Tillat eller blokker e-post ved hjelp av leierens tillatelses-/blokkeringsliste

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, kan administratorer opprette og behandle oppføringer for domener og e-postadresser (inkludert falske avsendere) i listen over tillatte/blokkerende leiere. Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

Denne artikkelen beskriver hvordan administratorer kan behandle oppføringer for e-postavsendere i Microsoft Defender-portalen og i Exchange Online PowerShell.

Hva må du vite før du begynner?

  • Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, bruker https://security.microsoft.com/tenantAllowBlockListdu . Hvis du vil gå direkte til Innsendinger-siden , bruker https://security.microsoft.com/reportsubmissiondu .

  • Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell. Hvis du vil koble til frittstående EOP PowerShell, kan du se Koble til Exchange Online Protection PowerShell.

  • Oppføringsgrenser for domener og e-postadresser:

    • Exchange Online Protection: Maksimalt antall tillatte oppføringer er 500, og det maksimale antallet blokkoppføringer er 500 (totalt 1000 domene- og e-postadresseoppføringer).
    • Defender for Office 365 Plan 1: Maksimalt antall tillatte oppføringer er 1000, og maksimalt antall blokkoppføringer er 1000 (totalt 2000 domene- og e-postadresseoppføringer).
    • Defender for Office 365 Plan 2: Maksimalt antall tillatte oppføringer er 5000, og maksimalt antall blokkoppføringer er 10000 (totalt 15000 oppføringer for domener og e-postadresser).

  • For forfalskede avsendere er maksimalt antall tillatte oppføringer og blokkoppføringer 1024 (1024 tillatte oppføringer og ingen blokkoppføringer, 512 tillatte oppføringer og 512 blokkoppføringer osv.).

  • Oppføringer for falske avsendere utløper aldri.

  • Hvis du vil ha mer informasjon om syntaksen for falske avsenderoppføringer, kan du se avsnittet Syntaks for domenepar for falske avsendere senere i denne artikkelen.

  • En oppføring skal være aktiv innen 5 minutter.

  • Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

    • Microsoft Defender XDR Unified role based access control (RBAC) (påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Gjenkjenningsjustering (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).
    • Exchange Online tillatelser:
      • Legg til og fjern oppføringer fra leierens tillatelses-/blokkeringsliste: Medlemskap i én av følgende rollegrupper:
        • Organisasjonsadministrasjon eller sikkerhetsadministrator (sikkerhetsadministratorrolle).
        • Sikkerhetsoperatør (Tenant AllowBlockList Manager).
      • Skrivebeskyttet tilgang til leierens tillatelses-/blokkeringsliste: Medlemskap i én av følgende rollegrupper:
        • Global leser
        • Sikkerhetsleser
        • Skrivebeskyttet konfigurasjon
        • Skrivebeskyttet organisasjonsadministrasjon
    • Microsoft Entra tillatelser: Medlemskap i rollene global administrator, sikkerhetsadministrator, global leser eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

Domener og e-postadresser i tillatelses-/blokkeringslisten for tenant

Opprett tillate oppføringer for domener og e-postadresser

Du kan ikke opprette tillatelsesoppføringer for domener og e-postadresser direkte i leierens tillatelses-/blokkeringsliste. Unødvendige tillatelsesoppføringer utsetter organisasjonen for skadelig e-post som ville ha blitt filtrert av systemet.

I stedet kan du bruke E-post-fanenInnsendinger-sidenhttps://security.microsoft.com/reportsubmission?viewid=email. Når du sender en blokkert melding som Skal ikke ha blitt blokkert (usann positiv), legges en tillatelsesoppføring for avsenderen til i kategorien Domener & e-postadresser på siden Tillat/blokker Lister for leier. Hvis du vil ha instruksjoner, kan du se Sende god e-post til Microsoft.

Obs!

Tillat oppføringer legges til basert på filtrene som fastslo at meldingen var skadelig under e-postflyten. Hvis for eksempel avsenderens e-postadresse og en nettadresse i meldingen ble funnet å være ugyldig, opprettes det en tillatelsesoppføring for avsenderen (e-postadressen eller domenet) og nettadressen.

Når enheten i tillat-oppføringen oppstår på nytt (under e-postflyt eller ved klikk), overstyres alle filtre som er knyttet til denne enheten.

Som standard finnes det tillatte oppføringer for domener og e-postadresser i 30 dager. I løpet av disse 30 dagene lærer Microsoft fra de tillatte oppføringene og fjerner dem eller utvider dem automatisk. Når Microsoft lærer fra de fjernede tillatelsesoppføringene, blir meldinger som inneholder disse enhetene levert, med mindre noe annet i meldingen oppdages som skadelig.

Hvis meldinger som inneholder den tillatte enheten, sender andre kontroller i filtreringsstakken under e-postflyten, blir meldingene levert. Hvis for eksempel en melding sender kontroller for e-postgodkjenning, filtrering av nettadresse og filfiltrering, leveres meldingen hvis den også er fra en tillatt avsender.

Opprett blokkere oppføringer for domener og e-postadresser

Hvis du vil opprette blokkoppføringer for domener og e-postadresser, bruker du én av følgende metoder:

  • Fra fanen E-postmeldingerSiden Innsendingerhttps://security.microsoft.com/reportsubmission?viewid=email. Når du sender inn en melding som burde vært blokkert (usann negativ), kan du velge Blokker alle e-postmeldinger fra denne avsenderen eller domenet for å legge til en blokkoppføring på fanen Domener & e-postadresser på siden Tillat/blokker Lister for leier. Hvis du vil ha instruksjoner, kan du se Rapporter tvilsom e-post til Microsoft.

  • Fra fanen Domener & adresser på siden Tillat/blokker Lister leier eller i PowerShell, som beskrevet i denne delen.

Hvis du vil opprette blokkoppføringer for forfalskede avsendere, kan du se denne delen senere i denne artikkelen.

E-post fra disse blokkerte avsenderne er merket som phishing med høy visshet og er satt i karantene.

Obs!

Underdomener for det angitte domenet blokkeres for øyeblikket ikke. Hvis du for eksempel oppretter en blokkeringsoppføring for e-post fra contoso.com, blokkeres ikke e-post fra marketing.contoso.com også. Du må opprette en separat blokkoppføring for marketing.contoso.com.

Brukere i organisasjonen kan heller ikke sende e-post til disse blokkerte domenene og adressene. Meldingen returneres i følgende rapport om manglende levering (også kjent som en NDR- eller returmelding): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hele meldingen blokkeres for alle interne og eksterne mottakere av meldingen, selv om bare én mottakers e-postadresse eller domene er definert i en blokkoppføring.

Bruk Microsoft Defender-portalen til å opprette blokkoppføringer for domener og e-postadresser i leierens tillatelses-/blokkeringsliste

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer &-regler>, avsnittetTrusselpolicyregler>, del>Leier tillat/blokker Lister. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

  2. Kontroller at fanen Domener & adresser er valgt på siden Tillat/blokker Lister for tenant.

  3. Velg Blokkerpå fanen Domener & adresser.

  4. Konfigurer følgende innstillinger i blokkdomener & adresser undermeny som åpnes:

    • Domener & adresser: Skriv inn én e-postadresse eller ett domene per linje, opptil maksimalt 20.

    • Fjern blokkoppføring etter: Velg blant følgende verdier:

      • 1 dag
      • 7 dager
      • 30 dager (standard)
      • Aldri utløpe
      • Bestemt dato: Maksimumsverdien er 90 dager fra i dag.

    • Valgfritt notat: Skriv inn beskrivende tekst for hvorfor du blokkerer e-postadressene eller domenene.

  5. Når du er ferdig i undermenyen Blokker domener & adresser , velger du Legg til.

Tilbake på domener & e-postadresser-fanen er oppføringen oppført.

Bruk PowerShell til å opprette blokkoppføringer for domener og e-postadresser i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Dette eksemplet legger til en blokkoppføring for den angitte e-postadressen som utløper på en bestemt dato.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-TenantAllowBlockListItems.

Bruk Microsoft Defender-portalen til å vise oppføringer for domener og e-postadresser i leierens tillatelses-/blokkeringsliste

Gå til Policyer & regler>Trusselpolicyer>Leier tillat/blokker Lister i Regler-delen i Microsoft Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

Kontroller at domener & adresser-fanen er valgt.

fanen Domener & adresser kan du sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Følgende kolonner er tilgjengelige:

  • Verdi: Domenet eller e-postadressen.
  • Handling: Verdien Tillat eller Blokker.
  • Endret av
  • Sist oppdatert
  • Fjern den: Utløpsdatoen.
  • Merknader

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

  • Handling: Verdiene er Tillat og Blokker.
  • Aldri utløpe: eller
  • Sist oppdatert: Velg Fra - og Til-datoer .
  • Fjern på: Velg Fra - og Til-datoer .

Når du er ferdig med undermenyen Filter , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk Søk-boksen og en tilsvarende verdi til å finne bestemte oppføringer.

Hvis du vil gruppere oppføringene, velger du Grupper og deretter Handling. Hvis du vil dele opp gruppen med oppføringene, velger du Ingen.

Bruk PowerShell til å vise oppføringer for domener og e-postadresser i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

Dette eksemplet returnerer alle tillatte og blokkere oppføringer for domener og e-postadresser.

Get-TenantAllowBlockListItems -ListType Sender

Dette eksemplet filtrerer resultatene for blokkoppføringer for domener og e-postadresser.

Get-TenantAllowBlockListItems -ListType Sender -Block

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-TenantAllowBlockListItems.

Bruk Microsoft Defender-portalen til å endre oppføringer for domener og e-postadresser i leierens tillatelses-/blokkeringsliste

I eksisterende domene- og e-postadresseoppføringer kan du endre utløpsdatoen og -notatet.

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer &-regler>, avsnittetTrusselpolicyregler>, del>Leier tillat/blokker Lister. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

  2. Kontroller at domener & adresser-fanen er valgt.

  3. Merk oppføringen fra listen på fanen Domener & adresser ved å merke av i avmerkingsboksen ved siden av den første kolonnen, og velg deretter Rediger-handlingen som vises.

  4. I undermenyen Rediger domener & adresser som åpnes, er følgende innstillinger tilgjengelige:

    • Blokker oppføringer:
      • Fjern blokkoppføring etter: Velg blant følgende verdier:
        • 1 dag
        • 7 dager
        • 30 dager
        • Aldri utløpe
        • Bestemt dato: Maksimumsverdien er 90 dager fra i dag.
      • Valgfritt notat
    • Tillat oppføringer:
      • Fjern tillatelsesoppføring etter: Velg blant følgende verdier:
        • 1 dag
        • 7 dager
        • 30 dager
        • Spesifikk dato: Maksimumsverdien er 30 dager fra i dag.
      • Valgfritt notat

    Når du er ferdig i undermenyen Rediger domener & adresser , velger du Lagre.

Tips

Bruk Vis innsending øverst i undermenyen for en oppføring på fanen Domener & adresser øverst i undermenyen for å gå til detaljene for den tilsvarende oppføringen på siden Innsendinger. Denne handlingen er tilgjengelig hvis en innsending var ansvarlig for å opprette oppføringen i leierens tillatelses-/blokkeringsliste.

Bruk PowerShell til å endre oppføringer for domener og e-postadresser i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Dette eksemplet endrer utløpsdatoen for den angitte blokkoppføringen for avsenderens e-postadresse.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-TenantAllowBlockListItems.

Bruk Microsoft Defender-portalen til å fjerne oppføringer for domener og e-postadresser fra leierens tillatelses-/blokkeringsliste

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer &-regler>, avsnittetTrusselpolicyregler>, del>Leier tillat/blokker Lister. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

  2. Kontroller at domener & adresser-fanen er valgt.

  3. Gjør ett av følgende på fanen Domener & adresser :

    • Velg oppføringen fra listen ved å merke av i avmerkingsboksen ved siden av den første kolonnen, og velg deretter Slett-handlingen som vises.

    • Merk oppføringen fra listen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen. Velg Slett øverst i undermenyen for detaljer som åpnes.

      Tips

      • Hvis du vil se detaljer om andre oppføringer uten å gå ut av detaljmenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.
      • Du kan velge flere oppføringer ved å merke hver avmerkingsboks eller merke alle oppføringene ved å merke av for kolonneoverskriften Verdi .

  4. Velg Slett i advarselsdialogboksen som åpnes.

Tilbake på domener & adresser-fanen , er oppføringen ikke lenger oppført.

Bruk PowerShell til å fjerne oppføringer for domener og e-postadresser fra leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

Dette eksemplet fjerner den angitte oppføringen for domener og e-postadresser fra leierens tillatelses-/blokkeringsliste.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-TenantAllowBlockListItems.

Forfalskede avsendere i tillatelses-/blokkeringslisten for leieren

Når du overstyrer dommen i innsikten om forfalskningsintelligens, blir den forfalskede avsenderen en manuell tillatelses- eller blokkeringsoppføring som bare vises på fanen Falske avsendere på siden Tillat/blokker Lister for leieren.

Opprett tillate oppføringer for falske avsendere

Hvis du vil opprette tillatelsesoppføringer for forfalskede avsendere, bruker du en av følgende metoder:

  • Fra fanen E-postmeldingerSiden Innsendingerhttps://security.microsoft.com/reportsubmission?viewid=email. Hvis du vil ha instruksjoner, kan du se Sende god e-post til Microsoft.
    • Når du sender en melding som ble oppdaget og blokkert av forfalskningsintelligens, legges en tillatelsesoppføring for den forfalskede avsenderen til fanen Falske avsendere i leierens tillatelses-/blokkeringsliste .
    • Hvis avsenderen ikke ble oppdaget og blokkert av forfalskningsintelligens, oppretter ikke sending av meldingen til Microsoft en tillatelsesoppføring for avsenderen i leierens tillatelses-/blokkeringsliste.
  • Fra spoof intelligence insight-sidenhttps://security.microsoft.com/spoofintelligencehvis avsenderen ble oppdaget og blokkert av forfalskningsintelligens. Hvis du vil ha instruksjoner, kan du se Overstyre dommen om falsk intelligens.
    • Når du overstyrer dommen i den falske intelligensinnsikten, blir den forfalskede avsenderen en manuell oppføring som bare vises på fanen Falske avsendere på siden Tillat/blokker Lister leier.
  • Fra fanen Falske avsendere på siden Tillat/blokker Lister leier eller i PowerShell, som beskrevet i denne delen.

Obs!

Tillat oppføringer for falske avsendere konto for intra-org, cross-org, og DMARC spoofing.

Bare kombinasjonen av den forfalskede brukeren og infrastrukturen som er definert i domeneparet , kan forfalskes.

Tillat at oppføringer for falske avsendere aldri utløper.

Bruk Microsoft Defender-portalen til å opprette tillatelsesoppføringer for forfalskede avsendere i leierens tillatelses-/blokkeringsliste

I leierens tillatelses-/blokkeringsliste kan du opprette tillatelsesoppføringer for forfalskede avsendere før de oppdages og blokkeres av forfalskningsintelligens.

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer &-regler>, avsnittetTrusselpolicyregler>, del>Leier tillat/blokker Lister. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

  2. Velg fanen Forfalsfalserte avsendere på siden Tillat/blokker Lister for leieren.

  3. Velg Legg til på fanen Falske avsendere.

  4. Konfigurer følgende innstillinger i undermenyen Legg til nye domenepar som åpnes :

    • Legg til domenepar med jokertegn: Angi domenepar per linje, opptil maksimalt 20. Hvis du vil ha mer informasjon om syntaksen for falske avsenderoppføringer, kan du se avsnittet Syntaks for domenepar for falske avsendere senere i denne artikkelen.

    • Forfalskningstype: Velg én av følgende verdier:

      • Intern: Den forfalskede avsenderen er i et domene som tilhører organisasjonen (et godtatt domene).
      • Ekstern: Den forfalskede avsenderen er i et eksternt domene.

    • Handling: Velg Tillat eller Blokker.

    Når du er ferdig med undermenyen Legg til nye domenepar , velger du Legg til.

Tilbake på fanen Forfalsfalte avsendere er oppføringen oppført.

Bruk PowerShell til å opprette tillatelsesoppføringer for falske avsendere i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

Dette eksemplet oppretter en tillatelsesoppføring for avsenderen bob@contoso.com fra kilde-contoso.com.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-TenantAllowBlockListSpoofItems.

Opprett blokkere oppføringer for falske avsendere

Hvis du vil opprette blokkoppføringer for forfalskede avsendere, kan du bruke en av følgende metoder:

Obs!

Bare kombinasjonen av den forfalskede brukeren og infrastrukturen for sending som er definert i domeneparet , blokkeres fra forfalskning.

E-post fra disse avsenderne er merket som phishing. Hva som skjer med meldingene, bestemmes av policyen for søppelpost som oppdaget meldingen for mottakeren. Hvis du vil ha mer informasjon, kan du se handlingen Phishing-gjenkjenning i policyinnstillinger for søppelpost i EOP.

Når du konfigurerer en blokkoppføring for et domenepar, blir den forfalskede avsenderen en manuell blokkoppføring som bare vises på fanen Falske avsendere i leierens tillatelses-/blokkeringsliste.

Blokkoppføringer for falske avsendere utløper aldri.

Bruk Microsoft Defender-portalen til å opprette blokkoppføringer for forfalskede avsendere i leierens tillatelses-/blokkeringsliste

Trinnene er nesten identiske med å opprette tillatte oppføringer for forfalskede avsendere som tidligere beskrevet i denne artikkelen.

Den eneste forskjellen er: For handlingsverdien i trinn 4 velger du Blokker i stedet for Tillat.

Bruke PowerShell til å opprette blokkoppføringer for forfalskede avsendere i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

Dette eksemplet oppretter en blokkoppføring for avsenderen laura@adatum.com fra kilden 172.17.17.17/24.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-TenantAllowBlockListSpoofItems.

Bruk Microsoft Defender-portalen til å vise oppføringer for forfalskede avsendere i leierens tillatelses-/blokkeringsliste

Gå til Policyer & regler>Trusselpolicyer>Leier tillat/blokker Lister i Regler-delen i Microsoft Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

Kontroller at fanen Forfalsfalserte avsendere er valgt.

På fanen Forfalsfalte avsendere kan du sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Følgende kolonner er tilgjengelige:

  • Forfalsket bruker
  • Sende infrastruktur
  • Forfalskningstype: De tilgjengelige verdiene er interne eller eksterne.
  • Handling: De tilgjengelige verdiene er Blokk eller Tillat.

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

  • Handling: De tilgjengelige verdiene er Tillat og Blokker.
  • Forfalskningstype: De tilgjengelige verdiene er interne og eksterne.

Når du er ferdig med undermenyen Filter , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk Søk-boksen og en tilsvarende verdi til å finne bestemte oppføringer.

Hvis du vil gruppere oppføringene, velger du Grupper og velger deretter én av følgende verdier:

  • Handling
  • Forfalskningstype

Hvis du vil dele opp gruppen med oppføringene, velger du Ingen.

Bruke PowerShell til å vise oppføringer for forfalskede avsendere i listen over leier-tillat/-blokkering

Bruk følgende syntaks i Exchange Online PowerShell:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

Dette eksemplet returnerer alle falske avsenderoppføringer i leierens tillatelses-/blokkeringsliste.

Get-TenantAllowBlockListSpoofItems

Dette eksemplet returnerer alle tillatte falske avsenderoppføringer som er interne.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

Dette eksemplet returnerer alle blokkerte falske avsenderoppføringer som er eksterne.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-TenantAllowBlockListSpoofItems.

Bruk Microsoft Defender-portalen til å endre oppføringer for forfalskede avsendere i leierens tillatelses-/blokkeringsliste

Når du endrer en tillatelses- eller blokkeringsoppføring for forfalskede avsendere i leierens tillatelses-/blokkeringsliste, kan du bare endre oppføringen fra Tillat til å blokkere, eller omvendt.

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer &-regler>, avsnittetTrusselpolicyregler>, del>Leier tillat/blokker Lister. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

  2. Velg fanen Forfalsfalte avsendere .

  3. Velg oppføringen fra listen ved å merke av i avmerkingsboksen ved siden av den første kolonnen, og velg deretter Rediger-handlingen som vises.

  4. Velg Tillat eller Blokker i undermenyen Rediger falsk avsender som åpnes, og velg deretter Lagre.

Bruke PowerShell til å endre oppføringer for forfalskede avsendere i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

Dette eksemplet endrer den angitte forfalskede avsenderoppføringen fra en tillatelsesoppføring til en blokkoppføring.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-TenantAllowBlockListSpoofItems.

Bruk Microsoft Defender-portalen til å fjerne oppføringer for forfalskede avsendere fra leierens tillatelses-/blokkeringsliste

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer &-regler>, avsnittetTrusselpolicyregler>, del>Leier tillat/blokker Lister. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

  2. Velg fanen Forfalsfalte avsendere .

  3. Velg oppføringen fra listen på fanen Forfalsfalte avsendere ved å merke av i avmerkingsboksen ved siden av den første kolonnen, og velg deretter Slett-handlingen som vises.

    Tips

    Du kan velge flere oppføringer ved å merke hver avmerkingsboks eller merke alle oppføringene ved å merke av for kolonneoverskriften Forfalsfalt bruker .

  4. Velg Slett i advarselsdialogboksen som åpnes.

Bruke PowerShell til å fjerne oppføringer for falske avsendere fra leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

Dette eksemplet fjerner den angitte forfalskede avsenderen. Du får ID-parameterverdien fra identity-egenskapen i utdataene til Get-TenantAllowBlockListSpoofItems-kommandoen.

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-TenantAllowBlockListSpoofItems.

Syntaks for domenepar for falske avsenderoppføringer

Et domenepar for en falsk avsender i tillat/blokkeringslisten for tenant bruker følgende syntaks: <Spoofed user>, <Sending infrastructure>.

  • Forfalsket bruker: Denne verdien omfatter e-postadressen til den forfalskede brukeren som vises i Fra-boksen i e-postklienter. Denne adressen er også kjent som 5322.From avsenderadressen eller P2-avsenderadressen. Gyldige verdier inkluderer:

    • En individuell e-postadresse (for eksempel chris@contoso.com).
    • Et e-postdomene (for eksempel contoso.com).
    • Jokertegnet (*).

  • Sender infrastruktur: Denne verdien angir kilden til meldinger fra den forfalskede brukeren. Gyldige verdier inkluderer:

    • Domenet som finnes i et omvendt DNS-oppslag (PTR-post) på kilde-e-postserverens IP-adresse (for eksempel fabrikam.com).
    • Hvis kilde-IP-adressen ikke har noen PTR-post, identifiseres infrastrukturen for sending som <kilde-IP>/24 (for eksempel 192.168.100.100/24).
    • Et bekreftet DKIM-domene.
    • Jokertegnet (*).

Her er noen eksempler på gyldige domenepar for å identifisere falske avsendere:

  • contoso.com, 192.168.100.100/24
  • chris@contoso.com, fabrikam.com
  • *, contoso.net

Obs!

Du kan angi jokertegn i infrastrukturen som sendes, eller i den forfalskede brukeren, men ikke i begge samtidig. Det er for eksempel *, * ikke tillatt.

Hvis du bruker et domene i stedet for IP-adressen eller IP-adresseområdet i infrastrukturen som sendes, må domenet samsvare med PTR-posten for tilkoblings-IP-en i hodet for godkjenningsresultater . Du kan bestemme PTR ved å kjøre kommandoen: ping -a <IP address>. Vi anbefaler også at du bruker PTR-organisasjonsdomenet som domeneverdi. Hvis for eksempel PTR-en løses til «smtp.inbound.contoso.com», bør du bruke «contoso.com» som avsenderinfrastruktur.

Hvis du legger til et domenepar, kan eller blokkerer du kombinasjonen av den forfalskede brukeren ogbare infrastrukturen som sendes. Du kan for eksempel legge til en tillatelsesoppføring for følgende domenepar:

  • Domene: gmail.com
  • Sender infrastruktur: tms.mx.com

Bare meldinger fra dette domenet og sending av infrastrukturpar kan forfalskes. Andre avsendere som prøver å forfalske gmail.com, er ikke tillatt. Meldinger fra avsendere i andre domener med opprinnelse fra tms.mx.com kontrolleres av forfalskningsintelligens.

Om representerte domener eller avsendere

Du kan ikke opprette tillatte oppføringer i tillatelses-/blokkeringslisten for leier for meldinger som ble oppdaget som representerte brukere eller representert domener ved hjelp av policyer for anti-phishing i Defender for Office 365.

Hvis du sender en melding som ble blokkert på feil måte som representasjon på E-post-fanenInnsendinger-siden,https://security.microsoft.com/reportsubmission?viewid=email legges ikke avsenderen eller domenet til som en tillatt oppføring i leierens tillatelses-/blokkeringsliste.

I stedet legges domenet eller avsenderen til i delen Klarerte avsendere og domener i policyen for anti-phishing som oppdaget meldingen.

Hvis du vil ha instruksjoner for innsending av falske positiver, kan du se Rapportere god e-post til Microsoft.

Obs!

For øyeblikket er ikke representasjon av bruker (eller graf) tatt hånd om herfra.