Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Важно!

Чтобы разрешить фишинговые URL-адреса, которые являются частью обучения симуляции атак сторонних разработчиков, используйте расширенную конфигурацию доставки для указания URL-адресов. Не используйте список разрешенных и заблокированных клиентов.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков, вы можете не согласиться с EOP или Microsoft Defender для Office 365 фильтрации вердикта. Например, хорошее сообщение может быть помечено как плохое (ложноположительное), или неправильное сообщение может быть разрешено через (ложноотрицательный).

Список разрешенных и заблокированных клиентов на портале Microsoft Defender позволяет вручную переопределить решения фильтрации Defender для Office 365 или EOP. Список используется во время потока обработки почты или во время щелчка для входящих сообщений от внешних отправителей.

Записи для доменов и адресов электронной почты и подделанных отправителей применяются к внутренним сообщениям, отправляемых в организации. Записи блокировки для доменов и адресов электронной почты также не позволяют пользователям в организации отправлять сообщения электронной почты на эти заблокированные домены и адреса.

Список разрешенных и заблокированных клиентов доступен на портале Microsoft Defender по адресу https://security.microsoft.comEmail & политики совместной работы>& правила>Политики> угрозв разделе >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

Инструкции по использованию и настройке см. в следующих статьях:

• Домены и адреса электронной почты и подделанные отправители: разрешить или заблокировать сообщения электронной почты с помощью списка разрешенных и заблокированных клиентов
• Файлы: разрешить или заблокировать файлы с помощью списка разрешенных и заблокированных клиентов
• URL-адреса: разрешить или заблокировать URL-адреса с помощью списка разрешенных и заблокированных клиентов.
• IP-адреса: разрешить или заблокировать IPv6-адреса с помощью списка разрешенных и заблокированных клиентов.

Эти статьи содержат процедуры на портале Microsoft Defender и в PowerShell.

Блокируют записи в списке разрешенных и заблокированных клиентов

Совет

В списке разрешенных и заблокированных клиентов блок-записи имеют приоритет над разрешенным.

Используйте страницу Отправки (также называемую отправкой администратором) по адресу https://security.microsoft.com/reportsubmission для создания блок-записей для следующих типов элементов при их отправке в корпорацию Майкрософт в виде ложных отрицательных результатов:

• Домены и адреса электронной почты:

  • Email сообщения от этих отправителей помечаются как фишинговые с высоким уровнем достоверности, а затем перемещаются в карантин.
  • Пользователи в организации не могут отправлять сообщения электронной почты на эти заблокированные домены и адреса. Они получают следующий отчет о недоставке (также известное как сообщение о недоставке или отказе): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. все сообщение блокируется для всех внутренних и внешних получателей сообщения, даже если в записи блока определен только один адрес электронной почты или домен получателя.

  Совет

  Чтобы заблокировать только спам от определенного отправителя, добавьте адрес электронной почты или домен в список блокировок в политиках защиты от нежелательной почты. Чтобы заблокировать все сообщения электронной почты от отправителя, используйте домены и адреса электронной почты в списке разрешенных и заблокированных клиентов.

• Файлы: Email сообщения, содержащие эти заблокированные файлы, блокируются как вредоносные программы. Сообщения, содержащие заблокированные файлы, помещаются в карантин.

• URL-адреса: Email сообщения, содержащие эти заблокированные URL-адреса, блокируются как фишинг с высокой достоверностью. Сообщения, содержащие заблокированные URL-адреса, помещаются в карантин.

В списке разрешенных и заблокированных клиентов можно также напрямую создавать записи блоков для следующих типов элементов:

• Домены и адреса электронной почты, файлы и URL-адреса.

• Спуфинированные отправители. Если вручную переопределить существующий вердикт разрешения из подделавной аналитики, заблокированный спуфинг становится блокированной записью вручную, которая отображается только на вкладке Подделанные отправители в списке разрешений и блокировок клиента.

• IP-адреса. Если вы вручную создаете запись блока, все входящие сообщения электронной почты с этого IP-адреса удаляются на границе службы.

По умолчанию блокируются записи для доменов и адресов электронной почты, файлов и URL-адресов , срок действия которого истекает через 30 дней, но их срок действия истекает через 90 дней или никогда не истечет.

Блокировка записей для подделанных отправителей и IP-адресов никогда не заканчивается.

Разрешить записи в списке разрешенных и заблокированных клиентов

В большинстве случаев нельзя напрямую создавать разрешенные записи в списке разрешенных и заблокированных клиентов. Ненужные записи разрешения предоставляют вашей организации вредоносные сообщения электронной почты, которые могли быть отфильтрованы системой.

• Домены и адреса электронной почты, файлы и URL-адреса. Вы не можете создавать разрешенные записи непосредственно в списке разрешенных и заблокированных клиентов. Вместо этого вы используете страницу Отправки по адресу для https://security.microsoft.com/reportsubmission отправки электронной почты, вложения или URL-адреса в корпорацию Майкрософт. После нажатия кнопки Я подтвердила, что она чиста, можно выбрать Разрешить это сообщение, Разрешить этот файл или Разрешить этот URL-адрес , чтобы создать запись разрешения для доменов и адресов электронной почты, файлов или URL-адресов.

• Подделанные отправители:

  • Если спуфинговая аналитика уже заблокировала сообщение как подделывание, используйте страницу Отправки по адресу https://security.microsoft.com/reportsubmission , чтобы сообщить об этом сообщении корпорации Майкрософт , как я подтвердил, что оно чистое, а затем выберите Разрешить это сообщение.
  • Вы можете заранее создать запись разрешения для подделаного отправителя на вкладке Spoofed sender в списке разрешенных и заблокированных клиентов, прежде чем спуфинга аналитика определит и заблокирует сообщение как спуфингом.

• IP-адреса. Вы можете заранее создать запись разрешения для IP-адреса на вкладке IP-адреса в списке разрешенных и заблокированных клиентов, чтобы переопределить фильтры IP-адресов для входящих сообщений.

В следующем списке описано, что происходит в списке разрешенных и заблокированных клиентов при отправке чего-либо в Корпорацию Майкрософт в виде ложного срабатывания на странице Отправки .

• Email вложения и URL-адреса. Создается запись разрешения, и эта запись отображается на вкладке Файлы или URL-адреса в списке разрешенных и заблокированных клиентов соответственно.

  Для URL-адресов, сообщаемых как ложноположительные, мы разрешаем последующие сообщения, содержащие варианты исходного URL-адреса. Например, вы используете страницу Отправки , чтобы сообщить о неправильно заблокированном URL-адресе www.contoso.com/abc. Если ваша организация позже получит сообщение, содержащее URL-адрес (напримерwww.contoso.com/abc, www.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5или www.contoso.com/abc/whatever), сообщение не блокируется по URL-адресу. Иными словами, вам не нужно сообщать корпорации Майкрософт о нескольких вариантах одного и того же URL-адреса.

• Email. Если сообщение было заблокировано стеком фильтрации EOP или Defender для Office 365, в списке разрешенных и заблокированных клиентов может быть создана запись разрешения:

  • Если сообщение было заблокировано спуфингом, создается допустимая запись для отправителя, и эта запись отображается на вкладке Подделанные отправители в списке разрешенных и заблокированных клиентов.
  • Если сообщение было заблокировано защитой олицетворения пользователя (или графа) в Defender для Office 365, запись разрешения не создается в списке разрешенных и заблокированных клиентов. Вместо этого домен или отправитель добавляется в раздел Доверенные отправители и доменыв политике защиты от фишинга , которая обнаружила сообщение.
  • Если сообщение было заблокировано из-за файловых фильтров, создается запись разрешения для файла, а запись отображается на вкладке Файлы в списке разрешенных и заблокированных клиентов.
  • Если сообщение было заблокировано из-за фильтров на основе URL-адресов, создается запись разрешения для URL-адреса, а запись отображается на вкладке URL-адрес в списке разрешенных и заблокированных клиентов.
  • Если сообщение было заблокировано по какой-либо другой причине, создается запись разрешения для адреса электронной почты или домена отправителя, а запись отображается на вкладке Домены & адреса в списке разрешенных и заблокированных клиентов.
  • Если сообщение не было заблокировано из-за фильтрации, нигде не создаются разрешенные записи.

Совет

Разрешенные записи из отправки добавляются во время потока обработки почты на основе фильтров, которые определили, что сообщение было вредоносным. Например, если адрес электронной почты отправителя и URL-адрес в сообщении определены как вредоносные, для отправителя (адрес электронной почты или домен) и URL-адреса создается запись разрешения.

Если во время потока обработки почты или во время щелчка сообщения, содержащие сущности в разрешенных записях, проходят другие проверки в стеке фильтрации, сообщения доставляются (все фильтры, связанные с разрешенными сущностями, пропускаются). Например, если сообщение проходит проверку подлинности электронной почты, фильтрацию URL-адресов и фильтрацию файлов, сообщение с разрешенного адреса электронной почты доставляется, если оно также от разрешенного отправителя.

По умолчанию разрешенные записи для доменов и адресов электронной почты, файлов и URL-адресов хранятся в течение 45 дней после того, как система фильтрации определит, что сущность чиста, а затем запись разрешения удаляется. Или можно задать срок действия разрешенных записей до 30 дней после их создания. Срок действия разрешенных записей для подделанных отправителей никогда не истекает.

Чего ожидать после добавления записи разрешения или блокировки

После добавления разрешенной записи на странице Отправки или записи блока в списке разрешенных и заблокированных клиентов запись должна начать работу немедленно (в течение 5 минут).

Если корпорация Майкрософт узнала из записи разрешения, встроенная политика генерации оповещенийс именем Удалена запись в списке разрешенных или заблокированных клиентов создает оповещение при удалении (теперь ненужной) записи разрешения.