Verwalten Ihrer Zulassungen und Blöcke in der Mandanten-Zulassungs-/Sperrliste

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Hinweis

Um Phishing-URLs zuzulassen, die Teil des Angriffssimulationstrainings von Drittanbietern sind, verwenden Sie die erweiterte Übermittlungskonfiguration , um die URLs anzugeben. Verwenden Sie nicht die Zulassungs-/Sperrliste des Mandanten.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online Postfächer können Sie mit der EOP-Filterbewertung nicht einverstanden sein. Beispielsweise kann eine gute Nachricht als schlecht (falsch positiv) markiert werden, oder eine ungültige Nachricht kann durch zugelassen werden (falsch negativ).

Die Zulassungs-/Sperrliste für Mandanten im Microsoft 365 Defender-Portal bietet Ihnen die Möglichkeit, die Microsoft 365-Filterbewertungen manuell zu überschreiben. Die Mandanten-Zulassungs-/Sperrliste wird während des Nachrichtenflusses für eingehende Nachrichten von externen Absendern verwendet. Beachten Sie, dass dies nicht für Nachrichten innerhalb der Organisation gilt.

Die Zulassungs-/Sperrliste für Mandanten finden Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.com>Richtlinienregeln &>Bedrohungsrichtlinien>Zulassungs-/Sperrlisten für Mandanten im Abschnitt Regeln. Um direkt zur Seite Zulassungs-/Sperrlisten für Mandanten zu wechseln, verwenden Sie https://security.microsoft.com/tenantAllowBlockList.

Anweisungen zum Erstellen und Konfigurieren von Einträgen finden Sie in den folgenden Themen:

Diese Artikel enthalten Prozeduren im Microsoft 365 Defender-Portal und in PowerShell.

Blockieren von Einträgen in der Zulassungs-/Sperrliste für Mandanten

Hinweis

In der Mandanten-Zulassungs-/Sperrliste haben Blockeinträge Vorrang vor Zulassungseinträgen.

Verwenden Sie das Übermittlungsportal (auch als Administratorübermittlung bezeichnet), https://security.microsoft.com/reportsubmission um Blockeinträge für die folgenden Arten von Elementen zu erstellen, wenn Sie diese als falsch negative Werte an Microsoft melden:

  • Domänen und E-Mail-Adressen:

    • Email Nachrichten von diesen Absendern werden als Spam mit hoher Zuverlässigkeit (SCL = 9) gekennzeichnet. Was mit den Nachrichten geschieht, wird durch die Antispamrichtlinie bestimmt, die die Nachricht für den Empfänger erkannt hat. In der Standardmäßigen Antispamrichtlinie und neuen benutzerdefinierten Richtlinien werden Nachrichten, die als Spam mit hoher Zuverlässigkeit gekennzeichnet sind, standardmäßig an den Junk-Email-Ordner übermittelt. In den voreingestellten Sicherheitsrichtlinien "Standard" und "Strict" werden Spamnachrichten mit hoher Zuverlässigkeit unter Quarantäne gesetzt.
    • Benutzer in der Organisation können keine E-Mails an diese blockierten Domänen und Adressen senden. Sie erhalten den folgenden Nichtzustellbarkeitsbericht (auch als NDR- oder Unzustellbarkeitsnachricht bezeichnet): "550 5.7.703 Ihre Nachricht kann nicht zugestellt werden, weil mindestens ein Empfänger durch die Richtlinie zum Blockieren von Mandantenempfängern Ihrer Organisation blockiert wird". Die gesamte Nachricht wird für alle Empfänger der Nachricht blockiert, auch wenn nur eine Empfänger-E-Mail-Adresse oder Domäne in einem Blockeintrag definiert ist.

    Hinweis

    Um nur Spam von einem bestimmten Absender zu blockieren, fügen Sie die E-Mail-Adresse oder Domäne der Sperrliste in Antispamrichtlinien hinzu. Um alle E-Mails des Absenders zu blockieren, verwenden Sie Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste des Mandanten.

  • Dateien: Email Nachrichten, die diese blockierten Dateien enthalten, als Schadsoftware gekennzeichnet und in Quarantäne verschoben werden.

  • URLs: Email Nachrichten, die diese blockierten URLs enthalten, werden als Phishing mit hoher Zuverlässigkeit blockiert. Nachrichten, die die blockierten URLs enthalten, werden unter Quarantäne gesetzt.

In der Mandanten-Zulassungs-/Sperrliste können Sie auch direkt Blockeinträge für die folgenden Arten von Elementen erstellen:

  • Domänen und E-Mail-Adressen, Dateien und URLs.

  • Gefälschte Absender: Wenn Sie eine vorhandene Zulassungsbewertung von Spoofintelligenz manuell außer Kraft setzen, wird der blockierte spoofierte Absender zu einem manuellen Blockeintrag, der nur auf der Registerkarte Spoofed senders in der Mandanten-Zulassungs-/Sperrliste angezeigt wird.

Standardmäßig laufen Sperreinträge für Domänen und E-Mail-Adressen, Dateien und URLs nach 30 Tagen ab, aber Sie können festlegen, dass sie bis zu 90 Tage oder nie ablaufen. Blockieren von Einträgen für gefälschte Absender laufen nie ab.

Zulassungseinträge in der Zulassungs-/Sperrliste des Mandanten

In den meisten Fällen können Sie Zulassungseinträge nicht direkt in der Mandanten-Zulassungs-/Sperrliste erstellen:

  • Domänen und E-Mail-Adressen, Dateien und URLs: Sie können Zulassungseinträge nicht direkt in der Mandanten-Zulassungs-/Sperrliste erstellen. Verwenden Sie stattdessen das Übermittlungsportal unter https://security.microsoft.com/reportsubmission , um die E-Mail, die E-Mail-Anlage oder die URL an Microsoft als Nicht blockiert (Falsch positiv) zu melden.

  • Gefälschte Absender:

    • Wenn Die Spoofintelligenz die Nachricht bereits als Spoofing blockiert hat, verwenden Sie das Übermittlungsportal unter https://security.microsoft.com/reportsubmission , um die E-Mail an Microsoft als Sollte nicht blockiert worden sein (Falsch positiv) zu melden.
    • Sie können proaktiv einen Zulassungseintrag für einen gefälschten Absender auf der Registerkarte Spoofed Sender in der Mandantenliste zulassen/blockieren erstellen, bevor spoof intelligence die Nachricht als Spoofing identifiziert und blockiert.

In der folgenden Liste wird beschrieben, was in der Zulassungs-/Sperrliste für Mandanten geschieht, wenn Sie etwas als falsch positives Ergebnis an Microsoft im Übermittlungsportal melden:

  • Email Anlagen und URLs: Ein Zulassungseintrag wird erstellt und auf der Registerkarte Dateien oder URLs in der Zulassungs-/Sperrliste des Mandanten angezeigt.

  • Email: Wenn eine Nachricht vom Microsoft 365-Filterstapel blockiert wurde, wird möglicherweise ein Zulassungseintrag in der Zulassungs-/Sperrliste des Mandanten erstellt:

    • Wenn die Nachricht durch Spoofintelligenz blockiert wurde, wird ein Zulassungseintrag für den Absender erstellt, der auf der Registerkarte Spoofed senders in der Zulassungssperrliste für Mandanten angezeigt wird.

    • Wenn die Nachricht durch Domänen- oder Benutzeridentitätswechselschutz in Defender for Office 365 blockiert wurde, wird in der Zulassungs-/Sperrliste des Mandanten kein Zulassungseintrag erstellt. Stattdessen wird die Domäne oder der Absender dem Abschnitt Vertrauenswürdige Absender und Domänen in der Antiphishingrichtlinie hinzugefügt, die die Nachricht erkannt hat.

    • Wenn die Nachricht aus anderen Gründen blockiert wurde, wird ein Zulassungseintrag für den Absender erstellt, der auf der Registerkarte Domänenadressen & in der Liste zugelassener Mandantensperren angezeigt wird.

    • Wenn die Nachricht nicht blockiert wurde und kein Zulassungseintrag für den Absender erstellt wurde, wird sie nicht auf der Registerkarte Gefälschte Absender oder auf der Registerkarte Domänenadressen & angezeigt.

Standardmäßig werden Zulassungseinträge für Domänen und E-Mail-Adressen, Dateien und URLs für 30 Tage erstellt, während Einträge für gefälschte Absender nicht ablaufen . Microsoft lernt entweder aus den Zulassungseinträgen für Domänen und E-Mail-Adressen, Dateien und URLs innerhalb dieser 30 Tage oder erweitert sie automatisch für Sie.

Hinweis

Microsoft erlaubt es Ihnen nicht, Zulassungseinträge direkt zu erstellen, da dies zur Erstellung von Zulassungen führt, die nicht benötigt werden, wodurch der Mandant des Kunden schädlichen E-Mails ausgesetzt wird, die andernfalls vom System gefiltert worden wären.

Microsoft verwaltet den Prozess zum Erstellen von Zulassungen aus der Übermittlung, indem es die Entitäten (Domänen oder E-Mail-Adressen, gefälschte Absender, URLs, Dateien) erstellt, die während des Nachrichtenflusses durch Filter als bösartig eingestuft wurden. Wenn beispielsweise der Absender und eine URL in der Nachricht als ungültig ermittelt wurden, wird ein Zulassungseintrag für den Absender erstellt, und für die URL wird ein Zulassungseintrag erstellt.

Wenn diese Entität (Domäne oder E-Mail-Adresse, URL, Datei) erneut gefunden wird, werden alle filter, die dieser Entität zugeordnet sind, übersprungen.

Wenn Nachrichten von der Domäne oder E-Mail-Adresse während des Nachrichtenflusses andere Überprüfungen im Filterstapel bestehen, werden die Nachrichten zugestellt. Wenn beispielsweise die E-Mail-Authentifizierung erfolgreich ist, wird eine Nachricht von einem Absender im Zulassungseintrag zugestellt.

Was Sie nach dem Hinzufügen eines Zulassungs- oder Sperreintrags erwarten können

Nachdem Sie einen Zulassungseintrag über das Übermittlungsportal oder einen Blockeintrag in der Mandanten-Zulassungs-/Sperrliste hinzugefügt haben, sollte der Eintrag in 99,999 % der Zeit sofort funktionieren. Für den Rest kann es bis zu 24 Stunden dauern.

Eine Zulassung wird standardmäßig für einen Zeitraum von 30 Kalendertagen erstellt, damit Microsoft daraus lernen und dann entfernen kann. Wenn Microsoft mit der Verwaltung für den Ablauf von Zulassungseinträgen nicht gelernt hat, verlängert Microsoft automatisch die Ablaufzeit von Zulassungseinträgen, die bald um weitere 30 Tage ablaufen. Diese Erweiterung trägt dazu bei, zu verhindern, dass legitime E-Mails erneut in Junk-Mails gelangen oder sich unter Quarantäne stellen. Wenn Microsoft nicht innerhalb von 90 Kalendertagen ab dem Datum der ursprünglichen Erstellung des Zulassungseintrags lernt, entfernt Microsoft den Zulassungseintrag. Sie werden während des gesamten Prozesses über E-Mails auf dem Laufenden gehalten.

Wenn Microsoft aus dem Zulassungseintrag gelernt hat, wird der Eintrag entfernt, und Sie erhalten eine Warnung, die Sie darüber informiert.