テナント許可/禁止リストを使用して URL を許可または禁止する

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

Exchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、Exchange Online 管理者はテナント許可/ブロック リストでドメインとメール アドレス (なりすまし送信者を含む) のエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。

この記事では、管理者がMicrosoft Defender ポータルと PowerShell で電子メール送信者のエントリExchange Online管理する方法について説明します。

はじめに把握しておくべき情報

• 「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。 [ 申請] ページに直接移動するには、 を使用します https://security.microsoft.com/reportsubmission。

• Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。

• ドメインとメール アドレスのエントリ制限:

  • Exchange Online Protection: 許可エントリの最大数は 500 で、ブロック エントリの最大数は 500 (合計で 1,000 ドメインとメール アドレス エントリ) です。
  • Defender for Office 365プラン 1: 許可エントリの最大数は 1000 で、ブロック エントリの最大数は 1000 (合計で 2000 ドメインと電子メール アドレス エントリ) です。
  • Defender for Office 365プラン 2: 許可エントリの最大数は 5000 で、ブロック エントリの最大数は 10000 (合計で 15000 ドメインと電子メール アドレス エントリ) です。

• スプーフィングされた送信者の場合、許可エントリとブロック エントリの最大数は 1024 です (1024 許可エントリとブロック エントリなし、512 許可エントリ、512 ブロック エントリなど)。

• スプーフィングされた送信者のエントリが期限切れになることはありません。

• ドメイン、そのドメイン内のすべてのサブドメイン、およびそのドメイン内の電子メール アドレスからの受信および送信メールをブロックするには、次の構文 *.TLDを使用してブロック エントリを作成します。ここで TLD 、最上位ドメイン、内部ドメイン、またはメール アドレス ドメインを使用できます。

• ドメイン内の sudomain からの受信メールと送信メールとそのサブドメイン内のメール アドレスをブロックするには、内部ドメインと電子メール アドレス ドメインの 構文 *.SD1.TLD、 *.SD2.SD1.TLD、 *.SD3.SD2.SD1.TLD、などを使用してブロック エントリを作成します。

• スプーフィングされた送信者エントリの構文の詳細については、この記事の後半の「 スプーフィングされた送信者エントリのドメイン ペア構文 」セクションを参照してください。

• エントリは 5 分以内にアクティブにする必要があります。

• この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーション>Email &場合Defender for Office 365アクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します:承認と設定/セキュリティ設定/検出のチューニング (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)

  • Exchange Onlineアクセス許可:

    • テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
      • 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
      • セキュリティ オペレーター (テナント AllowBlockList Manager)。
    • テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
      • グローバル リーダー
      • セキュリティ閲覧者
      • "View-Only Configuration/表示専用構成"
      • View-Only Organization Management

  • Microsoft Entraアクセス許可: グローバル管理者、セキュリティ管理者^*、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。

    重要

    ^* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

[テナントの許可/ブロック] リストのドメインと電子メール アドレス

ドメインとメール アドレスの許可エントリを作成する

ドメインとメール アドレスの許可エントリをテナントの許可/ブロック リストに直接作成することはできません。 不要な許可エントリは、システムによってフィルター処理された悪意のある電子メールにorganizationを公開します。

代わりに、 の [提出] ページhttps://security.microsoft.com/reportsubmission?viewid=emailの [電子メール] タブを使用します。 ブロックされたメッセージがクリーンされていることを確認して送信し、[このメッセージを許可する] を選択すると、[テナントの許可/ブロック] Lists ページの [ドメイン & メール アドレス] タブに送信者の許可エントリが追加されます。 手順については、「 Microsoft に適切なメールを送信する」を参照してください。

ヒント

送信からの許可エントリは、メッセージが悪意があると判断されたフィルターに基づいて、メール フロー中に追加されます。 たとえば、送信者のメール アドレスとメッセージ内の URL が悪意があると判断された場合、送信者 (メール アドレスまたはドメイン) と URL に対して許可エントリが作成されます。

メール フローまたはクリック時に、許可エントリ内のエンティティを含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます (許可されたエンティティに関連付けられているすべてのフィルターはスキップされます)。 たとえば、メッセージが 電子メール認証チェック、URL フィルタリング、およびファイル フィルタリングに合格した場合、許可された送信者のメール アドレスからのメッセージも許可された送信者からのメッセージである場合に配信されます。

既定では、ドメインと電子メール アドレス、ファイル、URL の許可エントリは、フィルター システムがエンティティがクリーンと判断した後、許可エントリが削除されてから 45 日間保持されます。 または、エントリの作成から最大 30 日後に期限切れになる許可を設定することもできます。 なりすまし送信者のエントリの有効期限が切れないことを許可します。

ドメインとメール アドレスのブロック エントリを作成する

ドメインとメール アドレスのブロック エントリを作成するには、次のいずれかの方法を使用します。

• の [提出] ページの [電子メール] タブからhttps://security.microsoft.com/reportsubmission?viewid=email。 脅威であることを確認してメッセージを送信すると、[この送信者またはドメインのすべてのメールをブロックする] を選択して、[テナントの許可/ブロック] Lists ページの [ドメイン & メール アドレス] タブにブロック エントリを追加できます。 手順については、「 疑わしいメールを Microsoft に報告する」を参照してください。

• このセクションの説明に従って、[テナントの許可/ブロックLists] ページまたは PowerShell の [ドメイン & アドレス] タブから。

スプーフィングされた送信者のブロック エントリを作成するには、この記事の後半のセクションを参照してください。

これらのブロックされた送信者からのEmailは、高信頼フィッシングとしてマークされ、検疫されます。

注:

現在、指定されたドメインのサブドメインはブロックされません。 たとえば、contoso.com からのメールのブロック エントリを作成した場合、marketing.contoso.com からのメールもブロックされません。 marketing.contoso.com 用に個別のブロック エントリを作成する必要があります。

organizationのユーザーは、これらのブロックされたドメインとアドレスに電子メールを送信することもできません。 メッセージは、次の配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) で返されます。 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 1 つの受信者のメール アドレスまたはドメインがブロック エントリで定義されている場合でも、メッセージの内部および外部のすべての受信者に対してメッセージ全体がブロックされます。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧でドメインとメール アドレスのブロック エントリを作成する

1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール] [脅威ポリシールール>] > セクション > [テナントの許可/ブロックLists] に移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

2. [テナントの許可/ブロック] Lists ページで、[ドメイン & アドレス] タブが選択されていることを確認します。

3. [ドメイン & アドレス] タブで、[ブロック] を選択します。

4. 開いた [ ドメイン & アドレスのブロック ] ポップアップで、次の設定を構成します。

   • ドメイン & アドレス: 1 行に 1 つのメール アドレスまたはドメインを最大 20 個まで入力します。

   • 後のブロック エントリの削除: 次の値から選択します。

     • 1 日
     • 7 日間
     • 30 日 (既定値)
     • 有効期限なし
     • 特定の日付: 最大値は今日から 90 日です。

   • 省略可能なメモ: メール アドレスまたはドメインをブロックする理由を説明するテキストを入力します。

5. [ ドメイン & アドレスのブロック ] ポップアップが完了したら、[ 追加] を選択します。

[ ドメイン] & [電子メール アドレス ] タブに戻り、エントリが一覧表示されます。

PowerShell を使用して、テナント許可/ブロック 一覧でドメインとメール アドレスのブロック エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

次の使用例は、特定の日付に有効期限が切れる指定したメール アドレスのブロック エントリを追加します。

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、[テナントの許可/ブロック] リストでドメインとメール アドレスのエントリを表示する

のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール>] [脅威ポリシー>] [テナントの許可]、[ブロック] Listsの [ルール] セクションに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

[ ドメイン & アドレス ] タブが選択されていることを確認します。

[ ドメイン & アドレス ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

• 値: ドメインまたはメール アドレス。
• アクション: [許可] または [ブロック] の値。
• 変更したユーザー
• 最終更新日時
• 最終使用日: 判定を上書きするためにフィルター システムでエントリが最後に使用された日付。
• 削除日: 有効期限。
• Notes

エントリをフィルター処理するには、[フィルター] を選択 します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

• アクション: 値は [許可] と [ブロック] です。
• 有効期限なし: または
• 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
• 最後に使用された日付: [ 開始日 ] と [ 終了日] を 選択します。
• [削除日] : [ 開始日 ] と [ 終了日] を 選択します。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[フィルターのクリア] を選択 します。

検索ボックスと対応する値を使用して、特定のエントリを検索します。

エントリをグループ化するには、[グループ] を選択し、[アクション] を選択します。 エントリのグループ化を解除するには、[ なし] を選択します。

PowerShell を使用して、[テナントの許可/ブロック] リストでドメインとメール アドレスのエントリを表示する

PowerShell Exchange Onlineで、次の構文を使用します。

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

この例では、ドメインとメール アドレスのすべての許可エントリとブロック エントリを返します。

Get-TenantAllowBlockListItems -ListType Sender

次の使用例は、ドメインとメール アドレスのブロック エントリの結果をフィルター処理します。

Get-TenantAllowBlockListItems -ListType Sender -Block

構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナントの許可/ブロック リスト内のドメインと電子メール アドレスのエントリを変更する

既存のドメインとメール アドレスのエントリでは、有効期限とメモを変更できます。

1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール] [脅威ポリシールール>] > セクション > [テナントの許可/ブロックLists] に移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

2. [ ドメイン & アドレス ] タブが選択されていることを確認します。

3. [ドメイン & アドレス] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [編集] アクションを選択します。

4. 開いた [ ドメイン & アドレスの編集 ] ポップアップで、次の設定を使用できます。

   • ブロック エントリ:
     • 後のブロック エントリの削除: 次の値から選択します。
       • 1 日
       • 7 日間
       • 30 日間
       • 有効期限なし
       • 特定の日付: 最大値は今日から 90 日です。
     • 省略可能なメモ
   • エントリを許可する:
     • 許可エントリの削除後: 次の値から選択します。
       • 1 日
       • 7 日間
       • 30 日間
       • 最終使用日から 45 日後
       • 特定の日付: 最大値は今日から 30 日です。
     • 省略可能なメモ

   [ ドメイン & アドレスの編集 ] ポップアップが完了したら、[保存] を選択 します。

ヒント

[ドメイン & アドレス] タブのエントリの詳細ポップアップで、ポップアップの上部にある [申請の表示] を使用して、[申請] ページの対応するエントリの詳細に移動します。 このアクションは、提出がテナント許可/ブロック リスト内のエントリの作成を担当していた場合に使用できます。

PowerShell を使用して、[テナントの許可/ブロック] リストのドメインと電子メール アドレスのエントリを変更する

PowerShell Exchange Onlineで、次の構文を使用します。

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

次の使用例は、送信者の電子メール アドレスの指定されたブロック エントリの有効期限を変更します。

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナントの許可/ブロック リストからドメインとメール アドレスのエントリを削除する

1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール] [脅威ポリシールール>] > セクション > [テナントの許可/ブロックLists] に移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

2. [ ドメイン & アドレス ] タブが選択されていることを確認します。

3. [ ドメイン & アドレス ] タブで、次のいずれかの手順を実行します。

   • 最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [削除] アクションを選択します。

   • [チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [削除] を選択します。

     ヒント

     • 詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある [前の項目] と [次の項目] を使用します。
     • 各チェックボックスを選択して複数のエントリを選択するか、[値] 列ヘッダーの横にある [チェック] ボックスを選択して、すべてのエントリを選択できます。

4. 開いた警告ダイアログで、[削除] を選択 します。

[ ドメイン & アドレス ] タブに戻ると、エントリは一覧に表示されなくなります。

PowerShell を使用して、テナント許可/ブロック リストからドメインとメール アドレスのエントリを削除する

PowerShell Exchange Onlineで、次の構文を使用します。

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

次の使用例は、ドメインと電子メール アドレスの指定されたエントリをテナント許可/ブロック リストから削除します。

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。

テナント許可/ブロック一覧のなりすまし送信者

スプーフィング インテリジェンス分析情報で判定を上書きすると、なりすまし送信者は、[テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブにのみ表示される手動の許可またはブロックエントリになります。

なりすまし送信者の許可エントリを作成する

なりすまし送信者の許可エントリを作成するには、次のいずれかの方法を使用します。

• の [提出] ページの [電子メール] タブからhttps://security.microsoft.com/reportsubmission?viewid=email。 手順については、「 Microsoft に適切なメールを送信する」を参照してください。
  • スプーフィング インテリジェンスによって検出およびブロックされたメッセージを送信すると、[テナントの許可/ブロックリスト] の [なりすまし送信者] タブに、なりすまし送信者の許可エントリが追加されます。
  • 送信者がスプーフィング インテリジェンスによって検出およびブロックされなかった場合、Microsoft にメッセージを送信しても、テナント許可/ブロック リストに送信者の許可エントリは作成されません。
• 送信者がスプーフィング インテリジェンスによって検出され、ブロックされた場合は、 のスプーフィング インテリジェンス分析情報ページhttps://security.microsoft.com/spoofintelligenceから。 手順については、「 スプーフィング インテリジェンスの判定をオーバーライドする」を参照してください。
  • スプーフィング インテリジェンス分析情報で判定を上書きすると、なりすまし送信者は、[テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブにのみ表示される手動エントリになります。
• このセクションの説明に従って、[テナントの許可/ブロックLists] ページまたは PowerShell の [なりすまし送信者] タブから。

注:

組織内、クロス組織、DMARC スプーフィングのなりすまし送信者アカウントのエントリを許可します。

スプーフィングできるのは、スプーフィングされたユーザー と 、 ドメイン ペア で定義されている送信インフラストラクチャの組み合わせだけです。

なりすまし送信者のエントリの有効期限が切れないことを許可します。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リストでなりすまし送信者の許可エントリを作成する

[テナントの許可/ブロック一覧] で、なりすまし送信者がスプーフィング インテリジェンスによって検出およびブロックされる前に、 なりすまし送信者の許可エントリを作成できます。

1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール] [脅威ポリシールール>] > セクション > [テナントの許可/ブロックLists] に移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

2. [テナントの許可/ブロックLists] ページで、[なりすまし送信者] タブを選択します。

3. [なりすまし送信者] タブで、[追加] を選択します。

4. 開いた [ 新しいドメイン ペアの追加] ポップアップで、次の設定を構成します。

   • ワイルドカードを使用してドメイン ペアを追加する: 1 行あたり最大 20 個のドメイン ペアを入力します。 スプーフィングされた送信者エントリの構文の詳細については、この記事の後半の「 スプーフィングされた送信者エントリのドメイン ペア構文 」セクションを参照してください。

   • スプーフィングの種類: 次のいずれかの値を選択します。

     • 内部: なりすまし送信者は、organization (承認済みドメイン) に属するドメイン内にあります。
     • 外部: スプーフィングされた送信者が外部ドメインにあります。

   • アクション: [ 許可] または [ ブロック] を選択します。

   [ 新しいドメイン ペアの追加] ポップアップが完了したら、[追加] を選択 します。

[ なりすまし送信者 ] タブに戻ると、エントリが一覧表示されます。

PowerShell を使用して、テナント許可/ブロック リストでなりすまし送信者の許可エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

次の使用例は、ソース contoso.com から送信者 bob@contoso.com の許可エントリを作成します。

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

構文とパラメーターの詳細については、「 New-TenantAllowBlockListSpoofItems」を参照してください。

なりすまし送信者のブロック エントリを作成する

なりすまし送信者のブロック エントリを作成するには、次のいずれかの方法を使用します。

• の [提出] ページの [電子メール] タブからhttps://security.microsoft.com/reportsubmission?viewid=email。 手順については、「 疑わしいメールを Microsoft に報告する」を参照してください。
• 送信者が検出され、スプーフィング インテリジェンスによって許可された場合は、 のスプーフィング インテリジェンス分析情報ページhttps://security.microsoft.com/spoofintelligenceから。 手順については、「 スプーフィング インテリジェンスの判定をオーバーライドする」を参照してください。
  • スプーフィング インテリジェンス分析情報で判定を上書きすると、なりすまし送信者は、[テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブにのみ表示される手動エントリになります。
• このセクションの説明に従って、[テナントの許可/ブロックLists] ページまたは PowerShell の [なりすまし送信者] タブから。

注:

スプーフィングされたユーザーとドメイン ペアで定義されている送信インフラストラクチャの組み合わせのみが、スプーフィングからブロックされます。

これらの送信者からのEmailは、フィッシングとしてマークされます。 メッセージに対する処理は、受信者のメッセージを検出した スパム対策ポリシー によって決まります。 詳細については、EOP スパム対策ポリシー設定のフィッシング検出アクションに関するページを参照してください。

ドメイン ペアのブロック エントリを構成すると、スプーフィングされた送信者は、テナント許可/ブロック リストの [ なりすまし送信者 ] タブにのみ表示される手動のブロック エントリになります。

スプーフィングされた送信者のエントリをブロックすると、期限切れになることはありません。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧でなりすまし送信者のブロック エントリを作成する

この手順は、この記事で既に説明 したように、なりすまし送信者の許可エントリを作成 する場合とほぼ同じです。

唯一の違いは、手順 4 の [アクション ] の値で、[許可] ではなく [ ブロック ] を選択 することです。

PowerShell を使用して、テナント許可/ブロック 一覧でなりすまし送信者のブロック エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

次の使用例は、ソース 172.17.17.17/24 から送信者 laura@adatum.com のブロック エントリを作成します。

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

構文とパラメーターの詳細については、「 New-TenantAllowBlockListSpoofItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リストでなりすまし送信者のエントリを表示する

のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール>] [脅威ポリシー>] [テナントの許可]、[ブロック] Listsの [ルール] セクションに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

[ なりすまし送信者 ] タブが選択されていることを確認します。

[ なりすまし送信者 ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

• なりすましユーザー
• 送信インフラストラクチャ
• スプーフィングの種類: 使用可能な値は 内部 または 外部です。
• アクション: 使用可能な値は [ブロック] または [許可] です。

エントリをフィルター処理するには、[フィルター] を選択 します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

• アクション: 使用可能な値は [許可] と [ブロック] です。
• スプーフィングの種類: 使用可能な値は 内部 と 外部です。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[フィルターのクリア] を選択 します。

検索ボックスと対応する値を使用して、特定のエントリを検索します。

エントリをグループ化するには、[グループ] を選択し、次のいずれかの値を選択します。

• 操作
• スプーフィングの種類

エントリのグループ化を解除するには、[ なし] を選択します。

PowerShell を使用して、テナントの許可/ブロックリストでなりすまし送信者のエントリを表示する

PowerShell Exchange Onlineで、次の構文を使用します。

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

次の使用例は、テナント許可/ブロック リスト内のすべてのスプーフィングされた送信者エントリを返します。

Get-TenantAllowBlockListSpoofItems

この例では、内部のすべての許可なりすまし送信者エントリを返します。

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

次の使用例は、外部のすべてのブロックされたなりすまし送信者エントリを返します。

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

構文とパラメーターの詳細については、「 Get-TenantAllowBlockListSpoofItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧のなりすまし送信者のエントリを変更する

[テナントの許可/ブロック] リストでスプーフィングされた送信者の許可またはブロック エントリを変更する場合は、エントリを [許可] から [ ブロック] に変更するか、またはその逆にのみ変更できます。

1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール] [脅威ポリシールール>] > セクション > [テナントの許可/ブロックLists] に移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

2. [ なりすまし送信者 ] タブを選択します。

3. 最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [編集] アクションを選択します。

4. 開 いた [なりすまし送信者の編集 ] ポップアップで、[ 許可] または [ ブロック] を選択し、[保存] を選択 します。

PowerShell を使用して、テナント許可/ブロック リストのなりすまし送信者のエントリを変更する

PowerShell Exchange Onlineで、次の構文を使用します。

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

次の使用例は、指定したスプーフィングされた送信者エントリを許可エントリからブロック エントリに変更します。

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

構文とパラメーターの詳細については、「 Set-TenantAllowBlockListSpoofItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リストからなりすまし送信者のエントリを削除する

1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール] [脅威ポリシールール>] > セクション > [テナントの許可/ブロックLists] に移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

2. [ なりすまし送信者 ] タブを選択します。

3. [なりすまし送信者] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [削除] アクションを選択します。

   ヒント

   各チェックボックスを選択して複数のエントリを選択することも、なりすましユーザー列ヘッダーの横にある [チェック] ボックスを選択してすべてのエントリを選択することもできます。

4. 開いた警告ダイアログで、[削除] を選択 します。

PowerShell を使用して、なりすまし送信者のエントリをテナント許可/ブロック リストから削除する

PowerShell Exchange Onlineで、次の構文を使用します。

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

この例では、指定したなりすまし送信者を削除します。 Ids パラメーター値は、コマンドの出力の Identity プロパティから取得 Get-TenantAllowBlockListSpoofItems。

構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListSpoofItems」を参照してください。

スプーフィングされた送信者エントリのドメイン ペア構文

テナント許可/ブロック リストのなりすまし送信者のドメイン ペアは、次の構文を使用します <Spoofed user>, <Sending infrastructure>。

• スプーフィングされたユーザー: この値には、メール クライアントの [ 差 出人] ボックスに表示されるスプーフィングされたユーザーのメール アドレスが含まれます。 このアドレスは、 または P2 送信者アドレスとも 5322.From 呼ばれます。 有効な値は次のとおりです。

  • 個々のメール アドレス (例: chris@contoso.com)。
  • 電子メール ドメイン (たとえば、contoso.com)。
  • ワイルドカード文字 (*)。

• 送信インフラストラクチャ: この値は、スプーフィングされたユーザーからのメッセージのソースを示します。 有効な値は次のとおりです。

  • ソース メール サーバーの IP アドレス (たとえば、fabrikam.com) の逆引き DNS 参照 (PTR レコード) で見つかったドメイン。
  • 送信元 IP アドレスに PTR レコードがない場合、送信インフラストラクチャは、<発信元 IP>/24 (たとえば、192.168.100.100/24) として識別されます。
  • 検証済みの DKIM ドメイン。
  • ワイルドカード文字 (*)。

スプーフィングされた送信者を識別するための有効なドメイン ペアの例を次に示します。

• contoso.com, 192.168.100.100/24
• chris@contoso.com, fabrikam.com
• *, contoso.net

注:

送信元インフラストラクチャまたはスプーフィングされたユーザーでワイルドカードを指定できますが、両方で同時に指定することはできません。 たとえば、 *, * 許可されていません。

送信インフラストラクチャで IP アドレスまたは IP アドレス範囲の代わりにドメインを使用している場合、ドメインは Authentication-Results ヘッダーの接続 IP の PTR レコードと一致する必要があります。 PTR は、 コマンドを実行して決定できます。 ping -a <IP address> また、ドメイン値として PTR Organization Domain を使用することもお勧めします。 たとえば、PTR が "smtp.inbound.contoso.com" に解決される場合は、送信インフラストラクチャとして "contoso.com" を使用する必要があります。

ドメイン ペアを追加すると、スプーフィングされたユーザーと送信インフラストラクチャの組み合わせのみが許可またはブロックされます。 たとえば、次のドメイン ペアの許可エントリを追加します。

• ドメイン: gmail.com
• 送信インフラストラクチャ: tms.mx.com

スプーフィングできるのは 、 そのドメインからのメッセージと送信インフラストラクチャ のペアのみです。 gmail.com のなりすましを試みる他の送信者は許可されません。 tms.mx.com から発信された他のドメインの送信者からのメッセージは、スプーフィング インテリジェンスによってチェックされます。

偽装されたドメインまたは送信者について

Defender for Office 365のフィッシング対策ポリシーによって偽装ユーザーまたは偽装ドメインとして検出されたメッセージの許可エントリをテナント許可/ブロック リストに作成することはできません。

[申請] ページの [電子メール] タブでhttps://security.microsoft.com/reportsubmission?viewid=email偽装として誤ってブロックされたメッセージを送信しても、[テナントの許可/ブロックリスト] に送信者またはドメインが許可エントリとして追加されることはありません。

代わりに、ドメインまたは送信者は、メッセージを検出したフィッシング対策ポリシーの [信頼された送信者とドメイン] セクションに追加されます。

偽装誤検知の提出手順については、「 Microsoft に適切なメールを報告する」を参照してください。

注:

現時点では、ユーザー (またはグラフ) の偽装はここからは行われません。

関連記事

• [申請] ページを使用して、疑わしいスパム、フィッシング、URL、正当なメールの受信がブロックされ、電子メールの添付ファイルを Microsoft に送信します
• 誤検知と偽陰性を報告する
• テナントの許可/ブロック一覧で許可とブロックを管理する
• テナントの許可/ブロックリストでファイルを許可またはブロックする
• テナントの許可/ブロックリストで URL を許可またはブロックする
• [テナントの許可/ブロック] リストで IPv6 アドレスを許可またはブロックする