Tillad eller bloker mail ved hjælp af listen over tilladte/blokerede lejere

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående Exchange Online Protection -organisationer (EOP) uden Exchange Online postkasser kan administratorer oprette og administrere poster for domæner og mailadresser (herunder upooferede afsendere) på listen over tilladte/blokerede lejere. Du kan få flere oplysninger om listen over tilladte/blokerede lejere under Administrer tillader og blokke på lejerlisten tillad/bloker.

I denne artikel beskrives det, hvordan administratorer kan administrere poster for mailafsendere på Microsoft Defender portalen og i Exchange Online PowerShell.

Hvad har du brug for at vide, før du begynder?

  • Du åbner portalen Microsoft Defender på https://security.microsoft.com. Hvis du vil gå direkte til siden Tillad/bloker lejer Lister, skal du bruge https://security.microsoft.com/tenantAllowBlockList. Hvis du vil gå direkte til siden Indsendelser , skal du bruge https://security.microsoft.com/reportsubmission.

  • Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell. Hvis du vil oprette forbindelse til enkeltstående EOP PowerShell, skal du se Opret forbindelse til Exchange Online Protection PowerShell.

  • Indtastningsgrænser for domæner og mailadresser:

    • Exchange Online Protection: Det maksimale antal tilladte poster er 500, og det maksimale antal blokposter er 500 (1000 poster for domæner og mailadresser i alt).
    • Defender for Office 365 Plan 1: Det maksimale antal tilladte poster er 1000, og det maksimale antal blokposter er 1000 (2000 domæne- og mailadresseposter i alt).
    • Defender for Office 365 Plan 2: Det maksimale antal tilladte poster er 5000, og det maksimale antal blokposter er 10000 (15000 domæne- og mailadresseposter i alt).

  • For misvisende afsendere er det maksimale antal tilladte poster og blokposter 1024 (1024 tillader poster og ingen blokposter, 512 tilladte poster og 512 blokposter osv.).

  • Poster for spoofed afsendere udløber aldrig.

  • Du kan finde oplysninger om syntaksen for spoofede afsenderposter i afsnittet Domæneparsyntaks for spoofede afsenderposter senere i denne artikel.

  • En post skal være aktiv inden for 5 minutter.

  • Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:

    • Microsoft Defender XDR Unified role based access control (RBAC) (Påvirker kun Defender-portalen, ikke PowerShell): Godkendelse og indstillinger/Sikkerhedsindstillinger/Registreringsjustering (administrer) eller Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).
    • Exchange Online tilladelser:
      • Tilføj og fjern poster fra listen over tilladte/blokerede lejere: Medlemskab i en af følgende rollegrupper:
        • Organisationsadministration eller Sikkerhedsadministrator (rolle som sikkerhedsadministrator).
        • Sikkerhedsoperator (Lejer allowBlockList Manager).
      • Skrivebeskyttet adgang til listen over tilladte/blokerede lejere: Medlemskab i en af følgende rollegrupper:
        • Global læser
        • Sikkerhedslæser
        • Konfiguration kun af visning
        • Kun visning af organisationsadministration
    • Microsoft Entra tilladelser: Medlemskab af rollerne Global administrator, Sikkerhedsadministrator, Global læser eller Sikkerhedslæser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.

Domæner og mailadresser på listen over tilladte/blokerede lejere

Create tillade poster for domæner og mailadresser

Du kan ikke oprette tilladte poster for domæner og mailadresser direkte på listen over tilladte/blokerede lejere. Unødvendige tilladte poster viser din organisation skadelige mails, der ville være blevet filtreret af systemet.

Du kan i stedet bruge fanen Mails på siden Indsendelserhttps://security.microsoft.com/reportsubmission?viewid=email. Når du sender en blokeret meddelelse som Burde ikke være blevet blokeret (Falsk positiv), føjes der en tilladelsespost for afsenderen til fanen Domæner & mailadresser på siden Tillad/bloker lejer Lister. Du kan finde instruktioner under Send en god mail til Microsoft.

Bemærk!

Tillad poster tilføjes på baggrund af de filtre, der bestemte, at meddelelsen var skadelig under mailflowet. Hvis afsenderens mailadresse og en URL-adresse i meddelelsen f.eks. blev bestemt til at være ugyldig, oprettes der en tilladelsespost for afsenderen (mailadresse eller domæne) og URL-adressen.

Når enheden i den tilladte post registreres igen (under mailflowet eller ved klik), tilsidesættes alle filtre, der er knyttet til det pågældende objekt.

Tillad poster for domæner og mailadresser findes som standard i 30 dage. I løbet af disse 30 dage lærer Microsoft fra de tilladte poster og fjerner dem eller udvider dem automatisk. Når Microsoft lærer fra de fjernede tilladte poster, leveres meddelelser, der indeholder disse enheder, medmindre noget andet i meddelelsen registreres som skadeligt.

Hvis meddelelser, der indeholder den tilladte enhed, overfører andre kontroller i filtreringsstakken, leveres meddelelserne under mailflowet. Hvis en meddelelse f.eks. består kontrol af mailgodkendelse, URL-filtrering og filfiltrering, leveres meddelelsen, hvis den også er fra en tilladt afsender.

Create blokerede poster for domæner og mailadresser

Hvis du vil oprette blokposter for domæner og mailadresser, skal du bruge en af følgende metoder:

  • Fra fanen Mails på siden Indsendelserhttps://security.microsoft.com/reportsubmission?viewid=email. Når du sender en meddelelse som Skal være blokeret (falsk negativ), kan du vælge Bloker alle mails fra denne afsender eller dette domæne for at føje en blokpost til fanen Domæner & mailadresser på siden Tillad/bloker lejer Lister. Du kan finde instruktioner under Rapportér tvivlsomme mails til Microsoft.

  • Fra fanen Domæner & adresser på siden Tillad/bloker lejer Lister eller i PowerShell som beskrevet i dette afsnit.

Hvis du vil oprette blokposter for spoofede afsendere, skal du se dette afsnit senere i denne artikel.

Mail fra disse blokerede afsendere er markeret som phishing med høj tillid og sat i karantæne.

Bemærk!

I øjeblikket blokeres underdomæner for det angivne domæne ikke. Hvis du f.eks. opretter en blokpost for mail fra contoso.com, blokeres mails fra marketing.contoso.com ikke også. Du skal oprette en separat blokpost til marketing.contoso.com.

Brugere i organisationen kan heller ikke sende mail til disse blokerede domæner og adresser. Meddelelsen returneres i følgende rapport om manglende levering (også kendt som en meddelelse om manglende levering eller manglende levering): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hele meddelelsen er blokeret for alle interne og eksterne modtagere af meddelelsen, selvom kun én modtagermailadresse eller ét domæne er defineret i en blokpost.

Brug Microsoft Defender-portalen til at oprette blokposter for domæner og mailadresser på listen over tilladte/blokerede lejere

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

  2. På siden Tillad/bloker lejer Lister skal du kontrollere, at fanen Domæner & adresser er valgt.

  3. På fanen Domæner & adresser skal du vælge Bloker.

  4. Konfigurer følgende indstillinger i pop op-vinduet Bloker domæner & adresser , der åbnes:

    • Domæner & adresser: Angiv én mailadresse eller ét domæne pr. linje op til maksimalt 20.

    • Fjern blokindtastning efter: Vælg mellem følgende værdier:

      • 1 dag
      • 7 dage
      • 30 dage (standard)
      • Udløber aldrig
      • Bestemt dato: Maksimumværdien er 90 dage fra i dag.

    • Valgfri note: Angiv en beskrivelse af, hvorfor du blokerer mailadresserne eller domænerne.

  5. Når du er færdig i pop op-vinduet Bloker domæner & adresser , skal du vælge Tilføj.

Tilbage på fanen Domæner & mailadresser vises posten.

Brug PowerShell til at oprette blokposter for domæner og mailadresser på listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

I dette eksempel tilføjes en blokpost for den angivne mailadresse, der udløber på en bestemt dato.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Du kan finde detaljerede syntaks- og parameteroplysninger under New-TenantAllowBlockListItems.

Brug Microsoft Defender-portalen til at få vist poster for domæner og mailadresser på listen over tilladte/blokerede lejere

I portalen Microsoft Defender på https://security.microsoft.comskal du gå til Politikker & regler>Trusselspolitikker>Lejer tillad/bloker Lister i afsnittet Regler. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

Kontrollér, at fanen Domæner & adresser er valgt.

Under fanen Domæner & adresser kan du sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Følgende kolonner er tilgængelige:

  • Værdi: Domænet eller mailadressen.
  • Handling: Værdien Allow eller Block.
  • Ændret af
  • Senest opdateret
  • Fjern den: Udløbsdatoen.
  • Bemærkninger

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:

  • Handling: Værdierne er Allow og Block.
  • Udløber aldrig: eller
  • Sidst opdateret: Vælg fra - og til-datoer .
  • Fjern den: Vælg fra - og Til-datoer .

Når du er færdig i pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Brug feltet Søg og en tilsvarende værdi til at finde bestemte poster.

Hvis du vil gruppere posterne, skal du vælge Gruppér og derefter vælge Handling. Hvis du vil opdele elementerne, skal du vælge Ingen.

Brug PowerShell til at få vist poster for domæner og mailadresser på listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

I dette eksempel returneres alle tilladte og blokerede poster for domæner og mailadresser.

Get-TenantAllowBlockListItems -ListType Sender

I dette eksempel filtreres resultaterne for blokposter for domæner og mailadresser.

Get-TenantAllowBlockListItems -ListType Sender -Block

Du kan finde detaljerede syntaks- og parameteroplysninger under Get-TenantAllowBlockListItems.

Brug Microsoft Defender-portalen til at redigere poster for domæner og mailadresser på listen over tilladte/blokerede lejere

I eksisterende domæne- og mailadresseposter kan du ændre udløbsdatoen og noten.

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

  2. Kontrollér, at fanen Domæner & adresser er valgt.

  3. Under fanen Domæner & adresser skal du vælge posten på listen ved at markere afkrydsningsfeltet ud for den første kolonne og derefter vælge handlingen Rediger , der vises.

  4. I pop op-vinduet Rediger domæner & adresser , der åbnes, er følgende indstillinger tilgængelige:

    • Blokposter:
      • Fjern blokindtastning efter: Vælg mellem følgende værdier:
        • 1 dag
        • 7 dage
        • 30 dage
        • Udløber aldrig
        • Bestemt dato: Maksimumværdien er 90 dage fra i dag.
      • Valgfri note
    • Tillad poster:
      • Fjern tillad indtastning efter: Vælg mellem følgende værdier:
        • 1 dag
        • 7 dage
        • 30 dage
        • Bestemt dato: Den maksimale værdi er 30 dage fra i dag.
      • Valgfri note

    Når du er færdig i pop op-vinduet Rediger domæner & adresser , skal du vælge Gem.

Tip

I pop op-vinduet med detaljer for en post under fanen Domæner & adresser skal du bruge Vis indsendelse øverst i pop op-vinduet for at gå til detaljerne for den tilsvarende post på siden Indsendelser . Denne handling er tilgængelig, hvis en indsendelse var ansvarlig for at oprette posten på lejerlisten tillad/bloker.

Brug PowerShell til at redigere poster for domæner og mailadresser på listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

I dette eksempel ændres udløbsdatoen for den angivne blokpost for afsenderens mailadresse.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Du kan finde detaljerede syntaks- og parameteroplysninger under Set-TenantAllowBlockListItems.

Brug Microsoft Defender-portalen til at fjerne poster for domæner og mailadresser fra lejerlisten tillad/bloker

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

  2. Kontrollér, at fanen Domæner & adresser er valgt.

  3. Benyt en af følgende fremgangsmåder under fanen Domæner & adresser :

    • Vælg posten på listen ved at markere afkrydsningsfeltet ud for den første kolonne, og vælg derefter handlingen Slet , der vises.

    • Markér posten på listen ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet. I det pop op-vindue med detaljer, der åbnes, skal du vælge Slet øverst i pop op-vinduet.

      Tip

      • Hvis du vil se detaljer om andre poster uden at forlade pop op-vinduet med detaljer, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.
      • Du kan markere flere poster ved at markere hvert afkrydsningsfelt eller markere alle poster ved at markere afkrydsningsfeltet ud for kolonneoverskriften Værdi .

  4. Vælg Slet i den advarselsdialogboks, der åbnes.

Tilbage på fanen Domæner & adresser vises posten ikke længere.

Brug PowerShell til at fjerne poster for domæner og mailadresser fra lejerlisten tillad/bloker

I Exchange Online PowerShell skal du bruge følgende syntaks:

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

I dette eksempel fjernes den angivne post for domæner og mailadresser fra lejerlisten tillad/bloker.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Du kan finde detaljerede syntaks- og parameteroplysninger under Remove-TenantAllowBlockListItems.

Misvisende afsendere på listen over tilladte/blokerede lejere

Når du tilsidesætter dommen i indsigten spoof intelligence, bliver den spoofede afsender en manuel tilladelses- eller blokindtastning, der kun vises på fanen Spoofed-afsendere på siden Tillad/bloker lejere Lister.

Create tillader poster for spoofede afsendere

Hvis du vil oprette tilladte poster for spoofede afsendere, skal du bruge en af følgende metoder:

  • Fra fanen Mails på siden Indsendelserhttps://security.microsoft.com/reportsubmission?viewid=email. Du kan finde instruktioner under Send en god mail til Microsoft.
    • Når du sender en meddelelse, der blev registreret og blokeret af spoof intelligence, føjes der en tilladelsespost for den spoofede afsender til fanen Spoofed-afsendere på listen over tilladte/blokerede lejere.
    • Hvis afsenderen ikke blev registreret og blokeret af spoof intelligence, oprettes der ikke en tilladelsespost for afsenderen på lejerlisten tillad/bloker, når meddelelsen sendes til Microsoft.
  • Fra siden Spoof intelligence insighthttps://security.microsoft.com/spoofintelligence, om afsenderen blev registreret og blokeret af spoof intelligence. Du kan finde instruktioner under Tilsidesæt spoof intelligence-dommen.
    • Når du tilsidesætter dommen i indsigten spoof intelligence, bliver den spoofede afsender en manuel post, der kun vises på fanen Spoofed sendere på siden Tillad/bloker lejere Lister.
  • Fra fanen Spoofed sendere på siden Tillad/bloker lejer Lister eller i PowerShell som beskrevet i dette afsnit.

Bemærk!

Tillad poster for spoofed afsendere konto for intra-org, cross-org, og DMARC spoofing.

Det er kun kombinationen af den spoofede bruger og den afsendende infrastruktur, som defineret i domæneparret , der må spoof.

Tillad, at poster for spoofede afsendere aldrig udløber.

Brug Microsoft Defender-portalen til at oprette tilladte poster for spoofede afsendere på listen over tilladte/blokerede lejere

På listen over tilladte/blokerede lejere kan du oprette tilladte poster for spoofede afsendere, før de registreres og blokeres af spoof intelligence.

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

  2. På siden Tillad/bloker lejer Lister skal du vælge fanen Misvisende afsendere.

  3. På fanen Spoofed senders skal du vælge Tilføj.

  4. I pop op-vinduet Tilføj nye domænepar , der åbnes, skal du konfigurere følgende indstillinger:

    • Tilføj domænepar med jokertegn: Angiv domænepar pr. linje op til maksimalt 20. Du kan finde oplysninger om syntaksen for spoofede afsenderposter i afsnittet Domæneparsyntaks for spoofede afsenderposter senere i denne artikel.

    • Spoof-type: Vælg en af følgende værdier:

      • Intern: Den spoofede afsender er i et domæne, der tilhører din organisation (et accepteret domæne).
      • Ekstern: Den spoofede afsender er i et eksternt domæne.

    • Handling: Vælg Tillad eller Bloker.

    Når du er færdig i pop op-vinduet Tilføj nye domænepar , skal du vælge Tilføj.

Tilbage på fanen Spoofed senders vises posten.

Brug PowerShell til at oprette tilladte poster for spoofede afsendere på lejerlisten tillad/bloker

I Exchange Online PowerShell skal du bruge følgende syntaks:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

I dette eksempel oprettes der en tilladelsespost for afsenderen bob@contoso.com fra kilden contoso.com.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Du kan finde detaljerede syntaks- og parameteroplysninger under New-TenantAllowBlockListSpoofItems.

Create blokposter for forfalskede afsendere

Brug en af følgende metoder til at oprette blokposter for spoofede afsendere:

Bemærk!

Det er kun kombinationen af den spoofede bruger og den afsendende infrastruktur, der er defineret i domæneparret , der blokeres fra spoofing.

Mail fra disse afsendere er markeret som phishing. Hvad der sker med meddelelserne bestemmes af den anti-spam-politik , der har registreret meddelelsen til modtageren. Du kan få flere oplysninger i handlingen Phishing-registrering i politikindstillinger for antispam til EOP.

Når du konfigurerer en blokpost for et domænepar, bliver den spooferede afsender en manuel blokpost, der kun vises på fanen Spoofed sendere på listen Over tilladte/blokerede lejere.

Blokposter for spoofed afsendere udløber aldrig.

Brug Microsoft Defender-portalen til at oprette blokposter for misvisende afsendere på listen over tilladte/blokerede lejere

Trinnene er næsten identiske med oprettelse af tilladte poster for spoofede afsendere som tidligere beskrevet i denne artikel.

Den eneste forskel er: For handlingsværdien i trin 4 skal du vælge Bloker i stedet for Tillad.

Brug PowerShell til at oprette blokposter for spoofede afsendere på lejerlisten tillad/bloker

I Exchange Online PowerShell skal du bruge følgende syntaks:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

I dette eksempel oprettes der en blokpost for afsenderen laura@adatum.com fra kilden 172.17.17.17/24.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Du kan finde detaljerede syntaks- og parameteroplysninger under New-TenantAllowBlockListSpoofItems.

Brug Microsoft Defender-portalen til at få vist poster for spoofede afsendere på listen over tilladte/blokerede lejere

I portalen Microsoft Defender på https://security.microsoft.comskal du gå til Politikker & regler>Trusselspolitikker>Lejer tillad/bloker Lister i afsnittet Regler. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

Kontrollér, at fanen Spoofed sendere er valgt.

Under fanen Spoofed sendere kan du sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Følgende kolonner er tilgængelige:

  • Poofed bruger
  • Sender infrastruktur
  • Spoof-type: De tilgængelige værdier er Interne eller Eksterne.
  • Handling: De tilgængelige værdier er Block eller Allow.

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:

  • Handling: De tilgængelige værdier er Allow og Block.
  • Spoof-type: De tilgængelige værdier er Interne og Eksterne.

Når du er færdig i pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Brug feltet Søg og en tilsvarende værdi til at finde bestemte poster.

Hvis du vil gruppere posterne, skal du vælge Gruppér og derefter vælge en af følgende værdier:

  • Handling
  • Spoof-type

Hvis du vil opdele elementerne, skal du vælge Ingen.

Brug PowerShell til at få vist poster for forfalskede afsendere på listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

I dette eksempel returneres alle spooferede afsenderposter på listen over tilladte/blokerede lejere.

Get-TenantAllowBlockListSpoofItems

I dette eksempel returneres alle tilladte forfalskede afsenderposter, der er interne.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

I dette eksempel returneres alle blokerede spoofed afsenderposter, der er eksterne.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Du kan finde detaljerede syntaks- og parameteroplysninger under Get-TenantAllowBlockListSpoofItems.

Brug Microsoft Defender-portalen til at redigere poster for spoofede afsendere på lejerlisten tillad/bloker

Når du ændrer en tilladelses- eller blokpost for forfalskede afsendere på listen Over tilladte/blokerede lejere, kan du kun ændre posten fra Tillad til Bloker eller omvendt.

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

  2. Vælg fanen Spoofed sendere .

  3. Vælg posten på listen ved at markere afkrydsningsfeltet ud for den første kolonne, og vælg derefter handlingen Rediger , der vises.

  4. I pop op-vinduet Rediger spoofed afsender , der åbnes, skal du vælge Tillad eller Bloker og derefter vælge Gem.

Brug PowerShell til at redigere poster for misvisende afsendere på listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

I dette eksempel ændres den angivne spoofed afsenderpost fra en tillad post til en blokpost.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Du kan finde detaljerede syntaks- og parameteroplysninger under Set-TenantAllowBlockListSpoofItems.

Brug Microsoft Defender-portalen til at fjerne poster for misvisende afsendere fra lejerens liste over tilladte/blokerede elementer

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

  2. Vælg fanen Spoofed sendere .

  3. Under fanen Spoofed sendere skal du vælge posten på listen ved at markere afkrydsningsfeltet ud for den første kolonne og derefter vælge handlingen Slet , der vises.

    Tip

    Du kan markere flere poster ved at markere hvert afkrydsningsfelt eller markere alle poster ved at markere afkrydsningsfeltet ud for kolonneoverskriften Spoofed user .

  4. Vælg Slet i den advarselsdialogboks, der åbnes.

Brug PowerShell til at fjerne poster for spoofede afsendere fra lejerlisten tillad/bloker

I Exchange Online PowerShell skal du bruge følgende syntaks:

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

I dette eksempel fjernes den angivne spoofed afsender. Du får parameterværdien Ids fra egenskaben Identity i outputtet af Get-TenantAllowBlockListSpoofItems kommando.

Du kan finde detaljerede syntaks- og parameteroplysninger under Remove-TenantAllowBlockListSpoofItems.

Domæneparsyntaks for spoofede afsenderposter

Et domænepar for en spoofed afsender på listen over tilladte/blokerede lejere bruger følgende syntaks: <Spoofed user>, <Sending infrastructure>.

  • Spoofed bruger: Denne værdi omfatter mailadressen på den spoofede bruger, der vises i feltet Fra i mailklienter. Denne adresse kaldes også afsenderadressen 5322.From eller P2. Gyldige værdier omfatter:

    • En individuel mailadresse (f.eks. chris@contoso.com).
    • Et maildomæne (f.eks. contoso.com).
    • Jokertegnet (*).

  • Sender infrastruktur: Denne værdi angiver kilden til meddelelser fra den spoofede bruger. Gyldige værdier omfatter:

    • Domænet, der blev fundet i et omvendt DNS-opslag (PTR-post) for kildemailserverens IP-adresse (f.eks. fabrikam.com).
    • Hvis kildens IP-adresse ikke har nogen PTR-post, identificeres den afsendende infrastruktur som <kilde-IP>/24 (f.eks. 192.168.100.100/24).
    • Et bekræftet DKIM-domæne.
    • Jokertegnet (*).

Her er nogle eksempler på gyldige domænepar, der identificerer spoofede afsendere:

  • contoso.com, 192.168.100.100/24
  • chris@contoso.com, fabrikam.com
  • *, contoso.net

Bemærk!

Du kan angive jokertegn i den afsendende infrastruktur eller i den spoofede bruger, men ikke i begge dele på samme tid. Er f.eks *, * . ikke tilladt.

Hvis du bruger et domæne i stedet for IP-adressen eller IP-adresseområdet i den afsendende infrastruktur, skal domænet matche PTR-posten for den tilsluttede IP i headeren Godkendelsesresultater . Du kan bestemme PTR ved at køre kommandoen: ping -a <IP address>. Vi anbefaler også, at du bruger PTR-organisationsdomænet som domæneværdi. Hvis PTR f.eks. fortolkes som "smtp.inbound.contoso.com", skal du bruge "contoso.com" som den afsendende infrastruktur.

Tilføjelse af et domænepar tillader eller blokerer kunkombinationen af den spoofede bruger og den afsendende infrastruktur. Du kan f.eks. tilføje en tilladelsespost for følgende domænepar:

  • Domæne: gmail.com
  • Sender infrastruktur: tms.mx.com

Det er kun meddelelser fra dette domæne og det afsendende infrastrukturpar, der må spoof. Andre afsendere, der forsøger at spoof gmail.com, er ikke tilladt. Meddelelser fra afsendere i andre domæner, der stammer fra tms.mx.com kontrolleres af spoof intelligence.

Om repræsenterede domæner eller afsendere

Du kan ikke oprette tilladte poster på lejerens liste over tilladte/blokerede meddelelser for meddelelser, der blev registreret som repræsenterede brugere eller repræsenterede domæner af politikker til bekæmpelse af phishing i Defender for Office 365.

Afsendelse af en meddelelse, der fejlagtigt blev blokeret som repræsentation under fanen Mails på siden Indsendelserhttps://security.microsoft.com/reportsubmission?viewid=email , tilføjer ikke afsenderen eller domænet som en tilladelsespost på listen over tilladte lejere/bloker.

Domænet eller afsenderen føjes i stedet til afsnittet Afsendere og domæner , der er tillid til, i den anti-phishing-politik , der registrerede meddelelsen.

Hvis du vil have vejledning til indsendelse af falske positiver, skal du se Rapportér en god mail til Microsoft.

Bemærk!

I øjeblikket udføres der ikke repræsentation af brugere (eller grafer) herfra.