Machtigingen en blokkeringen beheren in de lijst Tenant toestaan/blokkeren

• Van toepassing op:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Belangrijk

Als u phishing-URL's wilt toestaan die deel uitmaken van de training voor aanvalssimulatie van derden, gebruikt u de geavanceerde leveringsconfiguratie om de URL's op te geven. Gebruik de tenantlijst toestaan/blokkeren niet.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection -organisaties (EOP) zonder Exchange Online postvakken, kunt u het oneens zijn met de EOP of Microsoft Defender voor Office 365 filteroordeel. Een goed bericht kan bijvoorbeeld zijn gemarkeerd als slecht (een fout-positief) of een slecht bericht is toegestaan (een fout-negatief).

De lijst tenant toestaan/blokkeren in de Microsoft Defender portal biedt u een manier om handmatig de Defender voor Office 365- of EOP-filterbeoordelingen te overschrijven. De lijst wordt gebruikt tijdens de e-mailstroom voor inkomende berichten van externe afzenders.

De lijst Tenant toestaan/blokkeren is niet van toepassing op interne berichten binnen de organisatie. Blokkeren van vermeldingen voor domeinen en e-mailadressen voorkomt echter dat gebruikers in de organisatie e-mail verzenden naar die geblokkeerde domeinen en adressen.

De lijst Tenant toestaan/blokkeren is beschikbaar in de Microsoft Defender portal in https://security.microsoft.com>Beleidsregels & regels>Bedreigingsbeleid>tenant toestaan/blokkeren Lijsten in de sectie Regels. Als u rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten wilt gaan, gebruikt u https://security.microsoft.com/tenantAllowBlockList.

Zie de volgende artikelen voor gebruiks- en configuratie-instructies:

• Domeinen en e-mailadressen en vervalste afzenders: e-mailberichten toestaan of blokkeren met behulp van de tenantlijst toestaan/blokkeren
• Bestanden: Bestanden toestaan of blokkeren met behulp van de lijst Tenant toestaan/blokkeren
• URL's: URL's toestaan of blokkeren met behulp van de lijst Voor toestaan/blokkeren van tenants.

Deze artikelen bevatten procedures in de Microsoft Defender portal en in PowerShell.

Vermeldingen blokkeren in de lijst voor toestaan/blokkeren van tenants

Opmerking

In de lijst Tenant toestaan/blokkeren hebben blokvermeldingen voorrang op toegestane vermeldingen.

Gebruik de pagina Inzendingen (ook wel beheerdersinzending genoemd) op https://security.microsoft.com/reportsubmission om blokvermeldingen te maken voor de volgende typen items terwijl u deze als fout-negatieven rapporteert aan Microsoft:

• Domeinen en e-mailadressen:

  • Email berichten van deze afzenders worden gemarkeerd als phishing met hoge betrouwbaarheid en vervolgens in quarantaine geplaatst.
  • Gebruikers in de organisatie kunnen geen e-mail verzenden naar deze geblokkeerde domeinen en adressen. Ze ontvangen het volgende rapport over niet-bezorging (ook wel een NDR of niet-bezorgdbericht genoemd): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Het hele bericht wordt geblokkeerd voor alle interne en externe geadresseerden van het bericht, zelfs als er slechts één e-mailadres of domein van de geadresseerde is gedefinieerd in een blokvermelding.

  Tip

  Als u alleen spam van een specifieke afzender wilt blokkeren, voegt u het e-mailadres of domein toe aan de lijst met blokkeringen in het antispambeleid. Als u alle e-mail van de afzender wilt blokkeren, gebruikt u Domeinen en e-mailadressen in de lijst Tenant toestaan/blokkeren.

• Bestanden: Email berichten die deze geblokkeerde bestanden bevatten, worden geblokkeerd als malware. Berichten met de geblokkeerde bestanden worden in quarantaine geplaatst.

• URL's: Email berichten die deze geblokkeerde URL's bevatten, worden geblokkeerd als phishing met hoge betrouwbaarheid. Berichten met de geblokkeerde URL's worden in quarantaine geplaatst.

In de lijst Tenant toestaan/blokkeren kunt u ook rechtstreeks blokvermeldingen maken voor de volgende typen items:

• Domeinen en e-mailadressen, bestanden en URL's.

• Vervalste afzenders: als u handmatig een bestaand toegestane verdict van spoof intelligence overschrijft, wordt de geblokkeerde vervalste afzender een handmatige blokvermelding die alleen wordt weergegeven op het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren.

Blokkeringsvermeldingen voor domeinen en e-mailadressen, bestanden en URL's verlopen standaard na 30 dagen, maar u kunt instellen dat ze maximaal 90 dagen verlopen of nooit verlopen. Vermeldingen blokkeren voor vervalste afzenders verlopen nooit.

Vermeldingen toestaan in de lijst Tenant toestaan/blokkeren

In de meeste gevallen kunt u niet rechtstreeks toegestane vermeldingen maken in de lijst Tenant toestaan/blokkeren:

• Domeinen en e-mailadressen, bestanden en URL's: U kunt niet rechtstreeks toegestane vermeldingen maken in de lijst Tenant toestaan/blokkeren. In plaats daarvan gebruikt u de pagina Inzendingen op https://security.microsoft.com/reportsubmission om het e-mailbericht, de e-mailbijlage of de URL aan Microsoft te rapporteren, omdat het niet moet zijn geblokkeerd (fout-positief).

• Vervalste afzenders:

  • Als spoof intelligence het bericht al heeft geblokkeerd als spoofing, gebruikt u de pagina Inzendingen op https://security.microsoft.com/reportsubmission om het e-mailbericht aan Microsoft te melden als Niet geblokkeerd (fout-positief).
  • U kunt proactief een toegestane vermelding maken voor een vervalste afzender op het tabblad Vervalste afzender in de lijst Tenant toestaan/blokkeren voordat spoof-informatie het bericht identificeert en blokkeert als spoofing.

In de volgende lijst wordt beschreven wat er gebeurt in de lijst Tenant toestaan/blokkeren wanneer u iets aan Microsoft rapporteert als een fout-positief op de pagina Inzendingen :

• Email bijlagen en URL's: er wordt een vermelding toestaan gemaakt en de vermelding wordt weergegeven op het tabblad Bestanden of URL's in de lijst Tenant toestaan/blokkeren.

  Voor URL's die als fout-positieven worden gerapporteerd, staan we volgende berichten toe die variaties van de oorspronkelijke URL bevatten. U gebruikt bijvoorbeeld de pagina Inzendingen om de onjuist geblokkeerde URL www.contoso.com/abcte rapporteren. Als uw organisatie later een bericht ontvangt met de URL (bijvoorbeeld, maar niet beperkt tot: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5of www.contoso.com/abc/whatever), wordt het bericht niet geblokkeerd op basis van de URL. Met andere woorden, u hoeft niet meerdere variaties van dezelfde URL als goed te rapporteren aan Microsoft.

• Email: als een bericht is geblokkeerd door de EOP- of Defender voor Office 365 filterstack, kan er een vermelding voor toestaan worden gemaakt in de lijst Tenant toestaan/blokkeren:

  • Als het bericht is geblokkeerd door spoof intelligence, wordt een vermelding voor de afzender gemaakt en wordt de vermelding weergegeven op het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren.
  • Als het bericht is geblokkeerd door imitatiebeveiliging van de gebruiker (of grafiek) in Defender voor Office 365, wordt er geen vermelding voor toestaan gemaakt in de lijst Tenant toestaan/blokkeren. In plaats daarvan wordt het domein of de afzender toegevoegd aan de sectie Vertrouwde afzenders en domeinen in het antiphishingbeleid waarmee het bericht is gedetecteerd.
  • Als het bericht is geblokkeerd vanwege filters op basis van bestanden, wordt er een vermelding voor toestaan voor het bestand gemaakt en wordt de vermelding weergegeven op het tabblad Bestanden in de lijst Tenant toestaan/blokkeren.
  • Als het bericht is geblokkeerd vanwege filters op basis van URL's, wordt een vermelding voor toestaan voor de URL gemaakt en wordt de vermelding weergegeven op het tabblad URL in de lijst Tenant toestaan/blokkeren.
  • Als het bericht om een andere reden is geblokkeerd, wordt een vermelding voor het e-mailadres of domein van de afzender gemaakt en wordt de vermelding weergegeven op het tabblad Domeinen & adressen in de lijst Tenant toestaan/blokkeren.
  • Als het bericht niet is geblokkeerd vanwege filters, worden er nergens toegestane vermeldingen gemaakt.

Standaard bestaan vermeldingen voor domeinen en e-mailadressen, bestanden en URL's 30 dagen. Gedurende deze 30 dagen leert Microsoft van de toegestane vermeldingen en verwijdert ze of breidt ze automatisch uit. Nadat Microsoft kennis heeft genomen van de verwijderde toegestane vermeldingen, worden berichten die deze entiteiten bevatten bezorgd, tenzij iets anders in het bericht wordt gedetecteerd als schadelijk. Standaard verlopen vermeldingen voor vervalste afzenders nooit.

Belangrijk

Microsoft staat niet toe dat u rechtstreeks toegestane vermeldingen maakt. Onnodig toestaan dat vermeldingen uw organisatie blootstellen aan schadelijke e-mail die door het systeem kan zijn gefilterd.

Microsoft beheert het maken van toegestane vermeldingen vanaf de pagina Inzendingen op https://security.microsoft.com/reportsubmission. Vermeldingen toestaan worden toegevoegd tijdens de e-mailstroom op basis van de filters die hebben vastgesteld dat het bericht schadelijk was. Als bijvoorbeeld het e-mailadres van de afzender en een URL in het bericht als ongeldig zijn vastgesteld, wordt een toegestane vermelding gemaakt voor de afzender (e-mailadres of domein) en de URL.

Wanneer de entiteit opnieuw wordt aangetroffen (tijdens de e-mailstroom of tijdens het klikken), worden alle filters die aan die entiteit zijn gekoppeld, overgeslagen.

Als tijdens de e-mailstroom berichten met de toegestane entiteit door andere controles in de filterstack komen, worden de berichten bezorgd. Als een bericht bijvoorbeeld slaagt voor e-mailverificatie, URL-filtering en bestandsfiltering, wordt er een bericht van een e-mailadres van een toegestane afzender bezorgd.

Wat u kunt verwachten nadat u een vermelding voor toestaan of blokkeren hebt toegevoegd

Nadat u een toegestane vermelding hebt toegevoegd op de pagina Inzendingen of een blokvermelding in de lijst Met toestaan/blokkeren van tenants, zou de vermelding onmiddellijk moeten werken (binnen 5 minuten).

Als Microsoft heeft geleerd van de vermelding toestaan, wordt de vermelding verwijderd. U krijgt een waarschuwing over het verwijderen van de nu overbodige vermelding toestaan van het ingebouwde waarschuwingsbeleid met de naam Een vermelding verwijderd in de lijst Voor toestaan/blokkeren van tenants.