Tworzenie zablokowanych list nadawców w ramach EOP
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych usługa EOP oferuje wiele sposobów blokowania wiadomości e-mail od niechcianych nadawców. Łącznie te opcje można traktować jako listy zablokowanych nadawców.
Poniższa lista zawiera dostępne metody blokowania nadawców w ramach EOP od najbardziej zalecanych do najmniej zalecanych:
- Blokuj wpisy dla domen i adresów e-mail (w tym sfałszowanych nadawców) na liście dozwolonych/zablokowanych dzierżaw.
- Nadawcy zablokowani w programie Outlook (lista Zablokowanych nadawców w każdej skrzynce pocztowej, która dotyczy tylko tej skrzynki pocztowej).
- Zablokowane listy nadawców lub zablokowane listy domen (zasady ochrony przed spamem).
- Reguły przepływu poczty programu Exchange (nazywane również regułami transportu).
- Lista zablokowanych adresów IP (filtrowanie połączeń).
Pozostała część tego artykułu zawiera szczegółowe informacje o każdej metodzie.
Porada
Zawsze przesyłaj komunikaty na listach zablokowanych nadawców do firmy Microsoft w celu analizy. Aby uzyskać instrukcje, zobacz Zgłaszanie wątpliwych wiadomości e-mail do firmy Microsoft. Jeśli komunikaty lub źródła wiadomości zostaną uznane za szkodliwe, firma Microsoft może automatycznie zablokować komunikaty i nie będzie konieczne ręczne utrzymywanie wpisu na zablokowanych listach nadawców.
Zamiast blokować pocztę e-mail, masz również kilka opcji zezwalania na wysyłanie wiadomości e-mail z określonych źródeł przy użyciu list bezpiecznych nadawców. Aby uzyskać więcej informacji, zobacz Tworzenie list bezpiecznych nadawców.
Standardowa wiadomość e-mail SMTP może zawierać różne adresy e-mail nadawcy zgodnie z opisem w temacie Dlaczego internetowa wiadomość e-mail wymaga uwierzytelniania. Często adresy MAIL FROM (znane również jako 5321.MailFrom adres, nadawca P1 lub nadawca koperty) i Z adresu (znanego 5322.From również jako adres lub nadawca P2) są takie same. Jednak gdy wiadomość e-mail jest wysyłana w imieniu innej osoby, adresy mogą być inne. Listy zablokowanych nadawców i listy zablokowanych domen w zasadach ochrony przed spamem sprawdzają tylko adres od. To zachowanie jest podobne do nadawców zablokowanych programu Outlook korzystających z adresu From.
Używanie wpisów blokowych na liście dozwolonych/zablokowanych dzierżaw
Zalecaną opcją numer jeden do blokowania poczty od określonych nadawców lub domen jest lista dozwolonych/zablokowanych dzierżaw. Aby uzyskać instrukcje, zobacz Tworzenie wpisów blokowych dla domen i adresów e-mail oraz Tworzenie wpisów blokowych dla sfałszowanych nadawców.
Email wiadomości od tych nadawców są oznaczone jako spam o wysokim poziomie ufności (SCL = 9). To, co dzieje się z wiadomościami, zależy od zasad ochrony przed spamem , które wykryły wiadomość dla adresata. W standardowych i ścisłych wstępnie ustawionych zasadach zabezpieczeń wiadomości spamowe o wysokim poziomie zaufania są poddawane kwarantannie.
Dodatkowo użytkownicy w organizacji nie mogą wysyłać wiadomości e-mail do zablokowanych domen i adresów. Wiadomość jest zwracana w następującym raporcie o braku dostarczania (znanym również jako komunikat NDR lub bounce): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. cała wiadomość jest zablokowana dla wszystkich wewnętrznych i zewnętrznych adresatów wiadomości, nawet jeśli tylko jeden adres e-mail adresata lub domena jest zdefiniowana w wpisie bloku.
Tylko wtedy, gdy z jakiegoś powodu nie możesz użyć listy dozwolonych/zablokowanych dzierżaw, rozważ użycie innej metody do blokowania nadawców.
Używanie zablokowanych nadawców programu Outlook
Gdy tylko kilku użytkowników otrzymało niepożądaną wiadomość e-mail, użytkownicy lub administratorzy mogą dodać adresy e-mail nadawcy do listy zablokowanych nadawców w skrzynce pocztowej. Aby uzyskać instrukcje, zobacz następujące artykuły:
- Użytkownicy: blokuj lub odblokuj nadawców w programie Outlook.
- Administratorzy: skonfiguruj ustawienia wiadomości-śmieci w Exchange Online skrzynkach pocztowych na platformie Microsoft 365.
Gdy komunikaty zostaną pomyślnie zablokowane z powodu listy zablokowanych nadawców użytkownika, pole nagłówka X-Forefront-Antispam-Report zawiera wartość SFV:BLK.
Porada
Jeśli niechciane wiadomości są biuletynami z renomowanego i rozpoznawalnego źródła, anulowanie subskrypcji wiadomości e-mail jest inną opcją, aby uniemożliwić użytkownikowi odbieranie wiadomości.
Używanie zablokowanych list nadawców lub zablokowanych list domen
Jeśli dotyczy to wielu użytkowników, zakres jest szerszy, więc następną najlepszą opcją jest zablokowanie list nadawców lub zablokowanych list domen w niestandardowych zasadach ochrony przed spamem lub domyślnych zasadach ochrony przed spamem. Wiadomości od nadawców na listach są oznaczone jako spam o wysokim poziomie ufności, a akcja skonfigurowana pod kątem werdyktu filtru spamu o wysokiej pewności jest podejmowana w przypadku wiadomości. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.
Maksymalny limit dla tych list wynosi około 1000 wpisów.
Używanie reguł przepływu poczty
Reguły przepływu poczty mogą również wyszukiwać słowa kluczowe lub inne właściwości w niechcianych wiadomościach.
Niezależnie od warunków lub wyjątków używanych do identyfikowania komunikatów, należy skonfigurować akcję, aby ustawić poziom ufności spamu (SCL) wiadomości na 9, co oznacza wiadomość jako spam o wysokim poziomie ufności. Aby uzyskać więcej informacji, zobacz Używanie reguł przepływu poczty do ustawiania listy SCL w wiadomościach.
Ważna
Łatwo jest tworzyć reguły, które są zbyt agresywne, dlatego ważne jest, aby zidentyfikować tylko komunikaty, które chcesz zablokować, używając bardzo konkretnych kryteriów. Ponadto należy monitorować użycie reguły , aby upewnić się, że wszystko działa zgodnie z oczekiwaniami.
Korzystanie z listy zablokowanych adresów IP
Jeśli nie można użyć jednej z pozostałych opcji do zablokowania nadawcy, tylko wtedy należy użyć listy zablokowanych adresów IP w zasadach filtru połączeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad filtrowania połączeń. Ważne jest, aby minimalna liczba zablokowanych adresów IP była minimalna, dlatego nie zalecamy blokowania całych zakresów adresów IP.
Należy szczególnie unikać dodawania zakresów adresów IP, które należą do usług konsumenckich (na przykład outlook.com) lub infrastruktury udostępnionej. Należy również przejrzeć listę zablokowanych adresów IP w ramach regularnej konserwacji.