Machtigingen en blokkeringen beheren in de lijst Tenant toestaan/blokkeren
Tip
Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Belangrijk
Als u phishing-URL's wilt toestaan die deel uitmaken van de training voor aanvalssimulatie van derden, gebruikt u de geavanceerde leveringsconfiguratie om de URL's op te geven. Gebruik de tenantlijst toestaan/blokkeren niet.
In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection -organisaties (EOP) zonder Exchange Online postvakken, kunt u het oneens zijn met de EOP of Microsoft Defender voor Office 365 filteroordeel. Een goed bericht kan bijvoorbeeld zijn gemarkeerd als slecht (een fout-positief) of een slecht bericht is toegestaan (een fout-negatief).
De lijst tenant toestaan/blokkeren in de Microsoft Defender portal biedt u een manier om handmatig de Defender voor Office 365- of EOP-filterbeoordelingen te overschrijven. De lijst wordt gebruikt tijdens de e-mailstroom of tijdens het klikken voor binnenkomende berichten van externe afzenders.
Vermeldingen voor domeinen en e-mailadressen en vervalste afzenders zijn van toepassing op interne berichten die binnen de organisatie worden verzonden. Blokkeren van vermeldingen voor domeinen en e-mailadressen voorkomt ook dat gebruikers in de organisatie e-mail verzenden naar die geblokkeerde domeinen en adressen.
De lijst Tenant toestaan/blokkeren is beschikbaar in de Microsoft Defender portal op https://security.microsoft.comEmail & samenwerkingsbeleid>& regels>Regels voor bedreigingsbeleid>regels voor > Lijsten tenant toestaan/blokkeren. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.
Zie de volgende artikelen voor gebruiks- en configuratie-instructies:
- Domeinen en e-mailadressen en vervalste afzenders: e-mailberichten toestaan of blokkeren met behulp van de tenantlijst toestaan/blokkeren
- Bestanden: Bestanden toestaan of blokkeren met behulp van de lijst Tenant toestaan/blokkeren
- URL's: URL's toestaan of blokkeren met behulp van de lijst Voor toestaan/blokkeren van tenants.
- IP-adressen: IPv6-adressen toestaan of blokkeren met behulp van de lijst Toestaan/blokkeren van tenants.
Deze artikelen bevatten procedures in de Microsoft Defender portal en in PowerShell.
Vermeldingen blokkeren in de lijst voor toestaan/blokkeren van tenants
Tip
In de lijst Tenant toestaan/blokkeren hebben blokvermeldingen voorrang op toegestane vermeldingen.
Gebruik de pagina Inzendingen (ook wel beheerdersinzending genoemd) op https://security.microsoft.com/reportsubmission om blokvermeldingen te maken voor de volgende typen items terwijl u deze als fout-negatieven verzendt naar Microsoft:
-
- Email berichten van deze afzenders worden gemarkeerd als phishing met hoge betrouwbaarheid en vervolgens in quarantaine geplaatst.
- Gebruikers in de organisatie kunnen geen e-mail verzenden naar deze geblokkeerde domeinen en adressen. Ze ontvangen het volgende rapport over niet-bezorging (ook wel een NDR of niet-bezorgdbericht genoemd):
550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
Het hele bericht wordt geblokkeerd voor alle interne en externe geadresseerden van het bericht, zelfs als er slechts één e-mailadres of domein van de geadresseerde is gedefinieerd in een blokvermelding.
Tip
Als u alleen spam van een specifieke afzender wilt blokkeren, voegt u het e-mailadres of domein toe aan de lijst met blokkeringen in het antispambeleid. Als u alle e-mail van de afzender wilt blokkeren, gebruikt u Domeinen en e-mailadressen in de lijst Tenant toestaan/blokkeren.
Bestanden: Email berichten die deze geblokkeerde bestanden bevatten, worden geblokkeerd als malware. Berichten met de geblokkeerde bestanden worden in quarantaine geplaatst.
URL's: Email berichten die deze geblokkeerde URL's bevatten, worden geblokkeerd als phishing met hoge betrouwbaarheid. Berichten met de geblokkeerde URL's worden in quarantaine geplaatst.
In de lijst Tenant toestaan/blokkeren kunt u ook rechtstreeks blokvermeldingen maken voor de volgende typen items:
Vervalste afzenders: als u handmatig een bestaand toegestane verdict van spoof intelligence overschrijft, wordt de geblokkeerde vervalste afzender een handmatige blokvermelding die alleen wordt weergegeven op het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren.
IP-adressen: als u handmatig een blokvermelding maakt, worden alle binnenkomende e-mailberichten van dat IP-adres aan de rand van de service verwijderd.
Blokkeringsvermeldingen voor domeinen en e-mailadressen, bestanden en URL's verlopen standaard na 30 dagen, maar u kunt instellen dat ze maximaal 90 dagen verlopen of nooit verlopen.
Blokkeer vermeldingen voor vervalste afzenders en IP-adressen verlopen nooit.
Vermeldingen toestaan in de lijst Tenant toestaan/blokkeren
In de meeste gevallen kunt u niet rechtstreeks toegestane vermeldingen maken in de lijst Tenant toestaan/blokkeren. Onnodig toestaan dat vermeldingen uw organisatie blootstellen aan schadelijke e-mail die door het systeem kan zijn gefilterd.
Domeinen en e-mailadressen, bestanden en URL's: U kunt niet rechtstreeks toegestane vermeldingen maken in de lijst Tenant toestaan/blokkeren. In plaats daarvan gebruikt u de pagina Inzendingen op https://security.microsoft.com/reportsubmission om de e-mail, e-mailbijlage of URL naar Microsoft te verzenden. Nadat u Ik heb bevestigd dat het schoon is geselecteerd, kunt u vervolgens Dit bericht toestaan, Dit bestand toestaan of Toestaan dat deze URL een acceptatievermelding voor de domeinen en e-mailadressen, bestanden of URL's maakt selecteren.
Vervalste afzenders:
- Als spoof intelligence het bericht al heeft geblokkeerd als adresvervalsing, gebruikt u de pagina Inzendingen op https://security.microsoft.com/reportsubmission om het e-mailbericht aan Microsoft te melden omdat ik heb bevestigd dat het schoon is en selecteert u Vervolgens Dit bericht toestaan.
- U kunt proactief een toegestane vermelding maken voor een vervalste afzender op het tabblad Vervalste afzender in de lijst Tenant toestaan/blokkeren voordat spoof-informatie het bericht identificeert en blokkeert als spoofing.
IP-adressen: U kunt proactief een toegestane vermelding voor een IP-adres maken op het tabblad IP-adressen in de lijst Tenant toestaan/blokkeren om de IP-filters voor binnenkomende berichten te overschrijven.
In de volgende lijst wordt beschreven wat er gebeurt in de lijst Tenant toestaan/blokkeren wanneer u iets naar Microsoft verzendt als een fout-positief op de pagina Inzendingen :
Email bijlagen en URL's: er wordt een vermelding toestaan gemaakt en de vermelding wordt weergegeven op het tabblad Bestanden of URL's in de lijst Tenant toestaan/blokkeren.
Voor URL's die worden gerapporteerd als fout-positieven, staan we volgende berichten toe die variaties van de oorspronkelijke URL bevatten. U gebruikt bijvoorbeeld de pagina Inzendingen om de onjuist geblokkeerde URL
www.contoso.com/abc
te rapporteren. Als uw organisatie later een bericht ontvangt dat de URL bevat (bijvoorbeeld, maar niet beperkt tot:www.contoso.com/abc
,www.contoso.com/abc?id=1
,www.contoso.com/abc/def/gty/uyt?id=5
ofwww.contoso.com/abc/whatever
), wordt het bericht niet geblokkeerd op basis van de URL. Met andere woorden, u hoeft niet meerdere variaties van dezelfde URL als goed te rapporteren aan Microsoft.Email: als een bericht is geblokkeerd door de EOP- of Defender voor Office 365 filterstack, kan er een vermelding voor toestaan worden gemaakt in de lijst Tenant toestaan/blokkeren:
- Als het bericht is geblokkeerd door spoof intelligence, wordt een vermelding voor de afzender gemaakt en wordt de vermelding weergegeven op het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren.
- Als het bericht is geblokkeerd door imitatiebeveiliging van de gebruiker (of grafiek) in Defender voor Office 365, wordt er geen vermelding voor toestaan gemaakt in de lijst Tenant toestaan/blokkeren. In plaats daarvan wordt het domein of de afzender toegevoegd aan de sectie Vertrouwde afzenders en domeinen in het antiphishingbeleid waarmee het bericht is gedetecteerd.
- Als het bericht is geblokkeerd vanwege filters op basis van bestanden, wordt er een vermelding voor toestaan voor het bestand gemaakt en wordt de vermelding weergegeven op het tabblad Bestanden in de lijst Tenant toestaan/blokkeren.
- Als het bericht is geblokkeerd vanwege filters op basis van URL's, wordt een vermelding voor toestaan voor de URL gemaakt en wordt de vermelding weergegeven op het tabblad URL in de lijst Tenant toestaan/blokkeren.
- Als het bericht om een andere reden is geblokkeerd, wordt een vermelding voor het e-mailadres of domein van de afzender gemaakt en wordt de vermelding weergegeven op het tabblad Domeinen & adressen in de lijst Tenant toestaan/blokkeren.
- Als het bericht niet is geblokkeerd vanwege filters, worden er nergens toegestane vermeldingen gemaakt.
Tip
Toestaan dat vermeldingen van inzendingen worden toegevoegd tijdens de e-mailstroom op basis van de filters die hebben vastgesteld dat het bericht schadelijk was. Als bijvoorbeeld wordt vastgesteld dat het e-mailadres van de afzender en een URL in het bericht schadelijk zijn, wordt een vermelding toestaan gemaakt voor de afzender (e-mailadres of domein) en de URL.
Als tijdens de e-mailstroom of het tijdstip van klikken berichten met de entiteiten in de toegestane vermeldingen andere controles in de filterstack doorstaan, worden de berichten bezorgd (alle filters die aan de toegestane entiteiten zijn gekoppeld, worden overgeslagen). Als een bericht bijvoorbeeld e-mailverificatiecontroles, URL-filtering en bestandsfiltering doorstaat, wordt een bericht van een e-mailadres van een toegestane afzender bezorgd als het ook afkomstig is van een toegestane afzender.
Standaard worden toegestane vermeldingen voor domeinen en e-mailadressen, bestanden en URL's 45 dagen bewaard nadat het filtersysteem heeft vastgesteld dat de entiteit schoon is en vervolgens de vermelding toestaan wordt verwijderd. U kunt ook toestaan dat vermeldingen tot 30 dagen na het maken verlopen. Vermeldingen toestaan voor vervalste afzenders verlopen nooit.
Wat u kunt verwachten nadat u een vermelding voor toestaan of blokkeren hebt toegevoegd
Nadat u een toegestane vermelding hebt toegevoegd op de pagina Inzendingen of een blokvermelding in de lijst Met toestaan/blokkeren van tenants, zou de vermelding onmiddellijk moeten werken (binnen 5 minuten).
Als Microsoft heeft geleerd van de vermelding Toestaan, genereert het ingebouwde waarschuwingsbeleid met de naam Een vermelding verwijderd in de lijst Met toestaan/blokkeren van tenants een waarschuwing wanneer de (nu overbodige) vermelding toestaan wordt verwijderd.