Skapa listor över betrodda avsändare i EOP

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Om du är Microsoft 365-kund med postlådor i Exchange Online eller en fristående Exchange Online Protection (EOP) utan Exchange Online postlådor erbjuder EOP flera sätt att se till att användarna får e-post från betrodda avsändare. Tillsammans kan du betrakta dessa alternativ som säkra avsändarlistor.

De tillgängliga listor över säkra avsändare beskrivs i följande lista i ordning från de flesta rekommenderade till minst rekommenderade:

  1. Tillåt poster för domäner och e-postadresser (inklusive falska avsändare) i listan Tillåt/blockera klientorganisation.
  2. E-postflödesregler (kallas även transportregler).
  3. Säkra Avsändare i Outlook (listan Betrodda avsändare som lagras i varje postlåda som endast påverkar postlådan).
  4. Lista över tillåtna IP-adresser (anslutningsfiltrering)
  5. Tillåtna avsändarlistor eller tillåtna domänlistor (principer för skräppostskydd)

Resten av den här artikeln innehåller information om varje metod.

Viktigt

Meddelanden som identifieras som skadlig kod* eller nätfiske med hög konfidens sätts alltid i karantän, oavsett vilket alternativ för lista över betrodda avsändare som du använder. Mer information finns i Skydda som standard i Office 365.

* Filtrering av skadlig kod hoppas över på SecOps-postlådor som identifieras i den avancerade leveransprincipen. Mer information finns i Konfigurera den avancerade leveransprincipen för nätfiskesimuleringar från tredje part och e-postleverans till SecOps-postlådor.

Var noga med att noga övervaka eventuella undantag som du gör för skräppostfiltrering med hjälp av listor över säkra avsändare.

Skicka alltid meddelanden i dina listor över betrodda avsändare till Microsoft för analys. Anvisningar finns i Rapportera bra e-post till Microsoft. Om meddelandena eller meddelandekällorna bedöms vara ofarliga kan Microsoft automatiskt tillåta meddelandena och du behöver inte manuellt underhålla posten i listor över säkra avsändare.

I stället för att tillåta e-post har du också flera alternativ för att blockera e-post från specifika källor med hjälp av blockerade avsändarlistor. Mer information finns i artikeln om att skapa listor över blockerade avsändare i EOP.

Använd tillåtna poster i listan Tillåt/blockera klientorganisation

Vårt främsta rekommenderade alternativ för att tillåta e-post från avsändare eller domäner är listan Tillåt/blockera klientorganisation. Anvisningar finns i Skapa tillåta poster för domäner och e-postadresser och Skapa tillåta poster för falska avsändare.

Endast om du inte kan använda listan Tillåt/blockera klientorganisation av någon anledning bör du överväga att använda en annan metod för att tillåta avsändare.

Använda e-postflödesregler

Obs!

Du kan inte använda meddelandehuvuden och e-postflödesregler för att ange en intern avsändare som en säker avsändare. Procedurerna i det här avsnittet fungerar endast för externa avsändare.

E-postflödesregler i Exchange Online och fristående EOP använder villkor och undantag för att identifiera meddelanden och åtgärder för att ange vad som ska göras med dessa meddelanden. Mer information finns i E-postflödesregler (transportregler) i Exchange Online.

I följande exempel förutsätts att du behöver e-post från contoso.com för att hoppa över skräppostfiltrering. Det gör du genom att konfigurera följande inställningar:

  1. Villkor: Avsändardomänen>är> contoso.com.

  2. Konfigurera någon av följande inställningar:

    • Regelvillkor för e-postflöde: Meddelanderubrikerna>innehåller något av följande ord:

      • Rubriknamn: Authentication-Results
      • Rubrikvärde: dmarc=pass eller dmarc=bestguesspass (lägg till båda värdena).

      Det här villkoret kontrollerar e-postautentiseringsstatusen för den sändande e-postdomänen för att säkerställa att den sändande domänen inte förfalskas. Mer information om e-postautentisering finns i SPF, DKIM och DMARC.

    • Lista över tillåtna IP-adresser: Ange källans IP-adress eller adressintervall i principen för anslutningsfilter. Anvisningar finns i Konfigurera anslutningsfiltrering.

      Använd den här inställningen om den sändande domänen inte använder e-postautentisering. Var så restriktiv som möjligt när det gäller käll-IP-adresserna i listan över tillåtna IP-adresser. Vi rekommenderar ett IP-adressintervall på /24 eller mindre (mindre är bättre). Använd inte IP-adressintervall som tillhör konsumenttjänster (till exempel outlook.com) eller delade infrastrukturer.

    Viktigt

    • Konfigurera aldrig e-postflödesregler med endast avsändardomänen som villkor för att hoppa över skräppostfiltrering. Om du gör det ökar sannolikheten för att angripare kan förfalska den sändande domänen (eller personifiera den fullständiga e-postadressen), hoppa över all skräppostfiltrering och hoppa över avsändarautentiseringskontroller så att meddelandet tas emot i mottagarens inkorg.

    • Använd inte domäner som du äger (även kallade godkända domäner) eller populära domäner (till exempel microsoft.com) som villkor i e-postflödesregler. Det anses vara en hög risk eftersom det skapar möjligheter för angripare att skicka e-post som annars skulle filtreras.

    • Om du tillåter en IP-adress som finns bakom en NAT-gateway (network address translation) måste du känna till de servrar som ingår i NAT-poolen för att kunna omfånget för listan över tillåtna IP-adresser. IP-adresser och NAT-deltagare kan ändras. Du måste regelbundet kontrollera posterna i listan över tillåtna IP-adresser som en del av standardprocedurerna för underhåll.

  3. Valfria villkor:

    • > Avsändarenär intern/extern>Utanför organisationen: Det här villkoret är implicit, men det är ok att använda det för att ta hänsyn till lokala e-postservrar som kanske inte är korrekt konfigurerade.
    • Ämnet eller brödtexten>ämne eller brödtext innehåller något av dessa ord><>nyckelord: Om du kan begränsa meddelandena ytterligare med nyckelord eller fraser i ämnesraden eller meddelandetexten kan du använda dessa ord som ett villkor.

  4. Åtgärd: Konfigurera båda följande åtgärder i regeln:

    1. Ändra meddelandeegenskaperna>ange förtroendenivå för skräppost (SCL)>Kringgå skräppostfiltrering.

    2. Ändra meddelandeegenskaperna>ange ett meddelandehuvud:

      • Rubriknamn: Till exempel X-ETR.
      • Rubrikvärde: Till exempel Bypass spam filtering for authenticated sender 'contoso.com'.

      Om du har fler än en domän i regeln kan du anpassa rubriktexten efter behov.

När ett meddelande hoppar över skräppostfiltrering på grund av en e-postflödesregel stämplas värdevärdet SFV:SKN i rubriken X-Forefront-Antispam-Report . Om meddelandet kommer från en källa som finns i listan över tillåtna IP-adresser läggs även värdet IPV:CAL till. Dessa värden kan hjälpa dig med felsökning.

Exempel på regelinställningar för e-postflöde i den nya EAC:n för att kringgå skräppostfiltrering.

Använda säkra Avsändare i Outlook

Försiktighet

Den här metoden skapar en hög risk för att angripare lyckas leverera e-post till inkorgen som annars skulle filtreras. Men om ett meddelande från en post i användarens listor över betrodda avsändare eller säkra domäner bedöms vara skadlig kod eller nätfiske med hög konfidens filtreras meddelandet.

I stället för en organisationsinställning kan användare eller administratörer lägga till avsändarens e-postadresser i listan Säkra avsändare i postlådan. Anvisningar finns i Konfigurera inställningar för skräppost på Exchange Online postlådor i Office 365. Poster i listan Betrodda avsändare i postlådan påverkar endast den postlådan.

Den här metoden är inte önskvärd i de flesta situationer eftersom avsändare kringgår delar av filtreringsstacken. Även om du litar på avsändaren kan avsändaren fortfarande komprometteras och skicka skadligt innehåll. Du bör låta våra filter kontrollera varje meddelande och sedan rapportera falska positiva/negativa till Microsoft om vi har fel. Om du kringgår filtreringsstacken störs även automatisk rensning på noll timmar (ZAP).

När meddelanden hoppar över skräppostfiltrering på grund av poster i en användares lista över säkra avsändare innehåller rubrikfältet X-Forefront-Antispam-Report värdet SFV:SFE, vilket indikerar att filtrering efter skräppost, förfalskning och nätfiske (inte nätfiske med hög konfidens) har kringgåts.

Anmärkningar:

  • I Exchange Online beror om poster i listan Betrodda avsändare fungerar eller inte fungerar på domen och åtgärden i principen som identifierade meddelandet:
    • Flytta meddelanden till mappen Skräppost Email: Domänposter och e-postadressposter för avsändare respekteras. Meddelanden från dessa avsändare flyttas inte till mappen Skräppost Email.
    • Karantän: Domänposter respekteras inte (meddelanden från dessa avsändare sätts i karantän). Email adressposter respekteras (meddelanden från dessa avsändare sätts inte i karantän) om något av följande påståenden är sant:
      • Meddelandet identifieras inte som skadlig kod eller nätfiske med hög konfidens (skadlig kod och nätfiskemeddelanden med hög konfidens sätts i karantän).
      • E-postadressen finns inte heller i en blockpost i listan Tillåt/blockera klientorganisation.
  • Poster för blockerade avsändare och blockerade domäner respekteras (meddelanden från dessa avsändare flyttas till mappen Skräppost Email). Inställningar för säker e-postlista ignoreras.

Använd listan över tillåtna IP-adresser

Försiktighet

Utan ytterligare verifiering som e-postflödesregler hoppar e-post från källor i listan över tillåtna IP-adresser över filtrering av skräppost och avsändarautentisering (SPF, DKIM, DMARC). Det här resultatet skapar en hög risk för att angripare lyckas leverera e-post till inkorgen som annars skulle filtreras. Men om ett meddelande från en post i listan över tillåtna IP-adresser bedöms vara skadlig kod eller nätfiske med hög konfidens filtreras meddelandet.

Det näst bästa alternativet är att lägga till källans e-postserver eller servrar i listan över tillåtna IP-adresser i principen för anslutningsfilter. Mer information finns i Konfigurera anslutningsfiltrering i EOP.

Anmärkningar:

  • Det är viktigt att du håller antalet tillåtna IP-adresser till ett minimum, så undvik att använda hela IP-adressintervall när det är möjligt.
  • Använd inte IP-adressintervall som tillhör konsumenttjänster (till exempel outlook.com) eller delade infrastrukturer.
  • Granska regelbundet posterna i listan över tillåtna IP-adresser och ta bort de poster som du inte längre behöver.

Använda tillåtna avsändarlistor eller tillåtna domänlistor

Försiktighet

Den här metoden skapar en hög risk för att angripare lyckas leverera e-post till inkorgen som annars skulle filtreras. Men om ett meddelande från en post i listan över tillåtna avsändare eller tillåtna domäner bedöms vara skadlig kod eller nätfiske med hög konfidens filtreras meddelandet.

Använd inte populära domäner (till exempel microsoft.com) i tillåtna domänlistor.

Det minst önskvärda alternativet är att använda tillåtna avsändarlistor eller tillåtna domänlistor i principer för skräppostskydd. Du bör undvika det här alternativet om det alls är möjligt eftersom avsändare kringgår all skräppost, förfalskning, nätfiskeskydd (förutom nätfiske med hög konfidens) och avsändarautentisering (SPF, DKIM, DMARC). Den här metoden används bäst endast för tillfällig testning. De detaljerade stegen finns i Avsnittet Konfigurera principer för skräppostskydd i EOP .

Den maximala gränsen för dessa listor är cirka 1 000 poster. Även om du bara kan ange 30 poster i portalen. Du måste använda PowerShell för att lägga till fler än 30 poster.

Obs!

Från och med september 2022, om en tillåten avsändare, domän eller underdomän finns i en godkänd domän i din organisation, måste avsändaren, domänen eller underdomänen godkänna e-postautentiseringskontroller för att hoppa över filtrering av skräppostskydd.

Överväganden för massutskick

Ett standard-SMTP-e-postmeddelande består av ett meddelandekuvert och meddelandeinnehåll. Meddelandekuvertet innehåller information som krävs för att överföra och leverera meddelandet mellan SMTP-servrar. Meddelandeinnehållet innehåller meddelandehuvudfält (kallas gemensamt för meddelanderubriken) och meddelandetexten. Meddelandekuvertet beskrivs i RFC 5321 och meddelandehuvudet beskrivs i RFC 5322. Mottagarna ser aldrig det faktiska meddelandekuvertet eftersom det genereras av meddelandeöverföringsprocessen, och det är faktiskt inte en del av meddelandet.

  • Adressen 5321.MailFrom (kallas även MAIL FROM-adress , P1-avsändare eller kuvertsändare) är den e-postadress som används i SMTP-överföringen av meddelandet. Den här e-postadressen registreras vanligtvis i fältet Retursökvägsrubrik i meddelandehuvudet (även om det är möjligt för avsändaren att ange en annan e-postadress för returväg ). Om meddelandet inte kan levereras är det mottagaren för rapporten om utebliven leverans (kallas även NDR eller studsmeddelande).
  • Adressen 5322.From (kallas även Från-adress eller P2-avsändare) är e-postadressen i fältet Från-huvud och är avsändarens e-postadress som visas i e-postklienter.

Ofta är adresserna 5321.MailFrom och 5322.From samma (person-till-person-kommunikation). Men när e-post skickas för någon annans räkning kan adresserna vara olika. Detta sker oftast för massutskick av e-postmeddelanden.

Anta till exempel att Blue Yonder Airlines har anlitat Margie's Travel för att skicka reklammeddelanden via e-post. Meddelandet du får i inkorgen har följande egenskaper:

  • Adressen 5321.MailFrom är blueyonder.airlines@margiestravel.com.
  • Adressen 5322.From är blueyonder@news.blueyonderairlines.com, vilket är vad du ser i Outlook.

Säkra avsändarlistor och säkra domänlistor i principer för skräppostskydd i EOP kontrollerar endast adresserna 5322.From . Det här beteendet liknar säkra Outlook-avsändare som använder 5322.From adressen.

Om du vill förhindra att det här meddelandet filtreras kan du utföra följande steg:

  • Lägg till blueyonder@news.blueyonderairlines.com ( 5322.From adressen) som en säker Avsändare i Outlook.
  • Använd en e-postflödesregel med ett villkor som söker efter meddelanden från blueyonder@news.blueyonderairlines.com ( 5322.From adressen), blueyonder.airlines@margiestravel.com ( 5321.MailFrom adressen) eller båda.