Consentire o bloccare la posta elettronica usando l'elenco tenant consentiti/bloccati

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o Exchange Online Protection autonome (EOP) senza cassette postali Exchange Online, gli amministratori possono creare e gestire le voci per domini e indirizzi di posta elettronica (inclusi i mittenti spoofati) nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.

Questo articolo descrive come gli amministratori possono gestire le voci per i mittenti di posta elettronica nel portale di Microsoft Defender e in Exchange Online PowerShell.

Che cosa è necessario sapere prima di iniziare?

• Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

• Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a PowerShell di EOP autonomo, vedere Connettersi a PowerShell per Exchange Online Protection.

• Limiti di immissione per domini e indirizzi di posta elettronica:

  • Exchange Online Protection: il numero massimo di voci consentite è 500 e il numero massimo di voci in blocco è 500 (1000 voci di dominio e indirizzo di posta elettronica in totale).
  • Defender per Office 365 Piano 1: il numero massimo di voci consentite è 1000 e il numero massimo di voci in blocco è 1000 (2000 voci di dominio e indirizzo di posta elettronica in totale).
  • Defender per Office 365 Piano 2: il numero massimo di voci consentite è 5000 e il numero massimo di voci di blocco è 10000 (15000 voci di dominio e indirizzo di posta elettronica in totale).

• Per i mittenti falsificati, il numero massimo di voci consentite e voci di blocco è 1024 (1024 voci consentite e nessuna voce in blocco, 512 voci consentite e 512 voci di blocco e così via).

• Le voci per i mittenti spoofing non scadono mai.

• Per bloccare la posta elettronica in ingresso e in uscita da un dominio, qualsiasi sottodominio in tale dominio e qualsiasi indirizzo di posta elettronica in tale dominio, creare la voce di blocco usando la sintassi : *.TLD, dove TLD può essere qualsiasi dominio di primo livello, dominio interno o dominio indirizzo di posta elettronica.

• Per bloccare la posta elettronica in ingresso e in uscita da un sudomain in un dominio ed eventuali indirizzi di posta elettronica in tale sottodominio, creare la voce di blocco usando la sintassi : *.SD1.TLD, *.SD2.SD1.TLD, *.SD3.SD2.SD1.TLDe così via per i domini interni e gli indirizzi di posta elettronica.

• Per informazioni dettagliate sulla sintassi per le voci del mittente spoofing, vedere la sezione Sintassi della coppia di domini per le voci del mittente spoofing più avanti in questo articolo.

• Una voce deve essere attiva entro 5 minuti.

• Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

  • Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: autorizzazioni e impostazioni/Impostazioni di sicurezza/Ottimizzazione del rilevamento (gestione) o Autorizzazione e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).

  • Exchange Online autorizzazioni:

    • Aggiungere e rimuovere voci dall'elenco tenant consentiti/bloccati: appartenenza a uno dei gruppi di ruoli seguenti:
      • Gestione dell'organizzazione o Amministratore della sicurezza (ruolo di amministratore della sicurezza).
      • Operatore di sicurezza (gestione AllowBlockList tenant).
    • Accesso di sola lettura all'elenco tenant consentiti/bloccati: appartenenza a uno dei gruppi di ruoli seguenti:
      • Lettore globale
      • Ruolo con autorizzazioni di lettura per la sicurezza
      • Configurazione solo visualizzazione
      • View-Only Organization Management

  • Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore^* globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

    Importante

    ^* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Domini e indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati

Creare voci di autorizzazione per domini e indirizzi di posta elettronica

Non è possibile creare voci consentite per domini e indirizzi di posta elettronica direttamente nell'elenco tenant consentiti/bloccati. Le voci consentite non necessarie espongono l'organizzazione a messaggi di posta elettronica dannosi che sarebbero stati filtrati dal sistema.

Usare invece la scheda Messaggi di posta elettronica nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=email. Quando si invia un messaggio bloccato quando è stato confermato che è pulito e quindi si seleziona Consenti questo messaggio, viene aggiunta una voce consenti per il mittente alla scheda Domini & indirizzi di posta elettronica nella pagina Tenant Consenti/Blocca Elenchi. Per istruzioni, vedere Inviare un messaggio di posta elettronica valido a Microsoft.

Consiglio

Le voci consentite dagli invii vengono aggiunte durante il flusso di posta in base ai filtri che hanno determinato che il messaggio era dannoso. Ad esempio, se l'indirizzo di posta elettronica del mittente e un URL nel messaggio sono determinati come dannosi, viene creata una voce di autorizzazione per il mittente (indirizzo di posta elettronica o dominio) e l'URL.

Durante il flusso di posta o il tempo di clic, se i messaggi contenenti le entità nelle voci consentite superano altri controlli nello stack di filtri, i messaggi vengono recapitati (tutti i filtri associati alle entità consentite vengono ignorati). Ad esempio, se un messaggio passa i controlli di autenticazione tramite posta elettronica, il filtro URL e il filtro dei file, viene recapitato un messaggio da un indirizzo di posta elettronica del mittente consentito se proviene anche da un mittente consentito.

Per impostazione predefinita, le voci consentite per domini e indirizzi di posta elettronica, file e URL vengono mantenute per 45 giorni dopo che il sistema di filtro determina che l'entità è pulita e quindi la voce consenti viene rimossa. In alternativa, è possibile impostare la scadenza delle voci fino a 30 giorni dopo la creazione. Le voci consentite per i mittenti spoofing non scadono mai.

Creare voci di blocco per domini e indirizzi di posta elettronica

Per creare voci di blocco per domini e indirizzi di posta elettronica, usare uno dei metodi seguenti:

• Dalla scheda Messaggi di posta elettronica nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=email. Quando si invia un messaggio come ho confermato che è una minaccia, è possibile selezionare Blocca tutti i messaggi di posta elettronica da questo mittente o dominio per aggiungere una voce di blocco alla scheda Domini & indirizzi di posta elettronica nella pagina Tenant Consenti/Blocca Elenchi. Per istruzioni, vedere Segnalare messaggi di posta elettronica discutibili a Microsoft.

• Dalla scheda Domini & indirizzi nella pagina Tenant Allow/Block Elenchi o in PowerShell come descritto in questa sezione.

Per creare voci di blocco per mittenti spoofing, vedere questa sezione più avanti in questo articolo.

Email da questi mittenti bloccati è contrassegnato come phishing con attendibilità elevata e messo in quarantena.

Nota

Attualmente, i sottodomini del dominio specificato non sono bloccati. Ad esempio, se si crea una voce di blocco per la posta elettronica da contoso.com, anche la posta da marketing.contoso.com non viene bloccata. È necessario creare una voce di blocco separata per marketing.contoso.com.

Gli utenti dell'organizzazione non possono inviare messaggi di posta elettronica a questi domini e indirizzi bloccati. Il messaggio viene restituito nel report di mancato recapito seguente (noto anche come NDR o messaggio di mancato recapito): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. l'intero messaggio viene bloccato per tutti i destinatari interni ed esterni del messaggio, anche se un solo indirizzo di posta elettronica o dominio del destinatario è definito in una voce di blocco.

Usare il portale di Microsoft Defender per creare voci di blocco per domini e indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

2. Nella pagina Tenant Allow/Block Elenchi verificare che sia selezionata la scheda Domains & addresses (Domini & indirizzi).

3. Nella scheda Domini & indirizzi selezionare Blocca.

4. Nel riquadro a comparsa Blocca domini & indirizzi aperto configurare le impostazioni seguenti:

   • Domini & indirizzi: immettere un indirizzo di posta elettronica o un dominio per riga, fino a un massimo di 20.

   • Rimuovere la voce di blocco dopo: Selezionare tra i valori seguenti:

     • 1 giorno
     • 7 giorni
     • 30 giorni (impostazione predefinita)
     • Non scade mai
     • Data specifica: il valore massimo è 90 giorni da oggi.

   • Nota facoltativa: immettere il testo descrittivo per il motivo per cui si bloccano gli indirizzi di posta elettronica o i domini.

5. Al termine, nel riquadro a comparsa Blocca domini & indirizzi selezionare Aggiungi.

Nella scheda Domini & indirizzi di posta elettronica la voce è elencata.

Usare PowerShell per creare voci di blocco per domini e indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

In questo esempio viene aggiunta una voce di blocco per l'indirizzo di posta elettronica specificato che scade in una data specifica.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-TenantAllowBlockListItems.

Usare il portale di Microsoft Defender per visualizzare le voci per domini e indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati

Nel portale di Microsoft Defender in https://security.microsoft.compassare a Criteri & regole> Elenchi tenant criteri diminaccia>consentiti/bloccati nella sezione Regole. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

Verificare che la scheda Domini & indirizzi sia selezionata.

Nella scheda Domini & indirizzi è possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Sono disponibili le colonne seguenti:

• Valore: dominio o indirizzo di posta elettronica.
• Azione: valore Allow o Block.
• Modificato da
• Ultimo aggiornamento
• Data ultima utilizzata: data dell'ultimo utilizzo della voce nel sistema di filtro per eseguire l'override del verdetto.
• Rimuovi il: data di scadenza.
• Note

Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:

• Azione: i valori sono Consenti e Blocca.
• Non scadere mai: o
• Ultimo aggiornamento: selezionare Date da e A .
• Data ultima utilizzo: selezionare Date da e A .
• Rimuovi in: selezionare Date da e A .

Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.

Utilizzare la casella di ricerca e un valore corrispondente per trovare voci specifiche.

Per raggruppare le voci, selezionare Raggruppa e quindi selezionare Azione. Per separare le voci, selezionare Nessuno.

Usare PowerShell per visualizzare le voci per domini e indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

In questo esempio vengono restituite tutte le voci consentite e bloccate per domini e indirizzi di posta elettronica.

Get-TenantAllowBlockListItems -ListType Sender

In questo esempio vengono filtrati i risultati per le voci di blocco per domini e indirizzi di posta elettronica.

Get-TenantAllowBlockListItems -ListType Sender -Block

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-TenantAllowBlockListItems.

Usare il portale di Microsoft Defender per modificare le voci per domini e indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati

Nelle voci di dominio e indirizzo di posta elettronica esistenti è possibile modificare la data di scadenza e la nota.

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

2. Verificare che la scheda Domini & indirizzi sia selezionata.

3. Nella scheda Domini & indirizzi selezionare la voce dall'elenco selezionando la casella di controllo accanto alla prima colonna e quindi selezionare l'azione Modifica visualizzata.

4. Nel riquadro a comparsa Modifica domini & indirizzi aperto sono disponibili le impostazioni seguenti:

   • Voci di blocco:
     • Rimuovere la voce di blocco dopo: Selezionare tra i valori seguenti:
       • 1 giorno
       • 7 giorni
       • 30 giorni
       • Non scade mai
       • Data specifica: il valore massimo è 90 giorni da oggi.
     • Nota facoltativa
   • Consenti voci:
     • Rimuovere la voce consenti dopo: Selezionare tra i valori seguenti:
       • 1 giorno
       • 7 giorni
       • 30 giorni
       • 45 giorni dopo l'ultima data di utilizzo
       • Data specifica: il valore massimo è 30 giorni da oggi.
     • Nota facoltativa

   Al termine, nel riquadro a comparsa Modifica domini & indirizzi selezionare Salva.

Consiglio

Nel riquadro a comparsa dei dettagli di una voce nella scheda Domini & indirizzi usare Visualizza invio nella parte superiore del riquadro a comparsa per passare ai dettagli della voce corrispondente nella pagina Invii . Questa azione è disponibile se un invio è stato responsabile della creazione della voce nell'elenco tenant consentiti/bloccati.

Usare PowerShell per modificare le voci per domini e indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

In questo esempio viene modificata la data di scadenza della voce di blocco specificata per l'indirizzo di posta elettronica del mittente.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-TenantAllowBlockListItems.

Usare il portale di Microsoft Defender per rimuovere le voci per domini e indirizzi di posta elettronica dall'elenco tenant consentiti/bloccati

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

2. Verificare che la scheda Domini & indirizzi sia selezionata.

3. Nella scheda Domini & indirizzi eseguire una delle operazioni seguenti:

   • Selezionare la voce dall'elenco selezionando la casella di controllo accanto alla prima colonna e quindi selezionare l'azione Elimina visualizzata.

   • Selezionare la voce dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo. Nel riquadro a comparsa dei dettagli visualizzato selezionare Elimina nella parte superiore del riquadro a comparsa.

     Consiglio

     • Per visualizzare i dettagli sulle altre voci senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
     • È possibile selezionare più voci selezionando ogni casella di controllo o selezionando tutte le voci selezionando la casella di controllo accanto all'intestazione di colonna Valore .

4. Nella finestra di dialogo di avviso visualizzata selezionare Elimina.

Nella scheda Domini & indirizzi la voce non è più elencata.

Usare PowerShell per rimuovere voci per domini e indirizzi di posta elettronica dall'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

In questo esempio viene rimossa la voce specificata per domini e indirizzi di posta elettronica dall'elenco tenant consentiti/bloccati.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-TenantAllowBlockListItems.

Mittenti spoofed nell'elenco tenant consentiti/bloccati

Quando si esegue l'override del verdetto nelle informazioni dettagliate di intelligence sullo spoofing, il mittente sottoposto a spoofing diventa una voce di blocco o di autorizzazione manuale visualizzata solo nella scheda Mittenti spoofed nella pagina Tenant Consenti/Blocca Elenchi.

Creare voci consenti per mittenti spoofing

Per creare voci consentite per mittenti spoofing, usare uno dei metodi seguenti:

• Dalla scheda Messaggi di posta elettronica nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=email. Per istruzioni, vedere Inviare un messaggio di posta elettronica valido a Microsoft.
  • Quando si invia un messaggio rilevato e bloccato dall'intelligence di spoofing, viene aggiunta una voce di autorizzazione per il mittente spoofing alla scheda Mittenti spoofed nell'elenco tenant consentiti/bloccati.
  • Se il mittente non è stato rilevato e bloccato dall'intelligence di spoofing, l'invio del messaggio a Microsoft non crea una voce di autorizzazione per il mittente nell'elenco tenant consentiti/bloccati.
• Dalla pagina informazioni dettagliate dell'intelligence spoof in sehttps://security.microsoft.com/spoofintelligence il mittente è stato rilevato e bloccato dall'intelligence di spoofing. Per istruzioni, vedere Eseguire l'override del verdetto di intelligence dello spoofing.
  • Quando si esegue l'override del verdetto nelle informazioni dettagliate di intelligence sullo spoofing, il mittente contraffatto diventa una voce manuale che viene visualizzata solo nella scheda Mittenti spoofed nella pagina Tenant Allow/Block Elenchi.
• Dalla scheda Mittenti spoofed nella pagina Tenant Allow/Block Elenchi o in PowerShell come descritto in questa sezione.

Nota

Consenti le voci per i mittenti spoofing account per intra-org, cross-org e spoofing DMARC.

Solo la combinazione dell'utente spoofing e dell'infrastruttura di invio, come definito nella coppia di domini , è consentita per lo spoofing.

Le voci consentite per i mittenti spoofing non scadono mai.

Usare il portale di Microsoft Defender per creare voci consentite per mittenti contraffatti nell'elenco tenant consentiti/bloccati

Nell'elenco tenant consentiti/bloccati è possibile creare voci consentite per i mittenti spoofing prima che vengano rilevati e bloccati dall'intelligence di spoofing.

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

2. Nella pagina Tenant Allow/Block Elenchi selezionare la scheda Mittenti spoofed.

3. Nella scheda Mittenti spoofed selezionare Aggiungi.

4. Nel riquadro a comparsa Aggiungi nuove coppie di dominio visualizzato configurare le impostazioni seguenti:

   • Aggiungere coppie di dominio con caratteri jolly: immettere la coppia di domini per riga, fino a un massimo di 20. Per informazioni dettagliate sulla sintassi per le voci del mittente spoofing, vedere la sezione Sintassi della coppia di domini per le voci del mittente spoofing più avanti in questo articolo.

   • Tipo spoof: selezionare uno dei valori seguenti:

     • Interno: il mittente sottoposto a spoofing si trova in un dominio appartenente all'organizzazione ( un dominio accettato).
     • Esterno: il mittente sottoposto a spoofing si trova in un dominio esterno.

   • Azione: selezionare Consenti o Blocca.

   Al termine del riquadro a comparsa Aggiungi nuove coppie di dominio , selezionare Aggiungi.

Di nuovo nella scheda Mittenti spoofing , la voce è elencata.

Usare PowerShell per creare voci consentite per mittenti contraffatti nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

In questo esempio viene creata una voce allow per il mittente bob@contoso.com dal contoso.com di origine.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-TenantAllowBlockListSpoofItems.

Creare voci di blocco per mittenti spoofing

Per creare voci di blocco per mittenti spoofing, usare uno dei metodi seguenti:

• Dalla scheda Messaggi di posta elettronica nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=email. Per istruzioni, vedere Segnalare messaggi di posta elettronica discutibili a Microsoft.
• Dalla pagina informazioni dettagliate dell'intelligence spoof in https://security.microsoft.com/spoofintelligencese il mittente è stato rilevato e consentito dall'intelligence di spoofing. Per istruzioni, vedere Eseguire l'override del verdetto di intelligence dello spoofing.
  • Quando si esegue l'override del verdetto nelle informazioni dettagliate di intelligence sullo spoofing, il mittente contraffatto diventa una voce manuale che viene visualizzata solo nella scheda Mittenti spoofed nella pagina Tenant Allow/Block Elenchi.
• Dalla scheda Mittenti spoofed nella pagina Tenant Allow/Block Elenchi o in PowerShell come descritto in questa sezione.

Nota

Solo la combinazione dell'utente spoofing e dell'infrastruttura di invio definita nella coppia di domini è bloccata dallo spoofing.

Email da questi mittenti è contrassegnato come phishing. Ciò che accade ai messaggi è determinato dai criteri di protezione dalla posta indesiderata che hanno rilevato il messaggio per il destinatario. Per altre informazioni, vedere l'azione di rilevamento del phishing nelle impostazioni dei criteri di protezione dalla posta indesiderata di EOP.

Quando si configura una voce di blocco per una coppia di dominio, il mittente sottoposto a spoofing diventa una voce di blocco manuale che viene visualizzata solo nella scheda Mittenti spoofed nell'elenco tenant consentiti/bloccati.

Le voci di blocco per i mittenti spoofing non scadono mai.

Usare il portale di Microsoft Defender per creare voci di blocco per i mittenti contraffatti nell'elenco tenant consentiti/bloccati

I passaggi sono quasi identici alla creazione di voci consentite per i mittenti spoofing , come descritto in precedenza in questo articolo.

L'unica differenza è che per il valore Azione nel passaggio 4 selezionare Blocca anziché Consenti.

Usare PowerShell per creare voci di blocco per mittenti contraffatti nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

In questo esempio viene creata una voce di blocco per il mittente laura@adatum.com dall'origine 172.17.17.17/24.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-TenantAllowBlockListSpoofItems.

Usare il portale di Microsoft Defender per visualizzare le voci per i mittenti contraffatti nell'elenco tenant consentiti/bloccati

Nel portale di Microsoft Defender in https://security.microsoft.compassare a Criteri & regole> Elenchi tenant criteri diminaccia>consentiti/bloccati nella sezione Regole. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

Verificare che la scheda Mittenti spoofed sia selezionata.

Nella scheda Mittenti spoofing è possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Sono disponibili le colonne seguenti:

• Utente con spoofing
• Invio dell'infrastruttura
• Tipo spoof: i valori disponibili sono Internal o External.
• Azione: i valori disponibili sono Blocca o Consenti.

Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:

• Azione: i valori disponibili sono Consenti e Blocca.
• Tipo spoof: i valori disponibili sono Internal ed External.

Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.

Utilizzare la casella di ricerca e un valore corrispondente per trovare voci specifiche.

Per raggruppare le voci, selezionare Raggruppa e quindi selezionare uno dei valori seguenti:

• Azione
• Tipo spoof

Per separare le voci, selezionare Nessuno.

Usare PowerShell per visualizzare le voci per i mittenti falsificati nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

In questo esempio vengono restituite tutte le voci del mittente spoofing nell'elenco tenant consentiti/bloccati.

Get-TenantAllowBlockListSpoofItems

In questo esempio vengono restituite tutte le voci del mittente spoofing consentite interne.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

In questo esempio vengono restituite tutte le voci del mittente spoofing bloccate esterne.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-TenantAllowBlockListSpoofItems.

Usare il portale di Microsoft Defender per modificare le voci per i mittenti contraffatti nell'elenco tenant consentiti/bloccati

Quando si modifica una voce allow o block per i mittenti spoofed nell'elenco Tenant Allow/Block, è possibile modificare solo la voce da Consenti a Blocco o viceversa.

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

2. Selezionare la scheda Mittenti spoofed .

3. Selezionare la voce dall'elenco selezionando la casella di controllo accanto alla prima colonna e quindi selezionare l'azione Modifica visualizzata.

4. Nel riquadro a comparsa Modifica mittente spoofing visualizzato selezionare Consenti o Blocca e quindi selezionare Salva.

Usare PowerShell per modificare le voci per i mittenti falsificati nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

In questo esempio viene modificata la voce del mittente spoofing specificata da una voce allow a una voce di blocco.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-TenantAllowBlockListSpoofItems.

Usare il portale di Microsoft Defender per rimuovere le voci per i mittenti contraffatti dall'elenco tenant consentiti/bloccati

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

2. Selezionare la scheda Mittenti spoofed .

3. Nella scheda Mittenti spoofing selezionare la voce nell'elenco selezionando la casella di controllo accanto alla prima colonna e quindi selezionare l'azione Elimina visualizzata.

   Consiglio

   È possibile selezionare più voci selezionando ogni casella di controllo o selezionando tutte le voci selezionando la casella di controllo accanto all'intestazione di colonna utente spoofed .

4. Nella finestra di dialogo di avviso visualizzata selezionare Elimina.

Usare PowerShell per rimuovere le voci per i mittenti spoofing dall'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

In questo esempio viene rimosso il mittente spoofing specificato. Si ottiene il valore del parametro Ids dalla proprietà Identity nell'output di Get-TenantAllowBlockListSpoofItems comando.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-TenantAllowBlockListSpoofItems.

Sintassi della coppia di domini per le voci del mittente spoofing

Una coppia di domini per un mittente spoofing nell'elenco tenant consentiti/bloccati usa la sintassi seguente: <Spoofed user>, <Sending infrastructure>.

• Utente con spoofing: questo valore include l'indirizzo di posta elettronica dell'utente contraffatto visualizzato nella casella Da nei client di posta elettronica. Questo indirizzo è noto anche come 5322.From indirizzo mittente o P2. Tra i valori validi sono inclusi:

  • Un singolo indirizzo di posta elettronica , ad esempio . chris@contoso.com
  • Un dominio di posta elettronica , ad esempio contoso.com.
  • Carattere jolly (*).

• Infrastruttura di invio: questo valore indica l'origine dei messaggi dell'utente sottoposto a spoofing. Tra i valori validi sono inclusi:

  • Dominio trovato in una ricerca DNS inversa (record PTR) dell'indirizzo IP del server di posta elettronica di origine (ad esempio, fabrikam.com).
  • Se l'indirizzo IP di origine non ha un record PTR, l'infrastruttura di invio viene identificata come <IP di origine>/24 (ad esempio, 192.168.100.100/24).
  • Un dominio DKIM verificato.
  • Carattere jolly (*).

Di seguito sono riportati alcuni esempi di coppie di domini valide per identificare i mittenti spoofing:

• contoso.com, 192.168.100.100/24
• chris@contoso.com, fabrikam.com
• *, contoso.net

Nota

È possibile specificare caratteri jolly nell'infrastruttura di invio o nell'utente sottoposto a spoofing, ma non in entrambi contemporaneamente. Ad esempio, *, * non è consentito.

Se si usa un dominio anziché l'indirizzo IP o l'intervallo di indirizzi IP nell'infrastruttura di invio, il dominio deve corrispondere al record PTR per l'indirizzo IP di connessione nell'intestazione Authentication-Results . È possibile determinare il PTR eseguendo il comando : ping -a <IP address>. È anche consigliabile usare il dominio dell'organizzazione PTR come valore di dominio. Ad esempio, se il PTR si risolve in "smtp.inbound.contoso.com", è necessario usare "contoso.com" come infrastruttura di invio.

L'aggiunta di una coppia di domini consente o blocca la combinazione solo dell'utente sottoposto a spoofing edell'infrastruttura di invio. Ad esempio, si aggiunge una voce allow per la coppia di domini seguente:

• Dominio: gmail.com
• Infrastruttura di invio: tms.mx.com

Solo i messaggi provenienti da tale dominio e dalla coppia di infrastruttura di invio possono essere contraffatti. Gli altri mittenti che tentano di falsificare gmail.com non sono consentiti. I messaggi provenienti da mittenti in altri domini provenienti da tms.mx.com vengono controllati dall'intelligence di spoofing.

Informazioni su domini o mittenti rappresentati

Non è possibile creare voci consentite nell'elenco tenant consentiti/bloccati per i messaggi rilevati come utenti rappresentati o domini rappresentati da criteri anti-phishing in Defender per Office 365.

L'invio di un messaggio che non è stato bloccato correttamente come rappresentazione nella scheda Messaggi di posta elettronica della pagina Invii in https://security.microsoft.com/reportsubmission?viewid=email non aggiunge il mittente o il dominio come voce di autorizzazione nell'elenco tenant consentiti/bloccati.

Al contrario, il dominio o il mittente viene aggiunto alla sezione Mittenti e domini attendibili nei criteri anti-phishing che hanno rilevato il messaggio.

Per istruzioni sull'invio di falsi positivi per la rappresentazione, vedere Segnalare un messaggio di posta elettronica valido a Microsoft.

Nota

Attualmente, la rappresentazione utente (o grafico) non è stata eseguita da qui.

Articoli correlati

• Usare la pagina Invii per inviare messaggi di posta indesiderata, phishing, URL, messaggi di posta elettronica legittimi bloccati e allegati di posta elettronica a Microsoft
• Segnalare falsi positivi e falsi negativi
• Gestire le autorizzazioni e i blocchi nell'elenco tenant consentiti/bloccati
• Consentire o bloccare i file nell'elenco tenant consentiti/bloccati
• Consentire o bloccare gli URL nell'elenco tenant consentiti/bloccati
• Consentire o bloccare gli indirizzi IPv6 nell'elenco tenant consentiti/bloccati