Call Blocking

Spam gibt es nicht nur bei Mail sondern auch beim Telefon. Diese Seite beschreibt die Möglichkeiten solche unerwünschten Anrufe zu unterdrücken.

Mittlerweile gibt es auch auf dem Backend einen Schutz gegen Spamanrufen. Siehe

Durch Benutzer

Mit Teams können ihre Anwender direkt aus dem Client unerwünschte Anrufer blocken. Sie gehen dazu einfach auf den Verlauf im Bereich "Anrufe" und über das Kontextmenü lässt sich der Eintrag blocken oder auch wieder freigeben.

Sie sehen hier, dass eine meiner Testnummern in Hövelhof geblockt ist. Im Hintergrund sendet der Teams-Client einen REST-Aufruf gegen folgende URL:

https://teams.microsoft.com/api/mt/part/msft/beta/userSettings/blocklist/manage

Die Authentifizierung erfolgt über das Bearer-Token des Anwenders und die Payload ist einfach die Rufunmmer als JSON-String:

Wenn ich eine Rufnummer "Entblocke", dann kommt hier ein "remove". Interessant ist auch die Antwort:

Die Änderung ist wohl noch nicht komplett aktiv, sondern muss im Backend noch irgendwo hingeschrieben oder repliziert werden. Auf dem Client sehe ich aber sofort das "blocked". Leider ist aus dem Request nun nicht ersichtlich, wo Teams genau diese Information auf dem Backend speichert.

SIP und geblockt

Wenn ich nun mit meiner geblockten Rufnummer das Ziel anrufe, dann bekomme ich sogar ein Freizeichen aber auf dem Client ist nichts zu sehen. Der Anrufer wird also komplett im Unklaren gelassen, warum niemand abhebt. Da die Zielrufnummer per Direct Routing angebunden ist, kann ich auch den Fehlercode sehen, der nach ca. 30 Sekunden generiert wird.

Ob nun der Q.850 Code=34 eine geschickte Wahl ist, lasse ich mal dahin gestellt sein. In diversen anderen Publikationen ist damit der Fehler "No Circuit/Channel Available" verbunden. Als Anrufer würde ich das als "Gassenbesetzt" interpretieren, d.h. irgendwo keine Leitung frei ist und ich es später noch mal versuchen sollte. Man könnte hier vielleicht einen "Q.850=21 Call rejected" senden, was aber böse Anrufer dann vielleicht durch einen Wechsel der Rufnummer umgehen wollen. Dann wäre aber ein "Q.850=18 User not responding" vielleicht die optimale Wahl.

Aktuell habe ich noch nicht

CSInbound BlockedNumberPattern

Also Firma würde ich natürlich auch gerne bestimmte Rufnummern zentral blockieren. Auch das geht mittlerweile, auch denn die Microsoft Dokumentation an vielen Stellen noch ein "Applies to: Skype for Business Online" hat.


Quelle: https://docs.microsoft.com/en-us/powershell/module/skype/get-csinboundblockednumberpattern?view=skype-ps (Jan 2022)

Die Befehle funktionieren aber auch mit Teams und da Skype for Business Online seit Herbst 2021 auch ausgelaufen ist, spricht nichts gegen den Einsatz mit Teams

PS C:\> get-command *-*block* | select name

Get-CsInboundBlockedNumberPattern
Get-CsTenantBlockedCallingNumbers
Get-CsTenantBlockedNumberExceptionPattern
New-CsInboundBlockedNumberPattern
New-CsTenantBlockedNumberExceptionPattern
Remove-CsInboundBlockedNumberPattern
Remove-CsTenantBlockedNumberExceptionPattern
Set-CsInboundBlockedNumberPattern
Set-CsTenantBlockedCallingNumbers
Set-CsTenantBlockedNumberExceptionPattern
Test-CsInboundBlockedNumberPattern
Get-CsBlockedDomain
New-CsBlockedDomain
Remove-CsBlockedDomain
Set-CsBlockedDomain

Wenn wir mal die "*-CsBlockedDomain"-Commandlets rauslassen, dann gibt es zwei Gruppen für blockierte Rufnummern:

Commandlet Funktion

CsInboundBlockedNumberPattern

Get-CsInboundBlockedNumberPattern
New-CsInboundBlockedNumberPattern
Set-CsInboundBlockedNumberPattern
Remove-CsInboundBlockedNumberPattern

Zeigt, addiert, modifiziert oder entfernt ein Nummernmuster in die tenantweite Blockliste.

  1. Get-CsInboundBlockedNumberPattern
    https://docs.microsoft.com/en-us/powershell/module/skype/get-csinboundblockednumberpattern?view=skype-ps

Globale Policy

Get-CsTenantBlockedCallingNumbers

Identity                     : Global
InboundBlockedNumberPatterns : {}
InboundExemptNumberPatterns  : {}
Enabled                      : True
Name                         : DefaultBlockedCallingNumbers

In der globalen Konfiguration gibt es dann mit "InboundBlockedNumberPatterns" und "InboundExemptNumberPatterns" zwei Arrays, in die dann die vorher gepflegten Patterns angezeigt  werden.

Dies ist aktuell die einzige und globale Richtlinie, über die die Funktion nur ein oder ausgeschaltet werden kann. Die Richtlinie selbst kann aktuell nicht geändert werden.

Bedenken sie, dass Änderungen bis zu 24h dauern können.

Damit sollte es einem fleißigen Administrator auch zentral möglich sein, gewisse Rufnummern zu blocken.

Spam Anrufe

Wenn Sie die Calling Policies im Teams Admin Center anschauen, dann finden sie auch hier die Option "Spamanrufe" zu unterbinden.

Die Einstellung ist pro "Calling Policy und kann daher auch über die Teams PowerShell gesetzt werden.

# Verbindung herstelen
Connect-MicrosoftTeams

# SpamFilterung auf der GLOBAL-Policy abschalten
Set-CsTeamsCallingPolicy `
   -Identity Global `
   -SpamFilteringEnabledType "Disabled"

# Weitere Optionen sind "Enabled" oder "EnabledWithoutIVR"

# Verbindung wieder trennen
Disconnect-MicrosoftTeams

Diese Funktion wurde im August 2021 auf die Roadmap gesetzt und im September verfügbar gemacht.

Zwischen GA und dann wirklich im Tenant sichtbar vergehen natürlich noch ein paar Wochen aber mittlerweile sollte jeder Tenant die Option haben, dass Teams die rufende Nummer gegen von Microsoft bereitgestellte Datenbanken prüft und ggfls. als Spamanruf kennzeichnet.

Angeblich nutzt Microsoft dazu die Dienste von Telesign, auch wenn es dazu keine öffentliche Aussage gibt
https://www.telesign.com/blog/how-do-we-detect-shady-phone-numbers-theres-an-api-for-that

 

SBC

Wer die TK-Anbindung nicht über die Microsoft Rufnummern betreibt, sondern einen eigenen Session Border Controller mit Direct Routing - Telefonie mit eigener SIP-Anbindung einsetzt, kann natürlich auch auf dem SBC solche Filter umsetzen. Der Vorteil ist hier, dass der SBC ja in ihrer eigenen Umgebung steht und damit auch LDAP oder HTTP-Anfragen gegen vorhandene Datenbanken möglich sind. Das ist viel flexibler und leistungsfähiger als eine statisch gepflegte Liste im Tenant oder durch den Anwender.

Mit wenige Aufwand können Sie sogar noch ihr ERP/CRM-System anbinden und z.B. zur gemeldeten Rufnummer noch den Kundennamen einblenden.

Wenn ihre TK-Anbindung über Operator Connect erfolgt, dann sollten Sie ihren Provider fragen, welchen "Spamschutz" er auf der Telefonie einrichten kann.

Daher nutzen wir bei Net at Work nicht die in Teams eingebaute Möglichkeit, sondern behandeln die Anrufe im SBC.

Weitere Links