Erstellen von Listen blockierter Absender in EOP

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Oberfläche bringt Defender für Endpunkt, Defender für Office 365, Microsoft 365 Defender und mehr in das Microsoft 365 Defender Portal. Erfahren Sie, was es Neues gibt.

Gilt für

In Microsoft 365 Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer bietet EOP mehrere Möglichkeiten, E-Mails von unerwünschten Absendern zu blockieren. Zu diesen Optionen gehören Outlook blockierte Absender, Listen blockierter Absender oder blockierte Domänen in Antispamrichtlinien, Exchange Nachrichtenflussregeln (auch als Transportregeln bezeichnet) und die IP-Sperrliste (Verbindungsfilterung). Zusammenfassend können Sie sich diese Optionen als blockierte Absenderlisten vorstellen.

Die beste Methode zum Blockieren von Absendern hängt vom Umfang der Auswirkungen ab. Für einen einzelnen Benutzer kann die richtige Lösung Outlook Blockierte Absender sein. Für viele Benutzer wäre eine der anderen Optionen besser geeignet. Die folgenden Optionen werden nach Auswirkungsbereich und Breite bewertet. Die Liste wird von schmal zu breit, aber lesen Sie die Details für vollständige Empfehlungen.

  1. Outlook Blockierte Absender (die Liste blockierter Absender, die in jedem Postfach gespeichert ist)

  2. Listen blockierter Absender oder blockierte Domänenlisten (Antispamrichtlinien)

  3. Nachrichtenflussregeln

  4. Die IP-Sperrliste (Verbindungsfilterung)

Hinweis

Sie können zwar organisationsweite Blockeinstellungen verwenden, um falsch negative Ergebnisse (verpasste Spamnachrichten) zu beheben, sie sollten diese Nachrichten aber auch zur Analyse an Microsoft übermitteln. Das Verwalten falsch negativer Ergebnisse mithilfe von Blocklisten erhöht den Verwaltungsaufwand erheblich. Wenn Sie Blocklisten verwenden, um verpasste Spamnachrichten abzulenken, müssen Sie das Thema "Nachrichten und Dateien an Microsoft melden" bereit halten.

Im Gegensatz dazu haben Sie auch mehrere Optionen, um E-Mails aus bestimmten Quellen immer mithilfe von Listen sicherer Absender zuzulassen. Weitere Informationen finden Sie unter Erstellen von Listen sicherer Absender.

Grundlagen zu E-Mail-Nachrichten

Eine standardmäßige SMTP-E-Mail besteht aus einem Nachrichten-Envelope und dem Nachrichteninhalt. Der Nachrichtenumschlag enthält Informationen, die zum Übertragen und Übermitteln der Nachricht zwischen SMTP-Servern erforderlich sind. Der Nachrichteninhalt enthält Nachrichtenkopffelder (zusammenfassend als Nachrichtenkopf bezeichnet) sowie den Nachrichtentext. Der Nachrichtenumschlag wird in RFC 5321 und der Nachrichtenkopf in RFC 5322 beschrieben. Empfänger sehen den tatsächlichen Nachrichtenumschlag nie, da er vom Nachrichtenübertragungsprozess generiert wird und nicht tatsächlich Teil der Nachricht ist.

  • Die 5321.MailFrom Adresse (auch als MAIL FROM-Adresse, P1-Absender oder Umschlagssender bezeichnet) ist die E-Mail-Adresse, die bei der SMTP-Übertragung der Nachricht verwendet wird. Diese E-Mail-Adresse wird in der Regel im Kopfzeilenfeld "Rückgabepfad" im Nachrichtenkopf aufgezeichnet (obwohl es möglich ist, dass der Absender eine andere E-Mail-Adresse für den Rückgabepfad angibt). Wenn die Nachricht nicht zugestellt werden kann, ist sie der Empfänger für den Unzustellbarkeitsbericht (auch als Unzustellbarkeitsbericht oder Unzustellbarkeitsnachricht bezeichnet).

  • The 5322.From (also known as the From address or P2 sender) is the email address in the From header field, and is the sender's email address that's displayed in email clients.

Häufig sind die 5321.MailFrom 5322.From Adressen identisch (Persönliche Kommunikation). Wenn E-Mails jedoch im Auftrag einer anderen Person gesendet werden, können die Adressen unterschiedlich sein.

Listen blockierter Absender und blockierte Domänenlisten in Antispamrichtlinien in EOP überprüfen sowohl die Adressen als auch die 5321.MailFrom 5322.From Adressen. Outlook Blockierte Absender verwenden nur die 5322.From Adresse.

Verwenden Outlook blockierter Absender

Wenn nur eine kleine Anzahl von Benutzern unerwünschte E-Mails erhalten hat, können Benutzer oder Administratoren die E-Mail-Adressen des Absenders der Liste blockierter Absender im Postfach hinzufügen. Anweisungen finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Exchange Online Postfächer.

Wenn Nachrichten aufgrund der Liste blockierter Absender eines Benutzers erfolgreich blockiert werden, enthält das Kopfzeilenfeld "X-Forefront-Antispam-Report" den SFV:BLK Wert.

Hinweis

Wenn es sich bei den unerwünschten Nachrichten um Newsletter aus einer seriösen und erkennbaren Quelle handelt, ist das Abmelden von der E-Mail eine weitere Option, um zu verhindern, dass der Benutzer die Nachrichten empfängt.

Verwenden blockierter Absenderlisten oder blockierter Domänenlisten

Wenn mehrere Benutzer betroffen sind, ist der Bereich breiter, sodass die nächste beste Option blockierte Absenderlisten oder blockierte Domänenlisten in Antispamrichtlinien sind. Nachrichten von Absendern in den Listen werden als Spam mit hoher Spamwahrscheinlichkeit gekennzeichnet, und die Aktion, die Sie für die Bewertung des Spamfilters mit hoher Spamwahrscheinlichkeit konfiguriert haben, wird für die Nachricht ausgeführt. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien.

Die maximale Beschränkung für diese Listen beträgt ca. 1000 Einträge.

Verwenden von Nachrichtenflussregeln

Wenn Sie Nachrichten blockieren müssen, die an bestimmte Benutzer oder die gesamte Organisation gesendet werden, können Sie Nachrichtenflussregeln verwenden. Nachrichtenflussregeln sind flexibler als Listen blockierter Absender oder blockierter Absenderdomänen, da sie auch nach Schlüsselwörtern oder anderen Eigenschaften in den unerwünschten Nachrichten suchen können.

Unabhängig von den Bedingungen oder Ausnahmen, die Sie verwenden, um die Nachrichten zu identifizieren, konfigurieren Sie die Aktion so, dass die Spamzustimmungsstufe (Spam Confidence Level, SCL) der Nachricht auf 9 festgelegt wird, wodurch die Nachricht als Spam mit hoher Spamwahrscheinlichkeit markiert wird. Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln, um die SCL in Nachrichten festzulegen.

Wichtig

Es ist einfach, Regeln zu erstellen, die übermäßig aggressiv sind. Daher ist es wichtig, dass Sie nur die Nachrichten identifizieren, die Sie mithilfe sehr spezifischer Kriterien blockieren möchten. Achten Sie außerdem darauf, die Überwachung für die Regel zu aktivieren und die Ergebnisse der Regel zu testen, um sicherzustellen, dass alles wie erwartet funktioniert.

Verwenden der IP-Sperrliste

Wenn es nicht möglich ist, eine der anderen Optionen zum Blockieren eines Absenders zu verwenden, sollten Sie nur dann die IP-Sperrliste in der Verbindungsfilterrichtlinie verwenden. Weitere Informationen finden Sie unter Configure the connection filter policy. Es ist wichtig, die Anzahl der blockierten IPs auf ein Minimum zu beschränken, daher wird das Blockieren ganzer IP-Adressbereiche nicht empfohlen.

Sie sollten insbesondere vermeiden, IP-Adressbereiche hinzuzufügen, die zu Verbraucherdiensten (z. B. outlook.com) oder freigegebenen Infrastrukturen gehören, und außerdem sicherstellen, dass Sie die Liste der blockierten IP-Adressen im Rahmen der regelmäßigen Wartung überprüfen.