Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов

  • Статья
  • Чтение занимает 6 мин

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft 365 Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Область применения

Важно!

Чтобы разрешить фишинговые URL-адреса, которые являются частью обучения симуляции атак сторонних разработчиков, используйте расширенную конфигурацию доставки для указания URL-адресов. Не используйте список разрешенных и заблокированных клиентов.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection (EOP) без Exchange Online почтовых ящиков вы можете не согласиться с решением EOP или Defender для Office 365 фильтрации. Например, хорошее сообщение может быть помечено как плохое (ложноположительное), или неправильное сообщение может быть разрешено через (ложноотрицательный).

Список разрешенных и заблокированных клиентов на портале Microsoft 365 Defender позволяет вручную переопределить Microsoft Defender для Office или Exchange Online Protection фильтрации вердиктов. Список разрешенных и заблокированных клиентов используется во время потока обработки входящих сообщений от внешних отправителей. Обратите внимание, что он не применяется к сообщениям в организации.

Список разрешенных и заблокированных клиентов доступен на портале Microsoft 365 Defender в разделе https://security.microsoft.com> Правила политики &>Политики Политики> УгрозСписки разрешенных и заблокированных клиентов в разделе Правила. Чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов, используйте .https://security.microsoft.com/tenantAllowBlockList

Инструкции по созданию и настройке записей см. в следующих разделах:

Эти статьи содержат процедуры на портале Microsoft 365 Defender и в PowerShell.

Блокируют записи в списке разрешенных и заблокированных клиентов

Примечание.

В списке разрешенных и заблокированных клиентов блок-записи имеют приоритет над разрешенным.

Используйте страницу Отправки (также называемую отправкой администратором) по адресу https://security.microsoft.com/reportsubmission , чтобы создавать блок-записи для следующих типов элементов, сообщая о них в майкрософт как ложные отрицательные данные:

  • Домены и адреса электронной почты:

    • Email сообщения от этих отправителей помечаются как спам с высоким уровнем достоверности (SCL = 9). Что происходит с сообщениями, определяется политикой защиты от нежелательной почты , которая обнаружила сообщение для получателя. В политике защиты от нежелательной почты по умолчанию и новых настраиваемых политиках сообщения, помеченные как спам с высоким уровнем достоверности, по умолчанию доставляются в папку "Нежелательная Email". В стандартных и строгих предустановленных политиках безопасности сообщения нежелательной почты с высоким уровнем достоверности помещаются в карантин.
    • Пользователи в организации не могут отправлять сообщения электронной почты на эти заблокированные домены и адреса. Они получат следующий отчет о недоставке (также известное как сообщение о недоставке или отказе): "550 5.7.703 Ваше сообщение не может быть доставлено, так как один или несколько получателей заблокированы политикой блокировки получателей клиента вашей организации". Все сообщение блокируется для всех получателей сообщения, даже если в записи блока определен только один адрес электронной почты или домен получателя.

    Совет

    Чтобы заблокировать только спам от определенного отправителя, добавьте адрес электронной почты или домен в список блокировок в политиках защиты от нежелательной почты. Чтобы заблокировать все сообщения электронной почты от отправителя, используйте домены и адреса электронной почты в списке разрешенных и заблокированных клиентов.

  • Файлы: Email сообщения, содержащие эти заблокированные файлы, блокируются как вредоносные программы. Сообщения, содержащие заблокированные файлы, помещаются в карантин.

  • URL-адреса: Email сообщения, содержащие эти заблокированные URL-адреса, блокируются как фишинг с высокой достоверностью. Сообщения, содержащие заблокированные URL-адреса, помещаются в карантин.

В списке разрешенных и заблокированных клиентов можно также напрямую создавать записи блоков для следующих типов элементов:

  • Домены и адреса электронной почты, файлы и URL-адреса.

  • Спуфинированные отправители. Если вручную переопределить существующий вердикт разрешения из средств анализа поддельных данных, заблокированный подделанный отправитель становится блокированной записью вручную, которая отображается только на вкладке Спуфинг отправителей в списке разрешений и блокировок клиента.

По умолчанию блокируются записи для доменов и адресов электронной почты, файлов и URL-адресов , срок действия которого истекает через 30 дней, но их срок действия истекает через 90 дней или никогда не истечет. Срок действия заблокированных записей для подделанных отправителей никогда не истекает.

Разрешить записи в списке разрешенных и заблокированных клиентов

В большинстве случаев нельзя напрямую создавать записи разрешений в списке разрешенных и заблокированных клиентов:

  • Домены и адреса электронной почты, файлы и URL-адреса. Вы не можете создавать разрешенные записи непосредственно в списке разрешенных и заблокированных клиентов. Вместо этого вы используете страницу Отправки по адресуhttps://security.microsoft.com/reportsubmission, чтобы сообщить о сообщении электронной почты, вложении электронной почты или URL-адресе в корпорацию Майкрософт, как не должно быть заблокировано (ложноположительный результат).

  • Подделанные отправители:

    • Если спуфинговые средства аналитики уже заблокировали сообщение как спуфинга, используйте страницу Отправки по адресу, https://security.microsoft.com/reportsubmission чтобы сообщить о сообщении электронной почты в Корпорацию Майкрософт как не должно быть заблокировано (ложноположительный результат).
    • Вы можете заранее создать запись разрешения для подделаного отправителя на вкладке Spoofed sender в списке разрешенных и заблокированных клиентов, прежде чем аналитика подделает и заблокирует сообщение как спуфингом.

В следующем списке описано, что происходит в списке разрешенных и заблокированных клиентов, когда вы сообщаете о чем-либо корпорации Майкрософт в виде ложного срабатывания на странице Отправки.

  • Email вложения и URL-адреса. Создается запись разрешения, и эта запись отображается на вкладке Файлы или URL-адреса в списке разрешенных и заблокированных клиентов соответственно.

  • Email. Если сообщение было заблокировано стеком фильтрации EOP или Defender для Office 365, в списке разрешенных и заблокированных клиентов может быть создана запись разрешения:

    • Если сообщение было заблокировано спуфингом, создается допустимая запись для отправителя, и эта запись отображается на вкладке Подделанные отправители в списке разрешенных клиентов.
    • Если сообщение было заблокировано защитой олицетворения домена или пользователя в Defender для Office 365, запись разрешения не создается в списке разрешенных и заблокированных клиентов. Вместо этого домен или отправитель добавляется в раздел Доверенные отправители и доменыв политике защиты от фишинга , которая обнаружила сообщение.
    • Если сообщение было заблокировано из-за файловых файлов, создается запись разрешения для файла, а запись отображается на вкладке Файлы в списке разрешенных блокировок клиента.
    • Если сообщение было заблокировано из-за фильтров на основе URL-адресов, создается запись разрешения для URL-адреса, а запись отображается на вкладке URL-адрес в списке разрешенных клиентов.
    • Если сообщение было заблокировано по какой-либо другой причине, создается запись разрешения для адреса электронной почты или домена отправителя, и эта запись отображается на вкладке Адреса доменов & в списке разрешенных блокировок клиента.
    • Если сообщение не было заблокировано из-за фильтрации, разрешенные записи не создаются нигде.

По умолчанию допускаются записи для доменов и адресов электронной почты, файлов и URL-адресов в течение 30 дней. В течение этих 30 дней корпорация Майкрософт узнает о разрешенных записях и удалит их или автоматически продлевает. После того как корпорация Майкрософт узнает из удаленных разрешенных записей, сообщения, содержащие эти сущности, будут доставлены, если что-то другое в сообщении не будет обнаружено как вредоносное. По умолчанию срок действия записей для подделанных отправителей не истечет.

Важно!

Корпорация Майкрософт не разрешает создавать разрешенные записи напрямую. Ненужные записи разрешения предоставляют вашей организации вредоносные сообщения электронной почты, которые могли быть отфильтрованы системой.

Корпорация Майкрософт управляет созданием разрешенных записей на странице Отправки. Разрешенные записи добавляются во время потока обработки почты на основе фильтров, которые определили, что сообщение было вредоносным. Например, если адрес электронной почты отправителя и URL-адрес в сообщении были определены как недопустимые, создается допустимая запись для отправителя (адрес электронной почты или домен) и URL-адреса.

При повторном обнаружении сущности (во время потока обработки почты или во время щелчка), все фильтры, связанные с этой сущностью, пропускаются.

Если во время потока обработки почты сообщения, содержащие разрешенную сущность, проходят другие проверки в стеке фильтрации, сообщения будут доставлены. Например, если сообщение проходит проверку подлинности электронной почты, фильтрацию URL-адресов и фильтрацию файлов, будет доставлено сообщение с разрешенного адреса электронной почты отправителя.

Чего ожидать после добавления записи разрешения или блокировки

После добавления записи разрешения на странице "Отправки" или блок-записи в списке разрешений и блокировок клиента запись должна начать работать сразу же в 99,999 % случаев. В остальном это может занять до 24 часов.

Если корпорация Майкрософт узнала о допустимой записи, запись будет удалена, и вы получите оповещение о ней.