Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Важно!

Чтобы разрешить фишинговые URL-адреса, которые являются частью обучения симуляции атак сторонних разработчиков, используйте расширенную конфигурацию доставки для указания URL-адресов. Не используйте список разрешенных и заблокированных клиентов.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online вы можете не согласиться с решением о фильтрации EOP или Microsoft Defender для Office 365. Например, хорошее сообщение может быть помечено как плохое (ложноположительное), или неправильное сообщение может быть разрешено через (ложноотрицательный).

Список разрешенных и заблокированных клиентов на портале Microsoft Defender позволяет вручную переопределить решения фильтрации Defender для Office 365 или EOP. Список используется во время потока обработки почты для входящих сообщений от внешних отправителей.

Список разрешенных и заблокированных клиентов не применяется к внутренним сообщениям, отправляемых в организации. Но блокируемые записи для доменов и адресов электронной почты также не позволяют пользователям в организации отправлять сообщения электронной почты в эти заблокированные домены и адреса.

Список разрешенных и заблокированных клиентов доступен на портале Microsoft Defender по электронной https://security.microsoft.comпочте & политики совместной работы>& правила>Политики> угроз в разделе>Списки разрешенных и заблокированных клиентов. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

Инструкции по использованию и настройке см. в следующих статьях:

• Домены и адреса электронной почты и подделанные отправители: разрешить или заблокировать сообщения электронной почты с помощью списка разрешенных и заблокированных клиентов
• Файлы: разрешить или заблокировать файлы с помощью списка разрешенных и заблокированных клиентов
• URL-адреса: разрешить или заблокировать URL-адреса с помощью списка разрешенных и заблокированных клиентов.

Эти статьи содержат процедуры на портале Microsoft Defender и в PowerShell.

Блокируют записи в списке разрешенных и заблокированных клиентов

Совет

В списке разрешенных и заблокированных клиентов блок-записи имеют приоритет над разрешенным.

Используйте страницу Отправки (также называемую отправкой администратором) по адресу https://security.microsoft.com/reportsubmission , чтобы создавать блок-записи для следующих типов элементов, сообщая о них в майкрософт как ложные отрицательные данные:

• Домены и адреса электронной почты:

  • Сообщения электронной почты от этих отправителей помечаются как фишинговые с высоким уровнем достоверности , а затем перемещаются в карантин.
  • Пользователи в организации не могут отправлять сообщения электронной почты на эти заблокированные домены и адреса. Они получают следующий отчет о недоставке (также известное как сообщение о недоставке или отказе): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. все сообщение блокируется для всех внутренних и внешних получателей сообщения, даже если в записи блока определен только один адрес электронной почты или домен получателя.

  Совет

  Чтобы заблокировать только спам от определенного отправителя, добавьте адрес электронной почты или домен в список блокировок в политиках защиты от нежелательной почты. Чтобы заблокировать все сообщения электронной почты от отправителя, используйте домены и адреса электронной почты в списке разрешенных и заблокированных клиентов.

• Файлы. Сообщения электронной почты, содержащие эти заблокированные файлы, блокируются как вредоносные программы. Сообщения, содержащие заблокированные файлы, помещаются в карантин.

• URL-адреса. Сообщения электронной почты, содержащие эти заблокированные URL-адреса, блокируются как фишинг с высокой достоверностью. Сообщения, содержащие заблокированные URL-адреса, помещаются в карантин.

В списке разрешенных и заблокированных клиентов можно также напрямую создавать записи блоков для следующих типов элементов:

• Домены и адреса электронной почты, файлы и URL-адреса.

• Спуфинированные отправители. Если вручную переопределить существующий вердикт разрешения из подделавной аналитики, заблокированный спуфинг становится блокированной записью вручную, которая отображается только на вкладке Подделанные отправители в списке разрешений и блокировок клиента.

По умолчанию блокируются записи для доменов и адресов электронной почты, файлов и URL-адресов , срок действия которого истекает через 30 дней, но их срок действия истекает через 90 дней или никогда не истечет. Срок действия заблокированных записей для подделанных отправителей никогда не истекает.

Разрешить записи в списке разрешенных и заблокированных клиентов

В большинстве случаев нельзя напрямую создавать записи разрешений в списке разрешенных и заблокированных клиентов:

• Домены и адреса электронной почты, файлы и URL-адреса. Вы не можете создавать разрешенные записи непосредственно в списке разрешенных и заблокированных клиентов. Вместо этого вы используете страницу Отправки по адресуhttps://security.microsoft.com/reportsubmission, чтобы сообщить о сообщении электронной почты, вложении электронной почты или URL-адресе корпорации Майкрософт как не должно быть заблокировано (ложноположительный результат).

• Подделанные отправители:

  • Если спуфинга уже заблокировала сообщение как спуфинга, используйте страницу Отправки по адресуhttps://security.microsoft.com/reportsubmission, чтобы сообщить об этом сообщении в корпорацию Майкрософт как не должно быть заблокировано (ложноположительный результат).
  • Вы можете заранее создать запись разрешения для подделаного отправителя на вкладке Spoofed sender в списке разрешенных и заблокированных клиентов, прежде чем спуфинга аналитика определит и заблокирует сообщение как спуфингом.

В следующем списке описано, что происходит в списке разрешенных и заблокированных клиентов, когда вы сообщаете о чем-либо корпорации Майкрософт в виде ложного срабатывания на странице Отправки .

• Вложения и URL-адреса электронной почты. Создается допустимая запись, и она отображается на вкладке Файлы или URL-адреса в списке разрешенных и заблокированных клиентов соответственно.

  Для URL-адресов, сообщаемых как ложноположительные, мы разрешаем последующие сообщения, содержащие варианты исходного URL-адреса. Например, вы используете страницу Отправки , чтобы сообщить о неправильно заблокированном URL-адресе www.contoso.com/abc. Если ваша организация позже получит сообщение, содержащее URL-адрес (напримерwww.contoso.com/abc, www.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5или www.contoso.com/abc/whatever), сообщение не блокируется по URL-адресу. Иными словами, вам не нужно сообщать корпорации Майкрософт о нескольких вариантах одного и того же URL-адреса.

• Электронная почта. Если сообщение было заблокировано стеком фильтрации EOP или Defender для Office 365, в списке разрешенных и заблокированных клиентов может быть создана запись разрешения:

  • Если сообщение было заблокировано спуфингом, создается допустимая запись для отправителя, и эта запись отображается на вкладке Подделанные отправители в списке разрешенных и заблокированных клиентов.
  • Если сообщение было заблокировано защитой олицетворения пользователя (или графа) в Defender для Office 365, запись разрешения не создается в списке разрешенных и заблокированных клиентов. Вместо этого домен или отправитель добавляется в раздел Доверенные отправители и доменыв политике защиты от фишинга , которая обнаружила сообщение.
  • Если сообщение было заблокировано из-за файловых фильтров, создается запись разрешения для файла, а запись отображается на вкладке Файлы в списке разрешенных и заблокированных клиентов.
  • Если сообщение было заблокировано из-за фильтров на основе URL-адресов, создается запись разрешения для URL-адреса, а запись отображается на вкладке URL-адрес в списке разрешенных и заблокированных клиентов.
  • Если сообщение было заблокировано по какой-либо другой причине, создается запись разрешения для адреса электронной почты или домена отправителя, а запись отображается на вкладке Домены & адреса в списке разрешенных и заблокированных клиентов.
  • Если сообщение не было заблокировано из-за фильтрации, нигде не создаются разрешенные записи.

По умолчанию разрешены записи для доменов и адресов электронной почты, файлов и URL-адресов в течение 30 дней. В течение этих 30 дней корпорация Майкрософт учится на разрешенных записях и удаляет их или автоматически расширяет их. После того как корпорация Майкрософт узнает из удаленных записей allow, сообщения, содержащие эти сущности, доставляются, если только что-то другое в сообщении не будет обнаружено как вредоносное. По умолчанию срок действия записей для подделанных отправителей не истечет.

Важно!

Корпорация Майкрософт не разрешает создавать разрешенные записи напрямую. Ненужные записи разрешения предоставляют вашей организации вредоносные сообщения электронной почты, которые могли быть отфильтрованы системой.

Корпорация Майкрософт управляет созданием разрешенных записей на странице Отправки по адресу https://security.microsoft.com/reportsubmission. Разрешенные записи добавляются во время потока обработки почты на основе фильтров, которые определили, что сообщение было вредоносным. Например, если адрес электронной почты отправителя и URL-адрес в сообщении были определены как недопустимые, для отправителя (адрес электронной почты или домен) и URL-адреса создается запись разрешения.

При повторном обнаружении сущности (во время потока обработки почты или во время щелчка), все фильтры, связанные с этой сущностью, пропускаются.

Если во время потока обработки почты сообщения, содержащие разрешенную сущность, проходят другие проверки в стеке фильтрации, сообщения доставляются. Например, если сообщение проходит проверку подлинности электронной почты, фильтрацию URL-адресов и фильтрацию файлов, доставляется сообщение с разрешенного адреса электронной почты отправителя.

Чего ожидать после добавления записи разрешения или блокировки

После добавления разрешенной записи на странице Отправки или записи блока в списке разрешенных и заблокированных клиентов запись должна начать работу немедленно (в течение 5 минут).

Если корпорация Майкрософт узнала из записи разрешения, встроенная политика генерации оповещенийс именем Удалена запись в списке разрешенных или заблокированных клиентов создает оповещение при удалении (теперь ненужной) записи разрешения.