Del via


Administrer tillader og blokke på listen over tilladte/blokerede lejere

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

Vigtigt!

Hvis du vil tillade phishing-URL-adresser, der er en del af oplæringen i simulering af angreb fra tredjepart, skal du bruge den avancerede leveringskonfiguration til at angive URL-adresserne. Brug ikke listen over tilladte/blokerede lejere.

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående EOP-organisationer (Exchange Online Protection) uden Exchange Online postkasser kan du være uenig i EOP eller Microsoft Defender for Office 365 filtrere dommen. En god meddelelse kan f.eks. være markeret som dårlig (et falsk positivt), eller der kan tillades en forkert meddelelse via (falsk negativ).

Listen over tilladte/blokerede lejere på Microsoft Defender-portalen giver dig mulighed for manuelt at tilsidesætte de Defender for Office 365- eller EOP-filtreringsdomme. Listen bruges under mailflowet eller tidspunktet for klik for indgående meddelelser fra eksterne afsendere.

Poster for domæner og mailadresser og forfalskede afsendere gælder for interne meddelelser, der sendes i organisationen. Bloker poster for domæner og mailadresser forhindrer også brugere i organisationen i at sende mail til de blokerede domæner og adresser.

Listen Over tilladte/blokerede lejere er tilgængelig på Microsoft Defender-portalen på https://security.microsoft.comMail & samarbejdspolitikker>& afsnittetReglerfor trusselspolitikker>> sektionen >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

Du kan finde instruktioner til brug og konfiguration i følgende artikler:

Disse artikler indeholder procedurer i Microsoft Defender-portalen og i PowerShell.

Bloker poster på listen over tilladte/blokerede lejere

Tip

På listen over tilladte/blokerede lejere har blokposter forrang frem for tilladte poster.

Brug siden Indsendelser (også kaldet administratorindsendelse) på https://security.microsoft.com/reportsubmission til at oprette blokposter for følgende typer elementer, når du sender dem som falske negativer til Microsoft:

  • Domæner og mailadresser:

    • Mails fra disse afsendere markeres som phishing med høj genkendelsessikkerhed og flyttes derefter til karantæne.
    • Brugere i organisationen kan ikke sende mail til disse blokerede domæner og adresser. De modtager følgende rapport om manglende levering (også kendt som en NDR- eller bounce-meddelelse): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hele meddelelsen er blokeret for alle interne og eksterne modtagere af meddelelsen, selvom kun én modtagermailadresse eller ét domæne er defineret i en blokpost.

    Tip

    Hvis du kun vil blokere spam fra en bestemt afsender, skal du føje mailadressen eller domænet til blokeringslisten i politikker til bekæmpelse af spam. Hvis du vil blokere alle mails fra afsenderen, skal du bruge Domæner og mailadresser på listen over tilladte/blokerede lejere.

  • Filer: Mails, der indeholder disse blokerede filer, blokeres som malware. Meddelelser, der indeholder de blokerede filer, er sat i karantæne.

  • URL-adresser: Mails, der indeholder disse blokerede URL-adresser, blokeres som phishing med høj sikkerhed. Meddelelser, der indeholder de blokerede URL-adresser, er sat i karantæne.

På listen over tilladte/blokerede lejere kan du også oprette blokposter direkte for følgende elementtyper:

Bloker poster for domæner og mailadresser, filer og URL-adresser udløber som standard efter 30 dage, men du kan indstille dem til at udløbe 90 dage eller aldrig udløbe.

Blokposter for spoofed afsendere og IP-adresser udløber aldrig.

Tillad poster på lejerlisten Tillad/bloker

I de fleste tilfælde kan du ikke oprette poster med tilladelse direkte på lejerlisten tillad/bloker. Unødvendige tilladte poster viser din organisation skadelige mails, der kunne være blevet filtreret af systemet.

På følgende liste beskrives det, hvad der sker på listen over tilladte/blokerede lejere, når du sender noget til Microsoft som et falsk positivt element på siden Indsendelser :

  • Vedhæftede filer i mails og URL-adresser: Der oprettes en tilladelsespost, og posten vises under fanen Filer eller URL-adresser på listen over tilladte/blokerede lejere.

    For URL-adresser, der er rapporteret som falske positiver, tillader vi efterfølgende meddelelser, der indeholder variationer af den oprindelige URL-adresse. Du kan f.eks. bruge siden Indsendelser til at rapportere den forkert blokerede URL-adresse www.contoso.com/abc. Hvis din organisation senere modtager en meddelelse, der indeholder URL-adressen (f.eks. men ikke begrænset til: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5eller www.contoso.com/abc/whatever), blokeres meddelelsen ikke på baggrund af URL-adressen. Med andre ord behøver du ikke at rapportere flere variationer af den samme URL-adresse som god til Microsoft.

  • Mail: Hvis en meddelelse blev blokeret af EOP eller Defender for Office 365 filtreringsstak, kan der oprettes en tilladelsespost på listen over tilladte/blokerede lejere:

    • Hvis meddelelsen blev blokeret af spoof intelligence, oprettes der en tilladelsespost for afsenderen, og posten vises på fanen Spoofed sendere på listen Over tilladte/blokerede lejere.
    • Hvis meddelelsen blev blokeret af brugerbeskyttelse (eller graf) repræsentation i Defender for Office 365, oprettes der ikke en tilladelsespost på lejerlisten Tillad/Bloker. Domænet eller afsenderen føjes i stedet til afsnittet Afsendere og domæner , der er tillid til, i den anti-phishing-politik , der registrerede meddelelsen.
    • Hvis meddelelsen blev blokeret pga. filbaserede filtre, oprettes der en tilladelsespost for filen, og posten vises under fanen Filer på listen Over tilladte/blokerede lejere.
    • Hvis meddelelsen blev blokeret pga. URL-baserede filtre, oprettes der en tilladelsespost for URL-adressen, og posten vises under fanen URL-adresse på listen Over tilladte/blokerede lejere.
    • Hvis meddelelsen af andre årsager blev blokeret, oprettes der en tilladelsespost for afsenderens mailadresse eller domæne, og posten vises på fanen Domæner & adresser på listen over tilladte/blokerede lejere.
    • Hvis meddelelsen ikke blev blokeret på grund af filtrering, oprettes der ingen tilladte poster nogen steder.

Tip

Tillad, at poster fra indsendelser tilføjes under et mailflow baseret på de filtre, der har registreret, at meddelelsen var skadelig. Hvis afsenderens mailadresse og en URL-adresse i meddelelsen f.eks. bestemmes til at være skadelig, oprettes der en tilladelsespost for afsenderen (mailadresse eller domæne) og URL-adressen.

Under mailflowet eller tidspunktet for klik leveres meddelelserne (alle filtre, der er knyttet til de tilladte enheder, springes over), hvis meddelelser, der indeholder objekterne i tilladelsesposterne, passerer andre kontroller i filtreringsstakken. Hvis en meddelelse f.eks. består kontrol af mailgodkendelse, URL-filtrering og filfiltrering, leveres der en meddelelse fra en tilladt afsendermailadresse, hvis den også er fra en tilladt afsender.

Tillad poster for domæner og mailadresser, filer og URL-adresser bevares som standard i 45 dage, efter at filtreringssystemet bestemmer, at enheden er ren, og derefter fjernes den tilladte post. Eller du kan angive, at tillad, at poster udløber op til 30 dage, efter at du har oprettet dem. Tillad, at poster for spoofede afsendere aldrig udløber.

Hvad kan du forvente, når du har tilføjet en tilladelses- eller blokindtastning?

Når du har tilføjet en tilladelsespost på siden Indsendelser eller en blokpost på lejerlisten tillad/bloker, skal posten begynde at fungere med det samme (inden for 5 minutter).

Hvis Microsoft har lært af tilladelsesposten, genererer den indbyggede beskedpolitik , der hedder Fjernede en post på listen over tilladte/blokerede lejere , en besked, når den (nu unødvendige) tilladelsespost fjernes.