Skapa listor spärrade avsändare i EOPCreate blocked sender lists in EOP

Viktigt

Välkommen till Microsoft Defender för Office 365, det nya namnet för Office 365 Advanced Threat Protection.Welcome to Microsoft Defender for Office 365, the new name for Office 365 Advanced Threat Protection. Läs mer om detta och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

I Microsoft 365-organisationer med post lådor i Exchange Online eller fristående Exchange Online Protection (EOP)-organisationer utan Exchange Online-postlådor kan EOP blockera e-post från oönskade avsändare.In Microsoft 365 organizations with mailboxes in Exchange Online or standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes, EOP offers multiple ways of blocking email from unwanted senders. De här alternativen inkluderar Outlook-blockerade avsändare, spärrade avsändare eller blockerade domän listor i principer för skräp post, Exchange mail flöde-regler (kallas även transport regler) och IP-blockeringslistan (anslutnings filter).These options include Outlook Blocked Senders, blocked sender lists or blocked domain lists in anti-spam policies, Exchange mail flow rules (also known as transport rules), and the IP Block List (connection filtering). Tillsammans kan du se dessa alternativ som spärrade avsändare.Collectively, you can think of these options as blocked sender lists.

Den bästa metoden för att blockera avsändare beror på islagsnas omfattning.The best method to block senders varies on the scope of impact. För en enskild användare kan rätt lösning vara blockerade Outlook-avsändare.For a single user, the right solution could be Outlook Blocked Senders. För många användare är ett av de andra alternativen mer lämpligt.For many users, one of the other options would be more appropriate. Följande alternativ rangordnas efter omfattning och bredd.The following options are ranked by both impact scope and breadth. Listan går från smal till bred, men läser de specifika rekommendationerna.The list goes from narrow to broad, but read the specifics for full recommendations.

  1. Outlook blockerade avsändare (listan med spärrade avsändare som lagras i varje post låda)Outlook Blocked Senders (the Blocked Senders list that's stored in each mailbox)

  2. Spärrade avsändare eller blockerade domän listor (principer för skräp post)Blocked sender lists or blocked domain lists (anti-spam policies)

  3. Regler för e-postflödeMail flow rules

  4. IP-blockeringslistan (anslutnings filter)The IP Block List (connection filtering)

Anteckning

Du kan använda spärr inställningar för hela organisationen för att adressera falska negativa (missade skräp post), men du bör även skicka dessa meddelanden till Microsoft för analys.While you can use organization-wide block settings to address false negatives (missed spam), you should also submit those messages to Microsoft for analysis. Om du hanterar falska Negatives genom att använda blockerade listor blir administrationen betydligt bättre.Managing false negatives by using block lists significantly increases your administrative overhead. Om du använder blockeringslistan för att sätta på missade skräp post måste du hålla informationen om meddelanden och filer till Microsoft när du är klar.If you use block lists to deflect missed spam, you need to keep the topic Report messages and files to Microsoft at the ready.

I motsats till det finns flera alternativ som gör att e-post alltid tillåts från specifika källor med säkra avsändar listor.In contrast, you also have several options to always allow email from specific sources using safe sender lists. Mer information finns i Skapa listor över betrodda avsändare.For more information, see Create safe sender lists.

Grunderna i e-postmeddelandenEmail message basics

Ett SMTP-standard-e-postmeddelande består av ett meddelandes kuvert och meddelande innehåll.A standard SMTP email message consists of a message envelope and message content. Meddelandets kuvert innehåller information som krävs för överföring och leverans av meddelandet mellan SMTP-servrar.The message envelope contains information that's required for transmitting and delivering the message between SMTP servers. Meddelandets innehåll innehåller fält för meddelande rubrik (gemensamt kallat meddelande huvudet) och meddelande texten.The message content contains message header fields (collectively called the message header) and the message body. Meddelandets kuvert beskrivs i RFC 5321 och meddelande huvudet beskrivs i RFC 5322.The message envelope is described in RFC 5321, and the message header is described in RFC 5322. Mottagarna kan aldrig se det faktiska meddelandets kuvert eftersom det är genererat av meddelande överföringen och egentligen inte ingår i meddelandet.Recipients never see the actual message envelope because it's generated by the message transmission process, and it isn't actually part of the message.

  • 5321.MailFromAdressen (kallas även för e-post från adress, P1 avsändare eller kuvert avsändare) är den e-postadress som används i SMTP-överföringen av meddelandet.The 5321.MailFrom address (also known as the MAIL FROM address, P1 sender, or envelope sender) is the email address that's used in the SMTP transmission of the message. Den här e-postadressen lagras normalt i huvud fältet för RETUR-sökväg i meddelande huvudet (även om det är möjligt för avsändaren att ange en annan e-postadress för RETUR-sökvägen ).This email address is typically recorded in the Return-Path header field in the message header (although it's possible for the sender to designate a different Return-Path email address). Om det inte går att leverera meddelandet är det mottagaren för rapporten om utebliven leverans (kallas även för en NDR eller ett studs meddelande).If the message can't be delivered, it's the recipient for the non-delivery report (also known as an NDR or bounce message).

  • 5322.From(Kallas även från -adressen eller P2-avsändaren) är e-postadressen i fältet från huvud och är avsändarens e-postadress som visas i e-postklienter.The 5322.From (also known as the From address or P2 sender) is the email address in the From header field, and is the sender's email address that's displayed in email clients.

Ofta är de 5321.MailFrom och 5322.From adresserna samma (person-till-person-kommunikation).Frequently, the 5321.MailFrom and 5322.From addresses are the same (person-to-person communication). Men när e-post skickas åt någon annan kan adresser vara olika.However, when email is sent on behalf of someone else, the addresses can be different.

Blockerade avsändare och blockerade domän listor i en policy för borttagning av skräp post i EOP inspektera både 5321.MailFrom 5322.From adresserna och.Blocked sender lists and blocked domain lists in anti-spam policies in EOP inspect both the 5321.MailFrom and 5322.From addresses. Spärrade avsändare i Outlook använder endast 5322.From adressen.Outlook Blocked Senders only uses the 5322.From address.

Använda spärrade avsändare i OutlookUse Outlook Blocked Senders

När bara ett fåtal användare får oönskad e-post kan användare eller administratörer lägga till avsändarens e-postadresser i listan Spärrade avsändare i post lådan.When only a small number of users received unwanted email, users or admins can add the sender email addresses to the Blocked Senders list in the mailbox. Anvisningar finns i Konfigurera inställningar för skräp post i Exchange Online-postlådor.For instructions, see Configure junk email settings on Exchange Online mailboxes.

När meddelanden blockeras på grund av en användares lista med spärrade avsändare, innehåller fältet X-antispam – rapport huvud värdet SFV:BLK .When messages are successfully blocked due to a user's Blocked Senders list, the X-Forefront-Antispam-Report header field will contain the value SFV:BLK.

Anteckning

Om de oönskade meddelandena är nyhets brev från en seriös och igenkännlig källa är det ett annat alternativ att avbryta användaren från att ta emot meddelanden.If the unwanted messages are newsletters from a reputable and recognizable source, unsubscribing from the email is another option to stop the user from receiving the messages.

Använda spärrade avsändare listor eller blockerade domän listorUse blocked sender lists or blocked domain lists

När flera användare påverkas är omfattningen bredare, så det bästa alternativet är blockerade avsändare listor eller blockerade domän listor i principer för skräp post.When multiple users are affected, the scope is wider, so the next best option is blocked sender lists or blocked domain lists in anti-spam policies. Meddelanden från avsändare i listorna markeras som skräp postoch åtgärden som du har konfigurerat för skräp post filtret Verdict tas med i meddelandet.Messages from senders on the lists are marked as Spam, and the action that you've configured for the Spam filter verdict is taken on the message. Mer information finns i Konfigurera principer för skräppostskydd.For more information, see Configure anti-spam policies.

Högsta tillåtna gräns för dessa listor är ungefär 1000 poster.The maximum limit for these lists is approximately 1000 entries.

Använda regler för e-postflödeUse mail flow rules

Om du behöver spärra meddelanden som skickas till specifika användare eller i hela organisationen kan du använda regler för e-postflöde.If you need to block messages that are sent to specific users or across the entire organization, you can use mail flow rules. Regler för e-postflöde är mer flexibla än spärrade avsändare eller spärrade avsändare domän listor eftersom de också kan leta efter nyckelord eller andra egenskaper i de oönskade meddelandena.Mail flow rules are more flexible than block sender lists or blocked sender domain lists because they can also look for keywords or other properties in the unwanted messages.

Oavsett vilka villkor eller undantag som du använder för att identifiera meddelanden kan du konfigurera åtgärden för att ställa in meddelandets säkerhets nivå (SCL) för meddelandet till 9, vilket markerar meddelandet som skräp post.Regardless of the conditions or exceptions that you use to identify the messages, you configure the action to set the spam confidence level (SCL) of the message to 9, which marks the message a High confidence spam. Mer information finns i använda regler för e-postflöde för att ange SCL i meddelanden.For more information, see Use mail flow rules to set the SCL in messages.

Viktigt

Det är enkelt att skapa regler som är mycket aggressiva, så det är viktigt att du bara identifierar de meddelanden som du vill blockera genom att använda specifika villkor.It's easy to create rules that are overly aggressive, so it's important that you identify only the messages you want to block using using very specific criteria. Kontrol lera också att du aktiverar granskning för regeln och testar resultatet av regeln för att se till att allting fungerar som förväntat.Also, be sure to enable auditing on the rule and test the results of the rule to ensure everything works as expected.

Använd IP-blockeringslistanUse the IP Block List

När det inte går att använda något av de andra alternativen för att blockera en avsändare ska du bara använda IP-blockeringslistan i princip för anslutnings filter.When it's not possible to use one of the other options to block a sender, only then should you use the IP Block List in the connection filter policy. Mer information finns i konfigurera policy för anslutningsfilter.For more information, see Configure the connection filter policy. Det är viktigt att du behåller det minsta antalet blockerade IP-adresser så att hela IP-adressintervall inte rekommenderas.It's important to keep the number of blocked IPs to a minimum, so blocking entire IP address ranges is not recommended.

Du bör särskilt undvika att lägga till IP-adressintervall som tillhör konsument tjänster (till exempel Outlook.com) eller delade infrastrukturer, samt att se till att du granskar listan med blockerade IP-adresser som en del av vanligt underhåll.You should especially avoid adding IP address ranges that belong to consumer services (for example, outlook.com) or shared infrastructures, and also ensure that you review the list of blocked IP addresses as part of regular maintenance.