Создание списков заблокированных отправителей в EOP
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection организациях без Exchange Online почтовых ящиков EOP предлагает несколько способов блокировки электронной почты от нежелательных отправителей. В совокупности эти параметры можно рассматривать как списки заблокированных отправителей.
В следующем списке содержатся доступные методы блокировки отправителей в EOP от наиболее рекомендуемых до наименее рекомендуемых.
- Блокировать записи для доменов и адресов электронной почты (включая поддельных отправителей) в списке разрешенных и заблокированных клиентов.
- Заблокированные отправители Outlook (список заблокированных отправителей в каждом почтовом ящике, затрагивающий только этот почтовый ящик).
- Списки заблокированных отправителей или списки заблокированных доменов (политики защиты от нежелательной почты).
- Правила потока обработки почты для обмена (также известные как правила транспорта).
- Список блокировок IP-адресов (фильтрация подключений).
Остальная часть этой статьи содержит сведения о каждом методе.
Совет
Всегда отправляйте сообщения из списков заблокированных отправителей в корпорацию Майкрософт для анализа. Инструкции см. в статье Сообщение о сомнительной электронной почте в Корпорацию Майкрософт. Если сообщения или источники сообщений определены как опасные, корпорация Майкрософт может автоматически заблокировать сообщения, и вам не потребуется вручную поддерживать запись в списках заблокированных отправителей.
Вместо блокировки электронной почты вы также можете разрешить электронную почту из определенных источников с помощью списков надежных отправителей. Дополнительные сведения см. в статье Создание списков надежных отправителей.
Стандартное сообщение ЭЛЕКТРОННОЙ почты SMTP может содержать разные адреса электронной почты отправителя, как описано в разделе Почему интернет-почта нуждается в проверке подлинности. Часто адреса MAIL FROM (также называемые адресом 5321.MailFrom , отправителем P1 или отправителем конверта) и адресом from (также называемым адресом 5322.From или отправителем P2) совпадают. Однако при отправке электронной почты от имени другого пользователя адреса могут отличаться. Списки заблокированных отправителей и списки заблокированных доменов в политиках защиты от нежелательной почты проверяют только от адреса. Это поведение аналогично заблокированным отправителям Outlook, которые используют адрес From.
Использование записей блоков в списке разрешенных и заблокированных клиентов
Наш номер один рекомендуемый вариант для блокировки почты от определенных отправителей или доменов — список разрешенных и заблокированных клиентов. Инструкции см. в разделах Создание записей блоков для доменов и адресов электронной почты и Создание записей блоков для подделанных отправителей.
Email сообщения от этих отправителей помечаются как спам с высоким уровнем достоверности (SCL = 9). Что происходит с сообщениями, определяется политикой защиты от нежелательной почты , которая обнаружила сообщение для получателя. В предустановленных политиках безопасности Standard и Strict спам-сообщения с высоким уровнем достоверности помещаются в карантин.
В качестве дополнительного преимущества пользователи в организации не могут отправлять сообщения электронной почты на эти заблокированные домены и адреса. Сообщение возвращается в следующем отчете о недоставке (также известном как сообщение о недоставке или отказе). 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Все сообщение блокируется для всех внутренних и внешних получателей сообщения, даже если в записи блока определен только один адрес электронной почты или домен получателя.
Только если вы по какой-либо причине не можете использовать список разрешенных и заблокированных клиентов, следует рассмотреть возможность использования другого метода для блокировки отправителей.
Использование заблокированных отправителей Outlook
Если только несколько пользователей получили нежелательные сообщения электронной почты, пользователи или администраторы могут добавить адреса электронной почты отправителя в список заблокированных отправителей в почтовом ящике. Инструкции см. в следующих статьях:
- Пользователи: блокировать или разблокировать отправителей в Outlook.
- Администраторы. Настройка параметров нежелательной почты в почтовых ящиках Exchange Online в Microsoft 365.
Если сообщения успешно заблокированы из-за списка заблокированных отправителей пользователя, поле заголовка X-Forefront-Antispam-Report содержит значение SFV:BLK.
Совет
Если нежелательные сообщения являются информационными бюллетенями из авторитетного и узнаваемого источника, отмена подписки на электронную почту является еще одним вариантом, чтобы запретить пользователю получать сообщения.
Использование списков заблокированных отправителей или списков заблокированных доменов
Если затрагивается несколько пользователей, область шире, поэтому следующий лучший вариант — списки заблокированных отправителей или списки доменов в пользовательских политиках защиты от нежелательной почты или политике защиты от нежелательной почты по умолчанию. Сообщения от отправителей в списках помечаются как спам с высоким уровнем достоверности, и для них выполняется действие, настроенное для фильтра спама с высоким уровнем достоверности . Дополнительные сведения см. в статье Настройка политик защиты от нежелательной почты.
Максимальное ограничение для этих списков составляет около 1000 записей.
Использование правил потока обработки почты
Правила потока обработки почты также могут искать ключевые слова или другие свойства в нежелательных сообщениях.
Независимо от условий или исключений, используемых для идентификации сообщений, вы настраиваете действие для установки уровня достоверности нежелательной почты (SCL) сообщения равным 9, что помечает сообщение как спам с высоким уровнем достоверности. Дополнительные сведения см . в разделе Использование правил потока обработки почты для задания SCL в сообщениях.
Важно!
Легко создать слишком агрессивные правила, поэтому важно определить только сообщения, которые нужно заблокировать, с помощью очень конкретных критериев. Кроме того, обязательно отслеживайте использование правила , чтобы убедиться, что все работает должным образом.
Использование списка блокировок IP-адресов
Если невозможно использовать один из других параметров для блокировки отправителя, только тогда следует использовать список заблокированных IP-адресов в политике фильтра подключений. Дополнительные сведения см. в статье Configure the connection filter policy. Важно свести к минимуму количество заблокированных IP-адресов, поэтому не рекомендуется блокировать все диапазоны IP-адресов.
Особенно следует избегать добавления диапазонов IP-адресов, принадлежащих службам потребителей (например, outlook.com) или общим инфраструктурам. Также необходимо просмотреть список заблокированных IP-адресов в рамках регулярного обслуживания.