Administrer tillader og blokke på listen over tilladte/blokerede lejere

• Gælder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Vigtigt!

Hvis du vil tillade phishing-URL-adresser, der er en del af oplæringen i simulering af angreb fra tredjepart, skal du bruge den avancerede leveringskonfiguration til at angive URL-adresserne. Brug ikke listen over tilladte/blokerede lejere.

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående EOP-organisationer (Exchange Online Protection) uden Exchange Online postkasser kan du være uenig i EOP eller Microsoft Defender for Office 365 filtrere dommen. En god meddelelse kan f.eks. være markeret som dårlig (et falsk positivt), eller der kan tillades en forkert meddelelse via (falsk negativ).

Listen over tilladte/blokerede lejere på Microsoft Defender-portalen giver dig mulighed for manuelt at tilsidesætte de Defender for Office 365- eller EOP-filtreringsdomme. Listen bruges under mailflowet til indgående meddelelser fra eksterne afsendere.

Listen over tilladte/blokerede lejere gælder ikke for interne meddelelser i organisationen. Bloker poster for domæner og mailadresser forhindrer dog brugere i organisationen i at sende mail til de blokerede domæner og adresser.

Listen over tilladte/blokerede lejere er tilgængelig på Microsoft Defender-portalen på https://security.microsoft.com>Politikker & regler>Trusselspolitikker>Lejer tillad/bloker Lister i afsnittet Regler. Hvis du vil gå direkte til siden Tillad/bloker lejer Lister, skal du bruge https://security.microsoft.com/tenantAllowBlockList.

Du kan finde instruktioner til brug og konfiguration i følgende artikler:

• Domæner og mailadresser og spoofede afsendere: Tillad eller bloker mails ved hjælp af lejerlisten Tillad/Bloker
• Filer: Tillad eller bloker filer ved hjælp af lejerlisten Tillad/bloker
• URL-adresser: Tillad eller bloker URL-adresser ved hjælp af listen over tilladte/blokerede lejere.

Disse artikler indeholder procedurer i Microsoft Defender-portalen og i PowerShell.

Bloker poster på listen over tilladte/blokerede lejere

Bemærk!

På listen over tilladte/blokerede lejere har blokposter forrang frem for tilladte poster.

Brug siden Indsendelser (også kaldet administratorafsendelse) på https://security.microsoft.com/reportsubmission til at oprette blokposter for følgende typer elementer, når du rapporterer dem som falske negativer til Microsoft:

• Domæner og mailadresser:

  • Mails fra disse afsendere markeres som phishing med høj genkendelsessikkerhed og flyttes derefter til karantæne.
  • Brugere i organisationen kan ikke sende mail til disse blokerede domæner og adresser. De modtager følgende rapport om manglende levering (også kendt som en NDR- eller bounce-meddelelse): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hele meddelelsen er blokeret for alle interne og eksterne modtagere af meddelelsen, selvom kun én modtagermailadresse eller ét domæne er defineret i en blokpost.

  Tip

  Hvis du kun vil blokere spam fra en bestemt afsender, skal du føje mailadressen eller domænet til blokeringslisten i politikker til bekæmpelse af spam. Hvis du vil blokere alle mails fra afsenderen, skal du bruge Domæner og mailadresser på listen over tilladte/blokerede lejere.

• Filer: Mails, der indeholder disse blokerede filer, blokeres som malware. Meddelelser, der indeholder de blokerede filer, er sat i karantæne.

• URL-adresser: Mails, der indeholder disse blokerede URL-adresser, blokeres som phishing med høj sikkerhed. Meddelelser, der indeholder de blokerede URL-adresser, er sat i karantæne.

På listen over tilladte/blokerede lejere kan du også oprette blokposter direkte for følgende elementtyper:

• Domæner og mailadresser, filer og URL-adresser.

• Spoofed afsendere: Hvis du manuelt tilsidesætter en eksisterende tillad dom fra spoof intelligence, bliver den blokerede spoofed afsender en manuel blokpost, der kun vises på fanen Spoofed afsendere på listen Over tilladte/blokerede lejere.

Bloker poster for domæner og mailadresser, filer og URL-adresser udløber som standard efter 30 dage, men du kan indstille dem til at udløbe 90 dage eller aldrig udløbe. Blokposter for spoofed afsendere udløber aldrig.

Tillad poster på lejerlisten Tillad/bloker

I de fleste tilfælde kan du ikke oprette poster med tilladelse direkte på lejerlisten tillad/bloker:

• Domæner og mailadresser, filer og URL-adresser: Du kan ikke oprette tilladte poster direkte på listen over tilladte/blokerede lejere. Du kan i stedet bruge siden Indsendelser på https://security.microsoft.com/reportsubmission til at rapportere mailen, den vedhæftede fil eller URL-adressen til Microsoft, da Burde ikke være blevet blokeret (falsk positiv).

• Misvisende afsendere:

  • Hvis spoof intelligence allerede har blokeret meddelelsen som spoofing, skal du bruge siden Indsendelser på https://security.microsoft.com/reportsubmission til at rapportere mailen til Microsoft, da Burde ikke være blevet blokeret (Falsk positiv).
  • Du kan proaktivt oprette en tilladelsespost for en spoofed afsender på fanen Spoofed sender på listen Over tilladte lejere/bloker, før spoof intelligence identificerer og blokerer meddelelsen som spoofing.

På følgende liste beskrives det, hvad der sker på listen over tilladte/blokerede lejere, når du rapporterer noget til Microsoft som et falsk positivt element på siden Indsendelser :

• Vedhæftede filer i mails og URL-adresser: Der oprettes en tilladelsespost, og posten vises under fanen Filer eller URL-adresser på listen over tilladte/blokerede lejere.

  For URL-adresser, der er rapporteret som falske positiver, tillader vi efterfølgende meddelelser, der indeholder variationer af den oprindelige URL-adresse. Du kan f.eks. bruge siden Indsendelser til at rapportere den forkert blokerede URL-adresse www.contoso.com/abc. Hvis din organisation senere modtager en meddelelse, der indeholder URL-adressen (f.eks. men ikke begrænset til: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5eller www.contoso.com/abc/whatever), blokeres meddelelsen ikke på baggrund af URL-adressen. Med andre ord behøver du ikke at rapportere flere variationer af den samme URL-adresse som god til Microsoft.

• Mail: Hvis en meddelelse blev blokeret af EOP eller Defender for Office 365 filtreringsstak, kan der oprettes en tilladelsespost på listen over tilladte/blokerede lejere:

  • Hvis meddelelsen blev blokeret af spoof intelligence, oprettes der en tilladelsespost for afsenderen, og posten vises på fanen Spoofed sendere på listen Over tilladte/blokerede lejere.
  • Hvis meddelelsen blev blokeret af brugerbeskyttelse (eller graf) repræsentation i Defender for Office 365, oprettes der ikke en tilladelsespost på lejerlisten Tillad/Bloker. Domænet eller afsenderen føjes i stedet til afsnittet Afsendere og domæner , der er tillid til, i den anti-phishing-politik , der registrerede meddelelsen.
  • Hvis meddelelsen blev blokeret pga. filbaserede filtre, oprettes der en tilladelsespost for filen, og posten vises under fanen Filer på listen Over tilladte/blokerede lejere.
  • Hvis meddelelsen blev blokeret pga. URL-baserede filtre, oprettes der en tilladelsespost for URL-adressen, og posten vises under fanen URL-adresse på listen Over tilladte/blokerede lejere.
  • Hvis meddelelsen af andre årsager blev blokeret, oprettes der en tilladelsespost for afsenderens mailadresse eller domæne, og posten vises på fanen Domæner & adresser på listen over tilladte/blokerede lejere.
  • Hvis meddelelsen ikke blev blokeret på grund af filtrering, oprettes der ingen tilladte poster nogen steder.

Tillad som standard poster for domæner og mailadresser, filer og URL-adresser i 30 dage. I løbet af disse 30 dage lærer Microsoft fra de tilladte poster og fjerner dem eller udvider dem automatisk. Når Microsoft lærer fra de fjernede tilladte poster, leveres meddelelser, der indeholder disse enheder, medmindre noget andet i meddelelsen registreres som skadeligt. Tillad som standard, at poster for spoofede afsendere aldrig udløber.

Vigtigt!

Microsoft tillader ikke, at du opretter tilladte poster direkte. Unødvendige tillad poster viser din organisation skadelige mails, som kunne være blevet filtreret af systemet.

Microsoft administrerer oprettelsen af tilladte poster fra siden Indsendelser på https://security.microsoft.com/reportsubmission. Tillad poster tilføjes under et mailflow baseret på de filtre, der bestemte, at meddelelsen var skadelig. Hvis afsenderens mailadresse og en URL-adresse i meddelelsen f.eks. blev bestemt til at være ugyldig, oprettes der en tilladelsespost for afsenderen (mailadresse eller domæne) og URL-adressen.

Når enheden registreres igen (under mailflowet eller tidspunktet for klik), springes alle filtre, der er knyttet til det pågældende objekt, over.

Hvis meddelelser, der indeholder den tilladte enhed, overfører andre kontroller i filtreringsstakken, leveres meddelelserne under mailflowet. Hvis en meddelelse f.eks. består kontrol af mailgodkendelse, URL-filtrering og filfiltrering, leveres der en meddelelse fra en tilladt afsendermailadresse.

Hvad kan du forvente, når du har tilføjet en tilladelses- eller blokindtastning?

Når du har tilføjet en tilladelsespost på siden Indsendelser eller en blokpost på lejerlisten tillad/bloker, skal posten begynde at fungere med det samme (inden for 5 minutter).

Hvis Microsoft har lært af den tilladte post, fjernes posten. Du får vist en besked om fjernelse af den nu unødvendige tilladelsespost fra den indbyggede beskedpolitik med navnet Fjernede en post på listen over tilladte/blokerede lejere.