Hantera tillåtna och block i listan Tillåt/blockera klientorganisation

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

Viktigt

Om du vill tillåta nätfiske-URL:er som ingår i träning för attacksimulering från tredje part använder du den avancerade leveranskonfigurationen för att ange URL:erna. Använd inte listan Tillåt/blockera klientorganisation.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor kanske du inte håller med EOP eller Microsoft Defender för Office 365 filtreringsutfallet. Ett bra meddelande kan till exempel markeras som dåligt (falskt positivt) eller så kan ett felaktigt meddelande tillåtas (falskt negativt).

Med listan Tillåt/blockera klientorganisation i Microsoft Defender-portalen kan du åsidosätta Defender för Office 365- eller EOP-filtreringsutfallet manuellt. Listan används under e-postflöde eller klicktid för inkommande meddelanden från externa avsändare.

Poster för domäner och e-postadresser och falska avsändare gäller för interna meddelanden som skickas inom organisationen. Blockera poster för domäner och e-postadresser hindrar också användare i organisationen från att skicka e-post till de blockerade domänerna och adresserna.

Listan Tillåt/blockera klientorganisation är tillgänglig i Microsoft Defender-portalen på https://security.microsoft.comEmail & samarbetsprinciper>& regler>för hotprinciper>i avsnittet>Tillåt/blockera Listor för klientorganisation. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

Användnings- och konfigurationsinstruktioner finns i följande artiklar:

• Domäner och e-postadresser och falska avsändare: Tillåt eller blockera e-postmeddelanden med hjälp av listan Tillåt/blockera klientorganisation
• Filer: Tillåt eller blockera filer med hjälp av listan Tillåt/blockera klientorganisation
• URL:er: Tillåt eller blockera URL:er med hjälp av listan Tillåt/blockera klientorganisation.
• IP-adresser: Tillåt eller blockera IPv6-adresser med hjälp av listan Tillåt/blockera klientorganisation.

De här artiklarna innehåller procedurer i Microsoft Defender-portalen och i PowerShell.

Blockera poster i listan Tillåt/blockera klientorganisation

Tips

I listan Tillåt/blockera klientorganisation har blockposter företräde framför tillåtna poster.

Använd sidan Inskickade filer (kallas även administratörsöverföring) på https://security.microsoft.com/reportsubmission för att skapa blockposter för följande typer av objekt när du skickar dem som falska negativa identifieringar till Microsoft:

• Domäner och e-postadresser:

  • Email meddelanden från dessa avsändare markeras som nätfiske med hög konfidens och flyttas sedan till karantän.
  • Användare i organisationen kan inte skicka e-post till dessa blockerade domäner och adresser. De får följande rapport om utebliven leverans (kallas även NDR eller studsmeddelande): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hela meddelandet blockeras för alla interna och externa mottagare av meddelandet, även om endast en e-postadress eller domän för mottagare har definierats i en blockpost.

  Tips

  Om du bara vill blockera skräppost från en viss avsändare lägger du till e-postadressen eller domänen i blockeringslistan i principer för skräppostskydd. Om du vill blockera all e-post från avsändaren använder du Domäner och e-postadresser i listan Tillåt/blockera klientorganisation.

• Filer: Email meddelanden som innehåller dessa blockerade filer blockeras som skadlig kod. Meddelanden som innehåller de blockerade filerna sätts i karantän.

• URL:er: Email meddelanden som innehåller dessa blockerade URL:er blockeras som nätfiske med hög konfidens. Meddelanden som innehåller blockerade URL:er sätts i karantän.

I listan Tillåt/blockera klientorganisation kan du också skapa blockposter direkt för följande typer av objekt:

• Domäner och e-postadresser, filer och URL:er.

• Falska avsändare: Om du manuellt åsidosätter en befintlig tillåten dom från förfalskningsinformation blir den blockerade falska avsändaren en manuell blockpost som endast visas på fliken Falska avsändare i listan Tillåt/blockera för klientorganisation.

• IP-adresser: Om du manuellt skapar en blockpost tas alla inkommande e-postmeddelanden från den IP-adressen bort vid gränsen för tjänsten.

Blockera som standard poster för domäner och e-postadresser, filer och URL:er upphör att gälla efter 30 dagar, men du kan ange att de ska upphöra att gälla upp till 90 dagar eller aldrig förfalla.

Blockera poster för falska avsändare och IP-adresser upphör aldrig att gälla.

Tillåt poster i listan Tillåt/blockera klientorganisation

I de flesta fall kan du inte direkt skapa tillåtna poster i listan Tillåt/blockera klientorganisation. Onödiga tillåt-poster exponerar din organisation för skadlig e-post som kunde ha filtrerats av systemet.

• Domäner och e-postadresser, filer och URL:er: Du kan inte skapa tillåtna poster direkt i listan Tillåt/blockera klientorganisation. I stället använder du sidan Inskickade filer på https://security.microsoft.com/reportsubmission för att skicka e-postmeddelandet, e-postbilagan eller URL:en till Microsoft. När du har valt Jag har bekräftat att den är ren kan du välja Tillåt det här meddelandet, Tillåt den här filen eller Tillåt att den här URL:en skapar en tillåten post för domäner och e-postadresser, filer eller URL:er.

• Falska avsändare:

  • Om förfalskningsinformation redan har blockerat meddelandet som förfalskning använder du sidan Inskickade meddelanden på https://security.microsoft.com/reportsubmission för att rapportera e-postmeddelandet till Microsoft eftersom jag har bekräftat att det är rent och väljer sedan Tillåt det här meddelandet.
  • Du kan proaktivt skapa en tillåten post för en falsk avsändare på fliken Förfalskad avsändare i listan Tillåt/blockera klientorganisation innan förfalskningsinformation identifierar och blockerar meddelandet som förfalskning.

• IP-adresser: Du kan proaktivt skapa en tillåten post för en IP-adress på fliken IP-adresser i listan Tillåt/blockera klientorganisation för att åsidosätta IP-filtren för inkommande meddelanden.

I följande lista beskrivs vad som händer i listan Tillåt/blockera klientorganisation när du skickar något till Microsoft som en falsk positiv identifiering på sidan Inskickade filer :

• Email bifogade filer och URL:er: En tillåten post skapas och posten visas på fliken Filer eller URL:er i listan Tillåt/blockera klientorganisation.

  För URL:er som rapporterats som falska positiva identifieringar tillåter vi efterföljande meddelanden som innehåller varianter av den ursprungliga URL:en. Du kan till exempel använda sidan Inskickade filer för att rapportera den felaktigt blockerade URL:en www.contoso.com/abc. Om din organisation senare får ett meddelande som innehåller URL:en (till exempel men inte begränsat till: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5eller www.contoso.com/abc/whatever), blockeras inte meddelandet baserat på URL:en. Med andra ord behöver du inte rapportera flera varianter av samma URL som är bra för Microsoft.

• Email: Om ett meddelande har blockerats av EOP eller Defender för Office 365 filtreringsstacken kan en tillåten post skapas i listan Tillåt/blockera för klientorganisation:

  • Om meddelandet blockerades av förfalskningsinformation skapas en tillåten post för avsändaren och posten visas på fliken Falska avsändare i listan Tillåt/blockera klientorganisation.
  • Om meddelandet blockerades av användar- (eller graf) personifieringsskydd i Defender för Office 365 skapas inte en tillåt-post i listan Tillåt/blockera för klientorganisation. I stället läggs domänen eller avsändaren till i avsnittet Betrodda avsändare och domäner i principen för skydd mot nätfiske som identifierade meddelandet.
  • Om meddelandet blockerades på grund av filbaserade filter skapas en tillåten post för filen och posten visas på fliken Filer i listan Tillåt/blockera klientorganisation.
  • Om meddelandet blockerades på grund av URL-baserade filter skapas en tillåten post för URL:en och posten visas på url-fliken i listan Tillåt/blockera klientorganisation.
  • Om meddelandet har blockerats av någon annan anledning skapas en tillåten post för avsändarens e-postadress eller domän, och posten visas på fliken Domäner & adresser i listan Tillåt/blockera klientorganisation.
  • Om meddelandet inte blockerades på grund av filtrering skapas inga tillåtna poster någonstans.

Tips

Tillåt att poster från inlämningar läggs till under e-postflödet baserat på filtren som fastställde att meddelandet var skadligt. Om till exempel avsändarens e-postadress och en URL i meddelandet bedöms vara skadliga skapas en tillåten post för avsändaren (e-postadressen eller domänen) och URL:en.

Om meddelanden som innehåller entiteterna i tillåtna poster skickar andra kontroller i filtreringsstacken under e-postflöde eller klicktid levereras meddelandena (alla filter som är associerade med de tillåtna entiteterna hoppas över). Om ett meddelande till exempel skickar e-postautentiseringskontroller, URL-filtrering och filfiltrering levereras ett meddelande från en tillåten avsändares e-postadress om det också kommer från en tillåten avsändare.

Tillåt som standard poster för domäner och e-postadresser, filer och URL:er sparas i 45 dagar efter att filtreringssystemet har fastställt att entiteten är ren och sedan tas tillåtna posten bort. Du kan också ange att tillåt att poster upphör att gälla upp till 30 dagar efter att du har skapat dem. Tillåt poster för falska avsändare upphör aldrig att gälla.

Vad du kan förvänta dig när du har lagt till en tillåten eller blockerad post

När du har lagt till en tillåten post på sidan Inlämningar eller en blockpost i listan Tillåt/blockera klientorganisation bör posten börja fungera omedelbart (inom 5 minuter).

Om Microsoft har lärt sig från tillåt-posten genererar den inbyggda aviseringsprincipen med namnet Borttagen en post i Tillåt/blockera för klientorganisation en avisering när (nu onödig) tillåt-posten tas bort.