Opprett klarerte avsenderlister i EOP

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Hvis du er En Microsoft 365-kunde med postbokser i Exchange Online eller en frittstående Exchange Online Protection (EOP)-kunde uten Exchange Online postbokser, tilbyr EOP flere måter å sikre at brukere mottar e-post fra klarerte avsendere på. Samlet sett kan du tenke på disse alternativene som klarerte avsenderlister.

De tilgjengelige listene over klarerte avsendere beskrives i listen nedenfor, i rekkefølge fra de mest anbefalte til minst anbefalte:

1. Tillat oppføringer for domener og e-postadresser (inkludert falske avsendere) i leierens tillatelses-/blokkeringsliste.
2. Regler for e-postflyt (også kjent som transportregler).
3. Klarerte avsendere i Outlook (listen over klarerte avsendere som er lagret i hver postboks som bare påvirker den postboksen).
4. Ip-tillatelsesliste (tilkoblingsfiltrering)
5. Tillatte avsenderlister eller tillatte domenelister (policyer for søppelpost)

Resten av denne artikkelen inneholder detaljer om hver metode.

Viktig

Meldinger som identifiseres som skadelig programvare^* eller phishing med høy visshet, settes alltid i karantene, uavhengig av alternativet for liste over klarerte avsendere du bruker. Hvis du vil ha mer informasjon, kan du se Sikker som standard i Office 365.

^* Filtrering av skadelig programvare hoppes over i SecOps-postbokser som identifiseres i den avanserte leveringspolicyen. Hvis du vil ha mer informasjon, kan du se Konfigurere den avanserte leveringspolicyen for tredjeparts phishing-simuleringer og e-postlevering til SecOps-postbokser.

Pass på at du følger nøye med på eventuelle unntak du gjør for filtrering av søppelpost ved hjelp av lister over klarerte avsendere.

Send alltid meldinger i listen over klarerte avsendere til Microsoft for analyse. Hvis du vil ha instruksjoner, kan du se Rapportere god e-post til Microsoft. Hvis meldingene eller meldingskildene er fastslått å være godartede, kan Microsoft automatisk tillate meldingene, og du trenger ikke å vedlikeholde oppføringen manuelt i listen over klarerte avsendere.

I stedet for å tillate e-post, har du også flere alternativer for å blokkere e-post fra bestemte kilder ved hjelp av blokkerte avsenderlister. Hvis du vil ha mer informasjon, kan du se Opprett blokkere avsenderlister i EOP.

Bruk tillatelsesoppføringer i tillatelses-/blokkeringslisten for leieren

Det anbefalte alternativet for nummer én for å tillate e-post fra avsendere eller domener er leierens tillatelses-/blokkeringsliste. Hvis du vil ha instruksjoner, kan du se Opprett tillate oppføringer for domener og e-postadresser og Opprett tillate oppføringer for falske avsendere.

Bare hvis du av en eller annen grunn ikke kan bruke tillatelses-/blokkeringslisten for leier, bør du vurdere å bruke en annen metode for å tillate avsendere.

Bruk regler for e-postflyt

Obs!

Du kan ikke bruke meldingshoder og regler for e-postflyt til å angi en intern avsender som en sikker avsender. Fremgangsmåtene i denne delen fungerer bare for eksterne avsendere.

Regler for e-postflyt i Exchange Online og frittstående EOP bruker betingelser og unntak for å identifisere meldinger og handlinger for å angi hva som skal gjøres med disse meldingene. Hvis du vil ha mer informasjon, kan du se Regler for e-postflyt (transportregler) i Exchange Online.

Følgende eksempel forutsetter at du trenger e-post fra contoso.com for å hoppe over filtrering av søppelpost. Hvis du vil gjøre dette, konfigurerer du følgende innstillinger:

1. Betingelse: Avsenderdomenet>er> contoso.com.

2. Konfigurer én av følgende innstillinger:

   • Betingelse for e-postflytregel: Meldingshodene>inneholder ett av disse ordene:

     • Topptekstnavn: Authentication-Results
     • Overskriftsverdi: dmarc=pass eller dmarc=bestguesspass (legg til begge verdiene).

     Denne betingelsen kontrollerer statusen for e-postgodkjenning for det sendende e-postdomenet for å sikre at avsenderdomenet ikke blir forfalsket. Hvis du vil ha mer informasjon om e-postgodkjenning, kan du se SPF, DKIM og DMARC.

   • Ip-tillatelsesliste: Angi kilde-IP-adressen eller adresseområdet i policyen for tilkoblingsfilter. Hvis du vil ha instruksjoner, kan du se Konfigurere tilkoblingsfiltrering.

     Bruk denne innstillingen hvis avsenderdomenet ikke bruker e-postgodkjenning. Vær så restriktiv som mulig når det gjelder kilde-IP-adressene i ip-tillatelseslisten. Vi anbefaler et IP-adresseområde på /24 eller mindre (mindre er bedre). Ikke bruk IP-adresseområder som tilhører forbrukertjenester (for eksempel outlook.com) eller delte infrastrukturer.

   Viktig

   • Konfigurer aldri regler for e-postflyt med bare avsenderdomenet som betingelsen for å hoppe over filtrering av søppelpost. Hvis du gjør dette , øker sannsynligheten for at angripere kan forfalske avsenderdomenet (eller representere hele e-postadressen), hoppe over all søppelpostfiltrering og hoppe over godkjenningskontroller for avsender, slik at meldingen kommer til mottakerens innboks.

   • Ikke bruk domener du eier (også kjent som godtatte domener) eller populære domener (for eksempel microsoft.com) som betingelser i regler for e-postflyt. Dette anses som høy risiko fordi det skaper muligheter for angripere å sende e-post som ellers ville blitt filtrert.

   • Hvis du tillater en IP-adresse som er bak en gateway for nettverksadresseoversettelse (NAT), må du kjenne til serverne som er involvert i NAT-utvalget for å vite omfanget av IP-tillatelseslisten. IP-adresser og NAT-deltakere kan endres. Du må kontrollere ip-tillatelseslisteoppføringene med jevne mellomrom som en del av standard vedlikeholdsprosedyrer.

3. Valgfrie betingelser:

   • Avsenderen>er intern/ekstern>Utenfor organisasjonen: Denne betingelsen er implisitt, men det er greit å bruke den til å ta hensyn til lokale e-postservere som kanskje ikke er riktig konfigurert.
   • Emnet eller brødteksten>emne eller brødtekst inneholder noen av disse ordene><nøkkelord>: Hvis du kan begrense meldingene ytterligere etter nøkkelord eller uttrykk i emnelinjen eller meldingsteksten, kan du bruke disse ordene som en betingelse.

4. Handling: Konfigurer begge følgende handlinger i regelen:

   1. Endre meldingsegenskapene>angi konfidensnivået for søppelpost (SCL)>Omgå filtrering av søppelpost.

   2. Endre meldingsegenskapene>angi et meldingshode:

      • Topptekstnavn: Eksempel: X-ETR.
      • Overskriftsverdi: For eksempel, Bypass spam filtering for authenticated sender 'contoso.com'.

      Hvis du har mer enn ett domene i regelen, kan du tilpasse toppteksten etter behov.

Når en melding hopper over søppelpostfiltrering på grunn av en e-postflytregel, stemples verdiverdien SFV:SKN i toppteksten X-Forefront-Antispam-Report . Hvis meldingen er fra en kilde som er på ip-tillatelseslisten, legges også verdien IPV:CAL til. Disse verdiene kan hjelpe deg med feilsøking.

Bruke klarerte avsendere i Outlook

Forsiktig!

Denne metoden oppretter en høy risiko for at angripere leverer e-post til innboksen som ellers ville blitt filtrert. Hvis en melding fra en oppføring i brukerens lister over klarerte avsendere eller klarerte domener imidlertid er fast bestemt på å være skadelig programvare eller phishing med høy visshet, filtreres meldingen.

I stedet for en organisasjonsinnstilling kan brukere eller administratorer legge til avsenderens e-postadresser i listen over klarerte avsendere i postboksen. Hvis du vil ha instruksjoner, kan du se Konfigurere innstillinger for søppelpost på Exchange Online postbokser i Office 365. Oppføringer i listen over klarerte avsendere i postboksen påvirker bare postboksen.

Denne metoden er ikke ønskelig i de fleste situasjoner siden avsendere vil omgå deler av filtreringsstakken. Selv om du stoler på avsenderen, kan avsenderen fortsatt bli kompromittert og sende skadelig innhold. Du bør la filtrene våre kontrollere hver melding og deretter rapportere den falske positive/negative til Microsoft hvis vi fikk det galt. Omgåelse av filtreringsstakken forstyrrer også nulltimers automatisk tømming (ZAP).

Når meldinger hopper over søppelpostfiltrering på grunn av oppføringer i listen over klarerte avsendere for en bruker, vil topptekstfeltet X-Forefront-Antispam-Report inneholde verdien SFV:SFE, som indikerer at filtrering etter søppelpost, forfalskning og phishing (ikke phishing med høy visshet) ble forbigått.

Notater:

• Om oppføringer i listen over klarerte avsendere fungerer eller ikke fungerer, avhenger av dommen og handlingen i policyen som identifiserte meldingen, i Exchange Online:
  • Flytt meldinger til Søppelpost-mappen: Domeneoppføringer og oppføringer for avsenderens e-postadresse overholdes. Meldinger fra disse avsenderne flyttes ikke til Søppelpost-mappen.
  • Karantene: Domeneoppføringer overholdes ikke (meldinger fra disse avsenderne er satt i karantene). Oppføringer for e-postadresser overholdes (meldinger fra disse avsenderne er ikke i karantene) hvis en av følgende utsagn er sanne:
    • Meldingen identifiseres ikke som skadelig programvare eller phishing med høy visshet (skadelig programvare og phishing-meldinger med høy visshet er satt i karantene).
    • E-postadressen er ikke også i en blokkoppføring i tillat-/blokkeringslisten for leieren.
• Oppføringer for blokkerte avsendere og blokkerte domener overholdes (meldinger fra disse avsenderne flyttes til søppelpostmappen). Innstillinger for liste over klarerte e-postmeldinger ignoreres.

Bruk tillatelseslisten for IP

Forsiktig!

Uten ytterligere bekreftelse, for eksempel regler for e-postflyt, hopper e-post fra kilder i ip-tillatelseslisten over søppelpostfiltrering og avsendergodkjenning (SPF, DKIM, DMARC)-kontroller. Dette resultatet skaper en høy risiko for at angripere leverer e-post til innboksen som ellers ville blitt filtrert. Hvis en melding fra en oppføring i listen over tillatte IP-adressene er fastslått å være skadelig programvare eller phishing med høy visshet, filtreres meldingen.

Det nest beste alternativet er å legge til kilde-e-postserveren eller -serverne i ip-tillatelseslisten i policyen for tilkoblingsfilter. Hvis du vil ha mer informasjon, kan du se Konfigurere tilkoblingsfiltrering i EOP.

Notater:

• Det er viktig at du holder antall tillatte IP-adresser til et minimum, så unngå å bruke hele IP-adresseområder når det er mulig.
• Ikke bruk IP-adresseområder som tilhører forbrukertjenester (for eksempel outlook.com) eller delte infrastrukturer.
• Se regelmessig gjennom oppføringene i tillatelseslisten for IP og fjern oppføringene du ikke trenger lenger.

Bruk tillatte avsenderlister eller tillatte domenelister

Forsiktig!

Denne metoden oppretter en høy risiko for at angripere leverer e-post til innboksen som ellers ville blitt filtrert. Men hvis en melding fra en oppføring i listene over tillatte avsendere eller tillatte domener er fast bestemt på å være skadelig programvare eller phishing med høy visshet, filtreres meldingen.

Ikke bruk populære domener (for eksempel microsoft.com) i tillatte domenelister.

Det minst ønskelige alternativet er å bruke listene over tillatte avsendere eller tillatte domenelister i policyer for søppelpost. Du bør unngå dette alternativet hvis det er mulig , fordi avsendere omgår all søppelpost, forfalskning, phishing-beskyttelse (unntatt phishing med høy visshet) og avsendergodkjenning (SPF, DKIM, DMARC). Denne metoden er best egnet for midlertidig testing. Du finner de detaljerte trinnene i Konfigurer policyer for søppelpost i EOP-emnet .

Maksimumsgrensen for disse listene er omtrent 1000 oppføringer. selv om du bare kan skrive inn 30 oppføringer i portalen. Du må bruke PowerShell til å legge til mer enn 30 oppføringer.

Obs!

Fra og med september 2022, hvis en tillatt avsender, et domene eller underdomene er i et godtatt domene i organisasjonen, må denne avsenderen, domenet eller underdomenet bestå godkjenningskontroller for e-post for å kunne hoppe over filtrering av søppelpost.

Viktige faktorer for masseutsendt e-post

En standard SMTP-e-postmelding består av en meldingskonvolutt og meldingsinnhold. Meldingskonvolutten inneholder informasjon som kreves for å overføre og levere meldingen mellom SMTP-servere. Meldingsinnholdet inneholder meldingshodefelt (samlet kalt meldingshodet) og meldingsteksten. Meldingskonvolutten er beskrevet i RFC 5321, og meldingshodet er beskrevet i RFC 5322. Mottakerne ser aldri den faktiske meldingskonvolutten fordi den genereres av overføringsprosessen for meldinger, og den er faktisk ikke en del av meldingen.

• Adressen 5321.MailFrom (også kjent som MAIL FROM-adressen , P1-avsenderen eller konvoluttavsenderen) er e-postadressen som brukes i SMTP-overføringen av meldingen. Denne e-postadressen registreres vanligvis i returbanehodefeltet i meldingshodet (selv om det er mulig for avsenderen å angi en annen e-postadresse for returbane ). Hvis meldingen ikke kan leveres, er det mottakeren for rapporten om manglende levering (også kjent som en NDR- eller returmelding).
• Adressen 5322.From (også kjent som Fra-adressen eller P2-avsenderen) er e-postadressen i Fra-topptekstfeltet, og er avsenderens e-postadresse som vises i e-postklienter.

5321.MailFrom Ofte er og 5322.From adressene de samme (person-til-person-kommunikasjon). Når e-post sendes på vegne av noen andre, kan adressene imidlertid være forskjellige. Dette skjer oftest for massemeldinger i e-postmeldinger.

Anta for eksempel at Blue Yonder Airlines har ansatt Margies Reise for å sende reklame-e-postmeldinger. Meldingen du mottar i innboksen, har følgende egenskaper:

• Adressen 5321.MailFrom er blueyonder.airlines@margiestravel.com.
• Adressen 5322.From er blueyonder@news.blueyonderairlines.com, som er det du ser i Outlook.

Lister over klarerte avsendere og klarerte domenelister i policyer for søppelpost i EOP inspiserer bare 5322.From adressene. Denne virkemåten ligner på klarerte avsendere i Outlook som bruker 5322.From adressen.

Hvis du vil hindre at denne meldingen filtreres, kan du utføre følgende trinn:

• Legg til blueyonder@news.blueyonderairlines.com ( 5322.From adressen) som en klarert avsender i Outlook.
• Bruk en e-postflytregel med en betingelse som ser etter meldinger fra blueyonder@news.blueyonderairlines.com ( 5322.From adressen), blueyonder.airlines@margiestravel.com ( 5321.MailFrom adressen) eller begge deler.