Создание списков заблокированных отправителей в EOP

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 плана 2 бесплатно? Используйте 90-дневную пробную Defender для Office 365 в центре Microsoft 365 Defender портала. Сведения о том, кто может зарегистрироваться и использовать пробные условия, см. здесь.

Область применения

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online EOP предлагает несколько способов блокировки электронной почты от нежелательных отправителей. В совокупности эти параметры можно рассматривать как списки заблокированных отправителей.

Доступные списки заблокированных отправителей описаны в следующем списке в порядке от наиболее рекомендуемых до наименее рекомендуемых:

  1. Блокирование записей для доменов и адресов электронной почты (включая спуфинг отправителей) в списке разрешений и блокирования клиента.
  2. Заблокированные отправители Outlook (список заблокированных отправителей, который хранится в каждом почтовом ящике).
  3. Списки заблокированных отправителей или списки заблокированных доменов (политики защиты от нежелательной почты).
  4. Правила потока обработки почты (также называемые правилами транспорта).
  5. Список заблокированных IP-адресов (фильтрация подключений).

Остальная часть этой статьи содержит сведения о каждом методе.

Примечание.

Всегда отправлять сообщения в списках заблокированных отправителей в корпорацию Майкрософт для анализа. Инструкции см. в разделе "Сообщить корпорации Майкрософт о сомнительного сообщении электронной почты". Если сообщения или источники сообщений определены как вредоносные, корпорация Майкрософт может автоматически заблокировать сообщения, и вам не нужно будет вручную сохранять запись в списках заблокированных отправителей.

Вместо блокирования электронной почты у вас также есть несколько вариантов разрешения отправки электронной почты из определенных источников с помощью списков надежных отправителей. Дополнительные сведения см. в статье Создание списков надежных отправителей.

Email сообщений

Стандартное SMTP-сообщение электронной почты состоит из конверта сообщения и его содержимого. Конверт сообщения содержит сведения, необходимые для передачи и доставки сообщения между SMTP-серверами. Содержимое сообщения разделяется на поля заголовка сообщения, которые в совокупности называются заголовком сообщения, и текста сообщения. Конверт сообщения описан в RFC 5321, а заголовок сообщения — в RFC 5322. Получатели никогда не видят фактический конверт сообщения, так как он создается процессом передачи сообщения и фактически не является частью сообщения.

  • Адрес 5321.MailFrom (также известный как адрес MAIL FROM , отправитель P1 или отправитель конверта) — это адрес электронной почты, используемый при передаче сообщения SMTP. Этот адрес обычно записывается в поле заголовка return-Path в заголовке сообщения (хотя отправитель может назначить другой адрес электронной почты return-Path ). Если сообщение не может быть доставлено, это получатель отчета о недоставке (также известного как сообщение о недоставке или недоставке).

  • (также известный как отправитель с адреса отправителя или отправитель P2) — это адрес электронной почты в поле заголовка "От" и адрес электронной почты отправителя, отображаемый в почтовых клиентах.5322.From

Часто адреса и адреса 5321.MailFrom5322.From одинаковы (взаимодействие между пользователями). Однако при отправке электронной почты от имени другого пользователя адреса могут отличаться.

Списки заблокированных отправителей и списки заблокированных доменов в политиках защиты от нежелательной почты в EOP 5322.From проверяют только адреса. Это поведение аналогично заблокированным отправителим Outlook, использующим адрес 5322.From .

Использование записей блоков в списке разрешений и блоков клиента

Рекомендуемый вариант блокировки почты от определенных отправителей или доменов номер 1 — список разрешений и блокировок клиента. Инструкции см. в разделе "Разрешить или заблокировать электронную почту с помощью списка разрешений и блокирования клиента".

Email сообщений от этих отправителей помечены как спам с высокой достоверностью (SCL = 9). Что происходит с сообщениями, определяется политикой защиты от нежелательной почты, которая обнаружила сообщение для получателя. В политике защиты от нежелательной почты по умолчанию и новых настраиваемых политиках сообщения, помеченные как спам с высокой достоверностью, доставляются в папку нежелательной почты Email по умолчанию. В стандартных и строгих предустановных политиках безопасности сообщения нежелательной почты с высоким уровнем достоверности помещены в карантин.

В качестве дополнительных преимуществ пользователи в организации не могут отправлять сообщения электронной почты на заблокированные домены и адреса. Они получат следующий отчет о недоставке (также известный как сообщение о недоставке или недоставке): 5.7.1 Your message can't be delivered because one or more recipients are blocked by your organization's tenant allow/block list policy. все сообщение блокируется для всех получателей, если сообщение отправляется в любую запись в списке.

Только если по какой-либо причине вы не можете использовать список разрешений и блокирования клиента, следует использовать другой метод для блокировки отправителей.

Использование заблокированных отправителей Outlook

Если только небольшое количество пользователей получили нежелательные сообщения электронной почты, пользователи или администраторы могут добавлять адреса электронной почты отправителей в список заблокированных отправителей в почтовом ящике. Инструкции см. в статье "Настройка параметров нежелательной почты в Exchange Online почтовых ящиках".

Если сообщения успешно блокируются из-за списка заблокированных отправителей пользователя, поле заголовка X-Forefront-Antispam-Report будет содержать значение SFV:BLK.

Примечание.

Если нежелательные сообщения — это информационные бюллетени из известного и распознаваемого источника, отмена подписки на сообщение электронной почты — это еще один способ запретить пользователю получать сообщения.

Использование списков заблокированных отправителей или списков заблокированных доменов

Если затрагивается несколько пользователей, область действия шире, поэтому следующим лучшим вариантом является блокировка списков отправителей или списков заблокированных доменов в политиках защиты от нежелательной почты. Сообщения от отправителей в списках помечаются как спам с высокой достоверностью, а для сообщений выполняется действие, настроенное для решения фильтра нежелательной почты с высоким уровнем достоверности. Дополнительные сведения см. в статье Настройка политик защиты от нежелательной почты.

Максимальное ограничение для этих списков составляет около 1000 записей.

Использование правил потока обработки почты

Правила потока обработки почты также могут искать ключевые слова или другие свойства в нежелательных сообщениях.

Независимо от условий или исключений, используемых для идентификации сообщений, вы настраиваете действие, чтобы установить уровень достоверности нежелательной почты (SCL) сообщения в значение 9, которое помечает сообщение как спам с высокой достоверностью. Дополнительные сведения см. в разделе "Использование правил потока обработки почты для настройки SCL в сообщениях".

Важно!

Очень просто создать слишком агрессивное правило, поэтому важно идентифицировать только сообщения, которые нужно заблокировать, используя очень конкретные критерии. Кроме того, обязательно отслеживайте использование правила, чтобы убедиться, что все работает должным образом.

Использование списка заблокированных IP-адресов

Если невозможно использовать один из других параметров для блокировки отправителя , следует использовать список заблокированных IP-адресов в политике фильтра подключений. Дополнительные сведения см. в статье Configure the connection filter policy. Важно сохранить минимальное количество заблокированных IP-адресов, поэтому не рекомендуется блокировать все диапазоны IP-адресов.

В частности, следует избегать добавления диапазонов IP-адресов, принадлежащих службам потребителей (например, outlook.com) или общей инфраструктуре, а также проверять список заблокированных IP-адресов в рамках регулярного обслуживания.