Uw toegestane en blokken beheren in de lijst toestaan/blokkeren van tenants

Tip

Wist u dat u de functies in Microsoft 365 Defender gratis kunt proberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de proefversieshub van Microsoft 365 Defender portal. Meer informatie over wie zich hier kan registreren en proefabonnementen kan maken.

Van toepassing op

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection (EOP)-organisaties zonder Exchange Online postvakken, bent u het mogelijk niet eens met de EOP-filterbeoordeling. Een goed bericht kan bijvoorbeeld worden gemarkeerd als slecht (een fout-positief) of een slecht bericht kan worden toegestaan (een fout-negatief).

De lijst met toegestane/geblokkeerde tenants in de Microsoft 365 Defender-portal biedt u een manier om de Microsoft 365-filterbeoordelingen handmatig te overschrijven. De lijst tenant toestaan/blokkeren wordt gebruikt tijdens de e-mailstroom voor inkomende berichten van externe afzenders (is niet van toepassing op intra-org-berichten) en op het moment dat de gebruiker klikt.

De lijst Tenant toestaan/blokkeren is beschikbaar in de Microsoft 365 Defender-portal op https://security.microsoft.com > Beleidsregels & regels > Bedreigingsbeleid > Tenant toestaan/blokkeren lijsten in de sectie Regels. Als u rechtstreeks naar de pagina Acceptatie-/bloklijsten voor tenants wilt gaan, gebruikt u https://security.microsoft.com/tenantAllowBlockList.

Zie de volgende onderwerpen voor instructies voor het maken en configureren van items:

Deze artikelen bevatten procedures in de Microsoft 365 Defender-portal en in PowerShell.

Vermeldingen blokkeren in de acceptatie-/blokkeringslijst van de tenant

Gebruik de portal Inzendingen (ook wel beheerdersinzending genoemd) https://security.microsoft.com/reportsubmission om blokvermeldingen te maken voor de volgende typen items wanneer u ze als fout-positieven bij Microsoft rapporteert:

  • Domeinen en e-mailadressen:

    • Email berichten van deze afzenders worden gemarkeerd als spam met hoge betrouwbaarheid (SCL = 9). Wat er met de berichten gebeurt, wordt bepaald door het antispambeleid dat het bericht voor de geadresseerde heeft gedetecteerd. In het standaard antispambeleid en het nieuwe aangepaste beleid worden berichten die zijn gemarkeerd als spam met hoge betrouwbaarheid standaard bezorgd in de map Ongewenste Email. In standaard en strikt vooraf ingesteld beveiligingsbeleid worden spamberichten met hoge betrouwbaarheid in quarantaine geplaatst.
    • Gebruikers in de organisatie kunnen geen e-mail verzenden naar deze geblokkeerde domeinen en adressen. Ze ontvangen het volgende rapport over niet-uitgevoerde bezorging (ook wel een NDR- of niet-bezorgdbericht genoemd): 5.7.1 Your message can't be delivered because one or more recipients are blocked by your organization's tenant allow/block list policy.
  • Bestanden: Email berichten die deze geblokkeerde bestanden bevatten, worden geblokkeerd als malware.

  • URL's: Email berichten die deze geblokkeerde URL's bevatten, worden geblokkeerd als phishing met hoge betrouwbaarheid.

In de lijst Tenant toestaan/blokkeren kunt u ook rechtstreeks blokvermeldingen maken voor de volgende typen items:

  • Domeinen en e-mailadressen, bestanden en URL's.

  • Vervalste afzenders: als u handmatig een bestaande acceptatiebeoordeling overschrijft van adresvervalsingsinformatie, wordt de geblokkeerde vervalste afzender een handmatige blokkeringsvermelding die alleen wordt weergegeven op het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren.

Standaard verlopen vermeldingen voor domeinen en e-mailadressen, bestanden en URL's na 30 dagen, maar u kunt instellen dat ze maximaal 90 dagen verlopen of nooit verlopen. Blokkeren dat vermeldingen voor vervalste afzenders nooit verlopen.

Vermeldingen in de lijst Toestaan/blokkeren van tenant toestaan

In de meeste gevallen kunt u geen vermeldingen voor toestaan rechtstreeks maken in de lijst Tenant toestaan/blokkeren:

  • Domeinen en e-mailadressen, bestanden en URL's: u kunt geen vermeldingen toestaan rechtstreeks maken in de acceptatie-/blokkeringslijst van de tenant. In plaats daarvan gebruikt u de portal https://security.microsoft.com/reportsubmission Inzendingen om de e-mail, e-mailbijlage of URL aan Microsoft te rapporteren, omdat deze niet had moeten worden geblokkeerd (fout-positief).

  • Vervalste afzenders:

    • Als adresvervalsingsinformatie het bericht al heeft geblokkeerd als adresvervalsing, gebruikt u de portal https://security.microsoft.com/reportsubmission Inzendingen om het e-mailbericht aan Microsoft te rapporteren, omdat dit niet had moeten worden geblokkeerd (fout-positief).
    • U kunt proactief een vermelding voor een vervalste afzender maken op het tabblad Vervalste afzender in de lijst Tenant toestaan/blokkeren voordat adresvervalsingsinformatie het bericht identificeert en blokkeert als adresvervalsing.

In de volgende lijst wordt beschreven wat er gebeurt in de acceptatie-/blokkeringslijst van de tenant wanneer u iets aan Microsoft rapporteert als een fout-positief in de portal Voor verzendingen:

  • Email bijlagen en URL's: er wordt een vermelding voor toestaan gemaakt en deze wordt weergegeven op het tabblad Bestanden of URL's in de lijst Tenant toestaan/blokkeren.

  • Email: Als een bericht is geblokkeerd door de Microsoft 365-filterstack, kan een vermelding voor toestaan worden gemaakt in de lijst Tenant toestaan/blokkeren:

    • Als het bericht is geblokkeerd door adresvervalsingsinformatie, wordt er een vermelding voor toestaan voor de afzender gemaakt en wordt het weergegeven op het tabblad Vervalste afzenders in de lijst Met geblokkeerde tenants toestaan.

    • Als het bericht is geblokkeerd door domein- of gebruikersimitatiebeveiliging in Defender voor Office 365, wordt er geen vermelding voor toestaan gemaakt in de lijst Tenant toestaan/blokkeren. In plaats daarvan wordt het domein of de afzender toegevoegd aan de sectie Vertrouwde afzenders en domeinen in het antiphishingbeleid dat het bericht heeft gedetecteerd.

    • Als het bericht om andere redenen is geblokkeerd, wordt er een vermelding voor toestaan voor de afzender gemaakt en wordt het weergegeven op het tabblad Domeinen & adressen in de lijst met geblokkeerde tenants.

    • Als het bericht niet is geblokkeerd en invoer voor de afzender niet is toegestaan, wordt het niet op het tabblad Vervalste afzenders of het tabblad Domeinen & adressen weergegeven.

Standaard verlopen vermeldingen voor domeinen en e-mailadressen, bestanden en URL's na 30 dagen, wat ook het maximum is. Toestaan dat vermeldingen voor vervalste afzenders nooit verlopen.

Notitie

Omdat Microsoft het toestaan van vermeldingen voor u beheert, worden overbodige vermeldingen voor domeinen en e-mailadressen, URL's of bestanden verwijderd. Dit gedrag beschermt uw organisatie en helpt onjuist geconfigureerde toegestane vermeldingen te voorkomen. Als u het niet eens bent met de uitspraak, moet u mogelijk een ondersteuningsaanvraag openen om te bepalen waarom een bericht nog steeds als slecht wordt beschouwd.

Toestaan worden toegevoegd tijdens de e-mailstroom, op basis van welke filters hebben bepaald dat het bericht schadelijk is. Als bijvoorbeeld is vastgesteld dat de afzender en een URL in het bericht ongeldig zijn, wordt er een vermelding voor toestaan gemaakt voor de afzender en wordt er een vermelding voor toestaan gemaakt voor de URL.

Wanneer deze entiteit (domein of e-mailadres, URL, bestand) opnieuw wordt aangetroffen, worden alle filters die aan die entiteit zijn gekoppeld, overgeslagen.

Als berichten van het domein of e-mailadres tijdens de e-mailstroom andere controles in de filterstack doorstaan, worden de berichten bezorgd. Als e-mailverificatie bijvoorbeeld is geslaagd, wordt er een bericht van een afzender in de vermelding toestaan bezorgd.

Wat u kunt verwachten nadat u een vermelding voor toestaan of blokkeren hebt toegevoegd

Nadat u een vermelding voor toestaan hebt toegevoegd via de portal Voor indieningen of een blokkeringsvermelding in de acceptatie-/blokkeringslijst voor tenants, moet de vermelding onmiddellijk werken.

Het is raadzaam om vermeldingen na 30 dagen automatisch te laten verlopen om te zien of het systeem heeft geleerd over de toegestane of blokkering. Als dat niet het geval is, moet u nog een vermelding maken om het systeem nog eens 30 dagen te laten leren.