Engedélyezések és blokkok kezelése a bérlők engedélyezési/tiltólistájában
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
Fontos
A külső támadásszimulációs betanítás részét képező adathalász URL-címek engedélyezéséhez használja a speciális kézbesítési konfigurációt az URL-címek megadásához. Ne használja a bérlő engedélyezési/tiltólistáját.
Az Exchange Online-ban postaládákkal rendelkező Microsoft 365-szervezetekben vagy az Exchange Online-postaládákat nem tartalmazó különálló Exchange Online Védelmi (EOP) szervezetekben nem ért egyet az EOP vagy az Office 365-höz készült Microsoft Defender szűrési ítéletével. Előfordulhat például, hogy egy jó üzenet rosszként (hamis pozitívként) van megjelölve, vagy egy rossz üzenet engedélyezett (hamis negatív).
A Microsoft Defender portál bérlői engedélyezési/letiltási listája lehetővé teszi az Office 365-höz készült Defender vagy az EOP szűrési ítéleteinek manuális felülbírálását. A lista a külső feladóktól érkező üzenetek e-mail-folyamata során használatos.
A bérlői engedélyezési/letiltási lista nem vonatkozik a szervezeten belül küldött belső üzenetekre. A tartományok és e-mail-címek bejegyzéseinek letiltása azonban azt is megakadályozza, hogy a szervezet felhasználói e-mailt küldjenek a letiltott tartományoknak és címeknek.
A Bérlők engedélyezése/tiltása lista a Microsoft Defender portálon https://security.microsoft.com érhető el az E-mail & együttműködési>szabályzatok & szabályok>Veszélyforrás-szabályzatok>szabályai szakasz Bérlői engedélyezési/tiltólisták szakaszában>. Vagy ha közvetlenül a Bérlői engedélyezési/tiltólisták lapra szeretne lépni, használja a következőt https://security.microsoft.com/tenantAllowBlockList: .
A használati és konfigurációs utasításokért tekintse meg a következő cikkeket:
- Tartományok, e-mail-címek és hamis feladók: E-mailek engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
- Fájlok: Fájlok engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
- URL-címek: Engedélyezze vagy tiltsa le az URL-címeket a bérlői engedélyezési/tiltólistával.
Ezek a cikkek a Microsoft Defender portálon és a PowerShellben található eljárásokat tartalmazzák.
Letiltott bejegyzések a bérlői engedélyezési/tiltólistán
Tipp
A bérlői engedélyezési/tiltólistán a blokkbejegyzések elsőbbséget élveznek az engedélyezési bejegyzésekkel szemben.
A Beküldések lap (más néven rendszergazdai beküldés) https://security.microsoft.com/reportsubmission használatával blokkbejegyzéseket hozhat létre a következő típusú elemekhez, amikor hamis negatívként küldi el őket a Microsoftnak:
-
- A feladóktól érkező e-maileket megbízható adathalászatként jelöli meg a rendszer, majd karanténba helyezi őket.
- A szervezet felhasználói nem küldhetnek e-mailt ezekre a letiltott tartományokra és címekre. A következő sikertelen kézbesítésről szóló jelentést kapják (más néven sikertelen kézbesítésről szóló vagy visszapattanó üzenetet):
550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
A teljes üzenet le lesz tiltva az üzenet összes belső és külső címzettje számára, még akkor is, ha egy blokkbejegyzésben csak egy címzett e-mail-címe vagy tartománya van megadva.
Tipp
Ha csak egy adott feladó levélszemétét szeretné letiltani, vegye fel az e-mail-címet vagy tartományt a levélszemét-ellenes házirendek tiltólistájára. A feladótól érkező összes e-mail letiltásához használja a Tartományok és e-mail-címek elemet a bérlő engedélyezési/letiltó listájában.
Fájlok: A letiltott fájlokat tartalmazó e-mail üzenetek kártevőként vannak letiltva. A letiltott fájlokat tartalmazó üzenetek karanténba kerülnek.
URL-címek: A letiltott URL-címeket tartalmazó e-mail üzeneteket a rendszer magas megbízhatóságú adathalászatként blokkolja. A letiltott URL-címeket tartalmazó üzenetek karanténba kerülnek.
A Bérlői engedélyezés/tiltás listában közvetlenül is létrehozhat blokkbejegyzéseket a következő típusú elemekhez:
Hamisított feladók: Ha manuálisan felülbírál egy meglévő engedélyezési ítéletet a hamis felderítésből, a letiltott hamisított feladó manuális blokkbejegyzéssé válik, amely csak a Bérlői engedélyezési/letiltási lista Hamisított feladók lapján jelenik meg.
Alapértelmezés szerint a tartományok és e-mail-címek, fájlok és URL-címek bejegyzéseinek letiltása 30 nap elteltével lejár, de beállíthatja, hogy 90 nap elteltével lejárjanak, vagy soha ne járjanak le. A hamisított feladók bejegyzéseinek blokkolása soha nem jár le.
Engedélyezési bejegyzések a bérlői engedélyezési/tiltólistán
A legtöbb esetben nem hozhat létre közvetlenül engedélyezési bejegyzéseket a bérlők engedélyezési/tiltólistájában. A szükségtelen engedélyezési bejegyzések kártékony e-maileknek teszik ki a szervezetet, amelyeket a rendszer szűrhetett volna.
Tartományok és e-mail-címek, fájlok és URL-címek: Nem hozhat létre közvetlenül engedélyezési bejegyzéseket a bérlők engedélyezési/tiltólistájában. Ehelyett a Címen található Beküldések oldalon https://security.microsoft.com/reportsubmission küldheti el az e-mailt, az e-mail-mellékletet vagy az URL-címet a Microsoftnak. Miután bejelölte a Megerősítést nyertem, hogy tiszta lehetőséget, válassza az Üzenet engedélyezése, a Fájl engedélyezése vagy Az URL-cím engedélyezése lehetőséget a tartományok és e-mail-címek, fájlok vagy URL-címek engedélyezési bejegyzésének létrehozásához.
Hamisított feladók:
- Ha a hamis felderítés már letiltotta az üzenetet hamisításként, a címen található Beküldések lapon https://security.microsoft.com/reportsubmissionjelentse az e-mailt a Microsoftnak , mert meggyőződtem róla, hogy tiszta, majd válassza az Üzenet engedélyezése lehetőséget.
- Proaktív módon létrehozhat egy engedélyezési bejegyzést a hamisított feladók számára a Bérlői engedélyezési/letiltási lista Hamisított feladó lapján, mielőtt a hamisítási intelligencia azonosítja és letiltja az üzenetet hamisításként.
Az alábbi lista azt ismerteti, hogy mi történik a bérlői engedélyezési/letiltási listában, amikor hamis pozitívként küld el valamit a Microsoftnak a Beküldések lapon:
E-mail-mellékletek és URL-címek: Létrejön egy engedélyezési bejegyzés, és a bejegyzés megjelenik a Bérlői engedélyezési/tiltólista Fájlok vagy URL-címek lapján.
A hamis pozitívként jelentett URL-címek esetében engedélyezzük az eredeti URL-cím variációit tartalmazó további üzeneteket. A Beküldések lapon például a helytelenül blokkolt URL-címet
www.contoso.com/abc
jelenti. Ha a szervezet később olyan üzenetet kap, amely tartalmazza az URL-címet (például, de nem kizárólagosan:www.contoso.com/abc
,www.contoso.com/abc?id=1
,www.contoso.com/abc/def/gty/uyt?id=5
vagywww.contoso.com/abc/whatever
), az üzenet nem lesz letiltva az URL-cím alapján. Más szóval nem kell ugyanazon URL-cím több változatát is jelentenie a Microsoftnak.E-mail: Ha az EOP vagy az Office 365-höz készült Defender szűrési verem blokkolt egy üzenetet, előfordulhat, hogy a bérlői engedélyezési/letiltási listában engedélyezési bejegyzés jön létre:
- Ha az üzenetet hamis felderítés blokkolta, létrejön egy engedélyezési bejegyzés a feladó számára, és a bejegyzés megjelenik a Hamisított feladók lapon a Bérlői engedélyezési/tiltólistán.
- Ha az office 365-höz készült Defenderben a felhasználó (vagy a gráf) megszemélyesítési védelme letiltotta az üzenetet, a bérlői engedélyezési/letiltási listában nem jön létre engedélyezési bejegyzés. Ehelyett a rendszer hozzáadja a tartományt vagy a feladót az üzenetet észlelő adathalászat elleni szabályzatMegbízható feladók és tartományok szakaszához.
- Ha az üzenet fájlalapú szűrők miatt le lett tiltva, létrejön egy engedélyezési bejegyzés a fájlhoz, és a bejegyzés megjelenik a Bérlői engedélyezési/letiltási lista Fájlok lapján.
- Ha az üzenetet URL-alapú szűrők blokkolták, létrejön egy engedélyezési bejegyzés az URL-címhez, és a bejegyzés megjelenik a bérlői engedélyezési/letiltási lista URL-lapján .
- Ha az üzenet bármilyen más okból le lett tiltva, létrejön egy engedélyezési bejegyzés a feladó e-mail-címéhez vagy tartományához, és a bejegyzés megjelenik a Tartományok & címek lapon a Bérlői engedélyezés/tiltás listában.
- Ha az üzenet szűrés miatt nem lett letiltva, a rendszer sehol nem hoz létre engedélyezési bejegyzéseket.
Tipp
A beküldésekből származó bejegyzések hozzáadása az e-mail-forgalom során azon szűrők alapján történik, amelyek megállapították, hogy az üzenet kártékony volt. Ha például a feladó e-mail-címe és az üzenetben szereplő URL-cím kártékony, a rendszer engedélyezési bejegyzést hoz létre a feladó (e-mail-cím vagy tartomány) és az URL-cím számára.
Ha az e-mail-forgalom vagy a kattintás ideje alatt az engedélyezési bejegyzések entitásait tartalmazó üzenetek más ellenőrzéseket is átvesznek a szűrési veremben, az üzenetek kézbesítése (az engedélyezett entitásokhoz társított összes szűrő ki lesz hagyva). Ha például egy üzenet megfelel az e-mail-hitelesítési ellenőrzéseknek, az URL-szűrésnek és a fájlszűrésnek, a rendszer egy engedélyezett feladó e-mail-címéről érkező üzenetet kézbesít, ha az egy engedélyezett feladótól is származik.
Alapértelmezés szerint a tartományok és e-mail-címek, fájlok és URL-címek engedélyezési bejegyzései 45 napig maradnak meg, miután a szűrőrendszer megállapította, hogy az entitás tiszta, majd az engedélyezési bejegyzés el lesz távolítva. Vagy beállíthatja, hogy a bejegyzések a létrehozásuk után legfeljebb 30 nappal lejárjanak. A hamisított feladók bejegyzéseinek engedélyezése soha nem jár le.
Mi várható egy engedélyezési vagy blokkbejegyzés hozzáadása után?
Miután hozzáadott egy engedélyezési bejegyzést a Beküldések lapon vagy egy blokkbejegyzést a Bérlők engedélyezési/letiltási listájában, a bejegyzésnek azonnal működnie kell (5 percen belül).
Ha a Microsoft tanult az engedélyezési bejegyzésből, a Bérlői engedélyezési/tiltólista bejegyzésének eltávolítása nevű beépített riasztási szabályzat riasztást hoz létre a (most szükségtelen) engedélyezési bejegyzés eltávolításakor.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: