Správa povolených a blokovaných položek v seznamu povolených/blokovaných tenantů

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defenderu XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defenderu pro Office 365 v centru zkušebních verzí portálu Microsoft Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Důležité

Pokud chcete povolit adresy URL útoků phishing, které jsou součástí trénování simulace útoků třetích stran, použijte k určení adres URL pokročilou konfiguraci doručení . Nepoužívejte seznam povolených/blokovaných tenantů.

V organizacích Microsoftu 365 s poštovními schránkami v Exchangi Online nebo v samostatných organizacích Exchange Online Protection (EOP) bez poštovních schránek Exchange Online můžete nesouhlasit s verdiktem filtrování EOP nebo Microsoft Defenderu pro Office 365. Dobrá zpráva může být například označena jako špatná (falešně pozitivní) nebo může být špatná zpráva povolena (falešně negativní).

Seznam povolených/blokovaných tenantů na portálu Microsoft Defender vám umožňuje ručně přepsat verdikty filtrování Defenderu pro Office 365 nebo EOP. Seznam se používá při toku pošty pro příchozí zprávy od externích odesílatelů.

Seznam povolených/blokovaných tenantů se nevztahuje na interní zprávy odeslané v rámci organizace. Blokované položky pro domény a e-mailové adresy ale také brání uživatelům v organizaci v odesílání e-mailů na tyto blokované domény a adresy.

Seznam povolených/blokovaných tenantů je k dispozici na portálu Microsoft Defender v části https://security.microsoft.comZásadyspolupráce >e-mailu && pravidla >zásad hrozeb Pravidla zásad> hrozeb v části>Seznamy povolených/blokovaných klientů. Nebo pokud chcete přejít přímo na stránku Seznamy povolených nebo blokovaných tenantů, použijte .https://security.microsoft.com/tenantAllowBlockList

Pokyny k použití a konfiguraci najdete v následujících článcích:

• Domény a e-mailové adresy a zfalšovaní odesílatelé: Povolí nebo zablokuje e-maily pomocí seznamu povolených/blokovaných klientů.
• Soubory: Povolení nebo blokování souborů pomocí seznamu povolených/blokovaných tenantů
• Adresy URL: Povolí nebo zablokuje adresy URL pomocí seznamu povolených/blokovaných tenantů.

Tyto články obsahují postupy na portálu Microsoft Defender a v PowerShellu.

Blokované položky v seznamu povolených nebo blokovaných tenantů

Tip

V seznamu povolených/blokovaných tenantů mají položky bloků přednost před položkami povolenými.

Pomocí stránky Odeslání (označované také jako odeslání správce) na adrese https://security.microsoft.com/reportsubmission vytvořte blokové položky pro následující typy položek, které hlásíte společnosti Microsoft jako falešně negativní:

• Domény a e-mailové adresy:

  • E-mailové zprávy od těchto odesílatelů se označí jako vysoce důvěryhodné útoky phishing a pak se přesunou do karantény.
  • Uživatelé v organizaci nemůžou odesílat e-maily na tyto blokované domény a adresy. Obdrží následující zprávu o nedoručení (označované také jako oznámení o nedoručení nebo nedoručení): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Celá zpráva se zablokuje pro všechny interní i externí příjemce zprávy, a to i v případě, že je v blokované položce definovaná jenom jedna e-mailová adresa příjemce nebo doména.

  Tip

  Pokud chcete blokovat jenom spam od určitého odesílatele, přidejte e-mailovou adresu nebo doménu do seznamu blokovaných v zásadách ochrany proti spamu. Pokud chcete zablokovat všechny e-maily od odesílatele, použijte domény a e-mailové adresy v seznamu povolených/blokovaných klientů.

• Soubory: E-mailové zprávy, které obsahují tyto blokované soubory, jsou blokované jako malware. Zprávy obsahující blokované soubory se umístí do karantény.

• Adresy URL: E-mailové zprávy, které obsahují tyto blokované adresy URL, se blokují jako vysoce důvěryhodný phishing. Zprávy obsahující blokované adresy URL se umístí do karantény.

V seznamu povolených/blokovaných klientů můžete také přímo vytvářet blokové položky pro následující typy položek:

• Domény a e-mailové adresy, soubory a adresy URL.

• Zfalšovaní odesílatelé: Pokud ručně přepíšete existující povolený verdikt z falšování identity, stane se blokovaný zfalšovaný odesílatel položkou ručního blokování, která se zobrazí jenom na kartě Zfalšovaní odesílatelé v seznamu povolených /blokovaných klientů.

Ve výchozím nastavení vyprší platnost blokovaných položek domén a e-mailových adres, souborů a adres URL po 30 dnech, ale můžete je nastavit tak, aby vypršela až 90 dnů nebo nikdy nevyprší. Platnost blokovaných položek pro zfalšované odesílatele nikdy nevyprší .

Povolit položky v seznamu povolených/blokovaných tenantů

Ve většině případů nemůžete přímo vytvořit položky povolení v seznamu povolených/blokovaných tenantů:

• Domény a e-mailové adresy, soubory a adresy URL: Položky povolení není možné vytvářet přímo v seznamu povolených/blokovaných klientů. Místo toho použijete stránku Odeslání na adrese https://security.microsoft.com/reportsubmission k nahlášení e-mailu, přílohy e-mailu nebo adresy URL společnosti Microsoft jako By nemělo být zablokované (falešně pozitivní).

• Zfalšovaní odesílatelé:

  • Pokud už inteligentní falšování zablokovalo zprávu jako falšování identity, použijte stránku Odeslání na adrese https://security.microsoft.com/reportsubmission a nahlaste microsoftu e-mail jako Měl by být blokovaný (falešně pozitivní).
  • Můžete proaktivně vytvořit záznam povolení pro zfalšovaného odesílatele na kartě Zfalšovaný odesílatel v seznamu povolených/blokovaných klientů předtím, než informace o falšování identity identifikují a zablokují zprávu jako falšování identity.

Následující seznam popisuje, co se stane v seznamu povolených nebo blokovaných tenantů, když microsoftu něco nahlásíte jako falešně pozitivní na stránce Odeslání :

• E-mailové přílohy a adresy URL: Vytvoří se položka povolení a položka se zobrazí na kartě Soubory nebo adresy URL v seznamu povolených nebo blokovaných klientů.

  Pro adresy URL hlášené jako falešně pozitivní povolujeme následné zprávy, které obsahují varianty původní adresy URL. Můžete například použít stránku Odeslání k nahlášení nesprávně blokované adresy URL www.contoso.com/abc. Pokud vaše organizace později obdrží zprávu, která obsahuje adresu URL (například, ale nikoli výhradně www.contoso.com/abc: , www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5nebo www.contoso.com/abc/whatever), nebude zpráva na základě adresy URL zablokovaná. Jinými slovy, nemusíte microsoftu hlásit více variant stejné adresy URL.

• E-mail: Pokud e-mail zablokoval filtr EOP nebo Defender for Office 365, může se v seznamu povolených nebo blokovaných tenantů vytvořit položka povolení:

  • Pokud zprávu zablokovala funkce falšování identity, vytvoří se položka povolení pro odesílatele a položka se zobrazí na kartě Falšovaní odesílatelé v seznamu povolených /blokovaných klientů.
  • Pokud zprávu zablokovala ochrana před zosobněním uživatele (nebo grafu) v Defenderu pro Office 365, v seznamu povolených/blokovaných tenantů se nevytvořila položka povolení. Místo toho se doména nebo odesílatel přidá do části Důvěryhodní odesílatelé a domény v zásadách ochrany proti útokům phishing , které zprávu detekovaly.
  • Pokud se zpráva zablokovala kvůli filtrům založeným na souborech, vytvoří se položka povolení pro soubor a položka se zobrazí na kartě Soubory v seznamu povolených/blokovaných klientů.
  • Pokud se zpráva zablokovala kvůli filtrům založeným na adrese URL, vytvoří se položka povolení pro adresu URL a položka se zobrazí na kartě ADRESA URL v seznamu povolených/blokovaných klientů.
  • Pokud se zpráva zablokovala z nějakého jiného důvodu, vytvoří se položka povolení pro e-mailovou adresu odesílatele nebo doménu a položka se zobrazí na kartě Domény & adresy v seznamu povolených/blokovaných klientů.
  • Pokud zpráva nebyla zablokovaná kvůli filtrování, nikde se nevytvořily žádné položky povolení.

Ve výchozím nastavení existují položky povolení pro domény a e-mailové adresy, soubory a adresy URL po dobu 30 dnů. Během těchto 30 dnů se Microsoft z povolených položek učí a odebere je nebo je automaticky prodlouží. Jakmile se Microsoft z odebraných položek povolení dozví, doručí se zprávy obsahující tyto entity, pokud se ve zprávě nezjistí něco jiného jako škodlivé. Ve výchozím nastavení nikdy nevyprší platnost povolených položek pro zfalšované odesílatele.

Důležité

Microsoft neumožňuje vytvářet položky povolení přímo. Nepotřebné položky povolení vystavují vaši organizaci škodlivému e-mailu, který by mohl být filtrován systémem.

Microsoft spravuje vytváření položek povolení ze stránky Odeslání na adrese https://security.microsoft.com/reportsubmission. Povolené položky se přidávají během toku pošty na základě filtrů, které určily, že zpráva je škodlivá. Pokud se například e-mailová adresa odesílatele a adresa URL ve zprávě zjistí, že jsou špatné, vytvoří se položka povolení pro odesílatele (e-mailová adresa nebo doména) a adresu URL.

Když se entita znovu zobrazí (během toku pošty nebo kliknutí), všechny filtry přidružené k této entitě se přeskočí.

Pokud zprávy obsahující povolenou entitu projdou během toku pošty jinými kontrolami v zásobníku filtrování, doručí se zprávy. Pokud například zpráva projde kontrolami ověření e-mailu, filtrováním adres URL a filtrováním souborů, doručí se zpráva z e-mailové adresy povoleného odesílatele.

Co očekávat po přidání položky povolení nebo blokování

Po přidání položky povolené na stránce Odeslání nebo blokové položky v seznamu povolených /blokovaných klientů by tato položka měla začít fungovat okamžitě (do 5 minut).

Pokud se Microsoft poučil z položky povolit, předdefinovaná zásada upozorněnís názvem Odebrala položku v seznamu povolených/blokovaných klientů vygeneruje upozornění při odebrání (nyní nepotřebné) povolené položky.