Engedélyezések és blokkok kezelése a bérlők engedélyezési/tiltólistájában

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.

Fontos

A külső támadásszimulációs betanítás részét képező adathalász URL-címek engedélyezéséhez használja a speciális kézbesítési konfigurációt az URL-címek megadásához. Ne használja a bérlő engedélyezési/tiltólistáját.

A postaládák Exchange Online nélküli, Exchange Online vagy különálló Exchange Online Védelmi szolgáltatás (EOP) szervezetekben postaládával rendelkező Microsoft 365-szervezetekben nem ért egyet az EOP-val, vagy Office 365-höz készült Microsoft Defender a szűrési ítéletet. Előfordulhat például, hogy egy jó üzenet rosszként (hamis pozitívként) van megjelölve, vagy egy rossz üzenet engedélyezett (hamis negatív).

A Microsoft Defender portál bérlői engedélyezési/letiltási listája lehetővé teszi a Office 365-höz készült Defender vagy az EOP-szűrési ítéletek manuális felülbírálását. A lista az e-mail-forgalom során vagy a külső feladóktól érkező üzenetek kattintási idején használatos.

A tartományok, e-mail-címek és hamis feladók bejegyzései a szervezeten belül küldött belső üzenetekre vonatkoznak. A Tartományok és e-mail-címek bejegyzéseinek letiltása azt is megakadályozza, hogy a szervezet felhasználói e-mailt küldjenek a letiltott tartományoknak és címeknek.

A Bérlő engedélyezése/letiltása lista az Microsoft Defender portálon https://security.microsoft.com érhető el Email & együttműködési>szabályzatok & szabályokVeszélyforrás-szabályzatok>>szabályainakbérlői engedélyezés/blokkolás Listák című szakaszában>. Vagy ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .

A használati és konfigurációs utasításokért tekintse meg a következő cikkeket:

• Tartományok, e-mail-címek és hamis feladók: E-mailek engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
• Fájlok: Fájlok engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
• URL-címek: Engedélyezze vagy tiltsa le az URL-címeket a bérlői engedélyezési/tiltólistával.
• IP-címek: Engedélyezze vagy tiltsa le az IPv6-címeket a bérlő engedélyezési/blokkolási listájával.

Ezek a cikkek a Microsoft Defender portálon és a PowerShellben található eljárásokat tartalmazzák.

Letiltott bejegyzések a bérlői engedélyezési/tiltólistán

Tipp

A bérlői engedélyezési/tiltólistán a blokkbejegyzések elsőbbséget élveznek az engedélyezési bejegyzésekkel szemben.

A Beküldések lap (más néven rendszergazdai beküldés) https://security.microsoft.com/reportsubmission használatával blokkbejegyzéseket hozhat létre a következő típusú elemekhez, amikor hamis negatívként küldi el őket a Microsoftnak:

• Tartományok és e-mail-címek:

  • Email feladóktól érkező üzenetek megbízható adathalászatként vannak megjelölve, majd karanténba kerülnek.
  • A szervezet felhasználói nem küldhetnek e-mailt ezekre a letiltott tartományokra és címekre. A következő sikertelen kézbesítésről szóló jelentést kapják (más néven sikertelen kézbesítésről szóló vagy visszapattanó üzenetet): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. A teljes üzenet le lesz tiltva az üzenet összes belső és külső címzettje számára, még akkor is, ha egy blokkbejegyzésben csak egy címzett e-mail-címe vagy tartománya van megadva.

  Tipp

  Ha csak egy adott feladó levélszemétét szeretné letiltani, vegye fel az e-mail-címet vagy tartományt a levélszemét-ellenes házirendek tiltólistájára. A feladótól érkező összes e-mail letiltásához használja a Tartományok és e-mail-címek elemet a bérlő engedélyezési/letiltó listájában.

• Fájlok: Email blokkolt fájlokat tartalmazó üzenetek kártevőként vannak letiltva. A letiltott fájlokat tartalmazó üzenetek karanténba kerülnek.

• URL-címek: Email blokkolt URL-címeket tartalmazó üzenetek nagy megbízhatóságú adathalászatként lesznek blokkolva. A letiltott URL-címeket tartalmazó üzenetek karanténba kerülnek.

A Bérlői engedélyezés/tiltás listában közvetlenül is létrehozhat blokkbejegyzéseket a következő típusú elemekhez:

• Tartományok és e-mail-címek, fájlok és URL-címek.

• Hamisított feladók: Ha manuálisan felülbírál egy meglévő engedélyezési ítéletet a hamis felderítésből, a letiltott hamisított feladó manuális blokkbejegyzéssé válik, amely csak a Bérlői engedélyezési/letiltási lista Hamisított feladók lapján jelenik meg.

• IP-címek: Ha manuálisan hoz létre blokkbejegyzést, az adott IP-címről érkező összes bejövő e-mail el lesz dobva a szolgáltatás szélén.

Alapértelmezés szerint a tartományok és e-mail-címek, fájlok és URL-címek bejegyzéseinek letiltása 30 nap elteltével lejár, de beállíthatja, hogy 90 nap elteltével lejárjanak, vagy soha ne járjanak le.

A hamisított feladók és IP-címek bejegyzéseinek blokkolása soha nem jár le.

Engedélyezési bejegyzések a bérlői engedélyezési/tiltólistán

A legtöbb esetben nem hozhat létre közvetlenül engedélyezési bejegyzéseket a bérlők engedélyezési/tiltólistájában. A szükségtelen engedélyezési bejegyzések kártékony e-maileknek teszik ki a szervezetet, amelyeket a rendszer szűrhetett volna.

• Tartományok és e-mail-címek, fájlok és URL-címek: Nem hozhat létre közvetlenül engedélyezési bejegyzéseket a bérlők engedélyezési/tiltólistájában. Ehelyett a Címen található Beküldések oldalon https://security.microsoft.com/reportsubmission küldheti el az e-mailt, az e-mail-mellékletet vagy az URL-címet a Microsoftnak. Miután bejelölte a Megerősítést nyertem, hogy tiszta lehetőséget, válassza az Üzenet engedélyezése, a Fájl engedélyezése vagy Az URL-cím engedélyezése lehetőséget a tartományok és e-mail-címek, fájlok vagy URL-címek engedélyezési bejegyzésének létrehozásához.

• Hamisított feladók:

  • Ha a hamis felderítés már letiltotta az üzenetet hamisításként, a címen található Beküldések lapon https://security.microsoft.com/reportsubmissionjelentse az e-mailt a Microsoftnak , mert meggyőződtem róla, hogy tiszta, majd válassza az Üzenet engedélyezése lehetőséget.
  • Proaktív módon létrehozhat egy engedélyezési bejegyzést a hamisított feladók számára a Bérlői engedélyezési/letiltási lista Hamisított feladó lapján, mielőtt a hamisítási intelligencia azonosítja és letiltja az üzenetet hamisításként.

• IP-címek: Proaktív módon létrehozhat egy engedélyezési bejegyzést egy IP-címhez a bérlői engedélyezési/letiltási lista IP-címek lapján, hogy felülbírálja a bejövő üzenetek IP-szűrőit.

Az alábbi lista azt ismerteti, hogy mi történik a bérlői engedélyezési/letiltási listában, amikor hamis pozitívként küld el valamit a Microsoftnak a Beküldések lapon:

• mellékletek és URL-címek Email: Létrejön egy engedélyezési bejegyzés, és a bejegyzés megjelenik a Bérlői engedélyezési/tiltólista Fájlok vagy URL-címek lapján.

  A hamis pozitívként jelentett URL-címek esetében engedélyezzük az eredeti URL-cím variációit tartalmazó további üzeneteket. A Beküldések lapon például a helytelenül blokkolt URL-címet www.contoso.com/abcjelenti. Ha a szervezet később olyan üzenetet kap, amely tartalmazza az URL-címet (például, de nem kizárólagosan: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5vagy www.contoso.com/abc/whatever), az üzenet nem lesz letiltva az URL-cím alapján. Más szóval nem kell ugyanazon URL-cím több változatát is jelentenie a Microsoftnak.

• Email: Ha az EOP vagy Office 365-höz készült Defender szűrési verem blokkolt egy üzenetet, a bérlő engedélyezési/letiltási listájában létrehozhat egy engedélyezési bejegyzést:

  • Ha az üzenetet hamis felderítés blokkolta, létrejön egy engedélyezési bejegyzés a feladó számára, és a bejegyzés megjelenik a Hamisított feladók lapon a Bérlői engedélyezési/tiltólistán.
  • Ha az üzenetet a felhasználó (vagy a gráf) megszemélyesítés elleni védelme blokkolta Office 365-höz készült Defender, a bérlői engedélyezési/letiltási listában nem jön létre engedélyezési bejegyzés. Ehelyett a rendszer hozzáadja a tartományt vagy a feladót az üzenetet észlelő adathalászat elleni szabályzatMegbízható feladók és tartományok szakaszához.
  • Ha az üzenet fájlalapú szűrők miatt le lett tiltva, létrejön egy engedélyezési bejegyzés a fájlhoz, és a bejegyzés megjelenik a Bérlői engedélyezési/letiltási lista Fájlok lapján.
  • Ha az üzenetet URL-alapú szűrők blokkolták, létrejön egy engedélyezési bejegyzés az URL-címhez, és a bejegyzés megjelenik a bérlői engedélyezési/letiltási lista URL-lapján .
  • Ha az üzenet bármilyen más okból le lett tiltva, létrejön egy engedélyezési bejegyzés a feladó e-mail-címéhez vagy tartományához, és a bejegyzés megjelenik a Tartományok & címek lapon a Bérlői engedélyezés/tiltás listában.
  • Ha az üzenet szűrés miatt nem lett letiltva, a rendszer sehol nem hoz létre engedélyezési bejegyzéseket.

Tipp

A beküldésekből származó bejegyzések hozzáadása az e-mail-forgalom során azon szűrők alapján történik, amelyek megállapították, hogy az üzenet kártékony volt. Ha például a feladó e-mail-címe és az üzenetben szereplő URL-cím kártékony, a rendszer engedélyezési bejegyzést hoz létre a feladó (e-mail-cím vagy tartomány) és az URL-cím számára.

Ha az e-mail-forgalom vagy a kattintás ideje alatt az engedélyezési bejegyzések entitásait tartalmazó üzenetek más ellenőrzéseket is átvesznek a szűrési veremben, az üzenetek kézbesítése (az engedélyezett entitásokhoz társított összes szűrő ki lesz hagyva). Ha például egy üzenet megfelel az e-mail-hitelesítési ellenőrzéseknek, az URL-szűrésnek és a fájlszűrésnek, a rendszer egy engedélyezett feladó e-mail-címéről érkező üzenetet kézbesít, ha az egy engedélyezett feladótól is származik.

Alapértelmezés szerint a tartományok és e-mail-címek, fájlok és URL-címek engedélyezési bejegyzései 45 napig maradnak meg, miután a szűrőrendszer megállapította, hogy az entitás tiszta, majd az engedélyezési bejegyzés el lesz távolítva. Vagy beállíthatja, hogy a bejegyzések a létrehozásuk után legfeljebb 30 nappal lejárjanak. A hamisított feladók bejegyzéseinek engedélyezése soha nem jár le.

Mi várható egy engedélyezési vagy blokkbejegyzés hozzáadása után?

Miután hozzáadott egy engedélyezési bejegyzést a Beküldések lapon vagy egy blokkbejegyzést a Bérlők engedélyezési/letiltási listájában, a bejegyzésnek azonnal működnie kell (5 percen belül).

Ha a Microsoft tanult az engedélyezési bejegyzésből, a Bérlői engedélyezési/tiltólista bejegyzésének eltávolítása nevű beépített riasztási szabályzat riasztást hoz létre a (most szükségtelen) engedélyezési bejegyzés eltávolításakor.