Teilen über

Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Wichtig

Um Phishing-URLs zuzulassen, die Teil des Angriffssimulationstrainings von Drittanbietern sind, verwenden Sie die erweiterte Übermittlungskonfiguration , um die URLs anzugeben. Verwenden Sie nicht die Zulassungs-/Sperrliste des Mandanten.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online-Postfächer können Sie dem Filterurteil von EOP oder Microsoft Defender für Office 365 nicht zustimmen. Beispielsweise kann eine gute Nachricht als schlecht (falsch positiv) markiert werden, oder eine ungültige Nachricht kann durch zugelassen werden (falsch negativ).

Die Mandanten-Zulassungs-/Sperrliste im Microsoft Defender-Portal bietet Ihnen eine Möglichkeit, die Defender für Office 365- oder EOP-Filterbewertungen manuell außer Kraft zu setzen. Die Liste wird während des Nachrichtenflusses für eingehende Nachrichten von externen Absendern verwendet.

Die Mandanten-Zulassungs-/Sperrliste gilt nicht für interne Nachrichten, die innerhalb der Organisation gesendet werden. Blockieren von Einträgen für Domänen und E-Mail-Adressen verhindern jedoch auch, dass Benutzer in der Organisation E-Mails an diese blockierten Domänen und Adressen senden .

Die Zulassungs-/Sperrliste für Mandanten finden Sie im Microsoft Defender-Portal unter https://security.microsoft.comE-Mail & Richtlinien für die Zusammenarbeit>& Regeln>für Bedrohungsrichtlinien>Regeln für >Mandanten– Zulassungs-/Sperrlisten. Oder verwenden Sie , um direkt zur Seite Zulassungs-/Sperrlisten für Mandanten zu wechseln https://security.microsoft.com/tenantAllowBlockList.

Anweisungen zur Verwendung und Konfiguration finden Sie in den folgenden Artikeln:

Diese Artikel enthalten Prozeduren im Microsoft Defender-Portal und in PowerShell.

Blockieren von Einträgen in der Zulassungs-/Sperrliste für Mandanten

Tipp

In der Mandanten-Zulassungs-/Sperrliste haben Blockeinträge Vorrang vor Zulassungseinträgen.

Verwenden Sie die Seite Übermittlungen (auch als Administratorübermittlung bezeichnet), https://security.microsoft.com/reportsubmission um Blockeinträge für die folgenden Arten von Elementen zu erstellen, wenn Sie diese als falsch negative Werte an Microsoft melden:

  • Domänen und E-Mail-Adressen:

    • E-Mail-Nachrichten von diesen Absendern werden als Phishing mit hoher Zuverlässigkeit gekennzeichnet und dann in Quarantäne verschoben.
    • Benutzer in der Organisation können keine E-Mails an diese blockierten Domänen und Adressen senden. Sie erhalten den folgenden Nichtzustellbarkeitsbericht (auch als NDR- oder Unzustellbarkeitsnachricht bezeichnet): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Die gesamte Nachricht wird für alle internen und externen Empfänger der Nachricht blockiert, auch wenn nur eine Empfänger-E-Mail-Adresse oder Domäne in einem Blockeintrag definiert ist.

    Tipp

    Um nur Spam von einem bestimmten Absender zu blockieren, fügen Sie die E-Mail-Adresse oder Domäne der Sperrliste in Antispamrichtlinien hinzu. Um alle E-Mails des Absenders zu blockieren, verwenden Sie Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste des Mandanten.

  • Dateien: E-Mail-Nachrichten, die diese blockierten Dateien enthalten, werden als Schadsoftware blockiert. Nachrichten, die die blockierten Dateien enthalten, werden unter Quarantäne gesetzt.

  • URLs: E-Mail-Nachrichten, die diese blockierten URLs enthalten, werden als Phishing mit hoher Zuverlässigkeit blockiert. Nachrichten, die die blockierten URLs enthalten, werden unter Quarantäne gesetzt.

In der Mandanten-Zulassungs-/Sperrliste können Sie auch direkt Blockeinträge für die folgenden Arten von Elementen erstellen:

Standardmäßig laufen Sperreinträge für Domänen und E-Mail-Adressen, Dateien und URLs nach 30 Tagen ab, aber Sie können festlegen, dass sie bis zu 90 Tage oder nie ablaufen. Blockieren von Einträgen für gefälschte Absender läuft nie ab.

Zulassungseinträge in der Zulassungs-/Sperrliste für Mandanten

In den meisten Fällen können Sie Zulassungseinträge nicht direkt in der Mandanten-Zulassungs-/Sperrliste erstellen:

In der folgenden Liste wird beschrieben, was in der Zulassungs-/Sperrliste für Mandanten geschieht, wenn Sie Etwas an Microsoft auf der Seite Übermittlungen als falsch positiv melden:

  • E-Mail-Anlagen und URLs: Ein Zulassungseintrag wird erstellt, und der Eintrag wird auf der Registerkarte Dateien oder URLs in der Zulassungs-/Sperrliste des Mandanten angezeigt.

    Für URLs, die als falsch positive Werte gemeldet werden, lassen wir nachfolgende Meldungen zu, die Variationen der ursprünglichen URL enthalten. Beispielsweise verwenden Sie die Seite Übermittlungen , um die falsch blockierte URL www.contoso.com/abczu melden. Wenn Ihre Organisation später eine Nachricht erhält, die die URL enthält (z. Bwww.contoso.com/abcwww.contoso.com/abc?id=1. , , www.contoso.com/abc/def/gty/uyt?id=5oder www.contoso.com/abc/whatever), wird die Nachricht nicht basierend auf der URL blockiert. Anders ausgedrückt: Sie müssen microsoft nicht mehrere Varianten derselben URL melden.

  • E-Mail: Wenn eine Nachricht vom EOP- oder Defender für Office 365-Filterstapel blockiert wurde, wird möglicherweise ein Zulassungseintrag in der Zulassungs-/Sperrliste des Mandanten erstellt:

    • Wenn die Nachricht durch Spoofintelligenz blockiert wurde, wird ein Zulassungseintrag für den Absender erstellt, und der Eintrag wird auf der Registerkarte Spoofed senders in der Mandanten-Zulassungs-/Sperrliste angezeigt.
    • Wenn die Nachricht in Defender für Office 365 durch benutzer- oder graphischen Identitätswechsel blockiert wurde, wird in der Zulassungs-/Sperrliste des Mandanten kein Zulassungseintrag erstellt. Stattdessen wird die Domäne oder der Absender dem Abschnitt Vertrauenswürdige Absender und Domänen in der Antiphishingrichtlinie hinzugefügt, die die Nachricht erkannt hat.
    • Wenn die Nachricht aufgrund dateibasierter Filter blockiert wurde, wird ein Zulassungseintrag für die Datei erstellt, und der Eintrag wird auf der Registerkarte Dateien in der Mandanten-Zulassungs-/Sperrliste angezeigt.
    • Wenn die Nachricht aufgrund von URL-basierten Filtern blockiert wurde, wird ein Zulassungseintrag für die URL erstellt, und der Eintrag wird auf der Registerkarte URL in der Mandanten-Zulassungs-/Sperrliste angezeigt.
    • Wenn die Nachricht aus einem anderen Grund blockiert wurde, wird ein Zulassungseintrag für die Absender-E-Mail-Adresse oder Domäne erstellt, und der Eintrag wird auf der Registerkarte Domänen & Adressen in der Zulassungs-/Sperrliste des Mandanten angezeigt.
    • Wenn die Nachricht aufgrund von Filterung nicht blockiert wurde, werden keine Zulassungseinträge erstellt.

Standardmäßig sind Einträge für Domänen und E-Mail-Adressen, Dateien und URLs 30 Tage lang vorhanden. Während dieser 30 Tage lernt Microsoft aus den Zulassungseinträgen und entfernt sie oder erweitert sie automatisch. Nachdem Microsoft aus den entfernten Zulassungseinträgen gelernt hat, werden Nachrichten, die diese Entitäten enthalten, übermittelt, es sei denn, etwas anderes in der Nachricht wird als böswillig erkannt. Standardmäßig dürfen Einträge für gefälschte Absender nie ablaufen.

Wichtig

Microsoft erlaubt es Ihnen nicht, Zulassungseinträge direkt zu erstellen. Unnötige Zulassungseinträge setzen Ihre Organisation schädlichen E-Mails aus, die vom System hätte gefiltert werden können.

Microsoft verwaltet die Erstellung von Zulassungseinträgen auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission. Zulassungseinträge werden während des Nachrichtenflusses basierend auf den Filtern hinzugefügt, die die Nachricht als böswillig eingestuft haben. Wenn beispielsweise die Absender-E-Mail-Adresse und eine URL in der Nachricht als ungültig ermittelt wurden, wird ein Zulassungseintrag für den Absender (E-Mail-Adresse oder Domäne) und die URL erstellt.

Wenn die Entität erneut gefunden wird (während des Nachrichtenflusses oder beim Klicken), werden alle filter, die dieser Entität zugeordnet sind, übersprungen.

Wenn Nachrichten, die die zulässige Entität enthalten, während des Nachrichtenflusses andere Überprüfungen im Filterstapel bestehen, werden die Nachrichten zugestellt. Wenn eine Nachricht beispielsweise E-Mail-Authentifizierungsprüfungen, URL-Filterung und Dateifilterung besteht, wird eine Nachricht von einer zulässigen Absender-E-Mail-Adresse zugestellt.

Was Sie nach dem Hinzufügen eines Zulassungs- oder Sperreintrags erwarten können

Nachdem Sie einen Zulassungseintrag auf der Seite Übermittlungen oder einen Blockeintrag in der Mandanten-Zulassungs-/Sperrliste hinzugefügt haben, sollte der Eintrag sofort (innerhalb von 5 Minuten) funktionieren.

Wenn Microsoft aus dem Zulassungseintrag gelernt hat, generiert die integrierte Warnungsrichtlinie mit dem Namen Removed an entry in Tenant Allow/Block List eine Warnung, wenn der (jetzt unnötige) Zulassungseintrag entfernt wird.