Engedélyezések és blokkok kezelése a bérlők engedélyezési/tiltólistájában

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Fontos

A külső támadásszimulációs betanítás részét képező adathalász URL-címek engedélyezéséhez használja a speciális kézbesítési konfigurációt az URL-címek megadásához. Ne használja a bérlő engedélyezési/tiltólistáját.

Az Exchange Online-ban postaládákkal rendelkező Microsoft 365-szervezetekben vagy az Exchange Online-postaládákat nem tartalmazó különálló Exchange Online Védelmi (EOP) szervezetekben nem ért egyet az EOP vagy az Office 365-höz készült Microsoft Defender szűrési ítéletével. Előfordulhat például, hogy egy jó üzenet rosszként (hamis pozitívként) van megjelölve, vagy egy rossz üzenet engedélyezett (hamis negatív).

A Microsoft Defender portál bérlői engedélyezési/letiltási listája lehetővé teszi az Office 365-höz készült Defender vagy az EOP szűrési ítéleteinek manuális felülbírálását. A lista a külső feladóktól érkező üzenetek e-mail-folyamata során használatos.

A bérlői engedélyezési/letiltási lista nem vonatkozik a szervezeten belül küldött belső üzenetekre. A tartományok és e-mail-címek bejegyzéseinek letiltása azonban azt is megakadályozza, hogy a szervezet felhasználói e-mailt küldjenek a letiltott tartományoknak és címeknek.

A Bérlők engedélyezése/tiltása lista a Microsoft Defender portálon https://security.microsoft.com érhető el az E-mail & együttműködési>szabályzatok & szabályok>Veszélyforrás-szabályzatok>szabályai szakasz Bérlői engedélyezési/tiltólisták szakaszában>. Vagy ha közvetlenül a Bérlői engedélyezési/tiltólisták lapra szeretne lépni, használja a következőt https://security.microsoft.com/tenantAllowBlockList: .

A használati és konfigurációs utasításokért tekintse meg a következő cikkeket:

• Tartományok, e-mail-címek és hamis feladók: E-mailek engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
• Fájlok: Fájlok engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
• URL-címek: Engedélyezze vagy tiltsa le az URL-címeket a bérlői engedélyezési/tiltólistával.

Ezek a cikkek a Microsoft Defender portálon és a PowerShellben található eljárásokat tartalmazzák.

Letiltott bejegyzések a bérlői engedélyezési/tiltólistán

Tipp

A bérlői engedélyezési/tiltólistán a blokkbejegyzések elsőbbséget élveznek az engedélyezési bejegyzésekkel szemben.

A Beküldések lap (más néven rendszergazdai beküldés) https://security.microsoft.com/reportsubmission használatával blokkbejegyzéseket hozhat létre a következő típusú elemekhez, amikor hamis negatívként küldi el őket a Microsoftnak:

• Tartományok és e-mail-címek:

  • A feladóktól érkező e-maileket megbízható adathalászatként jelöli meg a rendszer, majd karanténba helyezi őket.
  • A szervezet felhasználói nem küldhetnek e-mailt ezekre a letiltott tartományokra és címekre. A következő sikertelen kézbesítésről szóló jelentést kapják (más néven sikertelen kézbesítésről szóló vagy visszapattanó üzenetet): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. A teljes üzenet le lesz tiltva az üzenet összes belső és külső címzettje számára, még akkor is, ha egy blokkbejegyzésben csak egy címzett e-mail-címe vagy tartománya van megadva.

  Tipp

  Ha csak egy adott feladó levélszemétét szeretné letiltani, vegye fel az e-mail-címet vagy tartományt a levélszemét-ellenes házirendek tiltólistájára. A feladótól érkező összes e-mail letiltásához használja a Tartományok és e-mail-címek elemet a bérlő engedélyezési/letiltó listájában.

• Fájlok: A letiltott fájlokat tartalmazó e-mail üzenetek kártevőként vannak letiltva. A letiltott fájlokat tartalmazó üzenetek karanténba kerülnek.

• URL-címek: A letiltott URL-címeket tartalmazó e-mail üzeneteket a rendszer magas megbízhatóságú adathalászatként blokkolja. A letiltott URL-címeket tartalmazó üzenetek karanténba kerülnek.

A Bérlői engedélyezés/tiltás listában közvetlenül is létrehozhat blokkbejegyzéseket a következő típusú elemekhez:

• Tartományok és e-mail-címek, fájlok és URL-címek.

• Hamisított feladók: Ha manuálisan felülbírál egy meglévő engedélyezési ítéletet a hamis felderítésből, a letiltott hamisított feladó manuális blokkbejegyzéssé válik, amely csak a Bérlői engedélyezési/letiltási lista Hamisított feladók lapján jelenik meg.

Alapértelmezés szerint a tartományok és e-mail-címek, fájlok és URL-címek bejegyzéseinek letiltása 30 nap elteltével lejár, de beállíthatja, hogy 90 nap elteltével lejárjanak, vagy soha ne járjanak le. A hamisított feladók bejegyzéseinek blokkolása soha nem jár le.

Engedélyezési bejegyzések a bérlői engedélyezési/tiltólistán

A legtöbb esetben nem hozhat létre közvetlenül engedélyezési bejegyzéseket a bérlők engedélyezési/tiltólistájában. A szükségtelen engedélyezési bejegyzések kártékony e-maileknek teszik ki a szervezetet, amelyeket a rendszer szűrhetett volna.

• Tartományok és e-mail-címek, fájlok és URL-címek: Nem hozhat létre közvetlenül engedélyezési bejegyzéseket a bérlők engedélyezési/tiltólistájában. Ehelyett a Címen található Beküldések oldalon https://security.microsoft.com/reportsubmission küldheti el az e-mailt, az e-mail-mellékletet vagy az URL-címet a Microsoftnak. Miután bejelölte a Megerősítést nyertem, hogy tiszta lehetőséget, válassza az Üzenet engedélyezése, a Fájl engedélyezése vagy Az URL-cím engedélyezése lehetőséget a tartományok és e-mail-címek, fájlok vagy URL-címek engedélyezési bejegyzésének létrehozásához.

• Hamisított feladók:

  • Ha a hamis felderítés már letiltotta az üzenetet hamisításként, a címen található Beküldések lapon https://security.microsoft.com/reportsubmissionjelentse az e-mailt a Microsoftnak , mert meggyőződtem róla, hogy tiszta, majd válassza az Üzenet engedélyezése lehetőséget.
  • Proaktív módon létrehozhat egy engedélyezési bejegyzést a hamisított feladók számára a Bérlői engedélyezési/letiltási lista Hamisított feladó lapján, mielőtt a hamisítási intelligencia azonosítja és letiltja az üzenetet hamisításként.

Az alábbi lista azt ismerteti, hogy mi történik a bérlői engedélyezési/letiltási listában, amikor hamis pozitívként küld el valamit a Microsoftnak a Beküldések lapon:

• E-mail-mellékletek és URL-címek: Létrejön egy engedélyezési bejegyzés, és a bejegyzés megjelenik a Bérlői engedélyezési/tiltólista Fájlok vagy URL-címek lapján.

  A hamis pozitívként jelentett URL-címek esetében engedélyezzük az eredeti URL-cím variációit tartalmazó további üzeneteket. A Beküldések lapon például a helytelenül blokkolt URL-címet www.contoso.com/abcjelenti. Ha a szervezet később olyan üzenetet kap, amely tartalmazza az URL-címet (például, de nem kizárólagosan: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5vagy www.contoso.com/abc/whatever), az üzenet nem lesz letiltva az URL-cím alapján. Más szóval nem kell ugyanazon URL-cím több változatát is jelentenie a Microsoftnak.

• E-mail: Ha az EOP vagy az Office 365-höz készült Defender szűrési verem blokkolt egy üzenetet, előfordulhat, hogy a bérlői engedélyezési/letiltási listában engedélyezési bejegyzés jön létre:

  • Ha az üzenetet hamis felderítés blokkolta, létrejön egy engedélyezési bejegyzés a feladó számára, és a bejegyzés megjelenik a Hamisított feladók lapon a Bérlői engedélyezési/tiltólistán.
  • Ha az office 365-höz készült Defenderben a felhasználó (vagy a gráf) megszemélyesítési védelme letiltotta az üzenetet, a bérlői engedélyezési/letiltási listában nem jön létre engedélyezési bejegyzés. Ehelyett a rendszer hozzáadja a tartományt vagy a feladót az üzenetet észlelő adathalászat elleni szabályzatMegbízható feladók és tartományok szakaszához.
  • Ha az üzenet fájlalapú szűrők miatt le lett tiltva, létrejön egy engedélyezési bejegyzés a fájlhoz, és a bejegyzés megjelenik a Bérlői engedélyezési/letiltási lista Fájlok lapján.
  • Ha az üzenetet URL-alapú szűrők blokkolták, létrejön egy engedélyezési bejegyzés az URL-címhez, és a bejegyzés megjelenik a bérlői engedélyezési/letiltási lista URL-lapján .
  • Ha az üzenet bármilyen más okból le lett tiltva, létrejön egy engedélyezési bejegyzés a feladó e-mail-címéhez vagy tartományához, és a bejegyzés megjelenik a Tartományok & címek lapon a Bérlői engedélyezés/tiltás listában.
  • Ha az üzenet szűrés miatt nem lett letiltva, a rendszer sehol nem hoz létre engedélyezési bejegyzéseket.

Tipp

A beküldésekből származó bejegyzések hozzáadása az e-mail-forgalom során azon szűrők alapján történik, amelyek megállapították, hogy az üzenet kártékony volt. Ha például a feladó e-mail-címe és az üzenetben szereplő URL-cím kártékony, a rendszer engedélyezési bejegyzést hoz létre a feladó (e-mail-cím vagy tartomány) és az URL-cím számára.

Ha az e-mail-forgalom vagy a kattintás ideje alatt az engedélyezési bejegyzések entitásait tartalmazó üzenetek más ellenőrzéseket is átvesznek a szűrési veremben, az üzenetek kézbesítése (az engedélyezett entitásokhoz társított összes szűrő ki lesz hagyva). Ha például egy üzenet megfelel az e-mail-hitelesítési ellenőrzéseknek, az URL-szűrésnek és a fájlszűrésnek, a rendszer egy engedélyezett feladó e-mail-címéről érkező üzenetet kézbesít, ha az egy engedélyezett feladótól is származik.

Alapértelmezés szerint a tartományok és e-mail-címek, fájlok és URL-címek engedélyezési bejegyzései 45 napig maradnak meg, miután a szűrőrendszer megállapította, hogy az entitás tiszta, majd az engedélyezési bejegyzés el lesz távolítva. Vagy beállíthatja, hogy a bejegyzések a létrehozásuk után legfeljebb 30 nappal lejárjanak. A hamisított feladók bejegyzéseinek engedélyezése soha nem jár le.

Mi várható egy engedélyezési vagy blokkbejegyzés hozzáadása után?

Miután hozzáadott egy engedélyezési bejegyzést a Beküldések lapon vagy egy blokkbejegyzést a Bérlők engedélyezési/letiltási listájában, a bejegyzésnek azonnal működnie kell (5 percen belül).

Ha a Microsoft tanult az engedélyezési bejegyzésből, a Bérlői engedélyezési/tiltólista bejegyzésének eltávolítása nevű beépített riasztási szabályzat riasztást hoz létre a (most szükségtelen) engedélyezési bejegyzés eltávolításakor.