Create EOP 中阻止的发件人列表

• 适用于:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

在邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP 的 Microsoft 365 组织中，EOP) 组织中没有Exchange Online邮箱，EOP 提供了多种阻止来自不需要发件人的电子邮件的方法。 总的来说，可以将这些选项视为 阻止的发件人列表。

以下列表中按从最推荐到最不推荐的顺序介绍了可用的阻止发件人列表：

1. 阻止域和电子邮件地址的条目 (包括租户允许/阻止列表中的欺骗发件人) 。
2. Outlook 阻止发件人 (存储在每个邮箱) 的“阻止发件人”列表。
3. 阻止发件人列表或阻止的域列表 (反垃圾邮件策略) 。
4. 邮件流规则 (也称为) 传输规则。
5. IP 阻止列表 (连接筛选) 。

本文的其余部分包含有关每个方法的详细信息。

注意

始终将阻止发件人列表中的邮件提交到 Microsoft 进行分析。 有关说明，请参阅 向 Microsoft 报告可疑电子邮件。 如果确定邮件或邮件源是有害的，Microsoft 可以自动阻止邮件，你无需手动维护阻止发件人列表中的条目。

除了阻止电子邮件，还可以使用多个选项来允许使用 安全发件人列表发送来自特定源的电子邮件。 有关详细信息，请参阅创建安全发件人列表。

Email消息基础知识

标准 SMTP 电子邮件由邮件信封和邮件内容组成。 邮件信封包含在 SMTP 服务器之间传输和传递邮件所需的信息。 邮件内容包含邮件头字段（统称为邮件头）和邮件正文。 RFC 5321 中介绍了消息信封，RFC 5322 中介绍了消息头。 收件人永远不会看到实际的邮件信封，因为它是由邮件传输过程生成的，而且它实际上不是邮件的一部分。

• 地址 5321.MailFrom (也称为 MAIL FROM 地址、P1 发件人或信封发件人) 是在邮件的 SMTP 传输中使用的电子邮件地址。 此电子邮件地址通常记录在邮件头 (的 “返回路径 ”标头字段中，尽管发件人可以在) 指定不同的 “返回路径 ”电子邮件地址。 如果邮件无法传递，则未送达报告的收件人 (也称为 NDR 或退回邮件) 。

• 地址 5322.From (也称为 发件人 地址或 P2 发件人) 是 发件人标头字段中 的电子邮件地址，是电子邮件客户端中显示的发件人电子邮件地址。

通常， 5321.MailFrom 和 5322.From 地址 (人对人通信) 相同。 但是，当代表其他人发送电子邮件时，地址可能不同。

EOP 中反垃圾邮件策略中的阻止发件人列表和阻止的域列表仅 5322.From 检查地址。 此行为类似于使用该 5322.From 地址的 Outlook 阻止发件人。

使用租户允许/阻止列表中的块条目

用于阻止来自特定发件人或域的邮件的第一个建议选项是租户允许/阻止列表。 有关说明，请参阅Create阻止域和电子邮件地址条目和Create欺骗发件人的阻止条目。

来自这些发件人Email邮件被标记为高置信度垃圾邮件， (SCL = 9) 。 邮件发生的情况由检测到收件人邮件的 反垃圾邮件策略 决定。 在默认反垃圾邮件策略和新自定义策略中，标记为高置信度垃圾邮件的邮件默认传递到“垃圾邮件Email”文件夹。 在“标准”和 “严格”预设安全策略中，将隔离高置信度垃圾邮件。

作为额外的好处，组织中的用户无法向这些被阻止的域和地址发送电子邮件。 他们将收到以下未送达报告 (也称为 NDR 或退回邮件) ： 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 即使阻止条目中只定义了一个收件人电子邮件地址或域，也会阻止邮件的所有内部和外部收件人的整个邮件。

仅当出于某种原因无法使用租户允许/阻止列表时，才应考虑使用其他方法来阻止发件人。

使用 Outlook 阻止的发件人

当只有少数用户收到不需要的电子邮件时，用户或管理员可以将发件人电子邮件地址添加到邮箱中的“阻止发件人”列表。 有关说明，请参阅在Exchange Online邮箱上配置垃圾邮件设置。

当由于用户的“阻止发件人”列表而成功阻止邮件时， X-Forefront-Antispam-Report 标头字段将包含值 SFV:BLK。

注意

如果不需要的邮件是来自信誉良好且可识别的源的新闻稿，则取消订阅电子邮件是阻止用户接收邮件的另一个选项。

使用阻止的发件人列表或阻止的域列表

当多个用户受到影响时，范围会更广，因此下一个最佳选项是反垃圾邮件策略中的阻止发件人列表或阻止的域列表。 列表中的发件人的邮件被标记为 “高置信度垃圾邮件”，并且对邮件执行为 “高置信度垃圾邮件 ”筛选器判决配置的操作。 有关详细信息，请参阅配置反垃圾邮件策略。

这些列表的最大限制约为 1000 个条目。

使用邮件流规则

邮件流规则还可以在不需要的邮件中查找关键字或其他属性。

无论你使用何种条件或异常来标识邮件，你都会配置操作，将邮件的 SCL) (垃圾邮件置信度设置为 9，这会将邮件标记为 “高置信度垃圾邮件”。 有关详细信息，请参阅 使用邮件流规则在邮件中设置 SCL。

重要

创建 过于 激进的规则很容易，因此请务必仅使用非常具体的条件识别要阻止的消息。 此外，请务必 监视规则的使用情况， 以确保一切按预期工作。

使用 IP 阻止列表

当无法使用其他选项之一来阻止发送方时， 才 应使用连接筛选器策略中的 IP 阻止列表。 有关详细信息，请参阅配置连接筛选器策略。 请务必将阻止的 IP 数保持在最小，因此 不建议 阻止整个 IP 地址范围。

尤其应避免添加属于使用者服务的 IP 地址范围， (例如 outlook.com) 或共享基础结构，并确保在定期维护过程中查看阻止的 IP 地址列表。