Skapa blockerade avsändarlistor i EOP
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.
I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor erbjuder EOP flera sätt att blockera e-post från oönskade avsändare. Tillsammans kan du betrakta dessa alternativ som blockerade avsändarlistor.
De tillgängliga listor över blockerade avsändare beskrivs i följande lista i ordning från de flesta rekommenderade till minst rekommenderade:
- Blockera poster för domäner och e-postadresser (inklusive falska avsändare) i listan Tillåt/blockera klientorganisation.
- Outlook Blockerade avsändare (listan Blockerade avsändare som lagras i varje postlåda).
- Blockerade avsändarlistor eller blockerade domänlistor (principer för skräppostskydd).
- E-postflödesregler (kallas även transportregler).
- IP-blockeringslistan (anslutningsfiltrering).
Resten av den här artikeln innehåller information om varje metod.
Obs!
Skicka alltid meddelanden i dina blockerade avsändarlistor till Microsoft för analys. Anvisningar finns i Rapportera tvivelaktig e-post till Microsoft. Om meddelandena eller meddelandekällorna bedöms vara skadliga kan Microsoft automatiskt blockera meddelandena och du behöver inte manuellt underhålla posten i blockerade avsändarlistor.
I stället för att blockera e-post har du också flera alternativ för att tillåta e-post från specifika källor med hjälp av listor över säkra avsändare. Mer information finns i Skapa listor över betrodda avsändare.
Email grunderna i meddelanden
Ett standard-SMTP-e-postmeddelande består av ett meddelandekuvert och meddelandeinnehåll. Meddelandekuvertet innehåller information som krävs för att överföra och leverera meddelandet mellan SMTP-servrar. Meddelandeinnehållet innehåller meddelandehuvudfält (kallas gemensamt för meddelanderubriken) och meddelandetexten. Meddelandekuvertet beskrivs i RFC 5321 och meddelandehuvudet beskrivs i RFC 5322. Mottagarna ser aldrig det faktiska meddelandekuvertet eftersom det genereras av meddelandeöverföringsprocessen, och det är faktiskt inte en del av meddelandet.
Adressen
5321.MailFrom(kallas även MAIL FROM-adress , P1-avsändare eller kuvertsändare) är den e-postadress som används i SMTP-överföringen av meddelandet. Den här e-postadressen registreras vanligtvis i fältet Retursökvägsrubrik i meddelandehuvudet (även om det är möjligt för avsändaren att ange en annan e-postadress för returväg ). Om meddelandet inte kan levereras är det mottagaren för rapporten om utebliven leverans (kallas även NDR eller studsmeddelande).Adressen
5322.From(kallas även Från-adress eller P2-avsändare) är e-postadressen i fältet Från-huvud och är avsändarens e-postadress som visas i e-postklienter.
Ofta är adresserna 5321.MailFrom och 5322.From samma (person-till-person-kommunikation). Men när e-post skickas för någon annans räkning kan adresserna vara olika.
Blockerade avsändarlistor och blockerade domänlistor i principer för skräppostskydd i EOP kontrollerar endast adresserna 5322.From . Det här beteendet liknar Outlook-blockerade avsändare som använder 5322.From adressen.
Använda blockposter i listan Tillåt/blockera klientorganisation
Vårt främsta rekommenderade alternativ för att blockera e-post från specifika avsändare eller domäner är listan Tillåt/blockera klientorganisation. Anvisningar finns i Skapa blockera poster för domäner och e-postadresser och Skapa blockera poster för falska avsändare.
Email meddelanden från dessa avsändare markeras som skräppost med hög konfidens (SCL = 9). Vad som händer med meddelandena bestäms av principen för skräppostskydd som identifierade meddelandet för mottagaren. I standardprincipen för skräppostskydd och nya anpassade principer levereras meddelanden som markeras som skräppost med hög konfidens till mappen Skräppost Email som standard. I standard- och strikt förinställda säkerhetsprinciper sätts skräppostmeddelanden med hög konfidens i karantän.
Som en extra fördel kan användare i organisationen inte skicka e-post till dessa blockerade domäner och adresser. De får följande rapport om utebliven leverans (kallas även NDR eller studsmeddelande): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hela meddelandet blockeras för alla interna och externa mottagare av meddelandet, även om endast en e-postadress eller domän för mottagare har definierats i en blockpost.
Endast om du inte kan använda listan Tillåt/blockera klient av någon anledning bör du överväga att använda en annan metod för att blockera avsändare.
Använda Blockerade Avsändare i Outlook
När bara ett litet antal användare har fått oönskad e-post kan användare eller administratörer lägga till avsändarens e-postadresser i listan Blockerade avsändare i postlådan. Anvisningar finns i Konfigurera inställningar för skräppost i Exchange Online postlådor.
När meddelanden har blockerats på grund av en användares lista över blockerade avsändare innehåller rubrikfältet X-Forefront-Antispam-Report värdet SFV:BLK.
Obs!
Om de oönskade meddelandena är nyhetsbrev från en välrenommerad och igenkännlig källa är avskrivning från e-postmeddelandet ett annat alternativ för att hindra användaren från att ta emot meddelandena.
Använda blockerade avsändarlistor eller blockerade domänlistor
När flera användare påverkas är omfånget bredare, så det näst bästa alternativet blockeras avsändarlistor eller blockerade domänlistor i principer för skräppostskydd. Meddelanden från avsändare i listorna markeras som skräppost med hög konfidens och den åtgärd som du har konfigurerat för skräppostfiltret med hög konfidens tas på meddelandena. Mer information finns i Konfigurera principer för skräppostskydd.
Den maximala gränsen för dessa listor är cirka 1 000 poster.
Använda e-postflödesregler
E-postflödesregler kan också söka efter nyckelord eller andra egenskaper i oönskade meddelanden.
Oavsett de villkor eller undantag som du använder för att identifiera meddelandena konfigurerar du åtgärden för att ange SCL (Spam Confidence Level) för meddelandet till 9, vilket markerar meddelandet som skräppost med hög konfidens. Mer information finns i Använda e-postflödesregler för att ange SCL i meddelanden.
Viktigt
Det är enkelt att skapa regler som är alltför aggressiva, så det är viktigt att du bara identifierar de meddelanden som du vill blockera med hjälp av mycket specifika kriterier. Se också till att övervaka användningen av regeln för att säkerställa att allt fungerar som förväntat.
Använda IP-blockeringslistan
Om det inte går att använda något av de andra alternativen för att blockera en avsändare, bör du bara använda IP-blockeringslistan i principen för anslutningsfilter. Mer information finns i konfigurera policy för anslutningsfilter. Det är viktigt att hålla antalet blockerade IP-adresser till ett minimum, så att blockera hela IP-adressintervall rekommenderas inte .
Du bör särskilt undvika att lägga till IP-adressintervall som tillhör konsumenttjänster (till exempel outlook.com) eller delade infrastrukturer, och även se till att du granskar listan över blockerade IP-adresser som en del av det regelbundna underhållet.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för