ניהול של מאפשרים וחסימה ברשימת החסימה/התרת הדיירים

• חל על:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 תוכנית 2 ללא תשלום? השתמש בגירסת הניסיון של Defender for Office 365 ל- 90 יום במרכז הניסיון של פורטל Microsoft Defender. למד מי יכול להירשם ולתנאי ניסיון כאן.

חשוב

כדי לאפשר כתובות URL של דיוג שהם חלק מהדרכה להדמיית תקיפה של ספקים חיצוניים, השתמש בתצורה המתקדמות למסירה כדי לציין את כתובות ה- URL. אל תשתמש ברשימת התרה/חסימה של דייר.

בארגונים של Microsoft 365 עם תיבות דואר ב- Exchange Online או בארגונים עצמאיים של Exchange Online Protection (EOP) ללא תיבות דואר של Exchange Online, ייתכן שלא תסכים עם EOP או עם Microsoft Defender עבור גזר הדין של סינון Office 365. לדוגמה, הודעה טובה עשויה להיות מסומנת כהודעה שגויה (חיובית מוטעית), או שהודעה שגויה עשויה להיות מותרת (שלילית מוטעית).

רשימת הרשיות/חסימות הדיירים בפורטל Microsoft Defender מספקת לך דרך לעקוף באופן ידני את גזרי הדין של סינון Defender for Office 365 או EOP. הרשימה משמשת במהלך זרימת דואר עבור הודעות נכנסות משולחים חיצוניים.

רשימת הרשיות/חסימות הדיירים אינה חלה על הודעות פנימיות הנשלחות בתוך הארגון. עם זאת, חסום ערכים עבור תחומים וכתובות דואר אלקטרוני גם מנע ממשתמשים בארגון לשלוח דואר אלקטרוני לתחום ולכתובות חסומים אלה.

הרשימה 'התרה/חסימה של דיירים' זמינה בפורטל Microsoft Defenderhttps://security.microsoft.com בדף דואר אלקטרוני &> מדיניות שיתוף פעולה&>>> כללי מדיניות איומים מקטע רשימות התרה/חסימה של דייר. לחלופין, כדי לעבור ישירות לדף רשימות התרה/חסימה של דיירים , השתמש ב- https://security.microsoft.com/tenantAllowBlockList.

לקבלת הוראות שימוש ותצורה, עיין במאמרים הבאים:

• תחומים וכתובות דואר אלקטרוני ושולחיםהתחזים: אפשר או חסום הודעות דואר אלקטרוני באמצעות רשימת הדיירים המותרים/החסומים
• קבצים: אפשר או חסום קבצים באמצעות רשימת התרה/חסימה של דייר
• כתובות URL: אפשר או חסום כתובות URL באמצעות רשימת התרה/חסימה של דייר.

מאמרים אלה מכילים הליכים בפורטל Microsoft Defender וב- PowerShell.

חסימת ערכים ברשימת החסימה/התרה/חסימה של דייר

עצה

ברשימת התרה/חסימה של דייר, ערכי חסימה מקבלים קדימות על-פני ערכי התרה.

השתמש בדף 'שליחות ' (המכונה גם שליחת מנהל מערכת) ב https://security.microsoft.com/reportsubmission - כדי ליצור ערכי חסימה עבור סוגי הפריטים הבאים כאשר אתה מדווח עליהם כפריטים שליליים מוטעים ל- Microsoft:

• תחומים וכתובות דואר אלקטרוני:

  • הודעות דואר אלקטרוני משולחים אלה מסומנות כהודעת דיוג ברמת מהימנות גבוהה ולאחר מכן מועברות להסגר.
  • משתמשים בארגון אינם יכולים לשלוח דואר אלקטרוני לקבוצות מחשבים וכתובות חסומות אלה. הם מקבלים את דוח אי-המסירה הבא (המכונה גם הודעת NDR או הודעת החזרה): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. ההודעה כולה חסומה עבור כל הנמענים הפנימיים וההחיצונית של ההודעה, גם אם רק כתובת דואר אלקטרוני או תחום אחד של נמען מוגדרים בערך בלוק.

  עצה

  כדי לחסום רק דואר זבל משולח מסוים, הוסף את כתובת הדואר האלקטרוני או התחום לרשימת החסומים במדיניות למניעת דואר זבל. כדי לחסום את כל הדואר האלקטרוני מהשולח, השתמש ב'תחומים' ובכתובות דואר אלקטרוני ברשימת הדיירים המותרים/החסומים.

• קבצים: הודעות דואר אלקטרוני המכילות קבצים חסומים אלה נחסמות כתוכנות זדוניות. הודעות המכילות את הקבצים החסומים נמצאות בהסגר.

• כתובות URL: הודעות דואר אלקטרוני המכילות כתובות URL חסומות אלה נחסמות כהודעת דיוג ברמת מהימנות גבוהה. הודעות המכילות את כתובות ה- URL החסומים נמצאות בהסגר.

ברשימת התרה/חסימה של דייר, באפשרותך גם ליצור ערכי חסימה ישירות עבור סוגי הפריטים הבאים:

• תחומים וכתובות דואר אלקטרוני, קבציםוכתובות URL.

• שולחים התחזות: אם אתה עוקף באופן ידני קביעת דין קיימת המאפשרת קביעת דין של בינת התחזות, השולח התחזות החסומים הופך לערך חסימה ידני שמופיע רק בכרטיסיה שולחים התחזים ברשימת התרה/חסימה של דייר.

כברירת מחדל, התוקף של ערכים עבור תחומים וכתובות דואר אלקטרוני, קבצים וכתובות URL פג לאחר 30 יום, אך באפשרותך להגדיר שתוקפן יפוג 90 יום או לא לפוג אף פעם. התוקף של חסימת ערכים עבור שולחים התחזים לעולם לא יפוג.

אפשר ערכים ברשימת התרה/חסימה של דייר

ברוב המקרים, לא ניתן ליצור באופן ישיר ערכי הרשאה ברשימת ההתקנים/חסימות הדיירים:

• תחומים וכתובות דואר אלקטרוני, קבצים וכתובות URL: לא ניתן ליצור ערכי התרה ישירות ברשימת התרה/חסימה של דייר. במקום זאת, אתה משתמש בדף 'שליחות' של כדי https://security.microsoft.com/reportsubmission לדווח על הדואר האלקטרוני, הקובץ המצורף לדואר האלקטרוני או כתובת ה- URL ל- Microsoft, כפי שלא היה אמור להיחסם (חיובית מוטעית).

• שולחים התחזים:

  • אם בינת התחזות כבר חסמה את ההודעה כהתזות, https://security.microsoft.com/reportsubmission השתמש בדף 'הגשות' ב- כדי לדווח ל- Microsoft על הדואר האלקטרוני כפי שלא היה אמור להיחסם (חיובי באופן מוטעה).
  • באפשרותך ליצור באופן יזום ערך אפשר עבור שולח התחזות בכרטיסיה שולח התחזות ברשימת התר/חסימת דיירים לפני שבינת התחזות מזהה וחוסם את ההודעה כהתזה.

הרשימה הבאה מתארת מה קורה ברשימת 'אפשר/חסימות דיירים' כאשר אתה מדווח ל- Microsoft על משהו כתוצאה חיובית מוטעית בדף 'שליחות ':

• קבצים מצורפים לדואראלקטרוני וכתובות URL: נוצר ערך אפשר והערך מופיע בכרטיסיה קבצים או כתובות URL ברשימת התרה/חסימה של דיירים בהתאמה.

  עבור כתובות URL שדווחו כתוצאה חיובית מוטעית, אנו מאפשרים הודעות עוקבות המכילות וריאציות של כתובת ה- URL המקורית. לדוגמה, השתמש בדף 'שליחה ' כדי לדווח על כתובת ה- URL החסומים באופן שגוי www.contoso.com/abc. אם הארגון שלך מקבל מאוחר יותר הודעה המכילה את כתובת ה- URL (לדוגמה, אך אינה מוגבלת ל: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5או www.contoso.com/abc/whatever), ההודעה אינה חסומה בהתבסס על כתובת ה- URL. במילים אחרות, אין צורך לדווח על וריאציות מרובות של אותה כתובת URL כמו טובה ל- Microsoft.

• דואר אלקטרוני: אם הודעה נחסמה על-ידי EOP או Defender עבור מחסנית הסינון של Office 365, ייתכן שייווצר ערך Allow ברשימת הדיירים Allow/Block:

  • אם ההודעה נחסמה על-ידי בינת התחזות, נוצר ערך אפשר עבור השולח והערך מופיע בכרטיסיה שולחים התחזים ברשימת הדיירים המותרים/החסומים.
  • אם ההודעה נחסמה על-ידי הגנת התחזות של המשתמש (או הגרף) ב- Defender for Office 365, ערך אפשר אינו נוצר ברשימת התחזות/חסימה של הדייר. במקום זאת, התחום או השולח נוסף למקטע שולחים ותחום מהימנים במדיניות למניעת דיוג שזיהתה את ההודעה.
  • אם ההודעה נחסמה עקב מסננים מבוססי-קובץ, נוצר ערך אפשר עבור הקובץ והערך מופיע בכרטיסיה קבצים ברשימת התרה/חסימה של דייר.
  • אם ההודעה נחסמה עקב מסננים מבוססי-URL, נוצר ערך אפשר עבור כתובת ה- URL, והערך מופיע בכרטיסיה כתובת URL ברשימת הדיירים אפשר/חסום.
  • אם ההודעה נחסמה מסיבה אחרת, נוצר ערך אפשר עבור כתובת הדואר האלקטרוני או התחום של השולח, והערך מופיע בכרטיסיה תחומים וכתובות & ב'רשימת התרה/חסימה של דייר'.
  • אם ההודעה לא נחסמה עקב סינון, לא ייווצרו ערכי התרה במקום כלשהו.

כברירת מחדל, אפשר ערכים עבור תחומים וכתובות דואר אלקטרוני, קבצים וכתובות URL קיימים במשך 30 יום. במהלך 30 יום אלה, Microsoft לומדת מתוך ערכי 'אפשר' ומסירה אותם או מררחבת אותם באופן אוטומטי. לאחר ש- Microsoft לומדת מהערכים שהוסרו אפשרו, הודעות המכילות ישויות אלה נמסרות, אלא אם כן משהו אחר בהודעה מזוהה כסדון. כברירת מחדל, תוקף התרת ערכים עבור שולחים התחזים לעולם לא יפוג.

חשוב

Microsoft אינה מאפשרת לך ליצור ערכי התרה ישירות. ערכים שאינם נחוצים מאפשרים לחשוף את הארגון שלך לדואר אלקטרוני זדוני שמערכת יכולה לסנן.

Microsoft מנהלת את היצירה של ערכי התרה מהדף 'שליחות ' בכתובת https://security.microsoft.com/reportsubmission. הערכים 'אפשר' מתווספים במהלך זרימת דואר בהתבסס על המסננים שקבעו שההודעה היתה זדונית. לדוגמה, אם כתובת הדואר האלקטרוני של השולח וכתובת URL בהודעה נקבעו כהודעות שגויות, נוצר ערך היתר עבור השולח (כתובת הדואר האלקטרוני או התחום) וכתובת ה- URL.

כאשר הישות תיתקל שוב (במהלך זרימת דואר או בזמן לחיצה), המערכת תדלג על כל המסננים המשויכים לישות זו.

במהלך זרימת דואר, אם הודעות המכילות את הישות המותרת מעבירות את ההבדקות האחרות במחסנית הסינון, ההודעות נמסרות. לדוגמה, אם הודעה עוברת בדיקות אימות דואר אלקטרוני, סינון כתובות URL וסינון קבצים, נשלחת הודעה מכתובת דואר אלקטרוני מותרת של השולח.

למה לצפות לאחר הוספת ערך אפשר או בלוק

לאחר הוספת ערך אפשר בדף 'הגשות' או ערך בלוק ברשימת 'אפשר/חסימת דיירים', הערך אמור להתחיל לעבוד באופן מיידי (תוך 5 דקות).

אם Microsoft למדה מהערך Allow, מדיניות ההתראה המוכללת בשם Removed an entry in Tenant Allow/Block List יוצרת התראה כאשר ערך התרה (כעת לא נחוץ) מוסר.