Zezwalanie na pocztę e-mail lub blokowanie jej przy użyciu listy dozwolonych/zablokowanych dzierżaw

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych administratorzy mogą tworzyć wpisy domen i adresów e-mail (w tym sfałszowanych nadawców) na liście dozwolonych/zablokowanych dzierżawców oraz zarządzać nimi. Aby uzyskać więcej informacji na temat listy dozwolonych/blokowych dzierżawy, zobacz Zarządzanie zezwoleniami i blokami na liście dozwolonych/zablokowanych dzierżaw.

W tym artykule opisano, jak administratorzy mogą zarządzać wpisami nadawców wiadomości e-mail w portalu Microsoft Defender i w programie Exchange Online programu PowerShell.

Co należy wiedzieć przed rozpoczęciem?

• Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList. Aby przejść bezpośrednio do strony Przesłane , użyj polecenia https://security.microsoft.com/reportsubmission.

• Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online. Aby nawiązać połączenie z autonomicznym programem PowerShell EOP, zobacz Connect to Exchange Online Protection PowerShell (Nawiązywanie połączenia z programem PowerShell).

• Limity wpisów dla domen i adresów e-mail:

  • Exchange Online Protection: maksymalna liczba dozwolonych wpisów wynosi 500, a maksymalna liczba wpisów blokowych to 500 (łącznie 1000 wpisów domen i adresów e-mail).
  • Ochrona usługi Office 365 w usłudze Defender plan 1: maksymalna liczba dozwolonych wpisów wynosi 1000, a maksymalna liczba wpisów blokowych to 1000 (łącznie 2000 wpisów domen i adresów e-mail).
  • Ochrona usługi Office 365 w usłudze Defender plan 2: maksymalna liczba dozwolonych wpisów wynosi 5000, a maksymalna liczba wpisów blokowych to 10000 (łącznie 15000 wpisów domen i adresów e-mail).

• W przypadku sfałszowanych nadawców maksymalna liczba wpisów dozwolonych i wpisów blokowych wynosi 1024 (1024 zezwalaj na wpisy i brak wpisów blokowych, 512 wpisów dozwolonych i 512 wpisów blokowych itp.).

• Wpisy dla sfałszowanych nadawców nigdy nie wygasają.

• Aby uzyskać szczegółowe informacje na temat składni fałszywych wpisów nadawcy, zobacz sekcję Składnia pary domen dla sfałszowanych wpisów nadawcy w dalszej części tego artykułu.

• Wpis powinien być aktywny w ciągu 5 minut.

• Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Dostępne są następujące opcje:

  • Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC) (dotyczy tylko portalu usługi Defender, a nie programu PowerShell): autoryzacja i ustawienia/Ustawienia zabezpieczeń/Dostrajanie wykrywania (zarządzanie) lub Ustawienia autoryzacji i/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (odczyt).
  • uprawnienia Exchange Online:
    • Dodaj i usuń wpisy z listy dozwolonych/zablokowanych dzierżaw: członkostwo w jednej z następujących grup ról:
      • Zarządzanie organizacją lub administrator zabezpieczeń (rola administratora zabezpieczeń).
      • Operator zabezpieczeń (Menedżer AllowBlockList dzierżawy).
    • Dostęp tylko do odczytu do listy dozwolonych/zablokowanych dzierżaw: członkostwo w jednej z następujących grup ról:
      • Czytelnik globalny
      • Czytelnik zabezpieczeń
      • Konfiguracja tylko do wyświetlania
      • Zarządzanie organizacją tylko do wyświetlania
  • uprawnienia Microsoft Entra: członkostwo w rolach administratora globalnego, administratora zabezpieczeń, czytelnika globalnego lub czytelnika zabezpieczeń zapewnia użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

Domeny i adresy e-mail na liście dozwolonych/zablokowanych dzierżaw

Tworzenie wpisów zezwalania dla domen i adresów e-mail

Nie można tworzyć wpisów zezwalania dla domen i adresów e-mail bezpośrednio na liście dozwolonych/zablokowanych dzierżaw. Niepotrzebne zezwalanie na wpisy naraża organizacji na złośliwe wiadomości e-mail, które zostałyby przefiltrowane przez system.

Zamiast tego użyjesz karty Wiadomości e-mail na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission?viewid=email. Po przesłaniu zablokowanej wiadomości, ponieważ nie powinno być blokowane (wynik fałszywie dodatni), wpis zezwalania dla nadawcy jest dodawany do karty Domeny & adresy e-mail na stronie Zezwalanie na dzierżawę/Blokuj Listy. Aby uzyskać instrukcje, zobacz Przesyłanie dobrej wiadomości e-mail do firmy Microsoft.

Uwaga

Wpisy zezwalające są dodawane na podstawie filtrów, które ustaliły, że wiadomość była złośliwa podczas przepływu poczty. Jeśli na przykład adres e-mail nadawcy i adres URL w wiadomości zostały uznane za nieprawidłowe, dla nadawcy (adresu e-mail lub domeny) i adresu URL zostanie utworzony wpis zezwalania.

Gdy jednostka we wpisie zezwalania zostanie ponownie napotkana (podczas przepływu poczty lub po kliknięciu), wszystkie filtry skojarzone z tą jednostką zostaną zastąpione.

Domyślnie zezwalaj na wpisy dla domen i adresów e-mail istnieją przez 30 dni. W ciągu tych 30 dni firma Microsoft uczy się z wpisów dozwolonych i usuwa je lub automatycznie je rozszerza. Po zapoznaniu się przez firmę Microsoft z usuniętych wpisów dozwolonych są dostarczane komunikaty zawierające te jednostki, chyba że coś innego w komunikacie zostanie wykryte jako złośliwe.

Jeśli podczas przepływu poczty wiadomości zawierające dozwoloną jednostkę przejdą inne kontrole w stosie filtrowania, komunikaty zostaną dostarczone. Jeśli na przykład komunikat przekazuje testy uwierzytelniania poczty e-mail, filtrowanie adresów URL i filtrowanie plików, komunikat jest dostarczany, jeśli jest również od dozwolonego nadawcy.

Tworzenie wpisów blokowych dla domen i adresów e-mail

Aby utworzyć wpisy blokowe dla domen i adresów e-mail, użyj jednej z następujących metod:

• Na karcie Wiadomości e-mail na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission?viewid=email. Po przesłaniu komunikatu jako Powinien zostać zablokowany (fałszywie ujemny) możesz wybrać pozycję Blokuj wszystkie wiadomości e-mail od tego nadawcy lub domeny, aby dodać wpis blokowy do karty Domeny & adresy e-mail na stronie Zezwalaj na dzierżawę/Blokuj Listy. Aby uzyskać instrukcje, zobacz Zgłaszanie wątpliwych wiadomości e-mail do firmy Microsoft.

• Na karcie Domeny & adresy na stronie Listy Zezwalaj na dzierżawę/Blokuj lub w programie PowerShell zgodnie z opisem w tej sekcji.

Aby utworzyć wpisy blokowe dla sfałszowanych nadawców, zobacz tę sekcję w dalszej części tego artykułu.

Email od tych zablokowanych nadawców jest oznaczona jako wyłudzanie informacji o wysokim poziomie zaufania i poddawane kwarantannie.

Uwaga

Obecnie poddomeny określonej domeny nie są blokowane. Jeśli na przykład utworzysz wpis blokowy dla wiadomości e-mail z contoso.com, poczta z marketing.contoso.com również nie zostanie zablokowana. Musisz utworzyć osobny wpis bloku dla marketing.contoso.com.

Użytkownicy w organizacji również nie mogą wysyłać wiadomości e-mail do zablokowanych domen i adresów. Wiadomość jest zwracana w następującym raporcie o braku dostarczania (znanym również jako komunikat NDR lub bounce): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. cała wiadomość jest zablokowana dla wszystkich wewnętrznych i zewnętrznych adresatów wiadomości, nawet jeśli tylko jeden adres e-mail adresata lub domena jest zdefiniowana w wpisie bloku.

Użyj portalu Microsoft Defender, aby utworzyć wpisy blokowe dla domen i adresów e-mail na liście dozwolonych/zablokowanych dzierżaw

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

2. Na stronie Zezwalaj/blokuj Listy dzierżawy sprawdź, czy wybrano kartę Domeny & adresy.

3. Na karcie Domeny & adresy wybierz pozycję Blokuj.

4. W oknie wysuwowym Blokuj domeny & adresów skonfiguruj następujące ustawienia:

   • Domeny & adresy: wprowadź jeden adres e-mail lub domenę na wiersz, maksymalnie 20.

   • Usuń wpis bloku po: Wybierz z następujących wartości:

     • 1 dzień
     • 7 dni
     • 30 dni (wartość domyślna)
     • Nigdy nie wygasaj
     • Konkretna data: Maksymalna wartość to 90 dni od dnia dzisiejszego.

   • Opcjonalna uwaga: wprowadź opisowy tekst, dla którego blokujesz adresy e-mail lub domeny.

5. Po zakończeniu pracy z wysuwaną pozycją Blokuj domeny & adresów wybierz pozycję Dodaj.

Po powrocie na kartę Domeny & adresy e-mail wpis jest wyświetlany.

Używanie programu PowerShell do tworzenia wpisów blokowych dla domen i adresów e-mail na liście dozwolonych/zablokowanych dzierżaw

W Exchange Online programu PowerShell użyj następującej składni:

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

W tym przykładzie dodano wpis bloku dla określonego adresu e-mail, który wygasa w określonym dniu.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-TenantAllowBlockListItems.

Użyj portalu Microsoft Defender, aby wyświetlić wpisy domen i adresów e-mail na liście dozwolonych/zablokowanych dzierżaw

W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady & reguły> zasadzagrożeń>Zezwalaj na dzierżawę/blokuj Listy w sekcji Reguły. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

Sprawdź, czy wybrano kartę Domeny & adresy .

Na karcie Domeny & adresy można sortować wpisy, klikając dostępny nagłówek kolumny. Dostępne są następujące kolumny:

• Wartość: domena lub adres e-mail.
• Akcja: wartość Zezwalaj lub Blokuj.
• Zmodyfikowane przez
• Ostatnia aktualizacja
• Usuń: data wygaśnięcia.
• Uwagi

Aby filtrować wpisy, wybierz pozycję Filtruj. W wyświetlonym okienku wysuwowym Filtr są dostępne następujące filtry:

• Akcja: Wartości to Zezwalaj i Blokuj.
• Nigdy nie wygasaj: lub
• Ostatnia aktualizacja: wybierz pozycję Od i do dat.
• Usuń w: wybierz pozycję Od i Do dat.

Po zakończeniu w wysuwnym filtrze wybierz pozycję Zastosuj. Aby wyczyścić filtry, wybierz pozycję Wyczyść filtry.

Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określone wpisy.

Aby pogrupować wpisy, wybierz pozycję Grupuj , a następnie wybierz pozycję Akcja. Aby rozgrupować wpisy, wybierz pozycję Brak.

Używanie programu PowerShell do wyświetlania wpisów dla domen i adresów e-mail na liście dozwolonych/zablokowanych dzierżaw

W Exchange Online programu PowerShell użyj następującej składni:

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

Ten przykład zwraca wszystkie wpisy zezwalania i blokowania dla domen i adresów e-mail.

Get-TenantAllowBlockListItems -ListType Sender

W tym przykładzie wyniki filtrują wpisy blokowe dla domen i adresów e-mail.

Get-TenantAllowBlockListItems -ListType Sender -Block

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-TenantAllowBlockListItems.

Użyj portalu Microsoft Defender, aby zmodyfikować wpisy dla domen i adresów e-mail na liście zezwalania/blokowania dzierżawy

W istniejących wpisach domeny i adresu e-mail można zmienić datę wygaśnięcia i zanotować.

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

2. Sprawdź, czy wybrano kartę Domeny & adresy .

3. Na karcie Domeny & adresy wybierz wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz wyświetloną akcję Edytuj.

4. W wyświetlonym menu wysuwowym Edytuj domeny & adresy dostępne są następujące ustawienia:

   • Blokuj wpisy:
     • Usuń wpis bloku po: Wybierz z następujących wartości:
       • 1 dzień
       • 7 dni
       • 30 dni
       • Nigdy nie wygasaj
       • Konkretna data: Maksymalna wartość to 90 dni od dnia dzisiejszego.
     • Uwaga opcjonalna
   • Zezwalaj na wpisy:
     • Usuń wpis zezwalania po: Wybierz z następujących wartości:
       • 1 dzień
       • 7 dni
       • 30 dni
       • Konkretna data: Maksymalna wartość to 30 dni od dnia dzisiejszego.
     • Uwaga opcjonalna

   Po zakończeniu pracy z wysuwaną pozycją Edytuj domeny & adresów wybierz pozycję Zapisz.

Porada

W wysuwanych szczegółach wpisu na karcie Domeny & adresy użyj pozycji Wyświetl przesyłanie w górnej części wysuwanego menu, aby przejść do szczegółów odpowiedniego wpisu na stronie Przesłane . Ta akcja jest dostępna, jeśli przesłanie było odpowiedzialne za utworzenie wpisu na liście dozwolonych/zablokowanych dzierżaw.

Modyfikowanie wpisów domen i adresów e-mail na liście zezwalania/blokowania dzierżawy przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Ten przykład zmienia datę wygaśnięcia określonego wpisu bloku dla adresu e-mail nadawcy.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-TenantAllowBlockListItems.

Użyj portalu Microsoft Defender, aby usunąć wpisy domen i adresów e-mail z listy dozwolonych/zablokowanych dzierżaw

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

2. Sprawdź, czy wybrano kartę Domeny & adresy .

3. Na karcie Domeny & adresy wykonaj jedną z następujących czynności:

   • Wybierz wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz wyświetloną akcję Usuń .

   • Wybierz wpis z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru. W wyświetlonym oknie wysuwowym szczegółów wybierz pozycję Usuń w górnej części wysuwanego menu.

     Porada

     • Aby wyświetlić szczegółowe informacje o innych wpisach bez opuszczania wysuwanego szczegółów, użyj pozycji Poprzedni element i Następny element w górnej części wysuwanego elementu.
     • Możesz zaznaczyć wiele wpisów, zaznaczając każde pole wyboru lub zaznaczając wszystkie wpisy, zaznaczając pole wyboru obok nagłówka kolumny Wartość .

4. W wyświetlonym oknie dialogowym ostrzeżenia wybierz pozycję Usuń.

Na karcie Domeny & adresy wpis nie jest już wyświetlany.

Usuwanie wpisów domen i adresów e-mail z listy dozwolonych/zablokowanych dzierżawców przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

W tym przykładzie usunięto określony wpis dla domen i adresów e-mail z listy zezwalania/blokowania dzierżawy.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-TenantAllowBlockListItems.

Fałszowani nadawcy na liście dozwolonych/zablokowanych dzierżaw

Po zastąpieniu werdyktu w analizie analizy fałszowania sfałszowany nadawca staje się ręcznym wpisem zezwalającym lub blokowym, który pojawia się tylko na karcie Sfałszowani nadawcy na stronie Zezwalaj na dzierżawę/Blokuj Listy.

Tworzenie wpisów dozwolonych dla sfałszowanych nadawców

Aby utworzyć wpisy zezwalające dla sfałszowanych nadawców, użyj dowolnej z następujących metod:

• Na karcie Wiadomości e-mail na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission?viewid=email. Aby uzyskać instrukcje, zobacz Przesyłanie dobrej wiadomości e-mail do firmy Microsoft.
  • Po przesłaniu komunikatu, który został wykryty i zablokowany przez analizę fałszowania, wpis dozwolony dla sfałszowanego nadawcy jest dodawany do karty Sfałszowane nadawcy na liście dozwolonych/zablokowanych dzierżaw.
  • Jeśli nadawca nie został wykryty i zablokowany przez sfałszowanie analizy, przesłanie wiadomości do firmy Microsoft nie spowoduje utworzenia wpisu zezwalającego dla nadawcy na liście dozwolonych/zablokowanych dzierżaw.
• Na stronie Szczegółowe informacje o fałszowaniu analizy pod adresem https://security.microsoft.com/spoofintelligence, czy nadawca został wykryty i zablokowany przez fałszowanie inteligencji. Aby uzyskać instrukcje, zobacz Zastępowanie werdyktu analizy fałszowania.
  • Po zastąpieniu werdyktu w analizie analizy fałszowania sfałszowany nadawca staje się wpisem ręcznym, który pojawia się tylko na karcie Sfałszowani nadawcy na stronie Zezwalaj na dzierżawę/Blokuj Listy.
• Na karcie Sfałszowane nadawcy na stronie Zezwalaj/blokuj dzierżawę Listy lub w programie PowerShell zgodnie z opisem w tej sekcji.

Uwaga

Zezwalaj na wpisy dla sfałszowanych kont nadawców dla intra-org, cross-org i fałszowania DMARC.

Tylko kombinacja sfałszowanego użytkownika i infrastruktury wysyłania zdefiniowanej w parze domeny może się podszywać.

Zezwalaj na wpisy dla sfałszowanych nadawców nigdy nie wygasają.

Użyj portalu Microsoft Defender, aby utworzyć wpisy zezwalające na fałszowanie nadawców na liście dozwolonych/zablokowanych dzierżaw

Na liście zezwalania/blokowania dzierżawy można tworzyć wpisy zezwalania dla sfałszowanych nadawców, zanim zostaną wykryte i zablokowane przez analizę fałszowania.

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

2. Na stronie Zezwalaj na dzierżawę/Blokuj Listy wybierz kartę Spoofed senders (Fałszowani nadawcy).

3. Na karcie Spoofed senders (Fałszowani nadawcy ) wybierz pozycję Dodaj.

4. W wyświetlonym menu wysuwowym Dodawanie nowych par domeny skonfiguruj następujące ustawienia:

   • Dodawanie par domeny z symbolami wieloznacznymi: wprowadź parę domeny na wiersz, maksymalnie do 20. Aby uzyskać szczegółowe informacje na temat składni fałszywych wpisów nadawcy, zobacz sekcję Składnia pary domen dla sfałszowanych wpisów nadawcy w dalszej części tego artykułu.

   • Typ fałszowania: wybierz jedną z następujących wartości:

     • Wewnętrzne: sfałszowany nadawca znajduje się w domenie należącej do Organizacji ( akceptowana domena).
     • Zewnętrzne: sfałszowany nadawca znajduje się w domenie zewnętrznej.

   • Akcja: wybierz pozycję Zezwalaj lub Blokuj.

   Po zakończeniu pracy z wysuwaną opcją Dodaj nowe pary domen wybierz pozycję Dodaj.

Z powrotem na karcie Spoofed senders (Fałszowani nadawcy ) jest wyświetlany wpis.

Używanie programu PowerShell do tworzenia wpisów dozwolonych dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw

W Exchange Online programu PowerShell użyj następującej składni:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

W tym przykładzie jest tworzony wpis zezwalania dla nadawcy bob@contoso.com z contoso.com źródłowego.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-TenantAllowBlockListSpoofItems.

Tworzenie wpisów blokowych dla sfałszowanych nadawców

Aby utworzyć wpisy blokowe dla sfałszowanych nadawców, użyj dowolnej z następujących metod:

• Na karcie Wiadomości e-mail na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission?viewid=email. Aby uzyskać instrukcje, zobacz Zgłaszanie wątpliwych wiadomości e-mail do firmy Microsoft.
• Na stronie Szczegółowe informacje o fałszowaniu analizy pod adresem https://security.microsoft.com/spoofintelligence, czy nadawca został wykryty i dozwolony przez fałszowanie inteligencji. Aby uzyskać instrukcje, zobacz Zastępowanie werdyktu analizy fałszowania.
  • Po zastąpieniu werdyktu w analizie analizy fałszowania sfałszowany nadawca staje się wpisem ręcznym, który pojawia się tylko na karcie Sfałszowani nadawcy na stronie Zezwalaj na dzierżawę/Blokuj Listy.
• Na karcie Sfałszowane nadawcy na stronie Zezwalaj/blokuj dzierżawę Listy lub w programie PowerShell zgodnie z opisem w tej sekcji.

Uwaga

Tylko kombinacja sfałszowanego użytkownika i infrastruktury wysyłania zdefiniowanej w parze domeny jest zablokowana przed fałszowaniem.

Email od tych nadawców jest oznaczony jako wyłudzanie informacji. To, co dzieje się z wiadomościami, zależy od zasad ochrony przed spamem , które wykryły wiadomość dla adresata. Aby uzyskać więcej informacji, zobacz akcję wykrywania wyłudzania informacji w ustawieniach zasad ochrony przed spamem EOP.

Po skonfigurowaniu wpisu bloku dla pary domeny sfałszowany nadawca staje się ręcznym wpisem bloku, który jest wyświetlany tylko na karcie Sfałszowane nadawcy na liście dozwolonych/zablokowanych dzierżaw.

Blokowanie wpisów dla sfałszowanych nadawców nigdy nie wygasa.

Użyj portalu Microsoft Defender, aby utworzyć wpisy blokowe dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw

Kroki są niemal identyczne z tworzeniem wpisów dozwolonych dla sfałszowanych nadawców , jak opisano wcześniej w tym artykule.

Jedyna różnica polega na tym, że dla wartości Akcja w kroku 4 wybierz pozycję Blokuj zamiast Zezwalaj.

Używanie programu PowerShell do tworzenia wpisów blokowych dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw

W Exchange Online programu PowerShell użyj następującej składni:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

Ten przykład tworzy wpis blokowy dla nadawcy laura@adatum.com ze źródła 172.17.17.17/24.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-TenantAllowBlockListSpoofItems.

Użyj portalu Microsoft Defender, aby wyświetlić wpisy dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw

W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady & reguły> zasadzagrożeń>Zezwalaj na dzierżawę/blokuj Listy w sekcji Reguły. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

Sprawdź, czy wybrano kartę Sfałszowane nadawcy .

Na karcie Spoofed senders (Fałszowani nadawcy ) możesz sortować wpisy, klikając dostępny nagłówek kolumny. Dostępne są następujące kolumny:

• Sfałszowany użytkownik
• Wysyłanie infrastruktury
• Typ fałszowania: Dostępne wartości to Wewnętrzne lub Zewnętrzne.
• Akcja: Dostępne wartości to Blokuj lub Zezwalaj.

Aby filtrować wpisy, wybierz pozycję Filtruj. W wyświetlonym okienku wysuwowym Filtr są dostępne następujące filtry:

• Akcja: Dostępne wartości to Zezwalaj i Blokuj.
• Typ fałszowania: Dostępne wartości to Wewnętrzne i Zewnętrzne.

Po zakończeniu w wysuwnym filtrze wybierz pozycję Zastosuj. Aby wyczyścić filtry, wybierz pozycję Wyczyść filtry.

Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określone wpisy.

Aby pogrupować wpisy, wybierz pozycję Grupuj , a następnie wybierz jedną z następujących wartości:

• Akcja
• Typ fałszowania

Aby rozgrupować wpisy, wybierz pozycję Brak.

Używanie programu PowerShell do wyświetlania wpisów dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw

W Exchange Online programu PowerShell użyj następującej składni:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

Ten przykład zwraca wszystkie sfałszowane wpisy nadawcy na liście Zezwalaj/Blokuj dzierżawę.

Get-TenantAllowBlockListSpoofItems

Ten przykład zwraca wszystkie wewnętrzne wpisy nadawcy zezwalające na sfałszowane wpisy nadawcy.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

Ten przykład zwraca wszystkie zablokowane sfałszowane wpisy nadawcy, które są zewnętrzne.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-TenantAllowBlockListSpoofItems.

Użyj portalu Microsoft Defender, aby zmodyfikować wpisy dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw

W przypadku modyfikowania wpisu zezwalania lub blokowania dla sfałszowanych nadawców na liście Zezwalanie/blokowanie dzierżawy można zmienić tylko wpis z Pozycji Zezwalaj na blok lub odwrotnie.

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

2. Wybierz kartę Spoofed senders (Fałszowani nadawcy ).

3. Wybierz wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz wyświetloną akcję Edytuj .

4. W wyświetlonym wysuwu Edytuj sfałszowanego nadawcę wybierz pozycję Zezwalaj lub Blokuj, a następnie wybierz pozycję Zapisz.

Modyfikowanie wpisów dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżawców przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

W tym przykładzie określona sfałszowana pozycja nadawcy zmienia wpis zezwalania na wpis blokowy.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-TenantAllowBlockListSpoofItems.

Użyj portalu Microsoft Defender, aby usunąć wpisy dla sfałszowanych nadawców z listy dozwolonych/zablokowanych dzierżaw

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

2. Wybierz kartę Spoofed senders (Fałszowani nadawcy ).

3. Na karcie Spoofed senders (Fałszowani nadawcy) wybierz wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz wyświetloną akcję Usuń.

   Porada

   Możesz zaznaczyć wiele wpisów, zaznaczając każde pole wyboru lub zaznaczając wszystkie wpisy, zaznaczając pole wyboru obok nagłówka kolumny Spoofed user .

4. W wyświetlonym oknie dialogowym ostrzeżenia wybierz pozycję Usuń.

Używanie programu PowerShell do usuwania wpisów dla sfałszowanych nadawców z listy dozwolonych/zablokowanych dzierżaw

W Exchange Online programu PowerShell użyj następującej składni:

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

W tym przykładzie usunięto określonego sfałszowanego nadawcę. Wartość parametru Identyfikatory jest zwracana z właściwości Identity w danych wyjściowych polecenia Get-TenantAllowBlockListSpoofItems.

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-TenantAllowBlockListSpoofItems.

Składnia pary domeny dla sfałszowanych wpisów nadawcy

Para domeny dla sfałszowanego nadawcy na liście dozwolonych/blokowych dzierżawy używa następującej składni: <Spoofed user>, <Sending infrastructure>.

• Sfałszowany użytkownik: ta wartość obejmuje adres e-mail sfałszowanego użytkownika, który jest wyświetlany w polu Od w klientach poczty e-mail. Ten adres jest również znany jako adres nadawcy 5322.From lub P2. Prawidłowe wartości obejmują:

  • Indywidualny adres e-mail (na przykład chris@contoso.com).
  • Domena poczty e-mail (na przykład contoso.com).
  • Symbol wieloznaczny (*).

• Wysyłanie infrastruktury: ta wartość wskazuje źródło komunikatów od sfałszowanego użytkownika. Prawidłowe wartości obejmują:

  • Domena znaleziona w odwrotnym wyszukiwaniu DNS (rekord PTR) adresu IP źródłowego serwera poczty e-mail (na przykład fabrikam.com).
  • Jeśli źródłowy adres IP nie ma rekordu PTR, infrastruktura wysyłania jest identyfikowana jako <źródłowy adres IP>/24 (na przykład 192.168.100.100/24).
  • Zweryfikowana domena DKIM.
  • Symbol wieloznaczny (*).

Oto kilka przykładów prawidłowych par domen do identyfikowania sfałszowanych nadawców:

• contoso.com, 192.168.100.100/24
• chris@contoso.com, fabrikam.com
• *, contoso.net

Uwaga

Symbole wieloznaczne można określić w infrastrukturze wysyłania lub w spoofed użytkownika, ale nie w obu w tym samym czasie. Na przykład *, * nie jest dozwolone.

Jeśli używasz domeny zamiast adresu IP lub zakresu adresów IP w infrastrukturze wysyłania, domena musi być zgodna z rekordem PTR dla adresu IP łączącego się w nagłówku Authentication-Results . PTR można określić, uruchamiając polecenie : ping -a <IP address>. Zalecamy również użycie domeny organizacji PTR jako wartości domeny. Jeśli na przykład ciąg PTR zostanie rozpoznany jako "smtp.inbound.contoso.com", należy użyć "contoso.com" jako infrastruktury wysyłania.

Dodanie pary domeny umożliwia lub blokuje kombinację sfałszowanego użytkownika itylko infrastruktury wysyłania. Możesz na przykład dodać wpis zezwalania dla następującej pary domen:

• Domena: gmail.com
• Wysyłanie infrastruktury: tms.mx.com

Tylko komunikaty z tej domeny i wysyłanie pary infrastruktury mogą się fałszować. Inni nadawcy próbujący podszywać się pod gmail.com nie są dozwolone. Komunikaty od nadawców w innych domenach pochodzących z tms.mx.com są sprawdzane przez analizę fałszowania.

Informacje o personifikowanych domenach lub nadawcach

Nie można tworzyć wpisów dozwolonych na liście dozwolonych/zablokowanych dzierżawy dla komunikatów, które zostały wykryte jako personifikowanych użytkowników lub personifikowanych domen za pomocą zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender.

Przesłanie komunikatu, który został niepoprawnie zablokowany jako personifikacja na karcie Wiadomości e-mail na stronie Przesłane pod https://security.microsoft.com/reportsubmission?viewid=email adresem, nie powoduje dodania nadawcy lub domeny jako wpisu dozwolonego na liście dozwolonych/zablokowanych dzierżaw.

Zamiast tego domena lub nadawca jest dodawana do sekcji Zaufani nadawcy i domeny w zasadach ochrony przed wyłudzaniem informacji , które wykryły komunikat.

Aby uzyskać instrukcje dotyczące przesyłania fałszywych alarmów personifikacji, zobacz Zgłaszanie dobrej wiadomości e-mail firmie Microsoft.

Uwaga

Obecnie personifikacja użytkownika (lub grafu) nie jest wykonywana z tego miejsca.

Artykuły pokrewne

• Strona Przesłane umożliwia przesyłanie do firmy Microsoft wiadomości e-mail z podejrzeniem spamu, phish, adresów URL, legalnych wiadomości e-mail i załączników wiadomości e-mail
• Zgłaszanie wyników fałszywie dodatnich i fałszywie ujemnych
• Zarządzanie zezwoleniami i blokami na liście dozwolonych/zablokowanych dzierżaw
• Zezwalaj na pliki lub blokuj na liście dozwolonych/zablokowanych dzierżaw
• Zezwalaj lub blokuj adresy URL na liście dozwolonych/zablokowanych dzierżaw