Aktuelt og fagblogg

Office 365 – Avansert beskyttelse mot søppelpost

Evelon AS

Jon-Alfred Smith

Bilde av en postboks i en dør med teksten "No junk mail"

Alle innkommende og utgående meldinger for postbokser i Office 365 passerer gjennom Exchange Online Protection, skytjenesten som beskytter mot skadevare og søppelpost. Standardinnstillingene for å skjerme deg mot uønsket e-post dekker det grunnleggende. For bedre kontroll kan du tilpasse innstillingene og dra nytte av et stort utvalg funksjoner. Det er nettopp disse alternativene vi skal se nærmere på her, med råd og anbefalinger.

Egendefinert søppelpostfiltrering

I grove trekk er dette oppsettet rett ut av boksen: Potensielt uønskede meldinger og tvilsomme masseutsendelser flyttes til søppelpost-mappen, mens phishing-e-post plasseres i karantene. Vår tilpassede konfigurasjon omfatter disse funksjonene:

Aktivere Microsofts trygge liste, et abonnement på ulike tredjepartskilder for sikre avsendere. Meldinger fra dem oppfattes alltid som legitime og slippes igjennom uten videre kontroll.
Plassere søppelpost med høy visshet i karantene, sånn at vi holder den atskilt fra meldinger med lavere klarering.
Konfigurere søppelpostvarsler for sluttbrukere, så de selv kan holde styr på meldinger i karantene.
Sette opp blokkerings- og tillatelseslister for e-postadresser og domener.
Hindre internasjonal søppelpost ved å sperre for meldinger på forskjellige språk og eventuelt e-postservere i bestemte land og regioner.
Øke søppelpostrangeringen for meldinger som inneholder visse typer koblinger eller URL-adresser.
Markere e-postmeldinger med potensielt farlig kode som søppelpost, så som JavaScript og VBScript i HTML.
Klassifisere meldinger som søppelpost som feiler på kontrollen av SPF og betinget avsender-ID.
Overvåke om interne brukere sender ut spam, noe som kan tyde på kompromitterte kontoer eller overivrige medarbeidere.
Få med oss sluttbrukerne, så de er med på å bygge opp lister over sikre og blokkerte avsendere, samt rapportere spam direkte til Microsoft.

Før vi går i gang med selve konfigurasjonen, bør vi kaste en rask titt på hvordan meldinger kommer inn i Office 365-organisasjonen, og hva Microsoft gjør for å rangere dem.

Flere lag med beskyttelse

E-posten går gjennom flere beskyttelseslag før den når postboksene. Primært er det bare to lag som skal interessere oss her: Tilkoblingsfilteret stenger for typiske spammere, som utsendelser fra dynamiske IP-adresser som deles ut av Internett-leverandører. Her kan du angi tillatte og blokkerte adresser pluss velge om du vil bruke listen over sikre avsendere. Søppelpostfilteret foretar selve analysen ved å se etter nøkkelord i e-posten og ytre indikasjoner på spam. Microsoft skanner flere hundre milliarder meldinger i måneden (Ignite 2017) og har dermed et rikt materiale for stadig å forbedre tjenesten. I enkelte tilfeller klarer vi oss ikke helt uten regler for meldingsflyt (transportregler), som kan filtrere meldinger på en enda mer finkornet måte.

Klareringsnivåerfor søppelpost

Microsoft foretar en grovinndeling i fire nivåer. Klareringsnivå for søppelpost er den norske betegnelse for Spam Confidence Level (SCL), som angir terskelverdier for mulig søppelpost. Den endelige poengsummen bestemmer sannsynlighetsgraden av om det er søppelpost og i så fall hvilken type. Vi kan styre noe av dette selv ved hjelp av transportregler der vi setter en SCL-verdi.

To administrasjonsportaler

Det er to steder vi kan konfigurere beskyttelsen mot søppelpost. Microsoft er i ferd med å gi tjenester knyttet til sikkerhet, et nytt hjem i sikkerhets- og samsvarssenteret og samle dem der. Men fortsatt er administrasjonssenteret for Exchange det mest ryddige utgangspunktet. Her skal vi etter tur ta for oss tilkoblingsfilteret, søppelpostfilteret og utgående søppelpost. Du må logge deg på med nødvendige rettigheter, som global Office 365- eller Exchange-administrator.

Aktivere sikkerlisten

Det er bare én policy for hele organisasjonen. Dialogen er i utgangspunktet tom. Vesentlig for vårt scenario er at du krysser av for Aktiver sikkerliste og lagrer valget. Ellers kan du legge til IP-adresser du godtar meldinger fra, og som du ønsker å blokkere. Meldinger fra tillatte adresser får en SCL-verdi satt til -1, som betyr «Ikke søppelpost fra en pålitelig kilde». Meldinger fra en blokkert adresse gis SCL-verdien 9, «Oppdaget søppelpost med høy klarering».

Plassere søppelpost i karantene

Her redigerer vi default-policyen. Du kan ha flere knyttet til brukere, grupper eller domener – noe som også kommer godt med for testing før den endelige policyen rulles ut. Det har utviklet seg to skoler for meldinger som etter all sannsynlighet er søppelpost: de som sletter dem med det samme, og de som plasserer dem i karantene, der de oppbevares i inntil 15 dager. Andre alternativer er å legge til et X-hode for å behandle meldingene med transportregler, plassere en tekst på emnelinjen – [Mistenkelig e-post] – eller omdirigere meldinger til en annen e-postadresse.

For massehandlinger – nyhetsbrev, markedsføring og liknende – er standardinnstillingen god. Der er terskelverdien satt til 7, som betyr at man godtar det meste, annet enn fra suspekte aktører. Massemeldinger markeres oftest som søppelpost med terskel 1, mens terskel 9 gjør at mesteparten av massemeldingene leveres (bakvendt i forhold til SCL).

Konfigurere søppelpostvarsler

Klikk på Konfigurer varsler for sluttbruker-søppelpost. Aktiver tjenesten. Angi antall dager (1–15) mellom varselmeldinger. Hver varselmelding inkluderer en liste over meldinger i karantene siden forrige ble sendt. Velg varslingsspråk. Til å begynne med kan det være praktisk med daglige beskjeder for å så å gå over til et to eller tre dagers mellomrom.

Blokkerings- og tillatelseslister

Gå tilbake til default-policyen. I blokkeringslistene kan man legge til avsendere og domener. E-post fra disse vil alltid bli markert som søppelpost. E-post fra avsendere og domener på tillatelseslistene blir alltid levert til innboksen. I fanen Internasjonal søppelpost kan du filtrere bort meldinger skrevet på de språkene du angir. Du kan også blokkere meldinger som sendes fra bestemte land eller regioner – men vær noe forsiktig fordi det ikke er godt å vite hvor e-postserverne befinner seg.

Avanserte alternativer

Her finner du funksjoner for å heve søppelpostrangeringen for meldinger med koblinger eller nettadresser, samt markere meldinger med bestemte egenskaper som søppelpost.

Hev søppelpostrangering

Meldingen får en økt søppelpostpoengsum når én eller flere av disse funksjonene slås på. Men det betyr ikke at den nødvendigvis oppfattes som spam. Anbefalingene er sånn som på skjermbildene:

Bildekoblinger til eksterne områder – brukes ofte i e-postsignaturer.
Numerisk IP-adresse i URL – kan føre til problemer med tjenester som varslingsmeldinger fra UPS.
URL-omdirigering til annen port – ingen grunn til å bruke ikke-standard porter.
URL til .biz- eller .info-nettsteder – nesten aldri legitim e-post.

Marker som søppelpost

Tomme meldinger – uansett ubrukelige uten emne, brødtekst eller vedlegg.
JavaScript eller VBScript i HTML – aktivt innhold er for risikabelt.
Frame- eller IFrame-koder i HTML – også risikabelt.
Object-koder i HTML – programtillegg eller programmer kjøres i et vindu i HTML.
Embed-koder i HTML – slå kontrollen på for å kjøre innebygde datatyper som lyd, filmer eller bilder.
Form-koder i HTML – brukes til å opprette nettstedskjemaer. E-postannonsering inkluderer ofte denne koden for å anmode informasjon fra mottakeren. Mulig du trenger å slå den på.
Nettsignal i HTML –et objekt som er bygget inn i en nettside eller en e-postmelding. Den gir beskjed om en bruker har vist nettsiden eller lest e-posten.
Bruk sensitiv ordliste – ord fra listen over sensitive ord.
SPF-post: kritisk feil – hindrer nettfiskingsmeldinger. Krever at SPF er riktig konfigurert for domenene dine.
Betinget filtrering av avsender-ID – skru det på som ytterligere beskyttelse mot nettfiske. Dette alternativet kombinerer en SPF-sjekk med kontroll av avsender-ID for å beskytte brukeren mot meldingshoder som inneholder forfalskede avsendere.
NDR-backscatter – brukes ikke hvis alle utgående meldinger sendes ut via Exchange Online Protection.

Utgående søppelpost

Her kan du sette opp hvem som skal motta kopier av alle mistenkelige utgående meldinger. I tillegg kan du varsles om at avsendere i utgående meldinger som er identifisert som søppelpost, blokkeres.

Sluttbrukere og Outlook

I Outlook har brukere rike muligheter til å finjustere oppsettet for søppelpost. Det kan være smart å installere Microsoft Junk E-mail Reporting Add-in for Microsoft Outlook, så man kan rapportere direkte til Microsoft.

Konklusjon

Med standardinnstillingen kan du være rimelig trygg på at organisasjonen er godt beskyttet mot søppelpost. Men med en egendefinert konfigurasjon vil du kunne luke ut langt mer uønsket e-post. Vi stopper flere typer meldinger og får færre falske positiver. Samtidig gjør vi oss mindre sårbare for angrep. For vår del vil i anbefale at du i det minste skjelner mellom sannsynlig og svært sannsynlig søppelpost, så den henholdsvis flyttes til søppelpost-mappen og plasseres i karantene. Sånn blir uønskede meldinger lettere å håndtere. Til sjuende og sist er det opp til deg å vurdere hvilke policyer for søppelpostfiltre du ønsker å aktivere.

Publisert: 29. juni 2018

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!

Ta kontakt

Relevante kundeprosjekter

Dette leverer vi for våre kunder

Microsoft 365 Sikkerhet Datasenter

Å bygge for fremtiden: Hvorfor skytjenester var et naturlig valg for dette merkevarehuset

CEG så tidlig at det å leie eller kjøpe tjenester fra leverandører var mer kostnadseffektivt, og det var en bonus at andre kunne ta seg av driften.

Bilde av 4 personer som sitter forsann en laptop

Microsoft 365 Sikkerhet Brukersupport

Regnkapsbyrå i vekst med behov for en skalerbar og sikker IT-løsning

Uten egen IT-ansvarlig var det viktig å ha en partner som kunne gi kloke anbefalinger, god brukersupport og som kunne hjelpe med en skalerbar og sikker IT-løsning rigget for vekst.

Brukersupport Microsoft 365

Rekrutteringsaktør med behov for brukersupport

Poolia er en nordisk bemannings -og rekrutteringsaktør med over 50 kontorer i Norden. De har fått en moderne IT-plattform med fokus på brukervennlighet.

Mer fra fagbloggen

Få faglig påfyll og bli inspirert!

Microsoft 365 Tips og triks

Få mindre søppelpost i Outlook

I Outlook så finnes det en funksjon som lar deg rapportere mistenkelige meldinger til Microsoft. Når du bruker denne funksjonen bidrar du til at Microsoft forbedrer sine filtre, men samtidig bidrar br...

Jannie Johnsen, Ansvarlig Kundereisen

23. april 2024

Microsoft 365 Microsoft Teams

Samarbeid bedre med Microsoft Loop

Superladet med kunstig intelligens, er Microsoft Loop bygget for måten vi nå jobber på.

Trine Gutubakken, Markedskoordinator

19. april 2024

Bilde av en mann som smiler og teksten bli mer produktiv og sikker ved å bruke Microsoft 365 bedre

Aktuelt Microsoft 365

Lynkurs i Microsoft 365

Velkommen til et lynkurs om hvordan du kan få bedre utnyttelse av ditt Microsoft 365 abonnement. I denne to timers workshopen vil vi fortelle deg om hvorfor Microsoft 365 Business Premium er den mest...

Jannie Johnsen, Ansvarlig Kundereisen

18. mars 2024