Twórca listy zablokowanych nadawców w ramach EOP

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych usługa EOP oferuje wiele sposobów blokowania wiadomości e-mail od niechcianych nadawców. Łącznie te opcje można traktować jako listy zablokowanych nadawców.

Dostępne listy zablokowanych nadawców są opisane na poniższej liście w kolejności od najbardziej zalecanych do najmniej zalecanych:

1. Blokuj wpisy dla domen i adresów e-mail (w tym sfałszowanych nadawców) na liście dozwolonych/zablokowanych dzierżaw.
2. Zablokowani nadawcy programu Outlook (lista zablokowanych nadawców przechowywana w każdej skrzynce pocztowej).
3. Zablokowane listy nadawców lub zablokowane listy domen (zasady ochrony przed spamem).
4. Reguły przepływu poczty (nazywane również regułami transportu).
5. Lista zablokowanych adresów IP (filtrowanie połączeń).

Pozostała część tego artykułu zawiera szczegółowe informacje o każdej metodzie.

Uwaga

Zawsze przesyłaj komunikaty na listach zablokowanych nadawców do firmy Microsoft w celu analizy. Aby uzyskać instrukcje, zobacz Zgłaszanie wątpliwych wiadomości e-mail do firmy Microsoft. Jeśli komunikaty lub źródła wiadomości zostaną uznane za szkodliwe, firma Microsoft może automatycznie zablokować komunikaty i nie będzie konieczne ręczne utrzymywanie wpisu na zablokowanych listach nadawców.

Zamiast blokować pocztę e-mail, masz również kilka opcji zezwalania na wysyłanie wiadomości e-mail z określonych źródeł przy użyciu list bezpiecznych nadawców. Aby uzyskać więcej informacji, zobacz Twórca listy bezpiecznych nadawców.

Email podstawowe informacje o wiadomościach

Standardowa wiadomość e-mail SMTP składa się z koperty wiadomości i zawartości wiadomości. Koperta wiadomości zawiera informacje wymagane do przesyłania i dostarczania komunikatu między serwerami SMTP. Zawartość wiadomości zawiera pola nagłówka wiadomości (łącznie nazywane nagłówkiem komunikatu) i treść komunikatu. Koperta komunikatu jest opisana w dokumencie RFC 5321, a nagłówek komunikatu jest opisany w dokumencie RFC 5322. Adresaci nigdy nie widzą rzeczywistej koperty wiadomości, ponieważ jest ona generowana przez proces transmisji komunikatów i w rzeczywistości nie jest częścią wiadomości.

• Adres 5321.MailFrom (znany również jako adres MAIL FROM , nadawca P1 lub nadawca koperty) to adres e-mail używany podczas transmisji wiadomości przez protokół SMTP. Ten adres e-mail jest zwykle rejestrowany w polu nagłówek Return-Path w nagłówku wiadomości (chociaż nadawca może wyznaczyć inny adres e-mail ze ścieżką powrotną ). Jeśli nie można dostarczyć wiadomości, jest to adresat raportu o braku dostarczenia (znany również jako komunikat NDR lub bounce).

• Adres 5322.From (znany również jako adres od lub nadawca P2) jest adresem e-mail w polu Od nagłówka i jest adresem e-mail nadawcy wyświetlanym w klientach poczty e-mail.

Często adresy 5321.MailFrom i 5322.From są takie same (komunikacja między osobami). Jednak gdy wiadomość e-mail jest wysyłana w imieniu innej osoby, adresy mogą być inne.

Zablokowane listy nadawców i listy zablokowanych domen w zasadach ochrony przed spamem w ramach EOP sprawdzają tylko 5322.From adresy. To zachowanie jest podobne do zablokowanych nadawców programu Outlook, którzy używają tego 5322.From adresu.

Używanie wpisów blokowych na liście dozwolonych/zablokowanych dzierżaw

Zalecaną opcją numer jeden do blokowania poczty od określonych nadawców lub domen jest lista dozwolonych/zablokowanych dzierżaw. Aby uzyskać instrukcje, zobacz Twórca wpisy blokowe dla domen i adresów e-mail oraz Twórca wpisy blokowe dla sfałszowanych nadawców.

Email wiadomości od tych nadawców są oznaczone jako spam o wysokim poziomie ufności (SCL = 9). To, co dzieje się z wiadomościami, zależy od zasad ochrony przed spamem , które wykryły wiadomość dla adresata. W domyślnych zasadach ochrony przed spamem i nowych zasadach niestandardowych wiadomości oznaczone jako spam o wysokim poziomie ufności są domyślnie dostarczane do folderu Junk Email. W przypadku standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń wiadomości spamowe o wysokim poziomie zaufania są poddawane kwarantannie.

Dodatkowo użytkownicy w organizacji nie mogą wysyłać wiadomości e-mail do zablokowanych domen i adresów. Otrzymają następujący raport o braku dostarczania (znany również jako komunikat NDR lub bounce): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. cała wiadomość jest zablokowana dla wszystkich wewnętrznych i zewnętrznych adresatów wiadomości, nawet jeśli w wpisie bloku zdefiniowano tylko jeden adres e-mail lub domenę adresata.

Tylko wtedy, gdy z jakiegoś powodu nie możesz użyć listy dozwolonych/zablokowanych dzierżaw, rozważ użycie innej metody do blokowania nadawców.

Używanie zablokowanych nadawców programu Outlook

Gdy tylko niewielka liczba użytkowników otrzymała niepożądaną wiadomość e-mail, użytkownicy lub administratorzy mogą dodać adresy e-mail nadawcy do listy zablokowanych nadawców w skrzynce pocztowej. Aby uzyskać instrukcje, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych.

Gdy komunikaty zostaną pomyślnie zablokowane z powodu listy zablokowanych nadawców użytkownika, pole nagłówka X-Forefront-Antispam-Report będzie zawierać wartość SFV:BLK.

Uwaga

Jeśli niechciane wiadomości są biuletynami z renomowanego i rozpoznawalnego źródła, anulowanie subskrypcji wiadomości e-mail jest inną opcją, aby uniemożliwić użytkownikowi odbieranie wiadomości.

Używanie zablokowanych list nadawców lub zablokowanych list domen

Jeśli dotyczy to wielu użytkowników, zakres jest szerszy, więc następną najlepszą opcją jest zablokowanie list nadawców lub zablokowanych list domen w zasadach ochrony przed spamem. Wiadomości od nadawców na listach są oznaczone jako spam o wysokim poziomie ufności, a akcja skonfigurowana pod kątem werdyktu filtru spamu o wysokim poziomie ufności jest podejmowana w przypadku wiadomości. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.

Maksymalny limit dla tych list wynosi około 1000 wpisów.

Używanie reguł przepływu poczty

Reguły przepływu poczty mogą również wyszukiwać słowa kluczowe lub inne właściwości w niechcianych wiadomościach.

Niezależnie od warunków lub wyjątków używanych do identyfikowania komunikatów, należy skonfigurować akcję, aby ustawić poziom ufności spamu (SCL) wiadomości na 9, co oznacza wiadomość jako spam o wysokim poziomie ufności. Aby uzyskać więcej informacji, zobacz Używanie reguł przepływu poczty do ustawiania listy SCL w wiadomościach.

Ważna

Łatwo jest tworzyć reguły, które są zbyt agresywne, dlatego ważne jest, aby zidentyfikować tylko komunikaty, które chcesz zablokować, używając bardzo konkretnych kryteriów. Ponadto należy monitorować użycie reguły , aby upewnić się, że wszystko działa zgodnie z oczekiwaniami.

Korzystanie z listy zablokowanych adresów IP

Jeśli nie można użyć jednej z pozostałych opcji do zablokowania nadawcy, tylko wtedy należy użyć listy zablokowanych adresów IP w zasadach filtru połączeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad filtrowania połączeń. Ważne jest, aby minimalna liczba zablokowanych adresów IP była minimalna, dlatego blokowanie całych zakresów adresów IP nie jest zalecane.

Należy szczególnie unikać dodawania zakresów adresów IP należących do usług konsumenckich (na przykład outlook.com) lub infrastruktur udostępnionych, a także zapewnić przeglądanie listy zablokowanych adresów IP w ramach regularnej konserwacji.