Gestire le autorizzazioni e i blocchi nell'elenco tenant consentiti/bloccati

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Importante

Per consentire gli URL di phishing che fanno parte del training di simulazione degli attacchi di terze parti, usare la configurazione di recapito avanzata per specificare gli URL. Non usare l'elenco tenant consentiti/bloccati.

Nelle organizzazioni di Microsoft 365 con cassette postali in Exchange Online o organizzazioni autonome di Exchange Online Protection (EOP) senza cassette postali di Exchange Online, è possibile che non si sia d'accordo con il verdetto di filtro EOP o Microsoft Defender per Office 365. Ad esempio, un messaggio valido potrebbe essere contrassegnato come non valido (un falso positivo) o un messaggio non valido potrebbe essere consentito tramite (un falso negativo).

L'elenco tenant consentiti/bloccati nel portale di Microsoft Defender consente di eseguire manualmente l'override dei verdetti di filtro di Defender per Office 365 o EOP. L'elenco viene usato durante il flusso di posta per i messaggi in ingresso provenienti da mittenti esterni.

L'elenco tenant consentito/bloccato non si applica ai messaggi interni inviati all'interno dell'organizzazione. Ma le voci bloccate per domini e indirizzi di posta elettronica impediscono anche agli utenti dell'organizzazione di inviare messaggi di posta elettronica a tali domini e indirizzi bloccati.

L'elenco Tenant Allow/Block è disponibile nel portale di Microsoft Defender all'indirizzo Email & collaborationPolicies & rules Threat PoliciesRules sezione>Tenant Allow/Block Lists .The Tenant Allow/Block Lists.The Tenant Allow/Block List is available in the Tenant Allow/Block list is available in the Microsoft Defender portal at https://security.microsoft.com Email & collaboration >Policies & rules>Threat Policies> Rules. In alternativa, per passare direttamente alla pagina Tenant Allow/Block Lists (Elenchi tenant consentiti/bloccati ), usare https://security.microsoft.com/tenantAllowBlockList.

Per istruzioni sull'utilizzo e la configurazione, vedere gli articoli seguenti:

• Domini e indirizzi di posta elettronica e mittenti falsificati: consentire o bloccare i messaggi di posta elettronica usando l'elenco tenant consentiti/bloccati
• File: consente o blocca i file usando l'elenco tenant consentiti/bloccati
• URL: consente o blocca gli URL usando l'elenco tenant consentiti/bloccati.

Questi articoli contengono procedure nel portale di Microsoft Defender e in PowerShell.

Voci bloccate nell'elenco tenant consentiti/bloccati

Consiglio

Nell'elenco tenant consentiti/bloccati le voci di blocco hanno la precedenza sulle voci consentite.

Usare la pagina Invii (nota anche come invio amministratore) in https://security.microsoft.com/reportsubmission per creare voci di blocco per i tipi di elementi seguenti quando vengono segnalate come falsi negativi a Microsoft:

• Domini e indirizzi di posta elettronica:

  • I messaggi di posta elettronica provenienti da questi mittenti vengono contrassegnati come phishing con attendibilità elevata e quindi spostati in quarantena.
  • Gli utenti dell'organizzazione non possono inviare messaggi di posta elettronica a questi domini e indirizzi bloccati. Ricevono il report di mancato recapito seguente (noto anche come NDR o messaggio di mancato recapito): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. l'intero messaggio viene bloccato per tutti i destinatari interni ed esterni del messaggio, anche se un solo indirizzo di posta elettronica o dominio del destinatario è definito in una voce di blocco.

  Consiglio

  Per bloccare solo la posta indesiderata di un mittente specifico, aggiungere l'indirizzo di posta elettronica o il dominio all'elenco di blocchi nei criteri di protezione dalla posta indesiderata. Per bloccare tutti i messaggi di posta elettronica dal mittente, usare Domini e indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati.

• File: i messaggi di posta elettronica che contengono questi file bloccati vengono bloccati come malware. I messaggi contenenti i file bloccati vengono messi in quarantena.

• URL: i messaggi di posta elettronica che contengono questi URL bloccati vengono bloccati come phishing con attendibilità elevata. I messaggi contenenti gli URL bloccati vengono messi in quarantena.

Nell'elenco tenant consentiti/bloccati è anche possibile creare direttamente voci di blocco per i tipi di elementi seguenti:

• Domini e indirizzi di posta elettronica, file e URL.

• Mittenti spoofed: se si esegue manualmente l'override di un verdetto allow esistente dall'intelligence di spoofing, il mittente spoofed bloccato diventa una voce di blocco manuale che viene visualizzata solo nella scheda Mittenti spoofed nell'elenco Tenant consentiti/bloccati.

Per impostazione predefinita, le voci di blocco per domini e indirizzi di posta elettronica, file e URL scadono dopo 30 giorni, ma è possibile impostarle in modo che scadano fino a 90 giorni o non scadano mai. Le voci di blocco per i mittenti spoofing non scadono mai.

Consenti voci nell'elenco tenant consentiti/bloccati

Nella maggior parte dei casi, non è possibile creare direttamente voci consentite nell'elenco tenant consentiti/bloccati:

• Domini e indirizzi di posta elettronica, file e URL: non è possibile creare voci consentite direttamente nell'elenco tenant consentiti/bloccati. Usare invece la pagina Invii in https://security.microsoft.com/reportsubmission per segnalare l'indirizzo di posta elettronica, l'allegato di posta elettronica o l'URL a Microsoft perché non dovrebbe essere stato bloccato (Falso positivo).

• Mittenti spoofed:

  • Se l'intelligence per lo spoofing ha già bloccato il messaggio come spoofing, usare la pagina Invii in per segnalare il messaggio di posta elettronica a Microsoft come Non dovrebbe essere stato bloccato (Falso positivo).If spoof intelligence already blocked the message as spoofing, use the Submissions page at https://security.microsoft.com/reportsubmission to report the email to Microsoft as Should not have blocked (False positive).
  • È possibile creare in modo proattivo una voce di autorizzazione per un mittente spoofing nella scheda mittente spoofed nell'elenco tenant consentiti/bloccati prima che lo spoof intelligence identifichi e blocchi il messaggio come spoofing.

L'elenco seguente descrive cosa accade nell'elenco tenant consentiti/bloccati quando si segnala un elemento a Microsoft come falso positivo nella pagina Invii :

• URL e allegati di posta elettronica: viene creata una voce consenti e la voce viene visualizzata rispettivamente nella scheda File o URL dell'elenco tenant consentiti/bloccati.

  Per gli URL segnalati come falsi positivi, sono consentiti i messaggi successivi che contengono varianti dell'URL originale. Ad esempio, si usa la pagina Invii per segnalare l'URL www.contoso.com/abcbloccato in modo non corretto. Se l'organizzazione riceve in un secondo momento un messaggio che contiene l'URL ( ad esempio, ma non limitato a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5o www.contoso.com/abc/whatever), il messaggio non viene bloccato in base all'URL. In altre parole, non è necessario segnalare più varianti dello stesso URL valide per Microsoft.

• Posta elettronica: se un messaggio è stato bloccato dallo stack di filtri EOP o Defender per Office 365, potrebbe essere creata una voce consenti nell'elenco tenant consentiti/bloccati:

  • Se il messaggio è stato bloccato dall'intelligence per lo spoofing, viene creata una voce allow per il mittente e la voce viene visualizzata nella scheda Mittenti spoofed nell'elenco tenant consentiti/bloccati.
  • Se il messaggio è stato bloccato dalla protezione della rappresentazione dell'utente (o del grafico) in Defender per Office 365, non viene creata una voce consenti nell'elenco tenant consentiti/bloccati. Al contrario, il dominio o il mittente viene aggiunto alla sezione Mittenti e domini attendibili nei criteri anti-phishing che hanno rilevato il messaggio.
  • Se il messaggio è stato bloccato a causa di filtri basati su file, viene creata una voce consenti per il file e la voce viene visualizzata nella scheda File nell'elenco tenant consentiti/bloccati.
  • Se il messaggio è stato bloccato a causa di filtri basati su URL, viene creata una voce consenti per l'URL e la voce viene visualizzata nella scheda URL nell'elenco tenant consentiti/bloccati.
  • Se il messaggio è stato bloccato per qualsiasi altro motivo, viene creata una voce di autorizzazione per l'indirizzo di posta elettronica o il dominio del mittente e la voce viene visualizzata nella scheda Domini & indirizzi nell'elenco Tenant consentiti/bloccati.
  • Se il messaggio non è stato bloccato a causa del filtro, non vengono create voci consentite.

Per impostazione predefinita, le voci consentite per domini e indirizzi di posta elettronica, file e URL esistono per 30 giorni. Durante questi 30 giorni, Microsoft apprende dalle voci consentite e le rimuove o le estende automaticamente. Dopo che Microsoft ha appreso dalle voci allow rimosse, vengono recapitati i messaggi che contengono tali entità, a meno che non venga rilevato un altro elemento nel messaggio come dannoso. Per impostazione predefinita, le voci consentite per i mittenti contraffatti non scadono mai.

Importante

Microsoft non consente di creare direttamente voci consentite. Le voci consentite non necessarie espongono l'organizzazione a messaggi di posta elettronica dannosi che potrebbero essere stati filtrati dal sistema.

Microsoft gestisce la creazione di voci consentite dalla pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission. Le voci consentite vengono aggiunte durante il flusso di posta in base ai filtri che hanno determinato che il messaggio era dannoso. Ad esempio, se l'indirizzo di posta elettronica del mittente e un URL nel messaggio sono stati determinati come non validi, viene creata una voce di autorizzazione per il mittente (indirizzo di posta elettronica o dominio) e l'URL.

Quando l'entità viene rilevata di nuovo (durante il flusso di posta o il momento del clic), tutti i filtri associati a tale entità vengono ignorati.

Durante il flusso di posta, se i messaggi contenenti l'entità consentita superano altri controlli nello stack di filtri, i messaggi vengono recapitati. Ad esempio, se un messaggio passa i controlli di autenticazione tramite posta elettronica, il filtro URL e il filtro dei file, viene recapitato un messaggio da un indirizzo di posta elettronica del mittente consentito.

Cosa aspettarsi dopo l'aggiunta di una voce allow o block

Dopo aver aggiunto una voce consenti nella pagina Invii o una voce di blocco nell'elenco tenant consentiti/bloccati, la voce dovrebbe iniziare immediatamente a funzionare (entro 5 minuti).

Se Microsoft ha appreso dalla voce allow, il criterio di avviso predefinito denominato Removed an entry in Tenant Allow/Block List genera un avviso quando la voce allow (ora non necessaria) viene rimossa.