Skydd mot skräppost i EOP

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Obs!

Det här avsnittet är avsett för administratörer. Information om slutanvändarämnen finns i Översikt över skräppostfilter Email ochLäs mer om skräppost och nätfiske.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor skyddas e-postmeddelanden automatiskt mot skräppost (skräppost) av EOP.

För att minska skräpposten innehåller EOP skydd mot skräppost som använder patentskyddad skräppostfiltrering (även kallat innehållsfiltrering) för att identifiera och separera skräppost från legitim e-post. EOP-skräppostfiltrering lär sig av kända hot mot skräppost och nätfiske och användarfeedback från vår konsumentplattform Outlook.com. Löpande feedback från administratörer och användare hjälper till att säkerställa att EOP-teknikerna kontinuerligt tränas och förbättras.

EOP använder följande utlåtanden för skräppostfiltrering för att klassificera meddelanden:

• Skräppost: Meddelandet fick en SCL (Spam-Confidence Level) på 5 eller 6.
• Skräppost med hög konfidens: Meddelandet fick en SCL på 7, 8 eller 9.
• Nätfiske
• Nätfiske med hög konfidens: Som en del av säker som standard sätts alltid meddelanden som identifieras som nätfiske med hög konfidens i karantän och användarna kan inte släppa sina egna nätfiskemeddelanden med hög konfidens i karantän, oavsett tillgängliga inställningar som administratörer konfigurerar.
• Mass: Meddelandekällan uppfyllde eller överskred den konfigurerade massklagomålsnivån (BCL). Tröskel.

Mer information om skydd mot skräppost finns i Vanliga frågor och svar om skydd mot skräppost

I standardprincipen för skräppostskydd och anpassade principer för skräppostskydd kan du konfigurera de åtgärder som ska utföras baserat på dessa domar. I standard- och strikt förinställda säkerhetsprinciper är åtgärderna redan konfigurerade och oförändrade enligt beskrivningen i inställningarna för EOP-principer för skräppostskydd.

Information om hur du konfigurerar standardprincipen för skräppostskydd och för att skapa, ändra och ta bort anpassade principer för skräppostskydd finns i Konfigurera principer för skräppostskydd i Microsoft 365.

Tips

Om du inte håller med om utfallet för skräppostfiltrering kan du rapportera meddelandet till Microsoft som en falsk positiv (bra e-post markerad som dålig) eller en falsk negativ (dålig e-post tillåts). Mer information finns i:

• Hur gör jag för att rapportera ett misstänkt e-postmeddelande eller en fil till Microsoft?.
• Så här hanterar du legitima e-postmeddelanden som blockeras (falsk positiv identifiering) med hjälp av Microsoft Defender för Office 365
• Hantera skadliga e-postmeddelanden som levereras till mottagare (falska negativa identifieringar) med hjälp av Microsoft Defender för Office 365

Meddelandehuvudena för skräppostskydd kan berätta varför ett meddelande har markerats som skräppost eller varför det hoppade över skräppostfiltreringen. Mer information finns i Meddelandehuvuden för skräppostskydd.

Du kan inte helt inaktivera skräppostfiltrering i Microsoft 365, men du kan använda Exchange-e-postflödesregler (även kallade transportregler) för att kringgå de flesta skräppostfiltreringar på inkommande meddelanden (till exempel om du dirigerar e-post via en skyddstjänst eller enhet från tredje part före leverans till Microsoft 365). Mer information finns i Använda e-postflödesregler för att ange konfidensnivå för skräppost (SCL) i meddelanden.

• Nätfiskemeddelanden med hög konfidens filtreras fortfarande. Andra funktioner i EOP påverkas inte (till exempel genomsöks meddelanden alltid efter skadlig kod).
• Om du behöver kringgå skräppostfiltrering för SecOps-postlådor eller nätfiskesimuleringar ska du inte använda e-postflödesregler. Mer information finns i Konfigurera leverans av nätfiskesimuleringar från tredje part till användare och ofiltrerade meddelanden till SecOps-postlådor.

I hybridmiljöer där EOP skyddar lokala Exchange-postlådor måste du konfigurera två e-postflödesregler (även kallade transportregler) i din lokala Exchange-organisation för att identifiera EOP-skräpposthuvudena som läggs till i meddelanden. Mer information finns i Konfigurera EOP för att leverera skräppost till mappen Skräppost i hybridmiljöer.

Principer för skräppostskydd

Principer för skräppostskydd styr de konfigurerbara inställningarna för skräppostfiltrering. De viktiga inställningarna i principer för skräppostskydd beskrivs i följande underavsnitt.

Tips

Om du vill se inställningarna för principer för skräppostskydd i standardprincipen, standardprincipen för förinställd säkerhet och den strikta förinställda säkerhetsprincipen kan du läsa inställningarna för EOP-principer för skräppostskydd.

Mottagarfilter i principer för skräppostskydd

Mottagarfilter använder villkor och undantag för att identifiera de interna mottagare som principen gäller för. Minst ett villkor krävs i anpassade principer. Villkor och undantag är inte tillgängliga i standardprincipen (standardprincipen gäller för alla mottagare). Du kan använda följande mottagarfilter för villkor och undantag:

• Användare: En eller flera postlådor, e-postanvändare eller e-postkontakter i organisationen.
• Grupper:
  • Medlemmar i de angivna distributionsgrupperna eller e-postaktiverade säkerhetsgrupperna (dynamiska distributionsgrupper stöds inte).
  • Den angivna Microsoft 365-grupper.
• Domäner: En eller flera av de konfigurerade godkända domänerna i Microsoft 365. Mottagarens primära e-postadress finns i den angivna domänen.

Du kan bara använda ett villkor eller undantag en gång, men villkoret eller undantaget kan innehålla flera värden:

• Flera värden för samma villkor eller undantag använder OR-logik (till exempel <mottagare1> eller <mottagare2>):

  • Villkor: Om mottagaren matchar något av de angivna värdena tillämpas principen på dem.
  • Undantag: Om mottagaren matchar något av de angivna värdena tillämpas inte principen på dem.

• Olika typer av undantag använder OR-logik (till exempel <mottagare1> eller <medlem i grupp1> eller <medlem i domän1>). Om mottagaren matchar något av de angivna undantagsvärdena tillämpas inte principen på dem.

• Olika typer av villkor använder AND-logik. Mottagaren måste matcha alla angivna villkor för att principen ska gälla för dem. Du kan till exempel konfigurera ett villkor med följande värden:

  • Användare: romain@contoso.com
  • Grupper: Chefer

  Principen tillämpas romain@contoso.comendast på om han också är medlem i gruppen Chefer. Annars tillämpas inte policyn på honom.

Tröskelvärde för massklagomål (BCL) i principer för skräppostskydd

EOP tilldelar ett BCL-värde (bulk complaint level) till inkommande meddelanden från massavsändare. Meddelanden från massavsändare kallas även massutskick eller grå e-post.

Mer information om BCL finns i Massklagomålsnivå (BCL) i EOP.

Tips

Som standard är On Endast PowerShell-inställningen MarkAsSpamBulkMail i principer för skräppostskydd i Exchange Online PowerShell. Den här inställningen påverkar dramatiskt resultatet av att en BCL (Bulk compliant level) uppfyller eller överskrider filtreringsutfallet:

• MarkAsSpamBulkMail är På: En BCL som är större än eller lika med tröskelvärdet konverteras till en SCL 6 som motsvarar en filtreringsutfall av skräppost, och åtgärden för den masskompatibla nivån (BCL) uppfyller eller överskrider filtreringsutfallet tas på meddelandet.
• MarkAsSpamBulkMail är Av: Meddelandet är stämplat med BCL,men ingen åtgärd vidtas för en BCL (Bulk compliant level) met or exceeded filtering verdict (Masskompatibel nivå( BCL) met or exceeded filtering verdict (Filtreringsutfall). I själva verket är BCL-tröskelvärdet och BCL-nivån (Bulk compliant level) uppfylld eller överskred filtreringsåtgärden irrelevant.

Egenskaper för skräppost i principer för skräppostskydd

Testlägesinställningarna, inställningarna För att öka skräppostpoängen och de flesta inställningarna för Markera som skräppost ingår i Avancerad skräppostfiltrering (ASF) i principer för skräppostskydd.

De här inställningarna konfigureras inte som standard i standardprincipen för skräppostskydd, eller i standard- eller strikt förinställda säkerhetsprinciper.

Fullständig information om ASF-inställningar finns i Inställningar för avancerat skräppostfilter (ASF) i EOP.

De andra inställningarna som är tillgängliga i den här kategorin är:

• Innehåller specifika språk: Meddelanden på de angivna språken identifieras automatiskt som skräppost.
• Från dessa länder*: Meddelanden från de angivna länderna identifieras automatiskt som skräppost.

De här inställningarna konfigureras inte som standard i standardprincipen för skräppostskydd, eller i standard- eller strikt förinställda säkerhetsprinciper.

Åtgärder i principer för skräppostskydd

• I anpassade principer för skräppostskydd och standardprincipen för skräppostskydd beskrivs tillgängliga åtgärder för bedömning av skräppostfiltrering i följande tabell.

  • En bockmarkering ( ✔ ) anger att åtgärden är tillgänglig (alla åtgärder är inte tillgängliga för alla domar).
  • En asterisk ( ^* ) efter bockmarkeringen anger standardåtgärden för utfallet av skräppostfiltreringen.

  Åtgärd	Skräppost	Högsta konfidens skräppost	Fiske	Högsta konfidens fiske	Massutskick
  Flytta meddelandet till mappen Skräppost Email: Meddelandet levereras till postlådan och flyttas till mappen Junk Email.format	✔*	✔*	✔	²	✔*
  Lägg till X-rubrik: Lägger till ett X-huvud i meddelandehuvudet och levererar meddelandet till postlådan. Du anger namnet på X-header-fältet (inte värdet) i den tillgängliga textrutan Lägg till den här X-rubriken . För skräppostbedömningar med hög konfidens flyttas meddelandet till mappen Junk Email.² ²	✔	✔	✔		✔
  Lägg till text i ämnesraden: Lägger till text i början av meddelandets ämnesrad. Meddelandet levereras till postlådan och flyttas till mappen Skräppost.³ ² Du anger texten i den tillgängliga prefixämnesraden med den här textrutan .	✔	✔	✔		✔
  Omdirigera meddelandet till e-postadressen: Skickar meddelandet till andra mottagare istället för till avsedda mottagare. Du anger mottagarna i rutan Omdirigera till den här e-postadressen .	✔	✔	✔	✔	✔
  Ta bort meddelande: Hela meddelandet tas tyst bort, inklusive alla bifogade filer.	✔	✔	✔		✔
  Sätt meddelandet i karantän: Skickar meddelandet till karantän istället för till avsedda mottagare. Du väljer eller använder standardprincipen för karantän för utfallet för skräppostfiltrering i rutan Välj karantänprincip som visas.⁴ Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Anatomi för en karantänprincip. Du anger hur länge meddelandena ska lagras i karantän i rutan Behåll skräppost i karantän under så här många dagar .	✔	✔	✔*	✔* ⁵	✔
  Ingen åtgärd					✔

  ² EOP använder sin egen e-postflödesleveransagent för att dirigera meddelanden till mappen Junk Email i stället för att använda regeln för skräppost i postlådan. Parametern Enabled i cmdleten Set-MailboxJunkEmailConfiguration i Exchange Online PowerShell påverkar e-postflödet i molnpostlådor. Mer information finns i Konfigurera inställningar för skräppost i Exchange Online-postlådor.

  ² För nätfiske med hög konfidens är åtgärden Flytta meddelande till skräppost Email mapp i praktiken inaktuell. Även om du kanske kan välja åtgärden Flytta meddelande till skräppost Email mapp, placeras nätfiskemeddelanden med hög konfidens alltid i karantän (vilket motsvarar att välja Karantänmeddelande).

  ³ Du kan använda det här värdet som ett villkor i e-postflödesregler för att filtrera eller dirigera meddelandet.

  ⁴ Om utfallet för skräppostfiltrering placerar meddelanden i karantän som standard (Karantänmeddelande har redan valts när du kommer till sidan) visas standardprincipnamnet för karantän i rutan Välj karantänprincip . Om du ändrar åtgärden för en utfall av skräppostfiltrering till Karantänmeddelande är rutan Välj karantänprincip tom som standard. Ett tomt värde innebär att standardprincipen för karantän för den domen används. När du senare visar eller redigerar principinställningarna för skräppostskydd visas namnet på karantänprincipen. Mer information om karantänprinciperna som används som standard för utvärderingar av skräppostfilter finns i Principinställningar för EOP-skydd mot skräppost.

  ⁵ Användare kan inte släppa sina egna meddelanden som satts i karantän som nätfiske med hög konfidens, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att deras nätfiskemeddelanden med hög konfidens i karantän släpps.

• Intra-Organisatoriska meddelanden att vidta åtgärder på: Styr om skräppostfiltrering och motsvarande bedömningsåtgärder tillämpas på interna meddelanden (meddelanden som skickas mellan användare inom organisationen). Den åtgärd som konfigureras i principen för de angivna utlåtandena om skräppostfilter vidtas för meddelanden som skickas mellan interna användare. De tillgängliga värdena är:

  • Standard: Detta är standardvärdet. Det här värdet är detsamma som att välja nätfiskemeddelanden med hög konfidens.
  • Ingen
  • Nätfiskemeddelanden med hög konfidens
  • Nätfiske och nätfiskemeddelanden med hög konfidens
  • Alla nätfiske- och skräppostmeddelanden med hög konfidens
  • Alla nätfiske- och skräppostmeddelanden

  För standardvärdena som används i standardprincipen för skräppostskydd och i standard- och strikt förinställda säkerhetsprinciper, se Intra-Organizational messages to take action on entry in EOP anti-spam policy settings (Standard- och Strikt förinställda säkerhetsprinciper) i Intra-Organizational messages to take action on entry in EOP anti-spam policy settings (Intra-Organizational messages to take action on entry in EOP anti-spam policy settings).

• Behåll skräppost i karantän för så här många dagar: Anger hur lång tid meddelandet ska behållas i karantän om du har valt Sätt meddelandet i karantän som åtgärd för en bedömning av skräppostfiltreringen. När tidsperioden har gått ut tas meddelandet bort och kan inte återställas. Giltiga värden är 1 till 30 dagar.

  För standardvärdena som används i standardprincipen för skräppostskydd och i standard- och strikt förinställda säkerhetsprinciper, se posten Behåll skräppost i karantän under så här många dagar i principinställningarna för EOP-skydd mot skräppost.

  Tips

  Den här inställningen styr också hur länge meddelanden som satts i karantän bevaras av principer för skydd mot nätfiske. Mer information finns i Kvarhållning av karantän.

Automatisk rensning utan timme (ZAP) i principer för skräppostskydd

ZAP för nätfiske och ZAP för skräppost kan agera på meddelanden när de har levererats till Exchange Online postlådor. Som standard är ZAP för nätfiske och ZAP för skräppost aktiverat, och vi rekommenderar att du lämnar dem på. Mer information finns i:

• Automatisk rensning utan timme (ZAP) för nätfiske
• Automatisk rensning med noll timmar (ZAP) för nätfiske med hög konfidens
• Automatisk rensning i noll timmar (ZAP) för skräppost

Karantänprinciper i principer för skräppostskydd

Om domen i principen för skräppostskydd har konfigurerats för att placera meddelanden i karantän definierar karantänprinciper vad användarna kan göra med dessa meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Anatomi för en karantänprincip.

Tillåt och blockera listor i principer för skräppostskydd

Principer för skräppostskydd innehåller följande listor för att tillåta eller blockera specifika avsändare eller domäner:

• Listan över tillåtna avsändare
• Listan över tillåtna domäner
• Listan över blockerade avsändare
• Listan över blockerade domäner

De här inställningarna konfigureras inte som standard i standardprincipen för skräppostskydd, eller i standard- eller strikt förinställda säkerhetsprinciper.

Funktionerna i dessa listor har till stor del ersatts av:

• Blockera poster för domäner och e-postadresser i Skapa blockposter för domäner och e-postadresser.

  Den främsta orsaken till att använda listan över blockerade avsändare eller listan över blockerade domäner i principer för skräppostskydd: blockera poster i listan Tillåt/blockera klientorganisation hindrar också användare i organisationen från att skicka e-post till dessa e-postadresser eller domäner.

• Rapporterar bra e-post till Microsoft från sidan Inlämningar i Microsoft Defender-portalen (där du kan välja Att tillåta e-postmeddelanden med liknande attribut, vilket skapar de tillfälliga poster som krävs i listan Tillåt/blockera klientorganisation).

  Viktigt

  Meddelanden från poster i listan över tillåtna avsändare eller listan över tillåtna domäner kringgår de flesta e-postskydd (förutom skadlig kod och nätfiske med hög konfidens) och e-postautentiseringskontroller (SPF, DKIM och DMARC). Poster i listan över tillåtna avsändare eller listan över tillåtna domäner skapar en hög risk för att angripare skickar e-post till inkorgen som annars skulle filtreras. De här listorna används bäst för endast tillfällig testning.

  Lägg aldrig till vanliga domäner (till exempel microsoft.com eller office.com) i listan över tillåtna domäner. Angripare kan enkelt skicka falska meddelanden från dessa vanliga domäner till din organisation.

  Från och med september 2022 måste avsändaren, domänen eller underdomänen skicka e-postautentiseringskontroller för att hoppa över skräppostfiltreringen om en tillåten avsändare, domän eller underdomän finns i en godkänd domän i din organisation.

  Om du ska behålla en tillåten domänpost i listan under en längre tid ber du avsändaren att kontrollera att deras SPF-post är uppdaterad med e-postkällor för deras domän och att principen i deras DMARC-post är inställd på p=reject.

Prioritet för principer för skräppostskydd

Om de är aktiverade tillämpas standard- och strikt förinställda säkerhetsprinciper före anpassade principer för skräppostskydd eller standardprincipen (Strikt är alltid först). Om du skapar flera anpassade principer för skräppostskydd kan du ange i vilken ordning de tillämpas. Principbearbetningen stoppas när den första principen har tillämpats (den högsta prioritetsprincipen för den mottagaren).

Mer information om prioritetsordningen och hur flera principer utvärderas finns i Ordning och prioritet för e-postskydd och Prioritetsordning för förinställda säkerhetsprinciper och andra principer.

Standardprincip för skräppostskydd

Varje organisation har en inbyggd princip för skräppostskydd med namnet Default som har följande egenskaper:

• Politik är standardpolicyn (egenskapen IsDefault har värdet True) och du kan inte ta bort standardpolicyn.
• Principen tillämpas automatiskt på alla mottagare i organisationen och du kan inte inaktivera den.
• Principen tillämpas alltid sist ( prioritetsvärdet är Lägsta och du kan inte ändra det).