Tillad eller bloker mail ved hjælp af listen over tilladte/blokerede lejere
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående Exchange Online Protection -organisationer (EOP) uden Exchange Online postkasser kan administratorer oprette og administrere poster for domæner og mailadresser (herunder upooferede afsendere) på listen over tilladte/blokerede lejere. Du kan få flere oplysninger om listen over tilladte/blokerede lejere under Administrer tillader og blokke på lejerlisten tillad/bloker.
I denne artikel beskrives det, hvordan administratorer kan administrere poster for mailafsendere på Microsoft Defender portalen og i Exchange Online PowerShell.
Hvad har du brug for at vide, før du begynder?
Du åbner portalen Microsoft Defender på https://security.microsoft.com. Hvis du vil gå direkte til siden Tillad/bloker lejer Lister, skal du bruge https://security.microsoft.com/tenantAllowBlockList. Hvis du vil gå direkte til siden Indsendelser , skal du bruge https://security.microsoft.com/reportsubmission.
Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell. Hvis du vil oprette forbindelse til enkeltstående EOP PowerShell, skal du se Opret forbindelse til Exchange Online Protection PowerShell.
Indtastningsgrænser for domæner og mailadresser:
- Exchange Online Protection: Det maksimale antal tilladte poster er 500, og det maksimale antal blokposter er 500 (1000 poster for domæner og mailadresser i alt).
- Defender for Office 365 Plan 1: Det maksimale antal tilladte poster er 1000, og det maksimale antal blokposter er 1000 (2000 domæne- og mailadresseposter i alt).
- Defender for Office 365 Plan 2: Det maksimale antal tilladte poster er 5000, og det maksimale antal blokposter er 10000 (15000 domæne- og mailadresseposter i alt).
For misvisende afsendere er det maksimale antal tilladte poster og blokposter 1024 (1024 tillader poster og ingen blokposter, 512 tilladte poster og 512 blokposter osv.).
Poster for spoofed afsendere udløber aldrig.
Hvis du vil blokere indgående og udgående mail fra et domæne, et hvilket som helst underdomæne i domænet og alle mailadresser i domænet, skal du oprette indtastningsblokken ved hjælp af syntaksen:
*.TLD
, hvor kan være et hvilket somTLD
helst domæne på øverste niveau, internt domæne eller mailadressedomæne.Hvis du vil blokere indgående og udgående mail fra et sudomain i et domæne og eventuelle mailadresser i det pågældende underdomæne, skal du oprette indtastningsblokken ved hjælp af syntaksen:
*.SD1.TLD
,*.SD2.SD1.TLD
*.SD3.SD2.SD1.TLD
, osv. for interne domæner og mailadressedomæner.Du kan finde oplysninger om syntaksen for spoofede afsenderposter i afsnittet Domæneparsyntaks for spoofede afsenderposter senere i denne artikel.
En post skal være aktiv inden for 5 minutter.
Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:
Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (Hvis mail & samarbejde>Defender for Office 365 tilladelser er aktive. Påvirker kun Defender-portalen, ikke PowerShell: Godkendelse og indstillinger/Sikkerhedsindstillinger/Registreringsjustering (administrer) eller Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).
-
-
Tilføj og fjern poster fra listen over tilladte/blokerede lejere: Medlemskab i en af følgende rollegrupper:
- Organisationsadministration eller Sikkerhedsadministrator (rolle som sikkerhedsadministrator).
- Sikkerhedsoperator (Lejer allowBlockList Manager).
-
Skrivebeskyttet adgang til listen over tilladte/blokerede lejere: Medlemskab i en af følgende rollegrupper:
- Global læser
- Sikkerhedslæser
- Konfiguration kun af visning
- Kun visning af organisationsadministration
-
Tilføj og fjern poster fra listen over tilladte/blokerede lejere: Medlemskab i en af følgende rollegrupper:
Microsoft Entra tilladelser: Rollerne Global administrator*, Sikkerhedsadministrator, Global læser eller Sikkerhedslæser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.
Vigtigt!
* Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
Domæner og mailadresser på listen over tilladte/blokerede lejere
Opret tilladte poster for domæner og mailadresser
Du kan ikke oprette tilladte poster for domæner og mailadresser direkte på listen over tilladte/blokerede lejere. Unødvendige tilladte poster viser din organisation skadelige mails, der ville være blevet filtreret af systemet.
Du kan i stedet bruge fanen Mails på siden Indsendelser på https://security.microsoft.com/reportsubmission?viewid=email. Når du sender en blokeret meddelelse, som jeg har bekræftet, at den er ren, og derefter vælger Tillad denne meddelelse, føjes der en tilladelsespost for afsenderen til fanen Domæner & mailadresser på siden Tillad/bloker lejer Lister. Du kan finde instruktioner under Send en god mail til Microsoft.
Tip
Tillad, at poster fra indsendelser tilføjes under et mailflow baseret på de filtre, der har registreret, at meddelelsen var skadelig. Hvis afsenderens mailadresse og en URL-adresse i meddelelsen f.eks. bestemmes til at være skadelig, oprettes der en tilladelsespost for afsenderen (mailadresse eller domæne) og URL-adressen.
Under mailflowet eller tidspunktet for klik leveres meddelelserne (alle filtre, der er knyttet til de tilladte enheder, springes over), hvis meddelelser, der indeholder objekterne i tilladelsesposterne, passerer andre kontroller i filtreringsstakken. Hvis en meddelelse f.eks. består kontrol af mailgodkendelse, URL-filtrering og filfiltrering, leveres der en meddelelse fra en tilladt afsendermailadresse, hvis den også er fra en tilladt afsender.
Tillad poster for domæner og mailadresser, filer og URL-adresser bevares som standard i 45 dage, efter at filtreringssystemet bestemmer, at enheden er ren, og derefter fjernes den tilladte post. Eller du kan angive, at tillad, at poster udløber op til 30 dage, efter at du har oprettet dem. Tillad, at poster for spoofede afsendere aldrig udløber.
Opret blokposter for domæner og mailadresser
Hvis du vil oprette blokposter for domæner og mailadresser, skal du bruge en af følgende metoder:
Fra fanen Mails på siden Indsendelser på https://security.microsoft.com/reportsubmission?viewid=email. Når du sender en meddelelse, som jeg har bekræftet, at den er en trussel, kan du vælge Bloker alle mails fra denne afsender eller dette domæne for at føje en blokpost til fanen Domæner & mailadresser på siden Tillad/bloker lejer Lister. Du kan finde instruktioner under Rapportér tvivlsomme mails til Microsoft.
Fra fanen Domæner & adresser på siden Tillad/bloker lejer Lister eller i PowerShell som beskrevet i dette afsnit.
Hvis du vil oprette blokposter for spoofede afsendere, skal du se dette afsnit senere i denne artikel.
Mail fra disse blokerede afsendere er markeret som phishing med høj tillid og sat i karantæne.
Bemærk!
I øjeblikket blokeres underdomæner for det angivne domæne ikke. Hvis du f.eks. opretter en blokpost for mail fra contoso.com, blokeres mails fra marketing.contoso.com ikke også. Du skal oprette en separat blokpost til marketing.contoso.com.
Brugere i organisationen kan heller ikke sende mail til disse blokerede domæner og adresser. Meddelelsen returneres i følgende rapport om manglende levering (også kendt som en meddelelse om manglende levering eller manglende levering): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
Hele meddelelsen er blokeret for alle interne og eksterne modtagere af meddelelsen, selvom kun én modtagermailadresse eller ét domæne er defineret i en blokpost.
Brug Microsoft Defender-portalen til at oprette blokposter for domæner og mailadresser på listen over tilladte/blokerede lejere
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.
På siden Tillad/bloker lejer Lister skal du kontrollere, at fanen Domæner & adresser er valgt.
På fanen Domæner & adresser skal du vælge Bloker.
Konfigurer følgende indstillinger i pop op-vinduet Bloker domæner & adresser , der åbnes:
Domæner & adresser: Angiv én mailadresse eller ét domæne pr. linje op til maksimalt 20.
Fjern blokindtastning efter: Vælg mellem følgende værdier:
- 1 dag
- 7 dage
- 30 dage (standard)
- Udløber aldrig
- Bestemt dato: Maksimumværdien er 90 dage fra i dag.
Valgfri note: Angiv en beskrivelse af, hvorfor du blokerer mailadresserne eller domænerne.
Når du er færdig i pop op-vinduet Bloker domæner & adresser , skal du vælge Tilføj.
Tilbage på fanen Domæner & mailadresser vises posten.
Brug PowerShell til at oprette blokposter for domæner og mailadresser på listen over tilladte/blokerede lejere
I Exchange Online PowerShell skal du bruge følgende syntaks:
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
I dette eksempel tilføjes en blokpost for den angivne mailadresse, der udløber på en bestemt dato.
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022
Du kan finde detaljerede syntaks- og parameteroplysninger under New-TenantAllowBlockListItems.
Brug Microsoft Defender-portalen til at få vist poster for domæner og mailadresser på listen over tilladte/blokerede lejere
I portalen Microsoft Defender på https://security.microsoft.comskal du gå til Politikker & regler>Trusselspolitikker>Lejer tillad/bloker Lister i afsnittet Regler. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.
Kontrollér, at fanen Domæner & adresser er valgt.
Under fanen Domæner & adresser kan du sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Følgende kolonner er tilgængelige:
- Værdi: Domænet eller mailadressen.
- Handling: Værdien Allow eller Block.
- Ændret af
- Senest opdateret
- Dato for seneste brug: Den dato, hvor posten sidst blev brugt i filtreringssystemet til at tilsidesætte dommen.
- Fjern den: Udløbsdatoen.
- Bemærkninger
Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:
- Handling: Værdierne er Allow og Block.
- Udløber aldrig: eller
- Sidst opdateret: Vælg fra - og til-datoer .
- Dato for seneste brug: Vælg fra - og Til-datoer .
- Fjern den: Vælg fra - og Til-datoer .
Når du er færdig i pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.
Brug søgefeltet og en tilsvarende værdi til at finde bestemte poster.
Hvis du vil gruppere posterne, skal du vælge Gruppér og derefter vælge Handling. Hvis du vil opdele elementerne, skal du vælge Ingen.
Brug PowerShell til at få vist poster for domæner og mailadresser på listen over tilladte/blokerede lejere
I Exchange Online PowerShell skal du bruge følgende syntaks:
Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]
I dette eksempel returneres alle tilladte og blokerede poster for domæner og mailadresser.
Get-TenantAllowBlockListItems -ListType Sender
I dette eksempel filtreres resultaterne for blokposter for domæner og mailadresser.
Get-TenantAllowBlockListItems -ListType Sender -Block
Du kan finde detaljerede syntaks- og parameteroplysninger under Get-TenantAllowBlockListItems.
Brug Microsoft Defender-portalen til at redigere poster for domæner og mailadresser på listen over tilladte/blokerede lejere
I eksisterende domæne- og mailadresseposter kan du ændre udløbsdatoen og noten.
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.
Kontrollér, at fanen Domæner & adresser er valgt.
Under fanen Domæner & adresser skal du vælge posten på listen ved at markere afkrydsningsfeltet ud for den første kolonne og derefter vælge handlingen Rediger , der vises.
I pop op-vinduet Rediger domæner & adresser , der åbnes, er følgende indstillinger tilgængelige:
-
Blokposter:
-
Fjern blokindtastning efter: Vælg mellem følgende værdier:
- 1 dag
- 7 dage
- 30 dage
- Udløber aldrig
- Bestemt dato: Maksimumværdien er 90 dage fra i dag.
- Valgfri note
-
Fjern blokindtastning efter: Vælg mellem følgende værdier:
-
Tillad poster:
-
Fjern tillad indtastning efter: Vælg mellem følgende værdier:
- 1 dag
- 7 dage
- 30 dage
- 45 dage efter sidste anvendte dato
- Bestemt dato: Den maksimale værdi er 30 dage fra i dag.
- Valgfri note
-
Fjern tillad indtastning efter: Vælg mellem følgende værdier:
Når du er færdig i pop op-vinduet Rediger domæner & adresser , skal du vælge Gem.
-
Blokposter:
Tip
I pop op-vinduet med detaljer for en post under fanen Domæner & adresser skal du bruge Vis indsendelse øverst i pop op-vinduet for at gå til detaljerne for den tilsvarende post på siden Indsendelser . Denne handling er tilgængelig, hvis en indsendelse var ansvarlig for at oprette posten på lejerlisten tillad/bloker.
Brug PowerShell til at redigere poster for domæner og mailadresser på listen over tilladte/blokerede lejere
I Exchange Online PowerShell skal du bruge følgende syntaks:
Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
I dette eksempel ændres udløbsdatoen for den angivne blokpost for afsenderens mailadresse.
Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"
Du kan finde detaljerede syntaks- og parameteroplysninger under Set-TenantAllowBlockListItems.
Brug Microsoft Defender-portalen til at fjerne poster for domæner og mailadresser fra lejerlisten tillad/bloker
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.
Kontrollér, at fanen Domæner & adresser er valgt.
Benyt en af følgende fremgangsmåder under fanen Domæner & adresser :
Vælg posten på listen ved at markere afkrydsningsfeltet ud for den første kolonne, og vælg derefter handlingen Slet , der vises.
Markér posten på listen ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet. I det pop op-vindue med detaljer, der åbnes, skal du vælge Slet øverst i pop op-vinduet.
Tip
- Hvis du vil se detaljer om andre poster uden at forlade pop op-vinduet med detaljer, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.
- Du kan markere flere poster ved at markere hvert afkrydsningsfelt eller markere alle poster ved at markere afkrydsningsfeltet ud for kolonneoverskriften Værdi .
Vælg Slet i den advarselsdialogboks, der åbnes.
Tilbage på fanen Domæner & adresser vises posten ikke længere.
Brug PowerShell til at fjerne poster for domæner og mailadresser fra lejerlisten tillad/bloker
I Exchange Online PowerShell skal du bruge følgende syntaks:
Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>
I dette eksempel fjernes den angivne post for domæner og mailadresser fra lejerlisten tillad/bloker.
Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"
Du kan finde detaljerede syntaks- og parameteroplysninger under Remove-TenantAllowBlockListItems.
Misvisende afsendere på listen over tilladte/blokerede lejere
Når du tilsidesætter dommen i indsigten spoof intelligence, bliver den spoofede afsender en manuel tilladelses- eller blokindtastning, der kun vises på fanen Spoofed-afsendere på siden Tillad/bloker lejere Lister.
Opret tilladte poster for spoofede afsendere
Hvis du vil oprette tilladte poster for spoofede afsendere, skal du bruge en af følgende metoder:
- Fra fanen Mails på siden Indsendelser på https://security.microsoft.com/reportsubmission?viewid=email. Du kan finde instruktioner under Send en god mail til Microsoft.
- Når du sender en meddelelse, der blev registreret og blokeret af spoof intelligence, føjes der en tilladelsespost for den spoofede afsender til fanen Spoofed-afsendere på listen over tilladte/blokerede lejere.
- Hvis afsenderen ikke blev registreret og blokeret af spoof intelligence, oprettes der ikke en tilladelsespost for afsenderen på lejerlisten tillad/bloker, når meddelelsen sendes til Microsoft.
- Fra siden Spoof intelligence insight på https://security.microsoft.com/spoofintelligence, om afsenderen blev registreret og blokeret af spoof intelligence. Du kan finde instruktioner under Tilsidesæt spoof intelligence-dommen.
- Når du tilsidesætter dommen i indsigten spoof intelligence, bliver den spoofede afsender en manuel post, der kun vises på fanen Spoofed sendere på siden Tillad/bloker lejere Lister.
- Fra fanen Spoofed sendere på siden Tillad/bloker lejer Lister eller i PowerShell som beskrevet i dette afsnit.
Bemærk!
Tillad poster for spoofed afsendere konto for intra-org, cross-org, og DMARC spoofing.
Det er kun kombinationen af den spoofede bruger og den afsendende infrastruktur, som defineret i domæneparret , der må spoof.
Tillad, at poster for spoofede afsendere aldrig udløber.
Brug Microsoft Defender-portalen til at oprette tilladte poster for spoofede afsendere på listen over tilladte/blokerede lejere
På listen over tilladte/blokerede lejere kan du oprette tilladte poster for spoofede afsendere, før de registreres og blokeres af spoof intelligence.
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.
På siden Tillad/bloker lejer Lister skal du vælge fanen Misvisende afsendere.
På fanen Spoofed senders skal du vælge Tilføj.
I pop op-vinduet Tilføj nye domænepar , der åbnes, skal du konfigurere følgende indstillinger:
Tilføj domænepar med jokertegn: Angiv domænepar pr. linje op til maksimalt 20. Du kan finde oplysninger om syntaksen for spoofede afsenderposter i afsnittet Domæneparsyntaks for spoofede afsenderposter senere i denne artikel.
Spoof-type: Vælg en af følgende værdier:
- Intern: Den spoofede afsender er i et domæne, der tilhører din organisation (et accepteret domæne).
- Ekstern: Den spoofede afsender er i et eksternt domæne.
Handling: Vælg Tillad eller Bloker.
Når du er færdig i pop op-vinduet Tilføj nye domænepar , skal du vælge Tilføj.
Tilbage på fanen Spoofed senders vises posten.
Brug PowerShell til at oprette tilladte poster for spoofede afsendere på lejerlisten tillad/bloker
I Exchange Online PowerShell skal du bruge følgende syntaks:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
I dette eksempel oprettes der en tilladelsespost for afsenderen bob@contoso.com fra kilden contoso.com.
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External
Du kan finde detaljerede syntaks- og parameteroplysninger under New-TenantAllowBlockListSpoofItems.
Opret blokposter for spoofede afsendere
Brug en af følgende metoder til at oprette blokposter for spoofede afsendere:
- Fra fanen Mails på siden Indsendelser på https://security.microsoft.com/reportsubmission?viewid=email. Du kan finde instruktioner under Rapportér tvivlsomme mails til Microsoft.
- Fra siden Spoof intelligence insight på https://security.microsoft.com/spoofintelligence, om afsenderen blev registreret og tilladt af spoof intelligence. Du kan finde instruktioner under Tilsidesæt spoof intelligence-dommen.
- Når du tilsidesætter dommen i indsigten spoof intelligence, bliver den spoofede afsender en manuel post, der kun vises på fanen Spoofed sendere på siden Tillad/bloker lejere Lister.
- Fra fanen Spoofed sendere på siden Tillad/bloker lejer Lister eller i PowerShell som beskrevet i dette afsnit.
Bemærk!
Det er kun kombinationen af den spoofede bruger og den afsendende infrastruktur, der er defineret i domæneparret , der blokeres fra spoofing.
Mail fra disse afsendere er markeret som phishing. Hvad der sker med meddelelserne bestemmes af den anti-spam-politik , der har registreret meddelelsen til modtageren. Du kan få flere oplysninger i handlingen Phishing-registrering i politikindstillinger for antispam til EOP.
Når du konfigurerer en blokpost for et domænepar, bliver den spooferede afsender en manuel blokpost, der kun vises på fanen Spoofed sendere på listen Over tilladte/blokerede lejere.
Blokposter for spoofed afsendere udløber aldrig.
Brug Microsoft Defender-portalen til at oprette blokposter for misvisende afsendere på listen over tilladte/blokerede lejere
Trinnene er næsten identiske med oprettelse af tilladte poster for spoofede afsendere som tidligere beskrevet i denne artikel.
Den eneste forskel er: For handlingsværdien i trin 4 skal du vælge Bloker i stedet for Tillad.
Brug PowerShell til at oprette blokposter for spoofede afsendere på lejerlisten tillad/bloker
I Exchange Online PowerShell skal du bruge følgende syntaks:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
I dette eksempel oprettes der en blokpost for afsenderen laura@adatum.com fra kilden 172.17.17.17/24.
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External
Du kan finde detaljerede syntaks- og parameteroplysninger under New-TenantAllowBlockListSpoofItems.
Brug Microsoft Defender-portalen til at få vist poster for spoofede afsendere på listen over tilladte/blokerede lejere
I portalen Microsoft Defender på https://security.microsoft.comskal du gå til Politikker & regler>Trusselspolitikker>Lejer tillad/bloker Lister i afsnittet Regler. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.
Kontrollér, at fanen Spoofed sendere er valgt.
Under fanen Spoofed sendere kan du sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Følgende kolonner er tilgængelige:
- Poofed bruger
- Sender infrastruktur
- Spoof-type: De tilgængelige værdier er Interne eller Eksterne.
- Handling: De tilgængelige værdier er Block eller Allow.
Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:
- Handling: De tilgængelige værdier er Allow og Block.
- Spoof-type: De tilgængelige værdier er Interne og Eksterne.
Når du er færdig i pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.
Brug søgefeltet og en tilsvarende værdi til at finde bestemte poster.
Hvis du vil gruppere posterne, skal du vælge Gruppér og derefter vælge en af følgende værdier:
- Handling
- Spoof-type
Hvis du vil opdele elementerne, skal du vælge Ingen.
Brug PowerShell til at få vist poster for forfalskede afsendere på listen over tilladte/blokerede lejere
I Exchange Online PowerShell skal du bruge følgende syntaks:
Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>
I dette eksempel returneres alle spooferede afsenderposter på listen over tilladte/blokerede lejere.
Get-TenantAllowBlockListSpoofItems
I dette eksempel returneres alle tilladte forfalskede afsenderposter, der er interne.
Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal
I dette eksempel returneres alle blokerede spoofed afsenderposter, der er eksterne.
Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External
Du kan finde detaljerede syntaks- og parameteroplysninger under Get-TenantAllowBlockListSpoofItems.
Brug Microsoft Defender-portalen til at redigere poster for spoofede afsendere på lejerlisten tillad/bloker
Når du ændrer en tilladelses- eller blokpost for forfalskede afsendere på listen Over tilladte/blokerede lejere, kan du kun ændre posten fra Tillad til Bloker eller omvendt.
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.
Vælg fanen Spoofed sendere .
Vælg posten på listen ved at markere afkrydsningsfeltet ud for den første kolonne, og vælg derefter handlingen Rediger , der vises.
I pop op-vinduet Rediger spoofed afsender , der åbnes, skal du vælge Tillad eller Bloker og derefter vælge Gem.
Brug PowerShell til at redigere poster for misvisende afsendere på listen over tilladte/blokerede lejere
I Exchange Online PowerShell skal du bruge følgende syntaks:
Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>
I dette eksempel ændres den angivne spoofed afsenderpost fra en tillad post til en blokpost.
Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block
Du kan finde detaljerede syntaks- og parameteroplysninger under Set-TenantAllowBlockListSpoofItems.
Brug Microsoft Defender-portalen til at fjerne poster for misvisende afsendere fra lejerens liste over tilladte/blokerede elementer
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.
Vælg fanen Spoofed sendere .
Under fanen Spoofed sendere skal du vælge posten på listen ved at markere afkrydsningsfeltet ud for den første kolonne og derefter vælge handlingen Slet , der vises.
Tip
Du kan markere flere poster ved at markere hvert afkrydsningsfelt eller markere alle poster ved at markere afkrydsningsfeltet ud for kolonneoverskriften Spoofed user .
Vælg Slet i den advarselsdialogboks, der åbnes.
Brug PowerShell til at fjerne poster for spoofede afsendere fra lejerlisten tillad/bloker
I Exchange Online PowerShell skal du bruge følgende syntaks:
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c
I dette eksempel fjernes den angivne spoofed afsender. Du får parameterværdien Ids fra egenskaben Identity i outputtet af Get-TenantAllowBlockListSpoofItems kommando.
Du kan finde detaljerede syntaks- og parameteroplysninger under Remove-TenantAllowBlockListSpoofItems.
Domæneparsyntaks for spoofede afsenderposter
Et domænepar for en spoofed afsender på listen over tilladte/blokerede lejere bruger følgende syntaks: <Spoofed user>, <Sending infrastructure>
.
Spoofed bruger: Denne værdi omfatter mailadressen på den spoofede bruger, der vises i feltet Fra i mailklienter. Denne adresse kaldes også afsenderadressen
5322.From
eller P2. Gyldige værdier omfatter:- En individuel mailadresse (f.eks. chris@contoso.com).
- Et maildomæne (f.eks. contoso.com).
- Jokertegnet (*).
Sender infrastruktur: Denne værdi angiver kilden til meddelelser fra den spoofede bruger. Gyldige værdier omfatter:
- Domænet, der blev fundet i et omvendt DNS-opslag (PTR-post) for kildemailserverens IP-adresse (f.eks. fabrikam.com).
- Hvis kildens IP-adresse ikke har nogen PTR-post, identificeres den afsendende infrastruktur som <kilde-IP>/24 (f.eks. 192.168.100.100/24).
- Et bekræftet DKIM-domæne.
- Jokertegnet (*).
Her er nogle eksempler på gyldige domænepar, der identificerer spoofede afsendere:
contoso.com, 192.168.100.100/24
chris@contoso.com, fabrikam.com
*, contoso.net
Bemærk!
Du kan angive jokertegn i den afsendende infrastruktur eller i den spoofede bruger, men ikke i begge dele på samme tid. Er f.eks *, *
. ikke tilladt.
Hvis du bruger et domæne i stedet for IP-adressen eller IP-adresseområdet i den afsendende infrastruktur, skal domænet matche PTR-posten for den tilsluttede IP i headeren Godkendelsesresultater . Du kan bestemme PTR ved at køre kommandoen: ping -a <IP address>
. Vi anbefaler også, at du bruger PTR-organisationsdomænet som domæneværdi. Hvis PTR f.eks. fortolkes som "smtp.inbound.contoso.com", skal du bruge "contoso.com" som den afsendende infrastruktur.
Tilføjelse af et domænepar tillader eller blokerer kunkombinationen af den spoofede bruger og den afsendende infrastruktur. Du kan f.eks. tilføje en tilladelsespost for følgende domænepar:
- Domæne: gmail.com
- Sender infrastruktur: tms.mx.com
Det er kun meddelelser fra dette domæne og det afsendende infrastrukturpar, der må spoof. Andre afsendere, der forsøger at spoof gmail.com, er ikke tilladt. Meddelelser fra afsendere i andre domæner, der stammer fra tms.mx.com kontrolleres af spoof intelligence.
Om repræsenterede domæner eller afsendere
Du kan ikke oprette tilladte poster på lejerens liste over tilladte/blokerede meddelelser for meddelelser, der blev registreret som repræsenterede brugere eller repræsenterede domæner af politikker til bekæmpelse af phishing i Defender for Office 365.
Afsendelse af en meddelelse, der fejlagtigt blev blokeret som repræsentation under fanen Mails på siden Indsendelser på https://security.microsoft.com/reportsubmission?viewid=email , tilføjer ikke afsenderen eller domænet som en tilladelsespost på listen over tilladte lejere/bloker.
Domænet eller afsenderen føjes i stedet til afsnittet Afsendere og domæner , der er tillid til, i den anti-phishing-politik , der registrerede meddelelsen.
Hvis du vil have vejledning til indsendelse af falske positiver, skal du se Rapportér en god mail til Microsoft.
Bemærk!
I øjeblikket udføres der ikke repræsentation af brugere (eller grafer) herfra.
Relaterede artikler
- Brug siden Indsendelser til at sende mistanke om spam, phish, URL-adresser, legitime mails, der blokeres, og vedhæftede filer i mails til Microsoft
- Rapportér falske positiver og falske negativer
- Administrer tillader og blokke på listen over tilladte/blokerede lejere
- Tillad eller bloker filer på listen over tilladte/blokerede lejere
- Tillad eller bloker URL-adresser på listen over tilladte/blokerede lejere
- Tillad eller bloker IPv6-adresser på listen over tilladte/blokerede lejere