Skapa listor över blockerade avsändare i EOP

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor erbjuder EOP flera sätt att blockera e-post från oönskade avsändare. Tillsammans kan du betrakta dessa alternativ som blockerade avsändarlistor.

Följande lista innehåller de tillgängliga metoderna för att blockera avsändare i EOP från de flesta rekommenderade till minst rekommenderade:

1. Blockera poster för domäner och e-postadresser (inklusive falska avsändare) i listan Tillåt/blockera klientorganisation.
2. Outlook Blockerade avsändare (listan Blockerade avsändare i varje postlåda som endast påverkar postlådan).
3. Blockerade avsändarlistor eller blockerade domänlistor (principer för skräppostskydd).
4. Flödesregler för Exchange-e-post (kallas även transportregler).
5. IP-blockeringslistan (anslutningsfiltrering).

Resten av den här artikeln innehåller information om varje metod.

Tips

Skicka alltid meddelanden i dina blockerade avsändarlistor till Microsoft för analys. Anvisningar finns i Rapportera tvivelaktig e-post till Microsoft. Om meddelandena eller meddelandekällorna bedöms vara skadliga kan Microsoft automatiskt blockera meddelandena och du behöver inte manuellt underhålla posten i blockerade avsändarlistor.

I stället för att blockera e-post har du också flera alternativ för att tillåta e-post från specifika källor med hjälp av listor över säkra avsändare. Mer information finns i Skapa listor över betrodda avsändare.

Ett standard-SMTP-e-postmeddelande kan innehålla olika e-postadresser för avsändare enligt beskrivningen i Varför internet-e-post behöver autentisering. Ofta är MAIL FROM-adressen (även kallad 5321.MailFrom adress, P1-avsändare eller kuvertsändare) och Från-adressen (även kallad 5322.From adress eller P2-avsändare) samma. Men när e-post skickas för någon annans räkning kan adresserna vara olika. Blockerade avsändarlistor och blockerade domänlistor i principer för skräppostskydd kontrollerar endast Från-adressen. Det här beteendet liknar Outlook-blockerade avsändare som använder Från-adressen.

Använda blockposter i listan Tillåt/blockera klientorganisation

Vårt främsta rekommenderade alternativ för att blockera e-post från specifika avsändare eller domäner är listan Tillåt/blockera klientorganisation. Anvisningar finns i Skapa blockposter för domäner och e-postadresser och Skapa blockposter för falska avsändare.

Email meddelanden från dessa avsändare markeras som skräppost med hög konfidens (SCL = 9). Vad som händer med meddelandena bestäms av principen för skräppostskydd som identifierade meddelandet för mottagaren. I standard- och strikt förinställda säkerhetsprinciper sätts skräppostmeddelanden med hög konfidens i karantän.

Som en extra fördel kan användare i organisationen inte skicka e-post till dessa blockerade domäner och adresser. Meddelandet returneras i följande rapport om utebliven leverans (kallas även NDR eller studsmeddelande): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hela meddelandet blockeras för alla interna och externa mottagare av meddelandet, även om endast en mottagares e-postadress eller domän har definierats i en blockpost.

Endast om du inte kan använda listan Tillåt/blockera klient av någon anledning bör du överväga att använda en annan metod för att blockera avsändare.

Använda Blockerade Avsändare i Outlook

När endast ett fåtal användare har fått oönskad e-post kan användare eller administratörer lägga till avsändarens e-postadresser i listan Blockerade avsändare i postlådan. Anvisningar finns i följande artiklar:

• Användare: Blockera eller avblockera avsändare i Outlook.
• Administratörer: Konfigurera inställningar för skräppost på Exchange Online postlådor i Microsoft 365.

När meddelanden har blockerats på grund av en användares lista över blockerade avsändare innehåller rubrikfältet X-Forefront-Antispam-Report värdet SFV:BLK.

Tips

Om de oönskade meddelandena är nyhetsbrev från en välrenommerad och igenkännlig källa är avskrivning från e-postmeddelandet ett annat alternativ för att hindra användaren från att ta emot meddelandena.

Använda blockerade avsändarlistor eller blockerade domänlistor

När flera användare påverkas är omfånget bredare, så det näst bästa alternativet blockeras avsändarlistor eller blockerade domänlistor i anpassade principer för skräppostskydd eller standardprincipen för skräppostskydd. Meddelanden från avsändare i listorna markeras som skräppost med hög konfidens och åtgärden som du konfigurerade för skräppostfiltret med hög konfidens vidtas för meddelandena. Mer information finns i Konfigurera principer för skräppostskydd.

Den maximala gränsen för dessa listor är cirka 1 000 poster.

Använda e-postflödesregler

E-postflödesregler kan också söka efter nyckelord eller andra egenskaper i oönskade meddelanden.

Oavsett de villkor eller undantag som du använder för att identifiera meddelandena konfigurerar du åtgärden för att ange SCL (Spam Confidence Level) för meddelandet till 9, vilket markerar meddelandet som skräppost med hög konfidens. Mer information finns i Använda e-postflödesregler för att ange SCL i meddelanden.

Viktigt

Det är enkelt att skapa regler som är alltför aggressiva, så det är viktigt att du bara identifierar de meddelanden som du vill blockera med hjälp av mycket specifika kriterier. Se också till att övervaka användningen av regeln för att säkerställa att allt fungerar som förväntat.

Använda IP-blockeringslistan

Om det inte går att använda något av de andra alternativen för att blockera en avsändare, bör du bara använda IP-blockeringslistan i principen för anslutningsfilter. Mer information finns i konfigurera policy för anslutningsfilter. Det är viktigt att hålla antalet blockerade IP-adresser till ett minimum, så vi rekommenderar inte att du blockerar hela IP-adressintervall.

Du bör särskilt undvika att lägga till IP-adressintervall som tillhör konsumenttjänster (till exempel outlook.com) eller delade infrastrukturer. Du måste också granska listan över blockerade IP-adresser som en del av det regelbundna underhållet.