Create blockierter Absenderlisten in EOP

• Gilt für::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online Postfächer bietet EOP mehrere Möglichkeiten, E-Mails von unerwünschten Absendern zu blockieren. Zusammenfassend können Sie sich diese Optionen als blockierte Absenderlisten vorstellen.

Die verfügbaren Listen blockierter Absender werden in der folgenden Liste in der Reihenfolge der am meisten empfohlenen bis zur am wenigsten empfohlenen Liste beschrieben:

1. Blockieren Von Einträgen für Domänen und E-Mail-Adressen (einschließlich gefälschter Absender) in der Zulassungs-/Sperrliste des Mandanten.
2. Blockierte Outlook-Absender (die Liste blockierter Absender, die in jedem Postfach gespeichert ist).
3. Blockierte Absenderlisten oder Blockierte Domänenlisten (Antispamrichtlinien).
4. Nachrichtenflussregeln (auch als Transportregeln bezeichnet).
5. Die IP-Sperrliste (Verbindungsfilterung).

Der Rest dieses Artikels enthält Einzelheiten zu den einzelnen Methoden.

Hinweis

Senden Sie Nachrichten in Ihren Blockierten Absenderlisten immer zur Analyse an Microsoft. Anweisungen finden Sie unter Melden fragwürdiger E-Mails an Microsoft. Wenn die Nachrichten oder Nachrichtenquellen als schädlich eingestuft werden, kann Microsoft die Nachrichten automatisch blockieren, und Sie müssen den Eintrag nicht manuell in den Listen blockierter Absender verwalten.

Anstatt E-Mails zu blockieren, haben Sie auch mehrere Optionen, um E-Mails aus bestimmten Quellen mithilfe von Listen sicherer Absender zuzulassen. Weitere Informationen finden Sie unter Erstellen von Listen sicherer Absender.

Grundlegendes zu Email Nachrichten

Eine standardmäßige SMTP-E-Mail besteht aus einem Nachrichten-Envelope und dem Nachrichteninhalt. Der Nachrichtenumschlag enthält Informationen, die für die Übermittlung und Zustellung der Nachricht zwischen SMTP-Servern erforderlich sind. Der Nachrichteninhalt enthält Nachrichtenkopffelder (zusammenfassend als Nachrichtenkopf bezeichnet) sowie den Nachrichtentext. Der Nachrichtenumschlag wird in RFC 5321 und der Nachrichtenkopf in RFC 5322 beschrieben. Empfänger bekommen den aktuellen Nachrichtenumschlag nicht angezeigt, da er vom Nachrichtenübermittlungsprozess generiert wird und nicht tatsächlicher Bestandteil der Nachricht ist.

• Die 5321.MailFrom-Adresse (auch als E-MAIL VON-Adresse, P1-Absender oder Umschlag-Absender bezeichnet) ist die E-Mail-Adresse, die bei der SMTP-Übertragung der Nachricht verwendet wird. Diese E-Mail-Adresse wird in der Regel im Return-Path-Kopfzeilenfeld im Nachrichtenkopf aufgezeichnet (obwohl es möglich ist, dass der Absender eine andere Return-Path-E-Mail-Adresse angibt). Wenn die Nachricht nicht zugestellt werden kann, ist sie der Empfänger des Unzustellbarkeitsberichts (auch als NDR oder Unzustellbarkeitsnachricht bezeichnet).

• Die 5322.From Adresse (auch als From-Adresse oder P2-Absender bezeichnet) ist die E-Mail-Adresse im Kopfzeilenfeld von Und ist die E-Mail-Adresse des Absenders, die in E-Mail-Clients angezeigt wird.

Häufig sind die 5321.MailFrom Adressen und 5322.From identisch (Person-to-Person-Kommunikation). Wenn jedoch E-Mails im Namen einer anderen Person gesendet werden, können die Adressen unterschiedlich sein.

Blockierte Absenderlisten und Blockierte Domänenlisten in Antispamrichtlinien in EOP überprüfen nur die 5322.From Adressen. Dieses Verhalten ähnelt outlook blockierten Absendern, die die 5322.From Adresse verwenden.

Verwenden von Blockeinträgen in der Zulassungs-/Sperrliste des Mandanten

Unsere empfohlene Option zum Blockieren von E-Mails von bestimmten Absendern oder Domänen ist die Zulassungs-/Sperrliste für Mandanten. Anweisungen finden Sie unter Create Blockieren von Einträgen für Domänen und E-Mail-Adressen und Create Blockieren von Einträgen für gefälschte Absender.

Email Nachrichten von diesen Absendern werden als Spam mit hoher Zuverlässigkeit (SCL = 9) gekennzeichnet. Was mit den Nachrichten geschieht, wird durch die Antispamrichtlinie bestimmt, die die Nachricht für den Empfänger erkannt hat. In der Standardmäßigen Antispamrichtlinie und neuen benutzerdefinierten Richtlinien werden Nachrichten, die als Spam mit hoher Zuverlässigkeit gekennzeichnet sind, standardmäßig an den Junk-Email-Ordner übermittelt. In den voreingestellten Sicherheitsrichtlinien "Standard" und "Strict" werden Spamnachrichten mit hoher Zuverlässigkeit unter Quarantäne gesetzt.

Ein zusätzlicher Vorteil ist, dass Benutzer im organization keine E-Mails an diese blockierten Domänen und Adressen senden können. Sie erhalten den folgenden Nichtzustellbarkeitsbericht (auch als NDR- oder Unzustellbarkeitsnachricht bezeichnet): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Die gesamte Nachricht wird für alle internen und externen Empfänger der Nachricht blockiert, auch wenn nur eine Empfänger-E-Mail-Adresse oder Domäne in einem Blockeintrag definiert ist.

Nur wenn Sie die Mandanten-Zulassungs-/Sperrliste aus irgendeinem Grund nicht verwenden können, sollten Sie eine andere Methode zum Blockieren von Absendern in Betracht ziehen.

Verwenden von blockierten Outlook-Absendern

Wenn nur eine kleine Anzahl von Benutzern unerwünschte E-Mails erhalten hat, können Benutzer oder Administratoren die Absender-E-Mail-Adressen der Liste Blockierte Absender im Postfach hinzufügen. Anweisungen finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Exchange Online Postfächern.

Wenn Nachrichten aufgrund der Liste blockierter Absender eines Benutzers erfolgreich blockiert werden, enthält das X-Forefront-Antispam-Report-Headerfeld den Wert SFV:BLK.

Hinweis

Wenn es sich bei den unerwünschten Nachrichten um Newsletter aus einer seriösen und erkennbaren Quelle handelt, ist die Abmeldung von der E-Mail eine weitere Möglichkeit, den Benutzer am Empfang der Nachrichten zu hindern.

Verwenden von Listen blockierter Absender oder blockierter Domänen

Wenn mehrere Benutzer betroffen sind, ist der Bereich breiter, sodass die nächstbeste Option blockierte Absenderlisten oder Blockierte Domänenlisten in Antispamrichtlinien sind. Nachrichten von Absendern in den Listen sind als Spam mit hoher Zuverlässigkeit gekennzeichnet, und die Aktion, die Sie für die Bewertung des Spamfilters "Hohe Zuverlässigkeit " konfiguriert haben, wird für die Nachrichten ausgeführt. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien.

Der maximale Grenzwert für diese Listen beträgt ungefähr 1.000 Einträge.

Verwenden von Nachrichtenflussregeln

Nachrichtenflussregeln können auch nach Schlüsselwörtern oder anderen Eigenschaften in den unerwünschten Nachrichten suchen.

Unabhängig von den Bedingungen oder Ausnahmen, die Sie zum Identifizieren der Nachrichten verwenden, konfigurieren Sie die Aktion so, dass die Spam-Konfidenzstufe (SCL) der Nachricht auf 9 festgelegt wird, wodurch die Nachricht als Spam mit hoher Zuverlässigkeit gekennzeichnet wird. Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln zum Festlegen der SCL in Nachrichten.

Wichtig

Es ist einfach, Regeln zu erstellen, die zu aggressiv sind. Daher ist es wichtig, dass Sie nur die Nachrichten identifizieren, die Sie blockieren möchten, mit sehr spezifischen Kriterien. Achten Sie außerdem darauf, die Verwendung der Regel zu überwachen , um sicherzustellen, dass alles wie erwartet funktioniert.

Verwenden der IP-Sperrliste

Wenn es nicht möglich ist, eine der anderen Optionen zum Blockieren eines Absenders zu verwenden, sollten Sie nur die IP-Sperrliste in der Verbindungsfilterrichtlinie verwenden. Weitere Informationen finden Sie unter Configure the connection filter policy. Es ist wichtig, die Anzahl der blockierten IP-Adressen auf ein Minimum zu beschränken, daher wird das Blockieren ganzer IP-Adressbereiche nicht empfohlen.

Sie sollten insbesondere das Hinzufügen von IP-Adressbereichen vermeiden, die zu Consumerdiensten (z. B. outlook.com) oder freigegebenen Infrastrukturen gehören, und stellen Sie außerdem sicher, dass Sie die Liste der blockierten IP-Adressen im Rahmen der regelmäßigen Wartung überprüfen.