Administrer tillader og blokke på listen over tilladte/blokerede lejere

• Gælder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages prøveversion af Defender til Office 365 i prøveversionshubben til Microsoft Defender Portal. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Vigtigt!

Hvis du vil tillade phishing-URL-adresser, der er en del af oplæringen i simulering af angreb fra tredjepart, skal du bruge den avancerede leveringskonfiguration til at angive URL-adresserne. Brug ikke listen over tilladte/blokerede lejere.

I Microsoft 365-organisationer med postkasser i Exchange Online eller eOP-organisationer (Exchange Online Protection) uden Exchange Online-postkasser kan du være uenig i dommen i EOP eller Microsoft Defender for Office 365-filtrering. En god meddelelse kan f.eks. være markeret som dårlig (et falsk positivt), eller der kan tillades en forkert meddelelse via (falsk negativ).

Listen over tilladte/blokerede lejere på Microsoft Defender-portalen giver dig mulighed for manuelt at tilsidesætte defender for Office 365- eller EOP-filtreringsdomme. Listen bruges under mailflowet til indgående meddelelser fra eksterne afsendere.

Listen over tilladte/blokerede lejere gælder ikke for interne meddelelser, der sendes i organisationen. Men blokeringsposter for domæner og mailadresser forhindrer også brugere i organisationen i at sende mail til de blokerede domæner og adresser.

Listen Over tilladte/blokerede lejere er tilgængelig på Microsoft Defender-portalen på https://security.microsoft.comMail & samarbejdspolitikker> & afsnittetReglerfor trusselspolitikker>> sektionen >Lejer tillad/bloker lister. Hvis du vil gå direkte til siden Med lejer-/bloklister , skal du bruge https://security.microsoft.com/tenantAllowBlockList.

Du kan finde instruktioner til brug og konfiguration i følgende artikler:

• Domæner og mailadresser og spoofede afsendere: Tillad eller bloker mails ved hjælp af lejerlisten Tillad/Bloker
• Filer: Tillad eller bloker filer ved hjælp af lejerlisten Tillad/bloker
• URL-adresser: Tillad eller bloker URL-adresser ved hjælp af listen over tilladte/blokerede lejere.

Disse artikler indeholder procedurer i Microsoft Defender-portalen og i PowerShell.

Bloker poster på listen over tilladte/blokerede lejere

Tip

På listen over tilladte/blokerede lejere har blokposter forrang frem for tilladte poster.

Brug siden Indsendelser (også kaldet administratorafsendelse) på https://security.microsoft.com/reportsubmission til at oprette blokposter for følgende typer elementer, når du rapporterer dem som falske negativer til Microsoft:

• Domæner og mailadresser:

  • Mails fra disse afsendere markeres som phishing med høj genkendelsessikkerhed og flyttes derefter til karantæne.
  • Brugere i organisationen kan ikke sende mail til disse blokerede domæner og adresser. De modtager følgende rapport om manglende levering (også kendt som en NDR- eller bounce-meddelelse): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hele meddelelsen er blokeret for alle interne og eksterne modtagere af meddelelsen, selvom kun én modtagermailadresse eller ét domæne er defineret i en blokpost.

  Tip

  Hvis du kun vil blokere spam fra en bestemt afsender, skal du føje mailadressen eller domænet til blokeringslisten i politikker til bekæmpelse af spam. Hvis du vil blokere alle mails fra afsenderen, skal du bruge Domæner og mailadresser på listen over tilladte/blokerede lejere.

• Filer: Mails, der indeholder disse blokerede filer, blokeres som malware. Meddelelser, der indeholder de blokerede filer, er sat i karantæne.

• URL-adresser: Mails, der indeholder disse blokerede URL-adresser, blokeres som phishing med høj sikkerhed. Meddelelser, der indeholder de blokerede URL-adresser, er sat i karantæne.

På listen over tilladte/blokerede lejere kan du også oprette blokposter direkte for følgende elementtyper:

• Domæner og mailadresser, filer og URL-adresser.

• Spoofed afsendere: Hvis du manuelt tilsidesætter en eksisterende tillad dom fra spoof intelligence, bliver den blokerede spoofed afsender en manuel blokpost, der kun vises på fanen Spoofed afsendere på listen Over tilladte/blokerede lejere.

Bloker poster for domæner og mailadresser, filer og URL-adresser udløber som standard efter 30 dage, men du kan indstille dem til at udløbe 90 dage eller aldrig udløbe. Blokposter for spoofed afsendere udløber aldrig.

Tillad poster på lejerlisten Tillad/bloker

I de fleste tilfælde kan du ikke oprette poster med tilladelse direkte på lejerlisten tillad/bloker:

• Domæner og mailadresser, filer og URL-adresser: Du kan ikke oprette tilladte poster direkte på listen over tilladte/blokerede lejere. Du kan i stedet bruge siden Indsendelser på https://security.microsoft.com/reportsubmission til at rapportere mailen, den vedhæftede fil eller URL-adressen til Microsoft, da Burde ikke være blevet blokeret (falsk positiv).

• Misvisende afsendere:

  • Hvis spoof intelligence allerede har blokeret meddelelsen som spoofing, skal du bruge siden Indsendelser på https://security.microsoft.com/reportsubmission til at rapportere mailen til Microsoft , da Burde ikke være blevet blokeret (Falsk positiv).
  • Du kan proaktivt oprette en tilladelsespost for en spoofed afsender på fanen Spoofed sender på listen Over tilladte lejere/bloker, før spoof intelligence identificerer og blokerer meddelelsen som spoofing.

På følgende liste beskrives det, hvad der sker på listen over tilladte/blokerede lejere, når du rapporterer noget til Microsoft som et falsk positivt element på siden Indsendelser :

• Vedhæftede filer i mails og URL-adresser: Der oprettes en tilladelsespost, og posten vises under fanen Filer eller URL-adresser på listen over tilladte/blokerede lejere.

  For URL-adresser, der er rapporteret som falske positiver, tillader vi efterfølgende meddelelser, der indeholder variationer af den oprindelige URL-adresse. Du kan f.eks. bruge siden Indsendelser til at rapportere den forkert blokerede URL-adresse www.contoso.com/abc. Hvis din organisation senere modtager en meddelelse, der indeholder URL-adressen (f.eks. men ikke begrænset til: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5eller www.contoso.com/abc/whatever), blokeres meddelelsen ikke på baggrund af URL-adressen. Med andre ord behøver du ikke at rapportere flere variationer af den samme URL-adresse som god til Microsoft.

• Mail: Hvis en meddelelse blev blokeret af EOP eller Defender for Office 365-filtreringsstakken, kan der oprettes en tilladelsespost på listen over tilladte/blokerede lejere:

  • Hvis meddelelsen blev blokeret af spoof intelligence, oprettes der en tilladelsespost for afsenderen, og posten vises på fanen Spoofed sendere på listen Over tilladte/blokerede lejere.
  • Hvis meddelelsen blev blokeret af brugerbeskyttelse (eller graph) repræsentation i Defender for Office 365, oprettes der ikke en tilladelsespost på listen over tilladte lejere/bloker. Domænet eller afsenderen føjes i stedet til afsnittet Afsendere og domæner , der er tillid til, i den anti-phishing-politik , der registrerede meddelelsen.
  • Hvis meddelelsen blev blokeret pga. filbaserede filtre, oprettes der en tilladelsespost for filen, og posten vises under fanen Filer på listen Over tilladte/blokerede lejere.
  • Hvis meddelelsen blev blokeret pga. URL-baserede filtre, oprettes der en tilladelsespost for URL-adressen, og posten vises under fanen URL-adresse på listen Over tilladte/blokerede lejere.
  • Hvis meddelelsen af andre årsager blev blokeret, oprettes der en tilladelsespost for afsenderens mailadresse eller domæne, og posten vises på fanen Domæner & adresser på listen over tilladte/blokerede lejere.
  • Hvis meddelelsen ikke blev blokeret på grund af filtrering, oprettes der ingen tilladte poster nogen steder.

Tillad som standard poster for domæner og mailadresser, filer og URL-adresser i 30 dage. I løbet af disse 30 dage lærer Microsoft fra de tilladte poster og fjerner dem eller udvider dem automatisk. Når Microsoft lærer fra de fjernede tilladte poster, leveres meddelelser, der indeholder disse enheder, medmindre noget andet i meddelelsen registreres som skadeligt. Tillad som standard, at poster for spoofede afsendere aldrig udløber.

Vigtigt!

Microsoft tillader ikke, at du opretter tilladte poster direkte. Unødvendige tilladte poster viser din organisation skadelige mails, der kunne være blevet filtreret af systemet.

Microsoft administrerer oprettelsen af tilladte poster fra siden Indsendelser på https://security.microsoft.com/reportsubmission. Tillad poster tilføjes under et mailflow baseret på de filtre, der bestemte, at meddelelsen var skadelig. Hvis afsenderens mailadresse og en URL-adresse i meddelelsen f.eks. blev bestemt til at være ugyldig, oprettes der en tilladelsespost for afsenderen (mailadresse eller domæne) og URL-adressen.

Når enheden registreres igen (under mailflowet eller tidspunktet for klik), springes alle filtre, der er knyttet til det pågældende objekt, over.

Hvis meddelelser, der indeholder det tilladte objekt, overfører andre kontroller i filtreringsstakken under mailflowet, leveres meddelelserne. Hvis en meddelelse f.eks. består kontrol af mailgodkendelse, URL-filtrering og filfiltrering, leveres der en meddelelse fra en tilladt afsendermailadresse.

Hvad kan du forvente, når du har tilføjet en tilladelses- eller blokindtastning?

Når du har tilføjet en tilladelsespost på siden Indsendelser eller en blokpost på lejerlisten tillad/bloker, skal posten begynde at fungere med det samme (inden for 5 minutter).

Hvis Microsoft har lært af tilladelsesposten, genererer den indbyggede beskedpolitik , der hedder Fjernede en post på listen over tilladte/blokerede lejere , en besked, når den (nu unødvendige) tilladelsespost fjernes.