Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft 365 Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Область применения

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection (EOP) без Exchange Online почтовых ящиков вы можете не согласиться с решением фильтрации EOP. Например, хорошее сообщение может быть помечено как плохое (ложноположительное), или неправильное сообщение может быть разрешено через (ложноотрицательный).

Список разрешенных и заблокированных клиентов на портале Microsoft 365 Defender позволяет вручную переопределить решения фильтрации Microsoft 365. Список разрешенных и заблокированных клиентов используется во время потока обработки входящих сообщений от внешних отправителей (не применяется к сообщениям внутри организации) и во время щелчков пользователем.

Список разрешенных и заблокированных клиентов доступен на портале Microsoft 365 Defender в разделе https://security.microsoft.com> Правила политики &>Политики Политики> УгрозСписки разрешенных и заблокированных клиентов в разделе Правила. Чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов, используйте .https://security.microsoft.com/tenantAllowBlockList

Инструкции по созданию и настройке записей см. в следующих разделах:

Эти статьи содержат процедуры на портале Microsoft 365 Defender и в PowerShell.

Блокируют записи в списке разрешенных и заблокированных клиентов

Примечание.

В списке разрешенных и заблокированных клиентов блок-записи имеют приоритет над разрешенным.

Используйте портал отправки (также известный как отправка администратора) по адресу https://security.microsoft.com/reportsubmission , чтобы создавать блок-записи для следующих типов элементов, сообщая о них в майкрософт как ложные срабатывания:

  • Домены и адреса электронной почты:

    • Email сообщения от этих отправителей помечаются как спам с высоким уровнем достоверности (SCL = 9). Что происходит с сообщениями, определяется политикой защиты от нежелательной почты , которая обнаружила сообщение для получателя. В политике защиты от нежелательной почты по умолчанию и новых настраиваемых политиках сообщения, помеченные как спам с высоким уровнем достоверности, по умолчанию доставляются в папку "Нежелательная Email". В стандартных и строгих предустановленных политиках безопасности сообщения нежелательной почты с высоким уровнем достоверности помещаются в карантин.
    • Пользователи в организации не могут отправлять сообщения электронной почты на эти заблокированные домены и адреса. Они получат следующий отчет о недоставке (также известное как сообщение о недоставке или отказе): "550 5.7.703 Ваше сообщение не может быть доставлено, так как один или несколько получателей заблокированы политикой блокировки получателей клиента вашей организации". Все сообщение блокируется для всех получателей сообщения, даже если в записи блока определен только один адрес электронной почты или домен получателя.

    Примечание.

    Чтобы заблокировать только спам от определенного отправителя, добавьте адрес электронной почты или домен в список блокировок в политиках защиты от нежелательной почты. Чтобы заблокировать все сообщения электронной почты от отправителя, используйте домены и адреса электронной почты в списке разрешенных и заблокированных клиентов.

  • Файлы: Email сообщения, содержащие эти заблокированные файлы, блокируются как вредоносные программы.

  • URL-адреса: Email сообщения, содержащие эти заблокированные URL-адреса, блокируются как фишинг с высокой достоверностью. Сообщения, содержащие заблокированные URL-адреса, помещаются в карантин.

В списке разрешенных и заблокированных клиентов можно также напрямую создавать записи блоков для следующих типов элементов:

  • Домены и адреса электронной почты, файлы и URL-адреса.

  • Спуфинированные отправители. Если вручную переопределить существующий вердикт разрешения из средств анализа поддельных данных, заблокированный подделанный отправитель становится блокированной записью вручную, которая отображается только на вкладке Спуфинг отправителей в списке разрешений и блокировок клиента.

По умолчанию блокируются записи для доменов и адресов электронной почты, файлов и URL-адресов , срок действия которого истекает через 30 дней, но их срок действия истекает через 90 дней или никогда не истечет. Срок действия заблокированных записей для подделанных отправителей никогда не истекает.

Разрешить записи в списке разрешенных и заблокированных клиентов

В большинстве случаев нельзя напрямую создавать записи разрешений в списке разрешенных и заблокированных клиентов:

  • Домены и адреса электронной почты, файлы и URL-адреса. Вы не можете создавать разрешенные записи непосредственно в списке разрешенных и заблокированных клиентов. Вместо этого вы используете портал отправки по адресуhttps://security.microsoft.com/reportsubmission, чтобы сообщить о сообщении электронной почты, вложении электронной почты или URL-адресе в корпорацию Майкрософт как не должно быть заблокировано (ложноположительный результат).

  • Подделанные отправители:

    • Если спуфинга уже заблокировала сообщение как спуфинга, используйте портал отправки по адресуhttps://security.microsoft.com/reportsubmission, чтобы сообщить об этом сообщении в корпорацию Майкрософт как не должно быть заблокировано (ложноположительный результат).
    • Вы можете заранее создать запись разрешения для подделаного отправителя на вкладке Spoofed sender в списке разрешенных и заблокированных клиентов, прежде чем аналитика подделает и заблокирует сообщение как спуфингом.

В следующем списке описано, что происходит в списке разрешенных и заблокированных клиентов, когда вы сообщаете о чем-либо корпорации Майкрософт в качестве ложного срабатывания на портале отправки.

  • Email вложениях и URL-адресах. Создается допустимая запись, которая отображается на вкладке Файлы или URL-адреса в списке разрешенных и заблокированных клиентов.

  • Email. Если сообщение заблокировано стеком фильтрации Microsoft 365, в списке разрешенных и заблокированных клиентов может быть создана запись разрешения:

    • Если сообщение было заблокировано спуфингом, создается запись разрешения для отправителя, которая отображается на вкладке Спуфинированные отправители в списке разрешенных клиентов.

    • Если сообщение было заблокировано защитой олицетворения домена или пользователя в Defender для Office 365, запись разрешения не создается в списке разрешенных и заблокированных клиентов. Вместо этого домен или отправитель добавляется в раздел Доверенные отправители и доменыв политике защиты от фишинга , которая обнаружила сообщение.

    • Если сообщение было заблокировано по другим причинам, создается запись разрешения для отправителя и отображается на вкладке Адреса доменов & в списке разрешенных клиентов.

    • Если сообщение не было заблокировано и запись разрешения для отправителя не создана, оно не будет отображаться на вкладке Подделанные отправители или адреса доменов&.

По умолчанию срок действия разрешенных записей для доменов и адресов электронной почты, файлов и URL-адресов истекает через 30 дней, что также является максимальным. Срок действия разрешенных записей для подделанных отправителей никогда не истекает.

Примечание.

Корпорация Майкрософт не разрешает создавать записи разрешений напрямую, так как это приводит к созданию разрешений, которые не требуются, тем самым подвергая клиент клиента вредоносным сообщениям электронной почты, которые в противном случае могли бы быть отфильтрованы системой.

Корпорация Майкрософт управляет процессом создания разрешений из отправки, создавая разрешения для тех сущностей (доменов или адресов электронной почты, поддельных отправителей, URL-адресов, файлов), которые были определены фильтрами во время потока обработки почты как вредоносные. Например, если отправитель и URL-адрес в сообщении были определены как недопустимые, для отправителя создается допустимая запись, а для URL-адреса создается допустимая запись.

При повторном обнаружении этой сущности (домен или адрес электронной почты, URL-адрес, файл) все фильтры, связанные с этой сущностью, пропускаются.

Если во время потока обработки почты сообщения из домена или адреса электронной почты проходят другие проверки в стеке фильтрации, сообщения будут доставлены. Например, если проверка подлинности по электронной почте проходит, будет доставлено сообщение от отправителя в записи разрешения.

Чего ожидать после добавления записи разрешения или блокировки

После добавления разрешенной записи на портале Отправки или блок-записи в списке разрешенных и заблокированных клиентов запись должна начать работать сразу в 99,999 % случаев. В остальном это может занять до 24 часов.

Мы рекомендуем разрешить автоматический срок действия записей через 30 дней, чтобы узнать, узнала ли система о разрешениях или блокировках. В противном случае следует сделать еще одну запись, чтобы дать системе еще 30 дней на обучение.

При управлении сроком действия разрешений (в настоящее время в закрытой предварительной версии), если корпорация Майкрософт не узнала об этом, корпорация Майкрософт автоматически продлевает срок действия разрешенных записей, срок действия которого скоро истечет еще на 30 дней. Это расширение помогает предотвратить повторное попадание в нежелательную или карантинную электронную почту. Если корпорация Майкрософт не узнает об этом в течение 90 календарных дней с даты создания исходной записи разрешения, корпорация Майкрософт удалит разрешенную запись.

Если корпорация Майкрософт узнала о допустимой записи, запись будет удалена, и вы получите оповещение о ней.