Lijsten met geblokkeerde afzenders maken in EOP

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection (EOP)-organisaties zonder Exchange Online postvakken, biedt EOP meerdere manieren om e-mail van ongewenste afzenders te blokkeren. Gezamenlijk kunt u deze opties beschouwen als lijsten met geblokkeerde afzenders.

De beschikbare lijsten met geblokkeerde afzenders worden in de volgende lijst beschreven in volgorde van meest aanbevolen tot minst aanbevolen:

  1. Blokkeer vermeldingen voor domeinen en e-mailadressen (inclusief vervalste afzenders) in de lijst Tenant toestaan/blokkeren.
  2. Geblokkeerde afzenders in Outlook (de lijst met geblokkeerde afzenders die in elk postvak is opgeslagen).
  3. Lijsten met geblokkeerde afzenders of geblokkeerde domeinlijsten (antispambeleid).
  4. E-mailstroomregels (ook wel transportregels genoemd).
  5. De IP-blokkeringslijst (verbindingsfiltering).

De rest van dit artikel bevat specifieke informatie over elke methode.

Opmerking

Verzend berichten in uw lijsten met geblokkeerde afzenders altijd naar Microsoft voor analyse. Zie Twijfelachtige e-mail rapporteren aan Microsoft voor instructies. Als wordt vastgesteld dat de berichten of berichtbronnen schadelijk zijn, kan Microsoft de berichten automatisch blokkeren en hoeft u de vermelding niet handmatig bij te houden in lijsten met geblokkeerde afzenders.

In plaats van e-mail te blokkeren, hebt u ook verschillende opties om e-mail van specifieke bronnen toe te staan met behulp van lijsten met veilige afzenders. Zie Lijsten met veilige afzenders maken voor meer informatie.

Basisbeginselen van Email bericht

Een standaard SMTP-e-mailbericht bestaat uit een berichtenvelop en berichtinhoud. De berichtenvelop bevat informatie die vereist is voor het verzenden en afleveren van het bericht tussen SMTP-servers. De berichtinhoud bevat berichtkopvelden (gezamenlijk de berichtkop genoemd) en de berichttekst. De berichtenvelop wordt beschreven in RFC 5321 en de berichtkop wordt beschreven in RFC 5322. Geadresseerden zien nooit de werkelijke berichtenvelop omdat deze wordt gegenereerd door het verzendproces van het bericht en deze geen deel uitmaakt van het bericht.

  • Het 5321.MailFrom adres (ook wel het MAIL FROM-adres , P1-afzender of envelopafzender genoemd) is het e-mailadres dat wordt gebruikt bij de SMTP-verzending van het bericht. Dit e-mailadres wordt doorgaans vastgelegd in het veld Retourpad-koptekst in de berichtkop (hoewel het mogelijk is dat de afzender een ander e-mailadres retourpad aanwijst). Als het bericht niet kan worden bezorgd, is het de ontvanger van het rapport over niet-bezorging (ook wel een NDR of niet-bezorgdbericht genoemd).

  • Het 5322.From adres (ook wel het Van-adres of P2-afzender genoemd) is het e-mailadres in het veld Van-koptekst en is het e-mailadres van de afzender dat wordt weergegeven in e-mailclients.

Vaak zijn de 5321.MailFrom adressen en 5322.From hetzelfde (communicatie tussen personen). Wanneer e-mail echter namens iemand anders wordt verzonden, kunnen de adressen verschillen.

Lijsten met geblokkeerde afzenders en geblokkeerde domeinlijsten in antispambeleid in EOP controleren alleen de 5322.From adressen. Dit gedrag is vergelijkbaar met geblokkeerde afzenders in Outlook die het 5322.From adres gebruiken.

Blokvermeldingen gebruiken in de lijst Tenant toestaan/blokkeren

De belangrijkste aanbevolen optie voor het blokkeren van e-mail van specifieke afzenders of domeinen is de lijst Tenant toestaan/blokkeren. Zie Blokvermeldingen voor domeinen en e-mailadressen maken enBlokvermeldingen maken voor vervalste afzenders voor instructies.

Email berichten van deze afzenders worden gemarkeerd als spam met hoge betrouwbaarheid (SCL = 9). Wat er met de berichten gebeurt, wordt bepaald door het antispambeleid dat het bericht voor de geadresseerde heeft gedetecteerd. In het standaard antispambeleid en het nieuwe aangepaste beleid worden berichten die zijn gemarkeerd als spam met hoge betrouwbaarheid standaard bezorgd in de map Ongewenste Email. In standaard- en strikt vooraf ingesteld beveiligingsbeleid worden spamberichten met hoge betrouwbaarheid in quarantaine geplaatst.

Een extra voordeel is dat gebruikers in de organisatie geen e-mail kunnen verzenden naar deze geblokkeerde domeinen en adressen. Ze ontvangen het volgende rapport over niet-bezorging (ook wel een NDR of niet-bezorgdbericht genoemd): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Het hele bericht wordt geblokkeerd voor alle interne en externe geadresseerden van het bericht, zelfs als er slechts één e-mailadres of domein van de geadresseerde is gedefinieerd in een blokvermelding.

Alleen als u de tenantlijst toestaan/blokkeren om een of andere reden niet kunt gebruiken, kunt u overwegen een andere methode te gebruiken om afzenders te blokkeren.

Geblokkeerde afzenders in Outlook gebruiken

Wanneer slechts een klein aantal gebruikers ongewenste e-mail heeft ontvangen, kunnen gebruikers of beheerders de e-mailadressen van de afzender toevoegen aan de lijst Geblokkeerde afzenders in het postvak. Zie Instellingen voor ongewenste e-mail configureren voor Exchange Online postvakken voor instructies.

Wanneer berichten zijn geblokkeerd vanwege de lijst geblokkeerde afzenders van een gebruiker, bevat het veld X-Forefront-Antispam-Report-header de waarde SFV:BLK.

Opmerking

Als de ongewenste berichten nieuwsbrieven zijn van een betrouwbare en herkenbare bron, is het afmelden van de e-mail een andere optie om te voorkomen dat de gebruiker de berichten ontvangt.

Lijsten met geblokkeerde afzenders of geblokkeerde domeinlijsten gebruiken

Wanneer meerdere gebruikers worden beïnvloed, is het bereik breder, dus de volgende beste optie zijn geblokkeerde afzenderlijsten of geblokkeerde domeinlijsten in antispambeleid. Berichten van afzenders in de lijsten worden gemarkeerd als Spam met hoge betrouwbaarheid en de actie die u hebt geconfigureerd voor het filter met hoge betrouwbaarheid , wordt uitgevoerd op de berichten. Zie Antispambeleid configureren voor meer informatie.

De maximumlimiet voor deze lijsten is ongeveer 1000 vermeldingen.

E-mailstroomregels gebruiken

E-mailstroomregels kunnen ook zoeken naar trefwoorden of andere eigenschappen in de ongewenste berichten.

Ongeacht de voorwaarden of uitzonderingen die u gebruikt om de berichten te identificeren, configureert u de actie om het spamvertrouwensniveau (SCL) van het bericht in te stellen op 9, waardoor het bericht wordt gemarkeerd als spam met hoge betrouwbaarheid. Zie E-mailstroomregels gebruiken om de SCL in berichten in te stellen voor meer informatie.

Belangrijk

Het is eenvoudig om regels te maken die te agressief zijn, dus het is belangrijk dat u alleen de berichten identificeert die u wilt blokkeren met behulp van zeer specifieke criteria. Zorg er ook voor dat u het gebruik van de regel bewaakt om ervoor te zorgen dat alles werkt zoals verwacht.

De IP-blokkeringslijst gebruiken

Wanneer het niet mogelijk is om een van de andere opties te gebruiken om een afzender te blokkeren, moet u alleen de IP-blokkeringslijst gebruiken in het verbindingsfilterbeleid. Zie Het verbindingsfilterbeleid configureren voor meer informatie. Het is belangrijk om het aantal geblokkeerde IP-adressen tot een minimum te beperken, zodat het blokkeren van volledige IP-adresbereiken niet wordt aanbevolen.

Vermijd met name het toevoegen van IP-adresbereiken die deel uitmaken van consumentenservices (bijvoorbeeld outlook.com) of gedeelde infrastructuren, en zorg er ook voor dat u de lijst met geblokkeerde IP-adressen bekijkt als onderdeel van regelmatig onderhoud.