности называются заголовком сообщения, и текста сообщения. Конверт сообщения описан в документе RFC 5321, а заголовок сообщения — в документе RFC 5322. Получатели никогда не видят фактический конверт сообщения, так как он создается процессом передачи сообщения и на самом деле не является частью сообщения.

• Адрес 5321.MailFrom (также известный как почтовый адрес, отправитель P1 или отправитель конверта) — это адрес электронной почты, который используется при передаче сообщения SMTP. Этот адрес электронной почты обычно записывается в поле Заголовок Return-Path в заголовке сообщения (хотя отправитель может назначить другой адрес электронной почты Return-Path ). Если сообщение не может быть доставлено, оно является получателем отчета о недоставке (также известного как недоставка или сообщение о отказе).

• Адрес 5322.From (также известный как от адреса или отправителя P2) — это адрес электронной почты в поле От заголовка и адрес электронной почты отправителя, который отображается в почтовых клиентах.

5321.MailFrom Часто адреса и 5322.From совпадают (взаимодействие между пользователями). Однако при отправке электронной почты от имени другого пользователя адреса могут отличаться.

Списки заблокированных отправителей и списки заблокированных доменов в политиках защиты от нежелательной почты в EOP проверяют только 5322.From адреса. Это поведение аналогично заблокированным отправителям Outlook, которые используют 5322.From адрес.

Использование записей блоков в списке разрешенных и заблокированных клиентов

Наш номер один рекомендуемый вариант для блокировки почты от определенных отправителей или доменов — список разрешенных и заблокированных клиентов. Инструкции см. в разделах Создание записей блоков для доменов и адресов электронной почты и Создание записей блоков для подделанных отправителей.

Email сообщения от этих отправителей помечаются как спам с высоким уровнем достоверности (SCL = 9). Что происходит с сообщениями, определяется политикой защиты от нежелательной почты , которая обнаружила сообщение для получателя. В политике защиты от нежелательной почты по умолчанию и новых настраиваемых политиках сообщения, помеченные как спам с высоким уровнем достоверности, по умолчанию доставляются в папку "Нежелательная Email". В стандартных и строгих предустановленных политиках безопасности сообщения нежелательной почты с высоким уровнем достоверности помещаются в карантин.

В качестве дополнительного преимущества пользователи в организации не могут отправлять сообщения электронной почты на эти заблокированные домены и адреса. Они получат следующий отчет о недоставке (также известное как сообщение о недоставке или отказе). 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Все сообщение блокируется для всех внутренних и внешних получателей сообщения, даже если в записи блока определен только один адрес электронной почты или домен получателя.

Только если вы по какой-либо причине не можете использовать список разрешенных и заблокированных клиентов, следует рассмотреть возможность использования другого метода для блокировки отправителей.

Использование заблокированных отправителей Outlook

Если нежелательные сообщения электронной почты получили только небольшое число пользователей, пользователи или администраторы могут добавить адреса электронной почты отправителя в список заблокированных отправителей в почтовом ящике. Инструкции см. в статье Настройка параметров нежелательной почты в почтовых ящиках Exchange Online.

Если сообщения успешно заблокированы из-за списка заблокированных отправителей пользователя, поле заголовка X-Forefront-Antispam-Report будет содержать значение SFV:BLK.

Примечание.

Если нежелательные сообщения являются информационными бюллетенями из авторитетного и узнаваемого источника, отмена подписки на электронную почту является еще одним вариантом, чтобы запретить пользователю получать сообщения.

Использование списков заблокированных отправителей или списков заблокированных доменов

Если затрагивается несколько пользователей, область шире, поэтому следующий лучший вариант — списки заблокированных отправителей или списки доменов в политиках защиты от нежелательной почты. Сообщения от отправителей в списках помечаются как спам с высоким уровнем достоверности, и для них выполняется действие, настроенное для фильтра спама с высоким уровнем достоверности . Дополнительные сведения см. в статье Настройка политик защиты от нежелательной почты.

Максимальное ограничение для этих списков составляет около 1000 записей.

Использование правил потока обработки почты

Правила потока обработки почты также могут искать ключевые слова или другие свойства в нежелательных сообщениях.

Независимо от условий или исключений, используемых для идентификации сообщений, вы настраиваете действие для установки уровня достоверности нежелательной почты (SCL) сообщения равным 9, что помечает сообщение как спам с высоким уровнем достоверности. Дополнительные сведения см . в разделе Использование правил потока обработки почты для задания SCL в сообщениях.

Важно!

Легко создать слишком агрессивные правила, поэтому важно определить только сообщения, которые нужно заблокировать, с помощью очень конкретных критериев. Кроме того, обязательно отслеживайте использование правила , чтобы убедиться, что все работает должным образом.

Использование списка блокировок IP-адресов

Если невозможно использовать один из других параметров для блокировки отправителя, только тогда следует использовать список заблокированных IP-адресов в политике фильтра подключений. Дополнительные сведения см. в статье Configure the connection filter policy. Важно свести число заблокированных IP-адресов к минимуму, поэтому блокировать все диапазоны IP-адресов не рекомендуется.

Особенно следует избегать добавления диапазонов IP-адресов, принадлежащих службам потребителей (например, outlook.com) или общей инфраструктуре, а также проверять список заблокированных IP-адресов в рамках регулярного обслуживания.