Hopp til hovedinnhold

Office 365 Avansert beskyttelse mot søppelpost

Logo letter
Evelon AS
Jon-Alfred Smith
Bilde av en postboks i en dør med teksten "No junk mail"

Alle innkommende og utgående meldinger for postbokser i Office 365 passerer gjennom Exchange Online Protection, skytjenesten som beskytter mot skadevare og søppelpost. Standardinnstillingene for å skjerme deg mot uønsket e-post dekker det grunnleggende. For bedre kontroll kan du tilpasse innstillingene og dra nytte av et stort utvalg funksjoner. Det er nettopp disse alternativene vi skal se nærmere på her, med råd og anbefalinger.

søppelpost 12

Egendefinert søppelpostfiltrering

I grove trekk er dette oppsettet rett ut av boksen: Potensielt uønskede meldinger og tvilsomme masseutsendelser flyttes til søppelpost-mappen, mens phishing-e-post plasseres i karantene. Vår tilpassede konfigurasjon omfatter disse funksjonene:

  • Aktivere Microsofts trygge liste, et abonnement på ulike tredjepartskilder for sikre avsendere. Meldinger fra dem oppfattes alltid som legitime og slippes igjennom uten videre kontroll.
  • Plassere søppelpost med høy visshet i karantene, sånn at vi holder den atskilt fra meldinger med lavere klarering.
  • Konfigurere søppelpostvarsler for sluttbrukere, så de selv kan holde styr på meldinger i karantene.
  • Sette opp blokkerings- og tillatelseslister for e-postadresser og domener.
  • Hindre internasjonal søppelpost ved å sperre for meldinger på forskjellige språk og eventuelt e-postservere i bestemte land og regioner.
  • Øke søppelpostrangeringen for meldinger som inneholder visse typer koblinger eller URL-adresser.
  • Markere e-postmeldinger med potensielt farlig kode som søppelpost, så som JavaScript og VBScript i HTML.
  • Klassifisere meldinger som søppelpost som feiler på kontrollen av SPF og betinget avsender-ID.
  • Overvåke om interne brukere sender ut spam, noe som kan tyde på kompromitterte kontoer eller overivrige medarbeidere.
  • Få med oss sluttbrukerne, så de er med på å bygge opp lister over sikre og blokkerte avsendere, samt rapportere spam direkte til Microsoft.

Før vi går i gang med selve konfigurasjonen, bør vi kaste en rask titt på hvordan meldinger kommer inn i Office 365-organisasjonen, og hva Microsoft gjør for å rangere dem.

Flere lag med beskyttelse

søppelpost 1

E-posten går gjennom flere beskyttelseslag før den når postboksene. Primært er det bare to lag som skal interessere oss her: Tilkoblingsfilteret stenger for typiske spammere, som utsendelser fra dynamiske IP-adresser som deles ut av Internett-leverandører. Her kan du angi tillatte og blokkerte adresser pluss velge om du vil bruke listen over sikre avsendere. Søppelpostfilteret foretar selve analysen ved å se etter nøkkelord i e-posten og ytre indikasjoner på spam. Microsoft skanner flere hundre milliarder meldinger i måneden (Ignite 2017) og har dermed et rikt materiale for stadig å forbedre tjenesten. I enkelte tilfeller klarer vi oss ikke helt uten regler for meldingsflyt (transportregler), som kan filtrere meldinger på en enda mer finkornet måte.

Klareringsnivåerfor søppelpost

søppelpost 2

Microsoft foretar en grovinndeling i fire nivåer. Klareringsnivå for søppelpost er den norske betegnelse for Spam Confidence Level (SCL), som angir terskelverdier for mulig søppelpost. Den endelige poengsummen bestemmer sannsynlighetsgraden av om det er søppelpost og i så fall hvilken type. Vi kan styre noe av dette selv ved hjelp av transportregler der vi setter en SCL-verdi.

To administrasjonsportaler

søppelpost 3

Det er to steder vi kan konfigurere beskyttelsen mot søppelpost. Microsoft er i ferd med å gi tjenester knyttet til sikkerhet, et nytt hjem i sikkerhets- og samsvarssenteret og samle dem der. Men fortsatt er administrasjonssenteret for Exchange det mest ryddige utgangspunktet. Her skal vi etter tur ta for oss tilkoblingsfilteret, søppelpostfilteret og utgående søppelpost. Du må logge deg på med nødvendige rettigheter, som global Office 365- eller Exchange-administrator.

Aktivere sikkerlisten

søppelpost 4

Det er bare én policy for hele organisasjonen. Dialogen er i utgangspunktet tom. Vesentlig for vårt scenario er at du krysser av for Aktiver sikkerliste og lagrer valget. Ellers kan du legge til IP-adresser du godtar meldinger fra, og som du ønsker å blokkere. Meldinger fra tillatte adresser får en SCL-verdi satt til -1, som betyr «Ikke søppelpost fra en pålitelig kilde». Meldinger fra en blokkert adresse gis SCL-verdien 9, «Oppdaget søppelpost med høy klarering».

Plassere søppelpost i karantene

søppelpost 5

Her redigerer vi default-policyen. Du kan ha flere knyttet til brukere, grupper eller domener – noe som også kommer godt med for testing før den endelige policyen rulles ut. Det har utviklet seg to skoler for meldinger som etter all sannsynlighet er søppelpost: de som sletter dem med det samme, og de som plasserer dem i karantene, der de oppbevares i inntil 15 dager. Andre alternativer er å legge til et X-hode for å behandle meldingene med transportregler, plassere en tekst på emnelinjen – [Mistenkelig e-post] – eller omdirigere meldinger til en annen e-postadresse.

For massehandlinger – nyhetsbrev, markedsføring og liknende – er standardinnstillingen god. Der er terskelverdien satt til 7, som betyr at man godtar det meste, annet enn fra suspekte aktører. Massemeldinger markeres oftest som søppelpost med terskel 1, mens terskel 9 gjør at mesteparten av massemeldingene leveres (bakvendt i forhold til SCL).

Konfigurere søppelpostvarsler

søppelpost 6

Klikk på Konfigurer varsler for sluttbruker-søppelpost. Aktiver tjenesten. Angi antall dager (1–15) mellom varselmeldinger. Hver varselmelding inkluderer en liste over meldinger i karantene siden forrige ble sendt. Velg varslingsspråk. Til å begynne med kan det være praktisk med daglige beskjeder for å så å gå over til et to eller tre dagers mellomrom.

Blokkerings- og tillatelseslister

søppelpost 7

Gå tilbake til default-policyen. I blokkeringslistene kan man legge til avsendere og domener. E-post fra disse vil alltid bli markert som søppelpost. E-post fra avsendere og domener på tillatelseslistene blir alltid levert til innboksen. I fanen Internasjonal søppelpost kan du filtrere bort meldinger skrevet på de språkene du angir. Du kan også blokkere meldinger som sendes fra bestemte land eller regioner – men vær noe forsiktig fordi det ikke er godt å vite hvor e-postserverne befinner seg.

Avanserte alternativer

Her finner du funksjoner for å heve søppelpostrangeringen for meldinger med koblinger eller nettadresser, samt markere meldinger med bestemte egenskaper som søppelpost.

Hev søppelpostrangering

Meldingen får en økt søppelpostpoengsum når én eller flere av disse funksjonene slås på. Men det betyr ikke at den nødvendigvis oppfattes som spam. Anbefalingene er sånn som på skjermbildene:

søppelpost 8


  • Bildekoblinger til eksterne områder – brukes ofte i e-postsignaturer.
  • Numerisk IP-adresse i URL – kan føre til problemer med tjenester som varslingsmeldinger fra UPS.
  • URL-omdirigering til annen port – ingen grunn til å bruke ikke-standard porter.
  • URL til .biz- eller .info-nettsteder – nesten aldri legitim e-post.

Marker som søppelpost

søppelpost 9
  • Tomme meldinger – uansett ubrukelige uten emne, brødtekst eller vedlegg.
  • JavaScript eller VBScript i HTML – aktivt innhold er for risikabelt.
  • Frame- eller IFrame-koder i HTML – også risikabelt.
  • Object-koder i HTML – programtillegg eller programmer kjøres i et vindu i HTML.
  • Embed-koder i HTML – slå kontrollen på for å kjøre innebygde datatyper som lyd, filmer eller bilder.
  • Form-koder i HTML – brukes til å opprette nettstedskjemaer. E-postannonsering inkluderer ofte denne koden for å anmode informasjon fra mottakeren. Mulig du trenger å slå den på.
  • Nettsignal i HTML –et objekt som er bygget inn i en nettside eller en e-postmelding. Den gir beskjed om en bruker har vist nettsiden eller lest e-posten.
  • Bruk sensitiv ordliste – ord fra listen over sensitive ord.
  • SPF-post: kritisk feil – hindrer nettfiskingsmeldinger. Krever at SPF er riktig konfigurert for domenene dine.
  • Betinget filtrering av avsender-ID – skru det på som ytterligere beskyttelse mot nettfiske. Dette alternativet kombinerer en SPF-sjekk med kontroll av avsender-ID for å beskytte brukeren mot meldingshoder som inneholder forfalskede avsendere.
  • NDR-backscatter – brukes ikke hvis alle utgående meldinger sendes ut via Exchange Online Protection.

Utgående søppelpost

søppelpost 10

Her kan du sette opp hvem som skal motta kopier av alle mistenkelige utgående meldinger. I tillegg kan du varsles om at avsendere i utgående meldinger som er identifisert som søppelpost, blokkeres.

Sluttbrukere og Outlook

søppelpost 11

I Outlook har brukere rike muligheter til å finjustere oppsettet for søppelpost. Det kan være smart å installere Microsoft Junk E-mail Reporting Add-in for Microsoft Outlook, så man kan rapportere direkte til Microsoft.

Konklusjon

Med standardinnstillingen kan du være rimelig trygg på at organisasjonen er godt beskyttet mot søppelpost. Men med en egendefinert konfigurasjon vil du kunne luke ut langt mer uønsket e-post. Vi stopper flere typer meldinger og får færre falske positiver. Samtidig gjør vi oss mindre sårbare for angrep. For vår del vil i anbefale at du i det minste skjelner mellom sannsynlig og svært sannsynlig søppelpost, så den henholdsvis flyttes til søppelpost-mappen og plasseres i karantene. Sånn blir uønskede meldinger lettere å håndtere. Til sjuende og sist er det opp til deg å vurdere hvilke policyer for søppelpostfiltre du ønsker å aktivere.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!