Hur EOP verifierar från-adressen för att förhindra nätfiske

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

Nätfiskeattacker är ett konstant hot mot e-postorganisation. Förutom att använda förfalskade (förfalskade)avsändares e-postadresser använder attacker ofta värden i från-adressen som bryter mot Internetstandarder. För att förhindra den här typen av nätfiske kräver nu Exchange Online Protection (EOP) och Outlook.com inkommande meddelanden för att inkludera en RFC-kompatibel från-adress enligt beskrivningen i den här artikeln. Tillämpning av den här funktionen aktiverades i november 2017.

Anmärkningar:

  • Om du regelbundet får e-post från organisationer som har felaktigt använda från-adresser enligt beskrivningen i den här artikeln bör du uppmuntra dessa organisationer att uppdatera sina e-postservrar så att de uppfyller moderna säkerhetsstandarder.

  • Det relaterade avsändarfältet (används av Skicka för och distributionslistor) påverkas inte av dessa krav. Mer information finns i följande blogginlägg: Vad betyder vi när vi refererar till avsändaren av ett e-postmeddelande?.

En översikt över standarder för e-postmeddelanden

Ett vanligt SMTP-e-postmeddelande består av ett meddelandekuvert och meddelandeinnehåll. Meddelandekuvertet innehåller information som behövs för att överföra och leverera meddelandet mellan SMTP-servrarna. Meddelandeinnehållet innehåller fält för meddelanderubriker (kallas gemensamt för meddelanderubriken) och meddelandets brödtext. Meddelandekuvertet beskrivs i RFC 5321och meddelanderubriken beskrivs i RFC 5322. Mottagarna ser aldrig det faktiska meddelandekuvertet eftersom det genereras vid meddelandeöverföringen och det är faktiskt inte en del av meddelandet.

  • Adressen (kallas även MAIL FROM address, P1 sender, or envelope sender) är den e-postadress som används vid 5321.MailFrom SMTP-överföringen av meddelandet. Den här e-postadressen registreras vanligtvis i huvudfältet Retursökväg i meddelandehuvudet (även om det är möjligt för avsändaren att ange en annan e-postadress för retursökväg).

  • (Kallas även från-adressen eller P2-avsändaren) är e-postadressen i fältet Från rubrik och är avsändarens e-postadress som visas i 5322.From e-postklienter. Från-adressen är fokus på kraven i den här artikeln.

Från-adressen definieras i detalj i flera offertförfrågningar (till exempel avsnitten 3.2.3, 3.4, 3.4 och 3.4.1 och RFC 3696)i från. Det finns många varianter på adressering och vad som anses vara giltigt eller ogiltigt. För att göra det enkelt rekommenderar vi följande format och definitioner:

From: "Display Name" <EmailAddress>

  • Visningsnamn: En valfri fras som beskriver e-postadressens ägare.

    • Vi rekommenderar att du alltid omsluter visningsnamnet med dubbla citattecken (") enligt bilden. Om visningsnamnet innehåller ett kommatecken måste du omge strängen med dubbla citattecken per RFC 5322.
    • Om från-adressen innehåller ett visningsnamn måste värdet E-postadress omges av vinkelparenteser (< >) som visas.
    • Microsoft rekommenderar starkt att du infogar ett blanksteg mellan visningsnamnet och e-postadressen.
  • EmailAddress: En e-postadress har följande local-part@domain format:

    • lokaldel: En sträng som identifierar postlådan som är kopplad till adressen. Det här värdet är unikt inom domänen. Ofta används postlådans ägares användarnamn eller GUID.
    • domän: Det fullständigt kvalificerade domännamnet (FQDN) för e-postservern som är värd för postlådan som identifieras av den lokala delen av e-postadressen.

    Det här är ytterligare saker att tänka på när det gäller värdet för EmailAddress:

    • Endast en e-postadress.
    • Vi rekommenderar att du inte avgränsar vinkelparenteserna med blanksteg.
    • Inkludera inte ytterligare text efter e-postadressen.

Exempel på giltiga och ogiltiga från-adresser

Följande Från e-postadresser är giltiga:

  • From: sender@contoso.com

  • From: <sender@contoso.com>

  • From: < sender@contoso.com > (Rekommenderas inte eftersom det finns blanksteg mellan vinkelparenteserna och e-postadressen.)

  • From: "Sender, Example" <sender.example@contoso.com>

  • From: "Microsoft 365" <sender@contoso.com>

  • From: Microsoft 365 <sender@contoso.com> (Rekommenderas inte eftersom visningsnamnet inte omges av dubbla citattecken.)

Följande Från e-postadresser är ogiltiga:

  • Ingen av från-adress: Vissa automatiska meddelanden innehåller inte en Från-adress. Tidigare när en Microsoft 365 eller Outlook.com fick ett meddelande utan en Från-adress lade tjänsten till följande standardadress för Från: så att meddelandet kan levereras:

    From: <>

    Nu accepteras inte längre meddelanden med en tom Från-adress.

  • From: Microsoft 365 sender@contoso.com (Visningsnamnet finns, men e-postadressen omges inte av vinkelparenteser.)

  • From: "Microsoft 365" <sender@contoso.com> (Sent by a process) (Text efter e-postadressen.)

  • From: Sender, Example <sender.example@contoso.com> (Visningsnamnet innehåller ett kommatecken, men omges inte av dubbla citattecken.)

  • From: "Microsoft 365 <sender@contoso.com>" (Hela värdet omges felaktigt av dubbla citattecken.)

  • From: "Microsoft 365 <sender@contoso.com>" sender@contoso.com (Visningsnamnet finns, men e-postadressen omges inte av vinkelparenteser.)

  • From: Microsoft 365<sender@contoso.com> (Inget blanksteg mellan visningsnamnet och den vänstra vinkelparentesen.)

  • From: "Microsoft 365"<sender@contoso.com> (Inget blanksteg mellan det avslutande dubbla citattecknet och den vänstra vinkelparentesen.)

Ignorera autosvar i din egen domän

Du kan inte använda värdet för From: <> att ignorera autosvar. I stället måste du konfigurera en null MX-post för din egen domän. Autosvar (och alla svar) utelämnas naturligt eftersom det inte finns någon publicerad adress som svarsservern kan skicka meddelanden till.

  • Välj en e-postdomän som inte kan ta emot e-post. Om din primära domän till exempel är contoso.com kan du välja noreply.contoso.com.

  • MX-posten för den här domänen består av en enda punkt.

Till exempel:

noreply.contoso.com IN MX .

Mer information om hur du konfigurerar MX-poster finns i Skapa DNS-poster på vilken DNS-värd som helst för Microsoft 365.

Mer information om hur du publicerar en null MX finns i RFC 7505.

Åsidosätt från tillämpning av adress

Om du vill åsidosätta kraven för från-adress för inkommande e-post kan du använda listan över tillåtna IP-adresser (anslutningsfiltrering) eller e-postflödesregler (kallas även transportregler) enligt beskrivningen i Skapa listor över betrodda avsändare i Microsoft 365.

Du kan inte åsidosätta kraven för Från-adress för utgående e-post som du skickar Microsoft 365. Dessutom tillåter Outlook.com inte åsidosättningar av något slag, även via support.

Andra sätt att förhindra och skydda mot cyberbrott i Microsoft 365

Mer information om hur du kan stärka organisationen mot nätfiske, skräppost, databrott och andra hot finns i De 10 bästa sätten att skydda Microsoft 365 för företag-abonnemang.