Autoriser ou bloquer le courrier électronique à l’aide de la liste d’autorisation/de blocage du locataire

• S’applique à:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, les administrateurs peuvent créer et gérer des entrées pour les domaines et les adresses de messagerie (y compris les expéditeurs usurpés) dans la liste verte/bloquée des locataires. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

Cet article décrit comment les administrateurs peuvent gérer les entrées pour les expéditeurs de courrier électronique dans le portail Microsoft Defender et dans Exchange Online PowerShell.

Ce qu'il faut savoir avant de commencer

• Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Autoriser/bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

• Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell. Pour vous connecter à un service Exchange Online Protection PowerShell autonome, voir Se connecter à Exchange Online Protection PowerShell.

• Limites d’entrée pour les domaines et les adresses e-mail :

  • Exchange Online Protection : le nombre maximal d’entrées autorisées est de 500, et le nombre maximal d’entrées de bloc est de 500 (1 000 entrées de domaine et d’adresse e-mail au total).
  • Defender for Office 365 Plan 1 : le nombre maximal d’entrées autorisées est de 1 000, et le nombre maximal d’entrées de bloc est de 1 000 (2 000 entrées de domaine et d’adresse e-mail au total).
  • Defender for Office 365 Plan 2 : le nombre maximal d’entrées autorisées est de 5 000, et le nombre maximal d’entrées de bloc est de 10 000 (15 000 entrées de domaine et d’adresse e-mail au total).

• Pour les expéditeurs usurpés, le nombre maximal d’entrées autorisées et d’entrées de bloc est de 1 024 (1 024 entrées autorisées et aucune entrée de bloc, 512 entrées d’autorisation et 512 entrées de bloc, etc.).

• Les entrées des expéditeurs usurpés n’expirent jamais.

• Pour plus d’informations sur la syntaxe des entrées d’expéditeur usurpées, consultez la section Syntaxe de paire de domaines pour les entrées d’expéditeur usurpées plus loin dans cet article.

• Une entrée doit être active dans les 5 minutes.

• Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

  • Microsoft Defender XDR Contrôle d’accès en fonction du rôle (RBAC) unifié (affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Réglage de la détection (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture).
  • Exchange Online autorisations :
    • Ajoutez et supprimez des entrées de la liste verte/bloquée du locataire : Appartenance à l’un des groupes de rôles suivants :
      • Gestion de l’organisation ou Administrateur de la sécurité (rôle d’administrateur de la sécurité).
      • Opérateur de sécurité (Gestionnaire AllowBlockList du locataire).
    • Accès en lecture seule à la liste verte/bloquée du locataire : Appartenance à l’un des groupes de rôles suivants :
      • Lecteur global
      • Lecteur de sécurité
      • Afficher uniquement la configuration
      • View-Only Organization Management
  • autorisations Microsoft Entra : l’appartenance aux rôles Administrateur général, Administrateur de la sécurité, Lecteur général ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.

Domaines et adresses de messagerie dans la liste verte/bloquée des locataires

Create autoriser les entrées pour les domaines et les adresses e-mail

Vous ne pouvez pas créer d’entrées d’autorisation pour les domaines et les adresses de messagerie directement dans la liste verte/bloquée du locataire. Les entrées d’autorisation inutiles exposent vos organization à des e-mails malveillants qui auraient été filtrés par le système.

Au lieu de cela, vous utilisez l’onglet E-mails de la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission?viewid=email. Lorsque vous envoyez un message bloqué comme n’aurait pas dû être bloqué (faux positif), une entrée d’autorisation pour l’expéditeur est ajoutée à l’onglet Domaines & adresses e-mail de la page Autoriser/Bloquer le locataire Listes. Pour obtenir des instructions, consultez Envoyer un bon e-mail à Microsoft.

Remarque

Les entrées d’autorisation sont ajoutées en fonction des filtres qui ont déterminé que le message était malveillant pendant le flux de messagerie. Par exemple, si l’adresse e-mail de l’expéditeur et une URL dans le message ont été jugées incorrectes, une entrée d’autorisation est créée pour l’expéditeur (adresse e-mail ou domaine) et l’URL.

Lorsque l’entité dans l’entrée d’autorisation est à nouveau rencontrée (pendant le flux de courrier ou au moment du clic), tous les filtres associés à cette entité sont remplacés.

Par défaut, les entrées d’autorisation pour les domaines et les adresses de messagerie existent pendant 30 jours. Pendant ces 30 jours, Microsoft apprend des entrées d’autorisation et les supprime ou les étend automatiquement. Une fois que Microsoft a appris des entrées d’autorisation supprimées, les messages qui contiennent ces entités sont remis, sauf si un autre élément du message est détecté comme malveillant.

Pendant le flux de messagerie, si les messages contenant l’entité autorisée passent d’autres vérifications dans la pile de filtrage, les messages sont remis. Par exemple, si un message passe les vérifications d’authentification par e-mail, le filtrage d’URL et le filtrage de fichiers, le message est remis s’il provient également d’un expéditeur autorisé.

Create bloquer les entrées pour les domaines et les adresses e-mail

Pour créer des entrées de bloc pour les domaines et les adresses de messagerie, utilisez l’une des méthodes suivantes :

• À partir de l’onglet E-mails de la page Envois à l’adresse https://security.microsoft.com/reportsubmission?viewid=email. Lorsque vous envoyez un message comme Ayant dû être bloqué (faux négatif), vous pouvez sélectionner Bloquer tous les e-mails de cet expéditeur ou domaine pour ajouter une entrée de bloc à l’onglet Domaines & adresses e-mail de la page Autoriser/Bloquer le locataire Listes. Pour obtenir des instructions, consultez Signaler des e-mails douteux à Microsoft.

• À partir de l’onglet Domaines & adresses de la page Autoriser/bloquer le locataire Listes ou dans PowerShell, comme décrit dans cette section.

Pour créer des entrées de bloc pour les expéditeurs usurpés, consultez cette section plus loin dans cet article.

Email de ces expéditeurs bloqués est marqué comme hameçonnage à haut niveau de confiance et mis en quarantaine.

Remarque

Actuellement, les sous-domaines du domaine spécifié ne sont pas bloqués. Par exemple, si vous créez une entrée de blocage pour les e-mails provenant de contoso.com, le courrier provenant de marketing.contoso.com n’est pas également bloqué. Vous devez créer une entrée de bloc distincte pour marketing.contoso.com.

Les utilisateurs du organization ne peuvent pas non plus envoyer de courrier électronique à ces domaines et adresses bloqués. Le message est retourné dans le rapport de non-remise suivant (également appelé notification d’échec de remise ou message de rebond) : 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. le message entier est bloqué pour tous les destinataires internes et externes du message, même si un seul domaine ou adresse e-mail du destinataire est défini dans une entrée de bloc.

Utiliser le portail Microsoft Defender pour créer des entrées de blocage pour les domaines et les adresses de messagerie dans la liste verte/bloquée des locataires

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

2. Dans la page Autoriser/bloquer le locataire Listes, vérifiez que l’onglet Domaines & adresses est sélectionné.

3. Sous l’onglet Domaines & adresses , sélectionnez Bloquer.

4. Dans le menu volant Bloquer les domaines & adresses qui s’ouvre, configurez les paramètres suivants :

   • Domaines & adresses : entrez une adresse e-mail ou un domaine par ligne, jusqu’à un maximum de 20.

   • Supprimer l’entrée de bloc après : Sélectionnez parmi les valeurs suivantes :

     • 1 jour
     • 7 jours
     • 30 jours (par défaut)
     • N’expirez jamais
     • Date spécifique : la valeur maximale est de 90 jours à partir d’aujourd’hui.

   • Remarque facultative : entrez un texte descriptif indiquant pourquoi vous bloquez les adresses e-mail ou les domaines.

5. Lorsque vous avez terminé dans le menu volant Bloquer les domaines & les adresses , sélectionnez Ajouter.

De retour sous l’onglet Domaines & adresses e-mail , l’entrée est répertoriée.

Utiliser PowerShell pour créer des entrées de bloc pour les domaines et les adresses e-mail dans la liste verte/bloquée des locataires

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Cet exemple ajoute une entrée de bloc pour l’adresse e-mail spécifiée qui expire à une date spécifique.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-TenantAllowBlockListItems.

Utiliser le portail Microsoft Defender pour afficher les entrées des domaines et des adresses e-mail dans la liste verte/bloquée des locataires

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menace- Autorisation/blocage des locataires Listes dans la section Règles. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

Vérifiez que l’onglet Domaines & adresses est sélectionné.

Sous l’onglet Domaines & adresses , vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Les colonnes suivantes sont disponibles :

• Valeur : domaine ou adresse e-mail.
• Action : valeur Autoriser ou Bloquer.
• Modifié par
• Dernière mise à jour
• Supprimer le : date d’expiration.
• Notes

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

• Action : les valeurs sont Autoriser et Bloquer.
• N’expirez jamais : ou
• Dernière mise à jour : sélectionnez De et À dates.
• Supprimer sur : sélectionnez Des dates et À .

Lorsque vous avez terminé dans le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez la zone Recherche et une valeur correspondante pour rechercher des entrées spécifiques.

Pour regrouper les entrées, sélectionnez Grouper , puis Action. Pour dissocier les entrées, sélectionnez Aucune.

Utiliser PowerShell pour afficher les entrées des domaines et des adresses de messagerie dans la liste verte/bloquée des locataires

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

Cet exemple retourne toutes les entrées d’autorisation et de blocage pour les domaines et les adresses de messagerie.

Get-TenantAllowBlockListItems -ListType Sender

Cet exemple filtre les résultats pour les entrées de bloc pour les domaines et les adresses e-mail.

Get-TenantAllowBlockListItems -ListType Sender -Block

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-TenantAllowBlockListItems.

Utiliser le portail Microsoft Defender pour modifier les entrées des domaines et des adresses de messagerie dans la liste verte/bloquée des locataires

Dans les entrées de domaine et d’adresse e-mail existantes, vous pouvez modifier la date d’expiration et la note.

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

2. Vérifiez que l’onglet Domaines & adresses est sélectionné.

3. Sous l’onglet Domaines & adresses, sélectionnez l’entrée dans la liste en sélectionnant la zone case activée en regard de la première colonne, puis sélectionnez l’action Modifier qui s’affiche.

4. Dans le menu volant Modifier les domaines & adresses qui s’ouvre, les paramètres suivants sont disponibles :

   • Entrées de bloc :
     • Supprimer l’entrée de bloc après : Sélectionnez parmi les valeurs suivantes :
       • 1 jour
       • 7 jours
       • 30 jours
       • N’expirez jamais
       • Date spécifique : la valeur maximale est de 90 jours à partir d’aujourd’hui.
     • Remarque facultative
   • Autoriser les entrées :
     • Supprimer l’entrée d’autorisation après : Sélectionnez parmi les valeurs suivantes :
       • 1 jour
       • 7 jours
       • 30 jours
       • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
     • Remarque facultative

   Lorsque vous avez terminé dans le menu volant Modifier les domaines & adresses , sélectionnez Enregistrer.

Conseil

Dans le menu volant de détails d’une entrée sous l’onglet Domaines & adresses , utilisez Afficher la soumission en haut du menu volant pour accéder aux détails de l’entrée correspondante dans la page Soumissions . Cette action est disponible si une soumission a été chargée de créer l’entrée dans la liste verte/bloquée du locataire.

Utiliser PowerShell pour modifier les entrées des domaines et des adresses de messagerie dans la liste verte/bloquée des locataires

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Cet exemple montre comment modifier la date d’expiration de l’entrée de bloc spécifiée pour l’adresse e-mail de l’expéditeur.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-TenantAllowBlockListItems.

Utiliser le portail Microsoft Defender pour supprimer des entrées pour les domaines et les adresses e-mail de la liste verte/bloquée des locataires

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

2. Vérifiez que l’onglet Domaines & adresses est sélectionné.

3. Sous l’onglet Domaines & adresses , effectuez l’une des étapes suivantes :

   • Sélectionnez l’entrée dans la liste en sélectionnant la zone case activée en regard de la première colonne, puis sélectionnez l’action Supprimer qui s’affiche.

   • Sélectionnez l’entrée dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée. Dans le menu volant de détails qui s’ouvre, sélectionnez Supprimer en haut du menu volant.

     Conseil

     • Pour afficher les détails des autres entrées sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.
     • Vous pouvez sélectionner plusieurs entrées en sélectionnant chaque zone case activée, ou sélectionner toutes les entrées en sélectionnant la zone case activée en regard de l’en-tête de colonne Valeur.

4. Dans la boîte de dialogue d’avertissement qui s’ouvre, sélectionnez Supprimer.

De retour sous l’onglet Domaines & adresses , l’entrée n’est plus répertoriée.

Utiliser PowerShell pour supprimer des entrées pour les domaines et les adresses e-mail de la liste verte/bloquée des locataires

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

Cet exemple supprime l’entrée spécifiée pour les domaines et les adresses de messagerie de la liste verte/bloquée du locataire.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-TenantAllowBlockListItems.

Expéditeurs usurpés dans la liste verte/bloquée du locataire

Lorsque vous remplacez le verdict dans l’insight d’usurpation d’intelligence, l’expéditeur usurpé devient une entrée d’autorisation ou de blocage manuelle qui apparaît uniquement sous l’onglet Expéditeurs usurpés de la page Autoriser/Bloquer le locataire Listes.

Create autoriser les entrées pour les expéditeurs usurpés

Pour créer des entrées d’autorisation pour les expéditeurs usurpés, utilisez l’une des méthodes suivantes :

• À partir de l’onglet E-mails de la page Envois à l’adresse https://security.microsoft.com/reportsubmission?viewid=email. Pour obtenir des instructions, consultez Envoyer un bon e-mail à Microsoft.
  • Lorsque vous envoyez un message qui a été détecté et bloqué par l’intelligence contre l’usurpation d’identité, une entrée d’autorisation pour l’expéditeur usurpé est ajoutée à l’onglet Expéditeurs usurpés dans la liste verte/bloquée du locataire.
  • Si l’expéditeur n’a pas été détecté et bloqué par l’intelligence contre l’usurpation d’identité, l’envoi du message à Microsoft ne crée pas d’entrée d’autorisation pour l’expéditeur dans la liste verte/bloquée du locataire.
• À partir de la page Informations sur l’usurpation d’usurpation d’identité à l’adresse https://security.microsoft.com/spoofintelligencesi l’expéditeur a été détecté et bloqué par l’intelligence contre l’usurpation d’identité. Pour obtenir des instructions, consultez Remplacer le verdict d’usurpation d’intelligence.
  • Lorsque vous remplacez le verdict dans l’insight spoof intelligence, l’expéditeur usurpé devient une entrée manuelle qui apparaît uniquement sous l’onglet Expéditeurs usurpés de la page Autoriser/Bloquer le locataire Listes.
• À partir de l’onglet Expéditeurs usurpés dans la page Autoriser/Bloquer le locataire Listes ou dans PowerShell, comme décrit dans cette section.

Remarque

Autoriser les entrées pour le compte d’expéditeurs usurpés pour l’usurpation d’identité intra-organisation, inter-organisations et DMARC.

Seule la combinaison de l’utilisateur usurpé et de l’infrastructure d’envoi telle que définie dans la paire de domaines est autorisée à usurper l’identité.

Autoriser les entrées pour les expéditeurs usurpés n’expirent jamais.

Utiliser le portail Microsoft Defender pour créer des entrées d’autorisation pour les expéditeurs usurpés dans la liste verte/bloquée des locataires

Dans la liste verte/bloquée des locataires, vous pouvez créer des entrées d’autorisation pour les expéditeurs usurpés avant qu’ils ne soient détectés et bloqués par l’intelligence de l’usurpation d’identité.

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

2. Dans la page Autoriser/Bloquer le locataire Listes, sélectionnez l’onglet Expéditeurs usurpés.

3. Sous l’onglet Expéditeurs usurpés , sélectionnez Ajouter.

4. Dans le menu volant Ajouter de nouvelles paires de domaines qui s’ouvre, configurez les paramètres suivants :

   • Ajouter des paires de domaines avec des caractères génériques : entrez une paire de domaines par ligne, jusqu’à un maximum de 20. Pour plus d’informations sur la syntaxe des entrées d’expéditeur usurpées, consultez la section Syntaxe de paire de domaines pour les entrées d’expéditeur usurpées plus loin dans cet article.

   • Type d’usurpation : sélectionnez l’une des valeurs suivantes :

     • Interne : l’expéditeur usurpé se trouve dans un domaine qui appartient à votre organization (domaine accepté).
     • Externe : l’expéditeur usurpé se trouve dans un domaine externe.

   • Action : sélectionnez Autoriser ou Bloquer.

   Lorsque vous avez terminé dans le menu volant Ajouter de nouvelles paires de domaines , sélectionnez Ajouter.

De retour sous l’onglet Expéditeurs usurpés , l’entrée est répertoriée.

Utiliser PowerShell pour créer des entrées d’autorisation pour les expéditeurs usurpés dans la liste verte/bloquée du locataire

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

Cet exemple crée une entrée d’autorisation pour l’expéditeur bob@contoso.com à partir du contoso.com source.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-TenantAllowBlockListSpoofItems.

Create des entrées de blocage pour les expéditeurs usurpés

Pour créer des entrées de bloc pour les expéditeurs usurpés, utilisez l’une des méthodes suivantes :

• À partir de l’onglet E-mails de la page Envois à l’adresse https://security.microsoft.com/reportsubmission?viewid=email. Pour obtenir des instructions, consultez Signaler des e-mails douteux à Microsoft.
• À partir de la page Informations sur l’usurpation d’usurpation d’identité à l’adresse https://security.microsoft.com/spoofintelligencesi l’expéditeur a été détecté et autorisé par le renseignement d’usurpation d’identité. Pour obtenir des instructions, consultez Remplacer le verdict d’usurpation d’intelligence.
  • Lorsque vous remplacez le verdict dans l’insight spoof intelligence, l’expéditeur usurpé devient une entrée manuelle qui apparaît uniquement sous l’onglet Expéditeurs usurpés de la page Autoriser/Bloquer le locataire Listes.
• À partir de l’onglet Expéditeurs usurpés dans la page Autoriser/Bloquer le locataire Listes ou dans PowerShell, comme décrit dans cette section.

Remarque

Seule la combinaison de l’utilisateur usurpé et de l’infrastructure d’envoi définie dans la paire de domaines est bloquée.

Email de ces expéditeurs est marqué comme hameçonnage. Ce qui arrive aux messages est déterminé par la stratégie anti-courrier indésirable qui a détecté le message pour le destinataire. Pour plus d’informations, consultez l’action de détection de hameçonnage dans les paramètres de stratégie anti-courrier indésirable EOP.

Lorsque vous configurez une entrée de bloc pour une paire de domaines, l’expéditeur usurpé devient une entrée de bloc manuelle qui apparaît uniquement sous l’onglet Expéditeurs usurpés dans la liste verte/bloquée du locataire.

Les entrées de blocage pour les expéditeurs usurpés n’expirent jamais.

Utiliser le portail Microsoft Defender pour créer des entrées de blocage pour les expéditeurs usurpés dans la liste verte/bloquée du locataire

Les étapes sont presque identiques à la création d’entrées d’autorisation pour les expéditeurs usurpés , comme décrit précédemment dans cet article.

La seule différence est : pour la valeur Action à l’étape 4, sélectionnez Bloquer au lieu de Autoriser.

Utiliser PowerShell pour créer des entrées de bloc pour les expéditeurs usurpés dans la liste verte/bloquée du locataire

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

Cet exemple crée une entrée de bloc pour l’expéditeur laura@adatum.com à partir de la source 172.17.17.17/24.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-TenantAllowBlockListSpoofItems.

Utiliser le portail Microsoft Defender pour afficher les entrées des expéditeurs usurpés dans la liste verte/bloquée des locataires

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menace- Autorisation/blocage des locataires Listes dans la section Règles. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

Vérifiez que l’onglet Expéditeurs usurpés est sélectionné.

Sous l’onglet Expéditeurs usurpés , vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Les colonnes suivantes sont disponibles :

• Utilisateur usurpé
• Infrastructure d’envoi
• Type d’usurpation : les valeurs disponibles sont Interne ou Externe.
• Action : les valeurs disponibles sont Bloquer ou Autoriser.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

• Action : Les valeurs disponibles sont Autoriser et Bloquer.
• Type d’usurpation : les valeurs disponibles sont Interne et Externe.

Lorsque vous avez terminé dans le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez la zone Recherche et une valeur correspondante pour rechercher des entrées spécifiques.

Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :

• Action
• Type d’usurpation d’identité

Pour dissocier les entrées, sélectionnez Aucune.

Utiliser PowerShell pour afficher les entrées des expéditeurs usurpés dans la liste verte/bloquée des locataires

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

Cet exemple retourne toutes les entrées d’expéditeur usurpées dans la liste verte/bloquée du locataire.

Get-TenantAllowBlockListSpoofItems

Cet exemple retourne toutes les entrées autoriser l’expéditeur usurpé qui sont internes.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

Cet exemple retourne toutes les entrées d’expéditeur usurpées bloquées qui sont externes.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-TenantAllowBlockListSpoofItems.

Utiliser le portail Microsoft Defender pour modifier les entrées des expéditeurs usurpés dans la liste verte/bloquée des locataires

Lorsque vous modifiez une entrée autoriser ou bloquer pour les expéditeurs usurpés dans la liste Autoriser/Bloquer du locataire, vous pouvez uniquement modifier l’entrée d’Autoriser à Bloquer, ou vice versa.

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

2. Sélectionnez l’onglet Expéditeurs usurpés .

3. Sélectionnez l’entrée dans la liste en sélectionnant la zone case activée en regard de la première colonne, puis sélectionnez l’action Modifier qui s’affiche.

4. Dans le menu volant Modifier l’expéditeur usurpé qui s’ouvre, sélectionnez Autoriser ou Bloquer, puis enregistrer.

Utiliser PowerShell pour modifier les entrées des expéditeurs usurpés dans la liste verte/bloquée des locataires

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

Cet exemple modifie l’entrée d’expéditeur usurpée spécifiée d’une entrée d’autorisation en entrée de bloc.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-TenantAllowBlockListSpoofItems.

Utiliser le portail Microsoft Defender pour supprimer des entrées pour les expéditeurs usurpés de la liste verte/bloquée des locataires

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

2. Sélectionnez l’onglet Expéditeurs usurpés .

3. Sous l’onglet Expéditeurs usurpés, sélectionnez l’entrée dans la liste en sélectionnant la zone case activée en regard de la première colonne, puis sélectionnez l’action Supprimer qui s’affiche.

   Conseil

   Vous pouvez sélectionner plusieurs entrées en sélectionnant chaque zone case activée, ou sélectionner toutes les entrées en sélectionnant la zone case activée en regard de l’en-tête de colonne Utilisateur usurpé.

4. Dans la boîte de dialogue d’avertissement qui s’ouvre, sélectionnez Supprimer.

Utiliser PowerShell pour supprimer des entrées pour les expéditeurs usurpés de la liste verte/bloquée des locataires

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

Cet exemple montre comment supprimer l’expéditeur usurpé spécifié. Vous obtenez la valeur du paramètre Ids à partir de la propriété Identity dans la sortie de Get-TenantAllowBlockListSpoofItems commande.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-TenantAllowBlockListSpoofItems.

Syntaxe de paire de domaines pour les entrées d’expéditeur usurpées

Une paire de domaines pour un expéditeur usurpé dans la liste verte/bloquée du locataire utilise la syntaxe suivante : <Spoofed user>, <Sending infrastructure>.

• Utilisateur usurpé : cette valeur implique l’adresse e-mail de l’utilisateur usurpé qui s’affiche dans la zone De des clients de messagerie. Cette adresse est également appelée ou adresse de l’expéditeur 5322.From P2. Les valeurs valides sont les suivantes :

  • Une adresse e-mail individuelle (par exemple, chris@contoso.com).
  • Un domaine de messagerie (par exemple, contoso.com).
  • Caractère générique (*).

• Infrastructure d’envoi : cette valeur indique la source des messages de l’utilisateur usurpé. Les valeurs valides sont les suivantes :

  • Domaine trouvé dans une recherche DNS inversée (enregistrement PTR) de l’adresse IP du serveur de messagerie source (par exemple, fabrikam.com).
  • Si l’adresse IP source n’a pas d’enregistrement PTR, l’infrastructure d’envoi est identifiée comme <ip source>/24 (par exemple, 192.168.100.100/24).
  • Domaine DKIM vérifié.
  • Caractère générique (*).

Voici quelques exemples de paires de domaines valides pour identifier les expéditeurs usurpés :

• contoso.com, 192.168.100.100/24
• chris@contoso.com, fabrikam.com
• *, contoso.net

Remarque

Vous pouvez spécifier des caractères génériques dans l’infrastructure d’envoi ou dans l’utilisateur usurpé, mais pas dans les deux en même temps. Par exemple, *, * n’est pas autorisé.

Si vous utilisez un domaine au lieu de l’adresse IP ou de la plage d’adresses IP dans l’infrastructure d’envoi, le domaine doit correspondre à l’enregistrement PTR de l’adresse IP de connexion dans l’en-tête Authentication-Results . Vous pouvez déterminer le PTR en exécutant la commande : ping -a <IP address>. Nous vous recommandons également d’utiliser le domaine d’organisation PTR comme valeur de domaine. Par exemple, si le PTR est résolu en « smtp.inbound.contoso.com », vous devez utiliser « contoso.com » comme infrastructure d’envoi.

L’ajout d’une paire de domaines autorise ou bloque la combinaison de l’utilisateur usurpé et de l’infrastructure d’envoi uniquement. Par exemple, vous ajoutez une entrée d’autorisation pour la paire de domaines suivante :

• Domaine : gmail.com
• Infrastructure d’envoi : tms.mx.com

Seuls les messages de ce domaine et de la paire d’infrastructure d’envoi sont autorisés à usurper l’identité. Les autres expéditeurs qui tentent d’usurper gmail.com ne sont pas autorisés. Les messages provenant d’expéditeurs d’autres domaines provenant de tms.mx.com sont vérifiés par l’intelligence de l’usurpation d’identité.

À propos des domaines ou expéditeurs emprunts d’identité

Vous ne pouvez pas créer d’entrées d’autorisation dans la liste d’autorisation/de blocage du locataire pour les messages détectés comme des utilisateurs ou des domaines usurpés d’identité par les stratégies anti-hameçonnage dans Defender for Office 365.

L’envoi d’un message qui a été bloqué de manière incorrecte en tant qu’emprunt d’identité sous l’onglet E-mails de la page https://security.microsoft.com/reportsubmission?viewid=emailSoumissions n’ajoute pas l’expéditeur ou le domaine en tant qu’entrée autorisée dans la liste verte/bloquée du locataire.

Au lieu de cela, le domaine ou l’expéditeur est ajouté à la section Expéditeurs et domaines approuvés dans la stratégie anti-hameçonnage qui a détecté le message.

Pour obtenir des instructions de soumission pour les faux positifs d’emprunt d’identité, consultez Signaler un bon e-mail à Microsoft.

Remarque

Actuellement, l’emprunt d’identité de l’utilisateur (ou du graphique) n’est pas pris en charge à partir d’ici.

Articles connexes

• Utilisez la page Soumissions pour envoyer des courriers indésirables suspects, des hameçonnages, des URL, des e-mails légitimes bloqués et des pièces jointes à Microsoft
• Signaler les faux positifs et les faux négatifs
• Gérer les autorises et les blocs dans la liste verte/bloquée des locataires
• Autoriser ou bloquer des fichiers dans la liste verte/bloquée du locataire
• Autoriser ou bloquer les URL dans la liste verte/bloquée du locataire