Skapa spärrade avsändarlistor i EOP
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 Abonnemang 1 och Abonnemang 2
- Microsoft 365 Defender
I Microsoft 365 organisationer med postlådor i Exchange Online eller fristående EOP-organisationer (Exchange Online Protection Exchange Online) har EOP flera sätt att blockera e-post från oönskade avsändare. De här alternativen omfattar Outlook spärrade avsändare, listor över spärrade avsändare eller blockeringsdomänlistor i principer för skräppostskydd, Exchange-e-postflödesregler (kallas även transportregler) och IP-blockeringslistan (anslutningsfiltrering). Sammantaget kan du tänka på de här alternativen som spärrade avsändarlistor.
Den bästa metoden för att blockera avsändare varierar beroende på hur omfattande den är. För en enskild användare kan rätt lösning vara att Outlook spärrade avsändare. För många användare är ett av de andra alternativen mer lämpligt. Följande alternativ rangordnas både efter påverkansomfång och bredd. Listan går från smal till bred, men läs mer för fullständiga rekommendationer.
Outlook spärrade avsändare (listan Spärrade avsändare som lagras i varje postlåda)
Listor över spärrade avsändare eller blockerade domäner (principer mot skräppost)
E-postflödesregler
IP-blockeringslistan (anslutningsfiltrering)
Anteckning
Du kan använda blockeringsinställningar för hela organisationen för att hantera falska negativa meddelanden (missad skräppost), men du bör också skicka dessa meddelanden till Microsoft för analys. Hanteringen av falska negativa resultat genom att använda blockeringslistor ökar avsevärt det administrativa arbetet. Om du använder blockeringslistor för att undvika missad skräppost måste du ha ämnet Rapportera meddelanden och filer till Microsoft när du är redo.
Du har däremot flera alternativ för att alltid tillåta e-post från vissa källor med hjälp av listor över betrodda avsändare. Mer information finns i Skapa listor över betrodda avsändare.
Grundläggande information om e-postmeddelanden
Ett vanligt SMTP-e-postmeddelande består av ett meddelandekuvert och meddelandeinnehåll. Meddelandekuvertet innehåller information som behövs för att överföra och leverera meddelandet mellan SMTP-servrarna. Meddelandeinnehållet innehåller fält för meddelanderubriker (kallas gemensamt för meddelanderubriken) och meddelandets brödtext. Meddelandekuvertet beskrivs i RFC 5321 och meddelanderubriken beskrivs i RFC 5322. Mottagarna ser aldrig det faktiska meddelandekuvertet eftersom det genereras vid meddelandeöverföringen och det är faktiskt inte en del av meddelandet.
Adressen (kallas även MAIL FROM address, P1 sender, or envelope sender) är den e-postadress som används vid
5321.MailFromSMTP-överföringen av meddelandet. Den här e-postadressen registreras vanligtvis i huvudfältet Retursökväg i meddelandehuvudet (även om det är möjligt för avsändaren att ange en annan e-postadress för retursökväg). Om meddelandet inte kan levereras är det mottagaren för rapporten om utebliven leverans (kallas även för NDR- eller icke-leveransmeddelande).(Kallas även från-adressen eller P2-avsändaren) är e-postadressen i fältet Från rubrik och är avsändarens e-postadress som visas i
5322.Frome-postklienter.
Ofta är 5321.MailFrom 5322.From adresserna och desamma (kommunikation mellan två personer). Men när e-post skickas åt någon annan kan adresserna vara annorlunda.
Listor över spärrade avsändare och listor över blockerade domäner i principer mot skräppost i EOP kontrollerar både 5321.MailFrom 5322.From adresserna och. Outlook spärrade avsändare använder bara 5322.From adressen.
Använda Outlook spärrade avsändare
När bara ett litet antal användare har fått oönskad e-post kan användare eller administratörer lägga till avsändaradresserna i listan Spärrade avsändare i postlådan. Instruktioner finns i Konfigurera inställningar för skräppost i Exchange Online postlådor.
När meddelanden blockeras på grund av en användares lista med spärrade avsändare innehåller rubrikfältet X-Forefront-Antispam-Report SFV:BLK värdet.
Anteckning
Om de oönskade meddelandena är nyhetsbrev från en känd och igenkännbar källa, är ett annat alternativ att sluta prenumerera på e-postmeddelandet för att hindra användaren från att ta emot meddelandena.
Använda listor över spärrade avsändare eller spärrade domäner
När flera användare påverkas är omfattningen bredare, så nästa bästa alternativ är listor över spärrade avsändare eller blockerade domäner i principer som är skräppostskyddade. Meddelanden från avsändare på listorna markeras som Skräppost med hög konfidens och åtgärden som du har konfigurerat för skräppostfiltret Hög förtroende för skräppostfiltret vidtas på meddelandet. Mer information finns i Konfigurera principer för skräppostskydd.
Maxgränsen för dessa listor är cirka 1 000 poster.
Använda e-postflödesregler
Om du behöver blockera meddelanden som skickas till specifika användare eller i hela organisationen kan du använda e-postflödesregler. E-postflödesregler är mer flexibla än blockeringslistor för avsändarlistor och spärrade avsändardomänlistor eftersom de även kan söka efter nyckelord eller andra egenskaper i oönskade meddelanden.
Oavsett de villkor eller undantag som du använder för att identifiera meddelanden kan du konfigurera åtgärden för att ange SCL (Spam Confidence Level) för meddelandet till 9, vilket markerar meddelandet som skräppost med hög konfidens. Mer information finns i Använda e-postflödesregler för att ange SCL i meddelanden.
Viktigt
Det är enkelt att skapa regler som är alltför aggressiva, så det är viktigt att du bara identifierar de meddelanden som du vill blockera med mycket specifika villkor. Se även till att aktivera granskning av regeln och testa resultatet av regeln så att allt fungerar som förväntat.
Använda blockeringslistan för IP-adresser
Om det inte går att använda något av de andra alternativen för att spärra en avsändare bör du bara använda IP-blockeringslistan i principen för anslutningsfilter. Mer information finns i konfigurera policy för anslutningsfilter. Det är viktigt att ha så många blockerade IP-adresser som möjligt, så vi rekommenderar inte att du blockerar hela IP-adressintervall.
Du bör särskilt undvika att lägga till IP-adressintervall som tillhör konsumenttjänster (till exempel outlook.com) eller delad infrastruktur och även kontrollera att du granskar listan över blockerade IP-adresser som en del av regelbundet underhåll.