在 EOP 中创建阻止的发件人列表

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在 Microsoft 365 个组织(邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP) 没有Exchange Online邮箱)中,EOP 提供多种方法来阻止来自不需要的发件人的电子邮件。 总的来说,可以将这些选项视为 阻止的发件人列表

以下列表包含从最推荐到最不推荐阻止 EOP 中的发件人的可用方法:

  1. 阻止域和电子邮件地址的条目 (包括租户允许/阻止列表中的欺骗发件人) 。
  2. Outlook 阻止发件人 (每个邮箱中仅影响该邮箱) 的阻止发件人列表。
  3. 阻止发件人列表或阻止的域列表 (反垃圾邮件策略) 。
  4. Exchange 邮件流规则 (也称为) 传输规则。
  5. IP 阻止列表 (连接筛选) 。

本文的其余部分包含有关每个方法的详细信息。

提示

始终将阻止发件人列表中的邮件提交到Microsoft进行分析。 有关说明,请参阅 向Microsoft报告可疑电子邮件。 如果确定邮件或邮件源是有害的,Microsoft可以自动阻止邮件,并且无需手动维护阻止发件人列表中的条目。

除了阻止电子邮件,还可以使用多个选项来允许使用 安全发件人列表发送来自特定源的电子邮件。 有关详细信息,请参阅创建安全发件人列表

标准 SMTP 电子邮件可以包含不同的发件人电子邮件地址,如 Internet 电子邮件需要身份验证的原因中所述。 通常,邮件发件人地址 (也称为 5321.MailFrom 地址、P1 发件人或信封发件人) 和发件人地址 (也称为 5322.From 地址或 P2 发件人) 相同。 但是,当代表其他人发送电子邮件时,地址可能不同。 反垃圾邮件策略中的阻止发件人列表和阻止的域列表仅检查发件人地址。 此行为类似于使用发件人地址的 Outlook 阻止发件人。

使用租户允许/阻止列表中的块条目

用于阻止来自特定发件人或域的邮件的第一个建议选项是租户允许/阻止列表。 有关说明,请参阅为域和电子邮件地址创建阻止条目和为欺骗发件人创建阻止条目

来自这些发件人Email邮件被标记为高置信度垃圾邮件, (SCL = 9) 。 邮件发生的情况由检测到收件人邮件的 反垃圾邮件策略 决定。 在Standard和严格预设安全策略中,将隔离高置信度垃圾邮件。

作为额外的好处,组织中的用户无法向这些被阻止的域和地址 发送电子邮件 。 邮件在以下未送达报告中返回 (也称为 NDR 或退回邮件) : 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 即使阻止条目中只定义了一个收件人电子邮件地址或域,也会阻止邮件的所有内部和外部收件人的整个邮件。

仅当出于某种原因无法使用租户允许/阻止列表时,才应考虑使用其他方法来阻止发件人。

使用 Outlook 阻止的发件人

当只有少数用户收到不需要的电子邮件时,用户或管理员可以将发件人电子邮件地址添加到邮箱中的“阻止发件人”列表中。 有关说明,请参阅以下文章:

当由于用户的“阻止发件人”列表而成功阻止邮件时, X-Forefront-Antispam-Report 标头字段包含值 SFV:BLK

提示

如果不需要的邮件是来自信誉良好且可识别的源的新闻稿,则取消订阅电子邮件是阻止用户接收邮件的另一个选项。

使用阻止的发件人列表或阻止的域列表

当多个用户受到影响时,范围会更广,因此下一个最佳选项是自定义反垃圾邮件策略或默认反垃圾邮件策略中的阻止发件人列表或阻止域列表。 来自列表中的发件人的邮件被标记为 “高置信度垃圾邮件”,并且对邮件执行为 “高置信度垃圾邮件 ”筛选器判决配置的操作。 有关详细信息,请参阅配置反垃圾邮件策略

这些列表的最大限制约为 1,000 个条目。

使用邮件流规则

邮件流规则还可以在不需要的邮件中查找关键字或其他属性。

无论你使用何种条件或异常来标识邮件,你都会配置操作,将邮件的 SCL) (垃圾邮件置信度设置为 9,这会将邮件标记为 “高置信度垃圾邮件”。 有关详细信息,请参阅 使用邮件流规则在邮件中设置 SCL

重要

创建 过于 激进的规则很容易,因此请务必仅使用非常具体的条件识别要阻止的消息。 此外,请务必 监视规则的使用情况, 以确保一切按预期工作。

使用 IP 阻止列表

当无法使用其他选项之一来阻止发送方时, 应使用连接筛选器策略中的 IP 阻止列表。 有关详细信息,请参阅配置连接筛选器策略。 请务必将阻止的 IP 数保持在最小,因此不建议阻止整个 IP 地址范围。

尤其应避免添加属于使用者服务的 IP 地址范围, (例如,outlook.com) 或共享基础结构。 在定期维护过程中,还需要查看阻止的 IP 地址列表。