Udostępnij za pośrednictwem

Zezwalanie na pocztę e-mail lub blokowanie jej przy użyciu listy dozwolonych/zablokowanych dzierżaw

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych administratorzy mogą tworzyć wpisy domen i adresów e-mail (w tym sfałszowanych nadawców) na liście dozwolonych/zablokowanych dzierżawców oraz zarządzać nimi. Aby uzyskać więcej informacji na temat listy dozwolonych/blokowych dzierżawy, zobacz Zarządzanie zezwoleniami i blokami na liście dozwolonych/zablokowanych dzierżaw.

W tym artykule opisano, jak administratorzy mogą zarządzać wpisami nadawców wiadomości e-mail w portalu Microsoft Defender i w programie Exchange Online programu PowerShell.

Co należy wiedzieć przed rozpoczęciem?

  • Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList. Aby przejść bezpośrednio do strony Przesłane , użyj polecenia https://security.microsoft.com/reportsubmission.

  • Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online. Aby nawiązać połączenie z autonomicznym programem PowerShell EOP, zobacz Connect to Exchange Online Protection PowerShell (Nawiązywanie połączenia z programem PowerShell).

  • Limity wpisów dla domen i adresów e-mail:

    • Exchange Online Protection: maksymalna liczba dozwolonych wpisów wynosi 500, a maksymalna liczba wpisów blokowych to 500 (łącznie 1000 wpisów domen i adresów e-mail).
    • Ochrona usługi Office 365 w usłudze Defender plan 1: maksymalna liczba dozwolonych wpisów wynosi 1000, a maksymalna liczba wpisów blokowych to 1000 (łącznie 2000 wpisów domen i adresów e-mail).
    • Ochrona usługi Office 365 w usłudze Defender plan 2: maksymalna liczba dozwolonych wpisów wynosi 5000, a maksymalna liczba wpisów blokowych to 10000 (łącznie 15000 wpisów domen i adresów e-mail).

  • W przypadku sfałszowanych nadawców maksymalna liczba wpisów dozwolonych i wpisów blokowych wynosi 1024 (1024 zezwalaj na wpisy i brak wpisów blokowych, 512 wpisów dozwolonych i 512 wpisów blokowych itp.).

  • Wpisy dla sfałszowanych nadawców nigdy nie wygasają.

  • W przypadku blokowania przychodzącej i wychodzącej poczty e-mail z domeny, dowolnych poddomen w tej domenie i wszystkich adresów e-mail w tej domenie utwórz wpis bloku przy użyciu składni: *.TLD, gdzie TLD może to być dowolna domena najwyższego poziomu, domena wewnętrzna lub domena adresu e-mail.

  • W przypadku blokowania przychodzącej i wychodzącej poczty e-mail z sudomain w domenie i wszelkich adresów e-mail w tej poddomenzie utwórz wpis bloku przy użyciu składni: *.SD1.TLD, *.SD2.SD1.TLD, *.SD3.SD2.SD1.TLDitp. dla domen wewnętrznych i domen adresów e-mail.

  • Aby uzyskać szczegółowe informacje na temat składni fałszywych wpisów nadawcy, zobacz sekcję Składnia pary domen dla sfałszowanych wpisów nadawcy w dalszej części tego artykułu.

  • Wpis powinien być aktywny w ciągu 5 minut.

  • Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Masz następujące możliwości:

    • Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell: autoryzacja i ustawienia/Ustawienia zabezpieczeń/Dostrajanie wykrywania (zarządzanie) lub Autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (odczyt).

    • uprawnienia Exchange Online:

      • Dodaj i usuń wpisy z listy dozwolonych/zablokowanych dzierżaw: członkostwo w jednej z następujących grup ról:
        • Zarządzanie organizacją lub administrator zabezpieczeń (rola administratora zabezpieczeń).
        • Operator zabezpieczeń (Menedżer AllowBlockList dzierżawy).
      • Dostęp tylko do odczytu do listy dozwolonych/zablokowanych dzierżaw: członkostwo w jednej z następujących grup ról:
        • Czytelnik globalny
        • Czytelnik zabezpieczeń
        • Konfiguracja tylko do wyświetlania
        • Zarządzanie organizacją tylko do wyświetlania

    • uprawnienia Microsoft Entra: członkostwo w rolach administratora* globalnego, administratora zabezpieczeń, czytelnika globalnego lub czytelnika zabezpieczeń zapewnia użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

      Ważna

      * Firma Microsoft zaleca używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Domeny i adresy e-mail na liście dozwolonych/zablokowanych dzierżaw

Tworzenie wpisów zezwalania dla domen i adresów e-mail

Nie można tworzyć wpisów zezwalania dla domen i adresów e-mail bezpośrednio na liście dozwolonych/zablokowanych dzierżaw. Niepotrzebne zezwalanie na wpisy naraża organizacji na złośliwe wiadomości e-mail, które zostałyby przefiltrowane przez system.

Zamiast tego użyjesz karty Wiadomości e-mail na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission?viewid=email. Po przesłaniu zablokowanej wiadomości po potwierdzeniu, że jest ona czysta, a następnie wybierzesz pozycję Zezwalaj na tę wiadomość, wpis zezwalania dla nadawcy zostanie dodany do karty Domeny & adresy e-mail na stronie Zezwalaj na dzierżawę/Blokuj Listy. Aby uzyskać instrukcje, zobacz Przesyłanie dobrej wiadomości e-mail do firmy Microsoft.

Porada

Zezwalaj na wpisy przesyłane są dodawane podczas przepływu poczty na podstawie filtrów, które ustaliły, że wiadomość była złośliwa. Jeśli na przykład adres e-mail nadawcy i adres URL w wiadomości zostaną uznane za złośliwe, dla nadawcy (adresu e-mail lub domeny) i adresu URL zostanie utworzony wpis zezwalania.

Podczas przepływu poczty lub czasu kliknięcia, jeśli komunikaty zawierające jednostki we wpisach dozwolonych przechodzą inne kontrole w stosie filtrowania, komunikaty są dostarczane (wszystkie filtry skojarzone z dozwolonymi jednostkami są pomijane). Jeśli na przykład wiadomość przekazuje testy uwierzytelniania poczty e-mail, filtrowanie adresów URL i filtrowanie plików, komunikat z dozwolonego adresu e-mail nadawcy jest dostarczany, jeśli jest również od dozwolonego nadawcy.

Domyślnie zezwalaj na wpisy dla domen i adresów e-mail, plików i adresów URL są przechowywane przez 45 dni, po tym jak system filtrowania określi, że jednostka jest czysta, a następnie pozycja zezwalania zostanie usunięta. Możesz też ustawić opcję zezwalania na wygaśnięcie wpisów do 30 dni po ich utworzeniu. Zezwalaj na wpisy dla sfałszowanych nadawców nigdy nie wygasają.

Tworzenie wpisów blokowych dla domen i adresów e-mail

Aby utworzyć wpisy blokowe dla domen i adresów e-mail, użyj jednej z następujących metod:

  • Na karcie Wiadomości e-mail na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission?viewid=email. Po przesłaniu wiadomości po potwierdzeniu, że jest to zagrożenie, możesz wybrać pozycję Blokuj wszystkie wiadomości e-mail z tego nadawcy lub domeny, aby dodać wpis blokowy do karty Domeny & adresy e-mail na stronie Zezwalaj na dzierżawę/Blokuj Listy. Aby uzyskać instrukcje, zobacz Zgłaszanie wątpliwych wiadomości e-mail do firmy Microsoft.

  • Na karcie Domeny & adresy na stronie Listy Zezwalaj na dzierżawę/Blokuj lub w programie PowerShell zgodnie z opisem w tej sekcji.

Aby utworzyć wpisy blokowe dla sfałszowanych nadawców, zobacz tę sekcję w dalszej części tego artykułu.

Email od tych zablokowanych nadawców jest oznaczona jako wyłudzanie informacji o wysokim poziomie zaufania i poddawane kwarantannie.

Uwaga

Obecnie poddomeny określonej domeny nie są blokowane. Jeśli na przykład utworzysz wpis blokowy dla wiadomości e-mail z contoso.com, poczta z marketing.contoso.com również nie zostanie zablokowana. Musisz utworzyć osobny wpis bloku dla marketing.contoso.com.

Użytkownicy w organizacji również nie mogą wysyłać wiadomości e-mail do zablokowanych domen i adresów. Wiadomość jest zwracana w następującym raporcie o braku dostarczania (znanym również jako komunikat NDR lub bounce): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. cała wiadomość jest zablokowana dla wszystkich wewnętrznych i zewnętrznych adresatów wiadomości, nawet jeśli tylko jeden adres e-mail adresata lub domena jest zdefiniowana w wpisie bloku.

Użyj portalu Microsoft Defender, aby utworzyć wpisy blokowe dla domen i adresów e-mail na liście dozwolonych/zablokowanych dzierżaw

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

  2. Na stronie Zezwalaj/blokuj Listy dzierżawy sprawdź, czy wybrano kartę Domeny & adresy.

  3. Na karcie Domeny & adresy wybierz pozycję Blokuj.

  4. W oknie wysuwowym Blokuj domeny & adresów skonfiguruj następujące ustawienia:

    • Domeny & adresy: wprowadź jeden adres e-mail lub domenę na wiersz, maksymalnie 20.

    • Usuń wpis bloku po: Wybierz z następujących wartości:

      • 1 dzień
      • 7 dni
      • 30 dni (wartość domyślna)
      • Nigdy nie wygasaj
      • Konkretna data: Maksymalna wartość to 90 dni od dnia dzisiejszego.

    • Opcjonalna uwaga: wprowadź opisowy tekst, dla którego blokujesz adresy e-mail lub domeny.

  5. Po zakończeniu pracy z wysuwaną pozycją Blokuj domeny & adresów wybierz pozycję Dodaj.

Po powrocie na kartę Domeny & adresy e-mail wpis jest wyświetlany.

Używanie programu PowerShell do tworzenia wpisów blokowych dla domen i adresów e-mail na liście dozwolonych/zablokowanych dzierżaw

W Exchange Online programu PowerShell użyj następującej składni:

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

W tym przykładzie dodano wpis bloku dla określonego adresu e-mail, który wygasa w określonym dniu.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-TenantAllowBlockListItems.

Użyj portalu Microsoft Defender, aby wyświetlić wpisy domen i adresów e-mail na liście dozwolonych/zablokowanych dzierżaw

W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady & reguły> zasadzagrożeń>Zezwalaj na dzierżawę/blokuj Listy w sekcji Reguły. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

Sprawdź, czy wybrano kartę Domeny & adresy .

Na karcie Domeny & adresy można sortować wpisy, klikając dostępny nagłówek kolumny. Dostępne są następujące kolumny:

  • Wartość: domena lub adres e-mail.
  • Akcja: wartość Zezwalaj lub Blokuj.
  • Zmodyfikowane przez
  • Ostatnia aktualizacja
  • Data ostatniego użycia: data ostatniego użycia wpisu w systemie filtrowania w celu zastąpienia werdyktu.
  • Usuń: data wygaśnięcia.
  • Uwagi

Aby filtrować wpisy, wybierz pozycję Filtruj. W wyświetlonym okienku wysuwowym Filtr są dostępne następujące filtry:

  • Akcja: Wartości to Zezwalaj i Blokuj.
  • Nigdy nie wygasaj: lub
  • Ostatnia aktualizacja: wybierz pozycję Od i do dat.
  • Data ostatniego użycia: wybierz pozycję Od i Do dat.
  • Usuń w: wybierz pozycję Od i Do dat.

Po zakończeniu w wysuwnym filtrze wybierz pozycję Zastosuj. Aby wyczyścić filtry, wybierz pozycję Wyczyść filtry.

Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określone wpisy.

Aby pogrupować wpisy, wybierz pozycję Grupuj , a następnie wybierz pozycję Akcja. Aby rozgrupować wpisy, wybierz pozycję Brak.

Używanie programu PowerShell do wyświetlania wpisów dla domen i adresów e-mail na liście dozwolonych/zablokowanych dzierżaw

W Exchange Online programu PowerShell użyj następującej składni:

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

Ten przykład zwraca wszystkie wpisy zezwalania i blokowania dla domen i adresów e-mail.

Get-TenantAllowBlockListItems -ListType Sender

W tym przykładzie wyniki filtrują wpisy blokowe dla domen i adresów e-mail.

Get-TenantAllowBlockListItems -ListType Sender -Block

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-TenantAllowBlockListItems.

Użyj portalu Microsoft Defender, aby zmodyfikować wpisy dla domen i adresów e-mail na liście zezwalania/blokowania dzierżawy

W istniejących wpisach domeny i adresu e-mail można zmienić datę wygaśnięcia i zanotować.

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

  2. Sprawdź, czy wybrano kartę Domeny & adresy .

  3. Na karcie Domeny & adresy wybierz wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz wyświetloną akcję Edytuj.

  4. W wyświetlonym menu wysuwowym Edytuj domeny & adresy dostępne są następujące ustawienia:

    • Blokuj wpisy:
      • Usuń wpis bloku po: Wybierz z następujących wartości:
        • 1 dzień
        • 7 dni
        • 30 dni
        • Nigdy nie wygasaj
        • Konkretna data: Maksymalna wartość to 90 dni od dnia dzisiejszego.
      • Uwaga opcjonalna
    • Zezwalaj na wpisy:
      • Usuń wpis zezwalania po: Wybierz z następujących wartości:
        • 1 dzień
        • 7 dni
        • 30 dni
        • 45 dni po ostatniej używanej dacie
        • Konkretna data: Maksymalna wartość to 30 dni od dnia dzisiejszego.
      • Uwaga opcjonalna

    Po zakończeniu pracy z wysuwaną pozycją Edytuj domeny & adresów wybierz pozycję Zapisz.

Porada

W wysuwanych szczegółach wpisu na karcie Domeny & adresy użyj pozycji Wyświetl przesyłanie w górnej części wysuwanego menu, aby przejść do szczegółów odpowiedniego wpisu na stronie Przesłane . Ta akcja jest dostępna, jeśli przesłanie było odpowiedzialne za utworzenie wpisu na liście dozwolonych/zablokowanych dzierżaw.

Modyfikowanie wpisów domen i adresów e-mail na liście zezwalania/blokowania dzierżawy przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Ten przykład zmienia datę wygaśnięcia określonego wpisu bloku dla adresu e-mail nadawcy.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-TenantAllowBlockListItems.

Użyj portalu Microsoft Defender, aby usunąć wpisy domen i adresów e-mail z listy dozwolonych/zablokowanych dzierżaw

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

  2. Sprawdź, czy wybrano kartę Domeny & adresy .

  3. Na karcie Domeny & adresy wykonaj jedną z następujących czynności:

    • Wybierz wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz wyświetloną akcję Usuń .

    • Wybierz wpis z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru. W wyświetlonym oknie wysuwowym szczegółów wybierz pozycję Usuń w górnej części wysuwanego menu.

      Porada

      • Aby wyświetlić szczegółowe informacje o innych wpisach bez opuszczania wysuwanego szczegółów, użyj pozycji Poprzedni element i Następny element w górnej części wysuwanego elementu.
      • Możesz zaznaczyć wiele wpisów, zaznaczając każde pole wyboru lub zaznaczając wszystkie wpisy, zaznaczając pole wyboru obok nagłówka kolumny Wartość .

  4. W wyświetlonym oknie dialogowym ostrzeżenia wybierz pozycję Usuń.

Na karcie Domeny & adresy wpis nie jest już wyświetlany.

Usuwanie wpisów domen i adresów e-mail z listy dozwolonych/zablokowanych dzierżawców przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

W tym przykładzie usunięto określony wpis dla domen i adresów e-mail z listy zezwalania/blokowania dzierżawy.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-TenantAllowBlockListItems.

Fałszowani nadawcy na liście dozwolonych/zablokowanych dzierżaw

Po zastąpieniu werdyktu w analizie analizy fałszowania sfałszowany nadawca staje się ręcznym wpisem zezwalającym lub blokowym, który pojawia się tylko na karcie Sfałszowani nadawcy na stronie Zezwalaj na dzierżawę/Blokuj Listy.

Tworzenie wpisów dozwolonych dla sfałszowanych nadawców

Aby utworzyć wpisy zezwalające dla sfałszowanych nadawców, użyj dowolnej z następujących metod:

  • Na karcie Wiadomości e-mail na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission?viewid=email. Aby uzyskać instrukcje, zobacz Przesyłanie dobrej wiadomości e-mail do firmy Microsoft.
    • Po przesłaniu komunikatu, który został wykryty i zablokowany przez analizę fałszowania, wpis dozwolony dla sfałszowanego nadawcy jest dodawany do karty Sfałszowane nadawcy na liście dozwolonych/zablokowanych dzierżaw.
    • Jeśli nadawca nie został wykryty i zablokowany przez sfałszowanie analizy, przesłanie wiadomości do firmy Microsoft nie spowoduje utworzenia wpisu zezwalającego dla nadawcy na liście dozwolonych/zablokowanych dzierżaw.
  • Na stronie Szczegółowe informacje o fałszowaniu analizy pod adresem https://security.microsoft.com/spoofintelligence, czy nadawca został wykryty i zablokowany przez fałszowanie inteligencji. Aby uzyskać instrukcje, zobacz Zastępowanie werdyktu analizy fałszowania.
    • Po zastąpieniu werdyktu w analizie analizy fałszowania sfałszowany nadawca staje się wpisem ręcznym, który pojawia się tylko na karcie Sfałszowani nadawcy na stronie Zezwalaj na dzierżawę/Blokuj Listy.
  • Na karcie Sfałszowane nadawcy na stronie Zezwalaj/blokuj dzierżawę Listy lub w programie PowerShell zgodnie z opisem w tej sekcji.

Uwaga

Zezwalaj na wpisy dla sfałszowanych kont nadawców dla intra-org, cross-org i fałszowania DMARC.

Tylko kombinacja sfałszowanego użytkownika i infrastruktury wysyłania zdefiniowanej w parze domeny może się podszywać.

Zezwalaj na wpisy dla sfałszowanych nadawców nigdy nie wygasają.

Użyj portalu Microsoft Defender, aby utworzyć wpisy zezwalające na fałszowanie nadawców na liście dozwolonych/zablokowanych dzierżaw

Na liście zezwalania/blokowania dzierżawy można tworzyć wpisy zezwalania dla sfałszowanych nadawców, zanim zostaną wykryte i zablokowane przez analizę fałszowania.

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

  2. Na stronie Zezwalaj na dzierżawę/Blokuj Listy wybierz kartę Spoofed senders (Fałszowani nadawcy).

  3. Na karcie Spoofed senders (Fałszowani nadawcy ) wybierz pozycję Dodaj.

  4. W wyświetlonym menu wysuwowym Dodawanie nowych par domeny skonfiguruj następujące ustawienia:

    • Dodawanie par domeny z symbolami wieloznacznymi: wprowadź parę domeny na wiersz, maksymalnie do 20. Aby uzyskać szczegółowe informacje na temat składni fałszywych wpisów nadawcy, zobacz sekcję Składnia pary domen dla sfałszowanych wpisów nadawcy w dalszej części tego artykułu.

    • Typ fałszowania: wybierz jedną z następujących wartości:

      • Wewnętrzne: sfałszowany nadawca znajduje się w domenie należącej do Organizacji ( akceptowana domena).
      • Zewnętrzne: sfałszowany nadawca znajduje się w domenie zewnętrznej.

    • Akcja: wybierz pozycję Zezwalaj lub Blokuj.

    Po zakończeniu pracy z wysuwaną opcją Dodaj nowe pary domen wybierz pozycję Dodaj.

Z powrotem na karcie Spoofed senders (Fałszowani nadawcy ) jest wyświetlany wpis.

Używanie programu PowerShell do tworzenia wpisów dozwolonych dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw

W Exchange Online programu PowerShell użyj następującej składni:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

W tym przykładzie jest tworzony wpis zezwalania dla nadawcy bob@contoso.com z contoso.com źródłowego.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-TenantAllowBlockListSpoofItems.

Tworzenie wpisów blokowych dla sfałszowanych nadawców

Aby utworzyć wpisy blokowe dla sfałszowanych nadawców, użyj dowolnej z następujących metod:

Uwaga

Tylko kombinacja sfałszowanego użytkownika i infrastruktury wysyłania zdefiniowanej w parze domeny jest zablokowana przed fałszowaniem.

Email od tych nadawców jest oznaczony jako wyłudzanie informacji. To, co dzieje się z wiadomościami, zależy od zasad ochrony przed spamem , które wykryły wiadomość dla adresata. Aby uzyskać więcej informacji, zobacz akcję wykrywania wyłudzania informacji w ustawieniach zasad ochrony przed spamem EOP.

Po skonfigurowaniu wpisu bloku dla pary domeny sfałszowany nadawca staje się ręcznym wpisem bloku, który jest wyświetlany tylko na karcie Sfałszowane nadawcy na liście dozwolonych/zablokowanych dzierżaw.

Blokowanie wpisów dla sfałszowanych nadawców nigdy nie wygasa.

Użyj portalu Microsoft Defender, aby utworzyć wpisy blokowe dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw

Kroki są niemal identyczne z tworzeniem wpisów dozwolonych dla sfałszowanych nadawców , jak opisano wcześniej w tym artykule.

Jedyna różnica polega na tym, że dla wartości Akcja w kroku 4 wybierz pozycję Blokuj zamiast Zezwalaj.

Używanie programu PowerShell do tworzenia wpisów blokowych dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw

W Exchange Online programu PowerShell użyj następującej składni:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

Ten przykład tworzy wpis blokowy dla nadawcy laura@adatum.com ze źródła 172.17.17.17/24.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-TenantAllowBlockListSpoofItems.

Użyj portalu Microsoft Defender, aby wyświetlić wpisy dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw

W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady & reguły> zasadzagrożeń>Zezwalaj na dzierżawę/blokuj Listy w sekcji Reguły. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

Sprawdź, czy wybrano kartę Sfałszowane nadawcy .

Na karcie Spoofed senders (Fałszowani nadawcy ) możesz sortować wpisy, klikając dostępny nagłówek kolumny. Dostępne są następujące kolumny:

  • Sfałszowany użytkownik
  • Wysyłanie infrastruktury
  • Typ fałszowania: Dostępne wartości to Wewnętrzne lub Zewnętrzne.
  • Akcja: Dostępne wartości to Blokuj lub Zezwalaj.

Aby filtrować wpisy, wybierz pozycję Filtruj. W wyświetlonym okienku wysuwowym Filtr są dostępne następujące filtry:

  • Akcja: Dostępne wartości to Zezwalaj i Blokuj.
  • Typ fałszowania: Dostępne wartości to Wewnętrzne i Zewnętrzne.

Po zakończeniu w wysuwnym filtrze wybierz pozycję Zastosuj. Aby wyczyścić filtry, wybierz pozycję Wyczyść filtry.

Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określone wpisy.

Aby pogrupować wpisy, wybierz pozycję Grupuj , a następnie wybierz jedną z następujących wartości:

  • Akcja
  • Typ fałszowania

Aby rozgrupować wpisy, wybierz pozycję Brak.

Używanie programu PowerShell do wyświetlania wpisów dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw

W Exchange Online programu PowerShell użyj następującej składni:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

Ten przykład zwraca wszystkie sfałszowane wpisy nadawcy na liście Zezwalaj/Blokuj dzierżawę.

Get-TenantAllowBlockListSpoofItems

Ten przykład zwraca wszystkie wewnętrzne wpisy nadawcy zezwalające na sfałszowane wpisy nadawcy.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

Ten przykład zwraca wszystkie zablokowane sfałszowane wpisy nadawcy, które są zewnętrzne.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-TenantAllowBlockListSpoofItems.

Użyj portalu Microsoft Defender, aby zmodyfikować wpisy dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw

W przypadku modyfikowania wpisu zezwalania lub blokowania dla sfałszowanych nadawców na liście Zezwalanie/blokowanie dzierżawy można zmienić tylko wpis z Pozycji Zezwalaj na blok lub odwrotnie.

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

  2. Wybierz kartę Spoofed senders (Fałszowani nadawcy ).

  3. Wybierz wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz wyświetloną akcję Edytuj .

  4. W wyświetlonym wysuwu Edytuj sfałszowanego nadawcę wybierz pozycję Zezwalaj lub Blokuj, a następnie wybierz pozycję Zapisz.

Modyfikowanie wpisów dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżawców przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

W tym przykładzie określona sfałszowana pozycja nadawcy zmienia wpis zezwalania na wpis blokowy.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-TenantAllowBlockListSpoofItems.

Użyj portalu Microsoft Defender, aby usunąć wpisy dla sfałszowanych nadawców z listy dozwolonych/zablokowanych dzierżaw

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

  2. Wybierz kartę Spoofed senders (Fałszowani nadawcy ).

  3. Na karcie Spoofed senders (Fałszowani nadawcy) wybierz wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz wyświetloną akcję Usuń.

    Porada

    Możesz zaznaczyć wiele wpisów, zaznaczając każde pole wyboru lub zaznaczając wszystkie wpisy, zaznaczając pole wyboru obok nagłówka kolumny Spoofed user .

  4. W wyświetlonym oknie dialogowym ostrzeżenia wybierz pozycję Usuń.

Używanie programu PowerShell do usuwania wpisów dla sfałszowanych nadawców z listy dozwolonych/zablokowanych dzierżaw

W Exchange Online programu PowerShell użyj następującej składni:

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

W tym przykładzie usunięto określonego sfałszowanego nadawcę. Wartość parametru Identyfikatory jest zwracana z właściwości Identity w danych wyjściowych polecenia Get-TenantAllowBlockListSpoofItems.

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-TenantAllowBlockListSpoofItems.

Składnia pary domeny dla sfałszowanych wpisów nadawcy

Para domeny dla sfałszowanego nadawcy na liście dozwolonych/blokowych dzierżawy używa następującej składni: <Spoofed user>, <Sending infrastructure>.

  • Sfałszowany użytkownik: ta wartość obejmuje adres e-mail sfałszowanego użytkownika, który jest wyświetlany w polu Od w klientach poczty e-mail. Ten adres jest również znany jako adres nadawcy 5322.From lub P2. Prawidłowe wartości obejmują:

    • Indywidualny adres e-mail (na przykład chris@contoso.com).
    • Domena poczty e-mail (na przykład contoso.com).
    • Symbol wieloznaczny (*).

  • Wysyłanie infrastruktury: ta wartość wskazuje źródło komunikatów od sfałszowanego użytkownika. Prawidłowe wartości obejmują:

    • Domena znaleziona w odwrotnym wyszukiwaniu DNS (rekord PTR) adresu IP źródłowego serwera poczty e-mail (na przykład fabrikam.com).
    • Jeśli źródłowy adres IP nie ma rekordu PTR, infrastruktura wysyłania jest identyfikowana jako <źródłowy adres IP>/24 (na przykład 192.168.100.100/24).
    • Zweryfikowana domena DKIM.
    • Symbol wieloznaczny (*).

Oto kilka przykładów prawidłowych par domen do identyfikowania sfałszowanych nadawców:

  • contoso.com, 192.168.100.100/24
  • chris@contoso.com, fabrikam.com
  • *, contoso.net

Uwaga

Symbole wieloznaczne można określić w infrastrukturze wysyłania lub w spoofed użytkownika, ale nie w obu w tym samym czasie. Na przykład *, * nie jest dozwolone.

Jeśli używasz domeny zamiast adresu IP lub zakresu adresów IP w infrastrukturze wysyłania, domena musi być zgodna z rekordem PTR dla adresu IP łączącego się w nagłówku Authentication-Results . PTR można określić, uruchamiając polecenie : ping -a <IP address>. Zalecamy również użycie domeny organizacji PTR jako wartości domeny. Jeśli na przykład ciąg PTR zostanie rozpoznany jako "smtp.inbound.contoso.com", należy użyć "contoso.com" jako infrastruktury wysyłania.

Dodanie pary domeny umożliwia lub blokuje kombinację sfałszowanego użytkownika itylko infrastruktury wysyłania. Możesz na przykład dodać wpis zezwalania dla następującej pary domen:

  • Domena: gmail.com
  • Wysyłanie infrastruktury: tms.mx.com

Tylko komunikaty z tej domeny i wysyłanie pary infrastruktury mogą się fałszować. Inni nadawcy próbujący podszywać się pod gmail.com nie są dozwolone. Komunikaty od nadawców w innych domenach pochodzących z tms.mx.com są sprawdzane przez analizę fałszowania.

Informacje o personifikowanych domenach lub nadawcach

Nie można tworzyć wpisów dozwolonych na liście dozwolonych/zablokowanych dzierżawy dla komunikatów, które zostały wykryte jako personifikowanych użytkowników lub personifikowanych domen za pomocą zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender.

Przesłanie komunikatu, który został niepoprawnie zablokowany jako personifikacja na karcie Wiadomości e-mail na stronie Przesłane pod https://security.microsoft.com/reportsubmission?viewid=email adresem, nie powoduje dodania nadawcy lub domeny jako wpisu dozwolonego na liście dozwolonych/zablokowanych dzierżaw.

Zamiast tego domena lub nadawca jest dodawana do sekcji Zaufani nadawcy i domeny w zasadach ochrony przed wyłudzaniem informacji , które wykryły komunikat.

Aby uzyskać instrukcje dotyczące przesyłania fałszywych alarmów personifikacji, zobacz Zgłaszanie dobrej wiadomości e-mail firmie Microsoft.

Uwaga

Obecnie personifikacja użytkownika (lub grafu) nie jest wykonywana z tego miejsca.