Povolení nebo blokování e-mailů pomocí seznamu povolených nebo blokovaných klientů

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

V organizacích Microsoft 365 s poštovními schránkami v Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek můžou správci vytvářet a spravovat položky pro domény a e-mailové adresy (včetně zfalšovaných odesílatelů) v seznamu povolených/blokovaných klientů. Další informace o seznamu povolených/blokovaných tenantů najdete v tématu Správa povolených a blokovaných bloků v seznamu povolených/blokovaných tenantů.

Tento článek popisuje, jak můžou správci spravovat položky pro odesílatele e-mailů na portálu Microsoft Defender a v Exchange Online PowerShellu.

Co potřebujete vědět, než začnete?

  • Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte https://security.microsoft.com/tenantAllowBlockList. Pokud chcete přejít přímo na stránku Odeslání , použijte https://security.microsoft.com/reportsubmission.

  • Pokud se chcete připojit k Exchange Online PowerShellu, přečtěte si téma Připojení k Exchange Online PowerShellu. Informace o připojení k samostatnému prostředí PowerShell EOP najdete v tématu Připojení k Exchange Online Protection PowerShellu.

  • Limity položek pro domény a e-mailové adresy:

    • Exchange Online Protection: Maximální počet povolených položek je 500 a maximální počet položek bloku je 500 (celkem 1 000 položek domény a e-mailové adresy).
    • Defender pro Office 365 Plán 1: Maximální počet povolených položek je 1000 a maximální počet položek bloku je 1000 (celkem 2000 položek domény a e-mailové adresy).
    • Defender pro Office 365 Plán 2: Maximální počet povolených položek je 5000 a maximální počet položek bloku je 10000 (celkem 15 000 položek domény a e-mailové adresy).

  • U zfalšovaných odesílatelů je maximální počet povolených a blokových položek 1024 (1024 povolených položek a bez položek bloku, 512 povolených položek a 512 položek bloku atd.).

  • Platnost položek pro zfalšované odesílatele nikdy nevyprší.

  • Podrobnosti o syntaxi položek zfalšovaných odesílatelů najdete v části Syntaxe páru domén pro položky zfalšovaného odesílatele dále v tomto článku.

  • Položka by měla být aktivní do 5 minut.

  • Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Máte následující možnosti:

    • Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC) (týká se jenom portálu Defenderu, ne PowerShellu): Autorizace a nastavení / Nastavení zabezpečení / Ladění detekce (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).
    • Exchange Online oprávnění:
      • Přidejte a odeberte položky ze seznamu povolených/blokovaných tenantů: Členství v jedné z následujících skupin rolí:
        • Správa organizace nebo správce zabezpečení (role správce zabezpečení).
        • Security Operator (Tenant AllowBlockList Manager).
      • Přístup jen pro čtení k seznamu povolených/blokovaných tenantů: Členství v jedné z následujících skupin rolí:
        • Globální čtenář
        • Čtenář zabezpečení
        • Konfigurace jen pro zobrazení
        • Správa organizace jen pro zobrazení
    • Microsoft Entra oprávnění: Členství v rolích globálního správce, správce zabezpečení, globálního čtenáře nebo čtenáře zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.

Domény a e-mailové adresy v seznamu povolených/blokovaných tenantů

Create povolit položky pro domény a e-mailové adresy

Položky povolení pro domény a e-mailové adresy nemůžete vytvářet přímo v seznamu povolených/blokovaných tenantů. Nepotřebné položky povolení vystavují vaši organizaci škodlivému e-mailu, který by byl filtrován systémem.

Místo toho použijete kartu E-maily na stránce Odeslání na adrese https://security.microsoft.com/reportsubmission?viewid=email. Když odešlete zablokovanou zprávu s chybou Nemělo být zablokované (falešně pozitivní), přidá se na kartu Domény & e-mailové adresy na stránce Povolit/Blokovat Seznamy tenanta záznam povolení pro odesílatele. Pokyny najdete v tématu Odeslání dobrého e-mailu do Microsoftu.

Poznámka

Položky Povolení se přidávají na základě filtrů, které určily, že zpráva byla během toku pošty škodlivá. Pokud se například e-mailová adresa odesílatele a adresa URL ve zprávě zjistí, že jsou špatné, vytvoří se položka povolení pro odesílatele (e-mailová adresa nebo doména) a adresu URL.

Když se entita v položce povolit znovu zobrazí (během toku pošty nebo při kliknutí), všechny filtry přidružené k této entitě se přepíšou.

Ve výchozím nastavení existují položky povolení pro domény a e-mailové adresy po dobu 30 dnů. Během těchto 30 dnů se Microsoft z povolených položek učí a odebere je nebo je automaticky prodlouží. Jakmile se Microsoft z odebraných položek povolení dozví, doručí se zprávy obsahující tyto entity, pokud se ve zprávě nezjistí něco jiného jako škodlivé.

Pokud zprávy obsahující povolenou entitu projdou dalšími kontrolami v zásobníku filtrování, doručí se během toku pošty. Pokud například zpráva projde kontrolami ověření e-mailu, filtrováním adres URL a filtrováním souborů, doručí se zpráva, pokud je také od povoleného odesílatele.

Create blokované položky pro domény a e-mailové adresy

Pokud chcete vytvořit blokované položky pro domény a e-mailové adresy, použijte některou z následujících metod:

  • Na kartě E-maily na stránce Odeslání na adrese https://security.microsoft.com/reportsubmission?viewid=email. Když odešlete zprávu s chybou Měla být zablokovaná (falešně negativní), můžete výběrem možnosti Blokovat všechny e-maily od tohoto odesílatele nebo domény přidat položku blokování na kartu Domény & e-mailové adresy na stránce povolit/blokovat Seznamy tenanta. Pokyny najdete v tématu Nahlášení pochybných e-mailů microsoftu.

  • Na kartě Domény & adresy na stránce Povolit nebo blokovat Seznamy tenanta nebo v PowerShellu, jak je popsáno v této části.

Pokud chcete vytvořit blokové položky pro zfalšované odesílatele, přečtěte si tuto část dále v tomto článku.

Email od těchto blokovaných odesílatelů se označí jako vysoce důvěryhodné útoky phishing a jsou v karanténě.

Poznámka

V současné době nejsou blokované subdomény zadané domény. Pokud například vytvoříte blokovanou položku pro e-maily z contoso.com, nebude blokovaná ani pošta z marketing.contoso.com. Pro marketing.contoso.com musíte vytvořit samostatnou položku bloku.

Uživatelé v organizaci také nemůžou odesílat e-maily na tyto blokované domény a adresy. Zpráva se vrátí v následující zprávě o nedoručení (označované také jako oznámení o nedoručení nebo nedoručení): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Celá zpráva je blokovaná pro všechny interní i externí příjemce zprávy, i když je v blokované položce definovaná jenom jedna e-mailová adresa příjemce nebo doména.

Pomocí portálu Microsoft Defender vytvořte položky bloků pro domény a e-mailové adresy v seznamu povolených/blokovaných tenantů.

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>zásad> hrozebPravidla zásad hrozeb– >Povolení nebo blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

  2. Na stránce Povolit/blokovat Seznamy tenanta ověřte, že je vybraná karta Domény & adresy.

  3. Na kartě Domains & addresses (Domény & adresy) vyberte Block (Blokovat).

  4. V rozevíracím rámečku Blokovat domény & adresy , který se otevře, nakonfigurujte následující nastavení:

    • Domény & adresy: Zadejte jednu e-mailovou adresu nebo doménu na řádek, maximálně 20.

    • Odebrat položku bloku po: Vyberte z následujících hodnot:

      • 1 den
      • 7 dní
      • 30 dnů (výchozí)
      • Nikdy nevyprší platnost
      • Konkrétní datum: Maximální hodnota je 90 dnů od dnešního dne.

    • Volitelná poznámka: Zadejte popisný text, proč blokujete e-mailové adresy nebo domény.

  5. Až skončíte v rozevíracím rámečku Blokovat domény & adresy , vyberte Přidat.

Zpátky na kartě Domény & e-mailové adresy je položka uvedená.

Použití PowerShellu k vytvoření položek bloků pro domény a e-mailové adresy v seznamu povolených nebo blokovaných tenantů

V Exchange Online PowerShellu použijte následující syntaxi:

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Tento příklad přidá položku bloku pro zadanou e-mailovou adresu, která vyprší k určitému datu.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Podrobné informace o syntaxi a parametrech najdete v tématu New-TenantAllowBlockListItems.

Pomocí portálu Microsoft Defender můžete zobrazit položky domén a e-mailových adres v seznamu povolených/blokovaných tenantů.

Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>Zásady> hrozeb– Povolit nebo blokovat Seznamy tenanta v části Pravidla. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

Ověřte, že je vybraná karta Domény & adresy .

Na kartě Domains & addresses (Domény & adresy ) můžete položky seřadit kliknutím na dostupné záhlaví sloupce. K dispozici jsou následující sloupce:

  • Hodnota: Doména nebo e-mailová adresa.
  • Akce: Hodnota Povolit nebo Blokovat.
  • Autor změny
  • Poslední aktualizace
  • Odebrat dne: Datum vypršení platnosti.
  • Poznámky

Pokud chcete položky filtrovat, vyberte Filtr. V informačním rámečku Filtr , který se otevře, jsou k dispozici následující filtry:

  • Akce: Hodnoty jsou Allow (Povolit ) a Block (Blokovat).
  • Nikdy nevyprší platnost: nebo
  • Poslední aktualizace: Vyberte data Od a Do .
  • Odebrat dne: Vyberte data Od a Do .

Až skončíte v informačním rámečku Filtr , vyberte Použít. Pokud chcete filtry vymazat, vyberte Vymazat filtry.

K vyhledání konkrétních položek použijte pole Search a odpovídající hodnotu.

Pokud chcete položky seskupit, vyberte Seskupit a pak vyberte Akce. Pokud chcete položky oddělit, vyberte Žádné.

Zobrazení položek domén a e-mailových adres v seznamu povolených/blokovaných tenantů pomocí PowerShellu

V Exchange Online PowerShellu použijte následující syntaxi:

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

Tento příklad vrátí všechny položky povolení a blokování pro domény a e-mailové adresy.

Get-TenantAllowBlockListItems -ListType Sender

Tento příklad filtruje výsledky pro položky bloku pro domény a e-mailové adresy.

Get-TenantAllowBlockListItems -ListType Sender -Block

Podrobné informace o syntaxi a parametrech najdete v tématu Get-TenantAllowBlockListItems.

Pomocí portálu Microsoft Defender upravte položky domén a e-mailových adres v seznamu povolených/blokovaných tenantů.

Ve stávajících položkách domény a e-mailové adresy můžete změnit datum vypršení platnosti a poznámku.

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>zásad> hrozebPravidla zásad hrozeb– >Povolení nebo blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

  2. Ověřte, že je vybraná karta Domény & adresy .

  3. Na kartě Domains & addresses (Domény & adresy) vyberte položku ze seznamu tak, že zaškrtnete políčko vedle prvního sloupce a pak vyberete akci Upravit, která se zobrazí.

  4. V rozevíracím rámečku Upravit domény & adresy , který se otevře, jsou k dispozici následující nastavení:

    • Blokové položky:
      • Odebrat položku bloku po: Vyberte z následujících hodnot:
        • 1 den
        • 7 dní
        • 30 dní
        • Nikdy nevyprší platnost
        • Konkrétní datum: Maximální hodnota je 90 dnů od dnešního dne.
      • Volitelná poznámka
    • Povolit položky:
      • Odebrat položku povolit po: Vyberte z následujících hodnot:
        • 1 den
        • 7 dní
        • 30 dní
        • Konkrétní datum: Maximální hodnota je 30 dnů od dnešního dne.
      • Volitelná poznámka

    Až skončíte v informačním rámečku Upravit domény & adresy , vyberte Uložit.

Tip

V informačním rámečku podrobností položky na kartě Domény & adresypřejděte pomocí možnosti Zobrazit odeslání v horní části informačního rámečku na podrobnosti o příslušné položce na stránce Odeslání. Tato akce je dostupná, pokud bylo odeslání zodpovědné za vytvoření položky v seznamu povolených/blokovaných tenantů.

Použití PowerShellu k úpravě položek domén a e-mailových adres v seznamu povolených nebo blokovaných tenantů

V Exchange Online PowerShellu použijte následující syntaxi:

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Tento příklad změní datum vypršení platnosti zadané položky bloku pro e-mailovou adresu odesílatele.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Podrobné informace o syntaxi a parametrech najdete v tématu Set-TenantAllowBlockListItems.

Pomocí portálu Microsoft Defender odeberte položky domén a e-mailových adres ze seznamu povolených/blokovaných tenantů.

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>zásad> hrozebPravidla zásad hrozeb– >Povolení nebo blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

  2. Ověřte, že je vybraná karta Domény & adresy .

  3. Na kartě Domény & adresy proveďte jeden z následujících kroků:

    • Vyberte položku ze seznamu tak, že zaškrtnete políčko vedle prvního sloupce a pak vyberete akci Odstranit, která se zobrazí.

    • Vyberte položku ze seznamu kliknutím na libovolné místo v řádku, který není zaškrtávací políčko. V informačním rámečku podrobností, který se otevře, vyberte Odstranit v horní části informačního rámečku.

      Tip

      • Pokud chcete zobrazit podrobnosti o dalších položkách bez opuštění informačního rámečku podrobností, použijte v horní části informačního rámečku Možnost Předchozí položka a Další položka.
      • Můžete vybrat více položek tak, že zaškrtnete každé políčko, nebo můžete vybrat všechny položky zaškrtnutím políčka vedle záhlaví sloupce Hodnota .

  4. V dialogovém okně upozornění, které se otevře, vyberte Odstranit.

Zpět na kartě Domains & addresses (Domény & adresy ) už položka není uvedená.

Odebrání položek domén a e-mailových adres ze seznamu povolených nebo blokovaných tenantů pomocí PowerShellu

V Exchange Online PowerShellu použijte následující syntaxi:

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

Tento příklad odebere zadanou položku pro domény a e-mailové adresy ze seznamu povolených/blokovaných tenantů.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Podrobné informace o syntaxi a parametrech najdete v tématu Remove-TenantAllowBlockListItems.

Zfalšovaní odesílatelé v seznamu povolených/blokovaných klientů

Když přepíšete verdikt v přehledu zfalšovaných informací, zfalšovaný odesílatel se stane ručně povoleným nebo blokovaným záznamem, který se zobrazí jenom na kartě Zfalšovaní odesílatelé na stránce Seznamy povolení/blokování tenanta.

Create povolit položky pro zfalšované odesílatele

Pokud chcete vytvořit položky povolení pro zfalšované odesílatele, použijte některou z následujících metod:

Poznámka

Povolit položky pro účet zfalšovaných odesílatelů pro falšování identity v rámci organizace, mezi organizací a DMARC.

Falšování je povoleno pouze v kombinaci zfalšovaného uživatele a odesílající infrastruktury, jak je definováno v páru domén .

Platnost povolených položek pro zfalšované odesílatele nikdy nevyprší.

Pomocí portálu Microsoft Defender vytvořte položky povolení pro zfalšované odesílatele v seznamu povolených/blokovaných tenantů.

V seznamu povolených a blokovaných uživatelů tenantů můžete vytvořit položky povolení pro zfalšované odesílatele předtím, než je zjistí a zablokují informace o falšování identity.

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>zásad> hrozebPravidla zásad hrozeb– >Povolení nebo blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

  2. Na stránce povolit/blokovat Seznamy tenanta vyberte kartu Zfalšovaní odesílatelé.

  3. Na kartě Zfalšovaní odesílatelé vyberte Přidat.

  4. V rozevíracím rámečku Přidat nové páry domén , které se otevře, nakonfigurujte následující nastavení:

    • Přidání párů domén se zástupnými cardy: Zadejte pár domény na řádek, maximálně 20. Podrobnosti o syntaxi položek zfalšovaných odesílatelů najdete v části Syntaxe páru domén pro položky zfalšovaného odesílatele dále v tomto článku.

    • Typ falšování: Vyberte jednu z následujících hodnot:

      • Interní: Zfalšovaný odesílatel je v doméně, která patří vaší organizaci ( akceptovaná doména).
      • Externí: Zfalšovaný odesílatel je v externí doméně.

    • Akce: Vyberte Povolit nebo Blokovat.

    Až budete hotovi v informačním rámečku Přidat nové páry domén , vyberte Přidat.

Zpět na kartě Zfalšovaní odesílatelé je položka uvedená.

Použití PowerShellu k vytvoření položek povolení pro zfalšované odesílatele v seznamu povolených/blokovaných tenantů

V Exchange Online PowerShellu použijte následující syntaxi:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

Tento příklad vytvoří položku povolení pro odesílatele bob@contoso.com ze zdrojového contoso.com.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Podrobné informace o syntaxi a parametrech najdete v tématu New-TenantAllowBlockListSpoofItems.

Create blokované položky pro zfalšované odesílatele

Pokud chcete vytvořit blokové položky pro zfalšované odesílatele, použijte některou z následujících metod:

Poznámka

Falšování identity je blokováno pouze v kombinaci zfalšovaného uživatele a odesílající infrastruktury definované v páru domén .

Email od těchto odesílatelů jsou označené jako phishing. Co se se zprávami stane, je určeno zásadami ochrany proti spamu , které detekovaly zprávu pro příjemce. Další informace najdete v tématu o akci detekce útoků phishing v nastavení zásad ochrany proti spamu EOP.

Když nakonfigurujete položku bloku pro pár domény, zfalšovaný odesílatel se stane ručně blokovanou položkou, která se zobrazí pouze na kartě Zfalšovaní odesílatelé v seznamu povolených /blokovaných klientů.

Platnost blokovaných položek pro zfalšované odesílatele nikdy nevyprší.

Pomocí portálu Microsoft Defender vytvořte položky bloku pro zfalšované odesílatele v seznamu povolených/blokovaných tenantů.

Postup je téměř shodný s vytvářením položek povolení pro zfalšované odesílatele , jak je popsáno dříve v tomto článku.

Jediným rozdílem je, že pro hodnotu Akce v kroku 4 vyberte Blokovat místo Povolit.

Použití PowerShellu k vytvoření položek bloku pro zfalšované odesílatele v seznamu povolených/blokovaných tenantů

V Exchange Online PowerShellu použijte následující syntaxi:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

Tento příklad vytvoří položku bloku pro odesílatele laura@adatum.com ze zdroje 172.17.17.17/24.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Podrobné informace o syntaxi a parametrech najdete v tématu New-TenantAllowBlockListSpoofItems.

Pomocí portálu Microsoft Defender můžete zobrazit položky pro zfalšované odesílatele v seznamu povolených/blokovaných tenantů.

Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>Zásady> hrozeb– Povolit nebo blokovat Seznamy tenanta v části Pravidla. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

Ověřte, že je vybraná karta Zfalšovaní odesílatelé .

Na kartě Zfalšovaní odesílatelé můžete položky seřadit kliknutím na dostupné záhlaví sloupce. K dispozici jsou následující sloupce:

  • Zfalšovaný uživatel
  • Odesílání infrastruktury
  • Typ falšování: Dostupné hodnoty jsou Interní nebo Externí.
  • Akce: Dostupné hodnoty jsou Blokovat nebo Povolit.

Pokud chcete položky filtrovat, vyberte Filtr. V informačním rámečku Filtr , který se otevře, jsou k dispozici následující filtry:

  • Akce: Dostupné hodnoty jsou Povolit a Blokovat.
  • Typ falšování: Dostupné hodnoty jsou Interní a Externí.

Až skončíte v informačním rámečku Filtr , vyberte Použít. Pokud chcete filtry vymazat, vyberte Vymazat filtry.

K vyhledání konkrétních položek použijte pole Search a odpovídající hodnotu.

Pokud chcete položky seskupit, vyberte Seskupit a pak vyberte jednu z následujících hodnot:

  • Akce
  • Typ falšování

Pokud chcete položky oddělit, vyberte Žádné.

Použití PowerShellu k zobrazení položek pro zfalšované odesílatele v seznamu povolených/blokovaných tenantů

V Exchange Online PowerShellu použijte následující syntaxi:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

Tento příklad vrátí všechny položky zfalšovaného odesílatele v seznamu povolených/blokovaných klientů.

Get-TenantAllowBlockListSpoofItems

Tento příklad vrátí všechny povolené položky zfalšovaného odesílatele, které jsou interní.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

Tento příklad vrátí všechny blokované položky zfalšovaného odesílatele, které jsou externí.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Podrobné informace o syntaxi a parametrech najdete v tématu Get-TenantAllowBlockListSpoofItems.

Pomocí portálu Microsoft Defender upravte položky pro zfalšované odesílatele v seznamu povolených/blokovaných klientů.

Když upravíte položku povolení nebo blokování pro zfalšované odesílatele v seznamu Povolený/Blokovaný tenant, můžete položku změnit jenom z Povolit na Blokovat nebo naopak.

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>zásad> hrozebPravidla zásad hrozeb– >Povolení nebo blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

  2. Vyberte kartu Zfalšovaní odesílatelé .

  3. Vyberte položku ze seznamu tak, že zaškrtnete políčko vedle prvního sloupce a pak vyberete akci Upravit, která se zobrazí.

  4. V rozevíracím seznamu Upravit zfalšovaného odesílatele , který se otevře, vyberte Povolit nebo Blokovat a pak vyberte Uložit.

Použití PowerShellu k úpravě položek pro zfalšované odesílatele v seznamu povolených/blokovaných tenantů

V Exchange Online PowerShellu použijte následující syntaxi:

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

Tento příklad změní zadanou položku zfalšovaného odesílatele z položky povolení na blokovou položku.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Podrobné informace o syntaxi a parametrech najdete v tématu Set-TenantAllowBlockListSpoofItems.

Pomocí portálu Microsoft Defender odeberte položky pro zfalšované odesílatele ze seznamu povolených nebo blokovaných klientů.

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>zásad> hrozebPravidla zásad hrozeb– >Povolení nebo blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

  2. Vyberte kartu Zfalšovaní odesílatelé .

  3. Na kartě Zfalšovaní odesílatelé vyberte položku ze seznamu tak, že zaškrtnete políčko vedle prvního sloupce a pak vyberete akci Odstranit, která se zobrazí.

    Tip

    Můžete vybrat více položek tak, že zaškrtnete každé políčko, nebo můžete vybrat všechny položky zaškrtnutím políčka vedle záhlaví sloupce Spoofed user .

  4. V dialogovém okně upozornění, které se otevře, vyberte Odstranit.

Odebrání položek pro zfalšované odesílatele ze seznamu povolených/blokovaných tenantů pomocí PowerShellu

V Exchange Online PowerShellu použijte následující syntaxi:

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

Tento příklad odebere zadaného zfalšovaného odesílatele. Hodnotu parametru Ids získáte z vlastnosti Identity ve výstupu příkazu Get-TenantAllowBlockListSpoofItems.

Podrobné informace o syntaxi a parametrech najdete v tématu Remove-TenantAllowBlockListSpoofItems.

Syntaxe páru domény pro zfalšované položky odesílatele

Pár domény pro zfalšovaného odesílatele v seznamu povolených/blokovaných tenantů používá následující syntaxi: <Spoofed user>, <Sending infrastructure>.

  • Zfalšovaný uživatel: Tato hodnota zahrnuje e-mailovou adresu zfalšovaného uživatele, která se zobrazí v poli Od v e-mailových klientech. Tato adresa se také označuje jako 5322.From adresa odesílatele nebo P2. Mezi platné hodnoty patří:

    • Jednotlivá e-mailová adresa (například chris@contoso.com).
    • E-mailová doména (například contoso.com).
    • Zástupný znak (*).

  • Odesílající infrastruktura: Tato hodnota označuje zdroj zpráv od zfalšovaného uživatele. Mezi platné hodnoty patří:

    • Doména nalezená při zpětném vyhledávání DNS (záznam PTR) IP adresy zdrojového e-mailového serveru (například fabrikam.com).
    • Pokud zdrojová IP adresa nemá žádný záznam PTR, odesílající infrastruktura se identifikuje jako <zdrojová IP>/24 (například 192.168.100.100/24).
    • Ověřená doména DKIM.
    • Zástupný znak (*).

Tady je několik příkladů platných párů domén pro identifikaci zfalšovaných odesílatelů:

  • contoso.com, 192.168.100.100/24
  • chris@contoso.com, fabrikam.com
  • *, contoso.net

Poznámka

Zástupné cardy můžete zadat v odesílající infrastruktuře nebo u zfalšovaného uživatele, ale ne v obou najednou. Například *, * není povolená.

Pokud v odesílající infrastruktuře používáte doménu místo IP adresy nebo rozsahu IP adres, musí se doména shodovat s záznamem PTR pro připojující se IP adresu v hlavičce Authentication-Results . PTR můžete zjistit spuštěním příkazu : ping -a <IP address>. Jako hodnotu domény také doporučujeme použít doménu organizace PTR. Pokud se například ptr přeloží na "smtp.inbound.contoso.com", měli byste jako infrastrukturu odesílání použít "contoso.com".

Přidání páru domény povolí nebo zablokuje pouze kombinaci zfalšovaného uživatele a infrastruktury odesílání. Například přidáte položku povolení pro následující pár domény:

  • Doména: gmail.com
  • Infrastruktura odesílání: tms.mx.com

Falšování je povoleno pouze u zpráv z této domény a odesílajícího páru infrastruktury. Jiní odesílatelé, kteří se pokoušejí falšovat gmail.com, nejsou povoleni. Zprávy od odesílatelů v jiných doménách pocházející z tms.mx.com jsou kontrolovány informacemi o falšování identity.

Informace o zosobněných doménách nebo odesílatelích

V seznamu povolených/blokovaných klientů nemůžete vytvářet položky povolení pro zprávy, které byly zjištěny jako zosobnění uživatelé nebo zosobněné domény zásadami ochrany proti útokům phishing v Defender pro Office 365.

Odeslání zprávy, která byla nesprávně zablokovaná jako zosobnění na kartě E-maily na stránce Odeslání , https://security.microsoft.com/reportsubmission?viewid=email nepřidá odesílatele nebo doménu jako položku povolených v seznamu povolených/blokovaných tenantů.

Místo toho se doména nebo odesílatel přidá do části Důvěryhodní odesílatelé a domény v zásadách ochrany proti útokům phishing , které zprávu detekovaly.

Pokyny k odeslání falešně pozitivních zosobnění najdete v tématu Nahlášení dobrého e-mailu microsoftu.

Poznámka

Zosobnění uživatele (nebo grafu) se teď odsud neřeší.