Správa povolených a blokovaných položek v seznamu povolených/blokovaných tenantů

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Důležité

Pokud chcete povolit adresy URL útoků phishing, které jsou součástí trénování simulace útoků třetích stran, použijte k určení adres URL pokročilou konfiguraci doručení . Nepoužívejte seznam povolených/blokovaných tenantů.

V organizacích Microsoft 365 s poštovními schránkami v Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek můžete nesouhlasit s EOP nebo Microsoft Defender pro Office 365 filtrování verdiktu. Dobrá zpráva může být například označena jako špatná (falešně pozitivní) nebo může být špatná zpráva povolena (falešně negativní).

Seznam povolených/blokovaných tenantů na portálu Microsoft Defender umožňuje ručně přepsat verdikty filtrování Defender pro Office 365 nebo EOP. Seznam se používá při toku pošty pro příchozí zprávy od externích odesílatelů.

Seznam povolených/blokovaných tenantů se nevztahuje na interní zprávy v rámci organizace. Blokované položky domén a e-mailových adres ale brání uživatelům v organizaci v odesílání e-mailů na tyto blokované domény a adresy.

Seznam povolených/blokovaných tenantů je k dispozici na portálu Microsoft Defender v části https://security.microsoft.com> Pravidla v části Zásady&>Zásady zásad Seznamy hrozeb–>Povolit/Blokovat tenanta. Pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte https://security.microsoft.com/tenantAllowBlockList.

Pokyny k použití a konfiguraci najdete v následujících článcích:

• Domény a e-mailové adresy a zfalšovaní odesílatelé: Povolí nebo zablokuje e-maily pomocí seznamu povolených/blokovaných klientů.
• Soubory: Povolení nebo blokování souborů pomocí seznamu povolených/blokovaných tenantů
• Adresy URL: Povolí nebo zablokuje adresy URL pomocí seznamu povolených/blokovaných tenantů.

Tyto články obsahují postupy na portálu Microsoft Defender a v PowerShellu.

Blokované položky v seznamu povolených nebo blokovaných tenantů

Poznámka

V seznamu povolených/blokovaných tenantů mají položky bloků přednost před položkami povolenými.

Pomocí stránky Odeslání (označované také jako odeslání správce) na adrese https://security.microsoft.com/reportsubmission vytvořte blokové položky pro následující typy položek, které hlásíte společnosti Microsoft jako falešně negativní:

• Domény a e-mailové adresy:

  • Email zprávy od těchto odesílatelů se označí jako vysoce důvěryhodné útoky phishing a pak se přesunou do karantény.
  • Uživatelé v organizaci nemůžou odesílat e-maily na tyto blokované domény a adresy. Obdrží následující zprávu o nedoručení (označované také jako oznámení o nedoručení nebo nedoručení): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Celá zpráva se zablokuje pro všechny interní i externí příjemce zprávy, a to i v případě, že je v blokované položce definovaná jenom jedna e-mailová adresa příjemce nebo doména.

  Tip

  Pokud chcete blokovat jenom spam od určitého odesílatele, přidejte e-mailovou adresu nebo doménu do seznamu blokovaných v zásadách ochrany proti spamu. Pokud chcete zablokovat všechny e-maily od odesílatele, použijte domény a e-mailové adresy v seznamu povolených/blokovaných klientů.

• Soubory: Email zprávy, které obsahují tyto blokované soubory, jsou blokované jako malware. Zprávy obsahující blokované soubory se umístí do karantény.

• Adresy URL: Email zprávy, které obsahují tyto blokované adresy URL, se blokují jako vysoce důvěryhodný phishing. Zprávy obsahující blokované adresy URL se umístí do karantény.

V seznamu povolených/blokovaných klientů můžete také přímo vytvářet blokové položky pro následující typy položek:

• Domény a e-mailové adresy, soubory a adresy URL.

• Zfalšovaní odesílatelé: Pokud ručně přepíšete existující povolený verdikt z falšování identity, stane se blokovaný zfalšovaný odesílatel položkou ručního blokování, která se zobrazí jenom na kartě Zfalšovaní odesílatelé v seznamu povolených /blokovaných klientů.

Ve výchozím nastavení vyprší platnost blokovaných položek domén a e-mailových adres, souborů a adres URL po 30 dnech, ale můžete je nastavit tak, aby vypršela až 90 dnů nebo nikdy nevyprší. Platnost blokovaných položek pro zfalšované odesílatele nikdy nevyprší .

Povolit položky v seznamu povolených/blokovaných tenantů

Ve většině případů nemůžete přímo vytvořit položky povolení v seznamu povolených/blokovaných tenantů:

• Domény a e-mailové adresy, soubory a adresy URL: Položky povolení není možné vytvářet přímo v seznamu povolených/blokovaných klientů. Místo toho použijete stránku Odeslání na adrese https://security.microsoft.com/reportsubmission k nahlášení e-mailu, přílohy e-mailu nebo adresy URL společnosti Microsoft jako By nemělo být zablokované (falešně pozitivní).

• Zfalšovaní odesílatelé:

  • Pokud už informace o falšování identity zablokovaly zprávu jako falšování identity, použijte stránku Odeslání na adrese https://security.microsoft.com/reportsubmission a nahlastemicrosoftu e-mail jako Měl by být blokovaný (falešně pozitivní).
  • Můžete proaktivně vytvořit záznam povolení pro zfalšovaného odesílatele na kartě Zfalšovaný odesílatel v seznamu povolených/blokovaných klientů předtím, než informace o falšování identity identifikují a zablokují zprávu jako falšování identity.

Následující seznam popisuje, co se stane v seznamu povolených nebo blokovaných tenantů, když microsoftu něco nahlásíte jako falešně pozitivní na stránce Odeslání :

• Email přílohy a adresy URL: Vytvoří se položka povolení a položka se zobrazí na kartě Soubory nebo adresy URL v seznamu povolených nebo blokovaných položek tenanta.

  Pro adresy URL hlášené jako falešně pozitivní povolíme následné zprávy, které obsahují varianty původní adresy URL. Můžete například použít stránku Odeslání k nahlášení nesprávně blokované adresy URL www.contoso.com/abc. Pokud vaše organizace později obdrží zprávu, která obsahuje adresu URL (například, ale nikoli výhradně: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5nebo www.contoso.com/abc/whatever), nebude zpráva na základě adresy URL zablokovaná. Jinými slovy, nemusíte microsoftu hlásit více variant stejné adresy URL.

• Email: Pokud byla zpráva blokována zásobníkem EOP nebo Defender pro Office 365 filtrování, může se v seznamu povolených nebo blokovaných tenantů vytvořit položka povolení:

  • Pokud zprávu zablokovala funkce falšování identity, vytvoří se položka povolení pro odesílatele a položka se zobrazí na kartě Falšovaní odesílatelé v seznamu povolených /blokovaných klientů.
  • Pokud byla zpráva blokována ochranou před zosobněním uživatelem (nebo grafem) v Defender pro Office 365, položka povolení se nevytvořila v seznamu povolených/blokovaných tenantů. Místo toho se doména nebo odesílatel přidá do části Důvěryhodní odesílatelé a domény v zásadách ochrany proti útokům phishing , které zprávu detekovaly.
  • Pokud se zpráva zablokovala kvůli filtrům založeným na souborech, vytvoří se položka povolení pro soubor a položka se zobrazí na kartě Soubory v seznamu povolených/blokovaných klientů.
  • Pokud se zpráva zablokovala kvůli filtrům založeným na adrese URL, vytvoří se položka povolení pro adresu URL a položka se zobrazí na kartě ADRESA URL v seznamu povolených/blokovaných klientů.
  • Pokud se zpráva zablokovala z nějakého jiného důvodu, vytvoří se položka povolení pro e-mailovou adresu odesílatele nebo doménu a položka se zobrazí na kartě Domény & adresy v seznamu povolených/blokovaných klientů.
  • Pokud zpráva nebyla zablokovaná kvůli filtrování, nikde se nevytvořily žádné položky povolení.

Ve výchozím nastavení existují položky povolení pro domény a e-mailové adresy, soubory a adresy URL po dobu 30 dnů. Během těchto 30 dnů se Microsoft z povolených položek učí a odebere je nebo je automaticky prodlouží. Jakmile se Microsoft z odebraných položek allow poučí, doručí se zprávy obsahující tyto entity, pokud se ve zprávě nezjistí něco jiného jako škodlivé. Ve výchozím nastavení nikdy nevyprší platnost povolených položek pro zfalšované odesílatele.

Důležité

Microsoft neumožňuje přímé vytváření položek povolení. Nepotřebné položky povolení vystavují vaši organizaci škodlivému e-mailu, který by mohl být filtrován systémem.

Microsoft spravuje vytváření položek povolení ze stránky Odeslání na adrese https://security.microsoft.com/reportsubmission. Povolené položky se přidávají během toku pošty na základě filtrů, které určily, že zpráva je škodlivá. Pokud se například e-mailová adresa odesílatele a adresa URL ve zprávě zjistí, že jsou špatné, vytvoří se položka povolení pro odesílatele (e-mailová adresa nebo doména) a adresu URL.

Když se entita znovu zobrazí (během toku pošty nebo kliknutí), všechny filtry přidružené k této entitě se přeskočí.

Pokud zprávy obsahující povolenou entitu projdou dalšími kontrolami v zásobníku filtrování, doručí se během toku pošty. Pokud například zpráva projde kontrolami ověření e-mailu, filtrováním adres URL a filtrováním souborů, doručí se zpráva z e-mailové adresy povoleného odesílatele.

Co očekávat po přidání položky povolení nebo blokování

Po přidání položky povolené na stránce Odeslání nebo blokové položky v seznamu povolených /blokovaných klientů by tato položka měla začít fungovat okamžitě (do 5 minut).

Pokud se Microsoft poučil z položky povolit, položka se odebere. Zobrazí se upozornění na odebrání nyní nepotřebné položky povolit z předdefinovaných zásad upozorněnís názvem Odebraná položka ze seznamu povolených/blokovaných klientů.