Hantera tillåtna och block i listan Tillåt/blockera klientorganisation

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 Abonnemang 2 kostnadsfritt? Använd den 90 dagar långa utvärderingsversionen av Defender för Office 365 på utvärderingshubben för Microsoft Defender-portalen. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Viktigt

Om du vill tillåta nätfiske-URL:er som ingår i träning för attacksimulering från tredje part använder du den avancerade leveranskonfigurationen för att ange URL:erna. Använd inte listan Tillåt/blockera klientorganisation.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection-organisationer (EOP) utan Exchange Online-postlådor kanske du inte håller med om EOP- eller Microsoft Defender för Office 365-filtreringsutfallet. Ett bra meddelande kan till exempel markeras som dåligt (falskt positivt) eller så kan ett felaktigt meddelande tillåtas (falskt negativt).

Listan Tillåt/blockera klientorganisation i Microsoft Defender-portalen ger dig ett sätt att manuellt åsidosätta filtreringsutfallet för Defender för Office 365 eller EOP. Listan används under e-postflödet för inkommande meddelanden från externa avsändare.

Listan Tillåt/blockera klientorganisation gäller inte för interna meddelanden som skickas inom organisationen. Men blockera poster för domäner och e-postadresser hindrar också användare i organisationen från att skicka e-post till de blockerade domänerna och adresserna.

Listan Tillåt/blockera klientorganisation finns i Microsoft Defender-portalen på https://security.microsoft.comE-post & samarbetsprinciper>& regler>hotprinciper>avsnittet>Tillåt/blockera listor för klientorganisation. Om du vill gå direkt till sidan Tillåt/blockera klientorganisationslistor använder du https://security.microsoft.com/tenantAllowBlockList.

Användnings- och konfigurationsinstruktioner finns i följande artiklar:

• Domäner och e-postadresser och falska avsändare: Tillåt eller blockera e-postmeddelanden med hjälp av listan Tillåt/blockera klientorganisation
• Filer: Tillåt eller blockera filer med hjälp av listan Tillåt/blockera klientorganisation
• URL:er: Tillåt eller blockera URL:er med hjälp av listan Tillåt/blockera klientorganisation.

De här artiklarna innehåller procedurer i Microsoft Defender-portalen och i PowerShell.

Blockera poster i listan Tillåt/blockera klientorganisation

Tips

I listan Tillåt/blockera klientorganisation har blockposter företräde framför tillåtna poster.

Använd sidan Inskickade filer (kallas även administratörsöverföring) på https://security.microsoft.com/reportsubmission för att skapa blockposter för följande typer av objekt när du rapporterar dem som falska negativa identifieringar till Microsoft:

• Domäner och e-postadresser:

  • E-postmeddelanden från dessa avsändare markeras som nätfiske med hög konfidens och flyttas sedan till karantän.
  • Användare i organisationen kan inte skicka e-post till dessa blockerade domäner och adresser. De får följande rapport om utebliven leverans (kallas även NDR eller studsmeddelande): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hela meddelandet blockeras för alla interna och externa mottagare av meddelandet, även om endast en e-postadress eller domän för mottagare har definierats i en blockpost.

  Tips

  Om du bara vill blockera skräppost från en viss avsändare lägger du till e-postadressen eller domänen i blockeringslistan i principer för skräppostskydd. Om du vill blockera all e-post från avsändaren använder du Domäner och e-postadresser i listan Tillåt/blockera klientorganisation.

• Filer: E-postmeddelanden som innehåller dessa blockerade filer blockeras som skadlig kod. Meddelanden som innehåller de blockerade filerna sätts i karantän.

• URL:er: E-postmeddelanden som innehåller dessa blockerade URL:er blockeras som nätfiske med hög konfidens. Meddelanden som innehåller blockerade URL:er sätts i karantän.

I listan Tillåt/blockera klientorganisation kan du också skapa blockposter direkt för följande typer av objekt:

• Domäner och e-postadresser, filer och URL:er.

• Falska avsändare: Om du manuellt åsidosätter en befintlig tillåten dom från förfalskningsinformation blir den blockerade falska avsändaren en manuell blockpost som endast visas på fliken Falska avsändare i listan Tillåt/blockera för klientorganisation.

Blockera som standard poster för domäner och e-postadresser, filer och URL:er upphör att gälla efter 30 dagar, men du kan ange att de ska upphöra att gälla upp till 90 dagar eller aldrig förfalla. Blockposter för falska avsändare upphör aldrig att gälla.

Tillåt poster i listan Tillåt/blockera klientorganisation

I de flesta fall kan du inte direkt skapa tillåtna poster i listan Tillåt/blockera klientorganisation:

• Domäner och e-postadresser, filer och URL:er: Du kan inte skapa tillåtna poster direkt i listan Tillåt/blockera klientorganisation. I stället använder du sidan Inskickade filer på https://security.microsoft.com/reportsubmission för att rapportera e-postmeddelandet, e-postbilagan eller URL:en till Microsoft som Borde inte ha blockerats (falsk positiv).

• Falska avsändare:

  • Om förfalskningsinformation redan har blockerat meddelandet som förfalskning använder du sidan Inskickade meddelanden på https://security.microsoft.com/reportsubmission för att rapportera e-postmeddelandet till Microsoft eftersom Det borde inte ha blockerats (falskt positivt).
  • Du kan proaktivt skapa en tillåten post för en falsk avsändare på fliken Förfalskad avsändare i listan Tillåt/blockera klientorganisation innan förfalskningsinformation identifierar och blockerar meddelandet som förfalskning.

I följande lista beskrivs vad som händer i listan Tillåt/blockera klientorganisation när du rapporterar något till Microsoft som en falsk positiv identifiering på sidan Inskickade filer :

• E-postbilagor och URL:er: En tillåten post skapas och posten visas på fliken Filer eller URL:er i listan Tillåt/blockera klientorganisation.

  För URL:er som rapporterats som falska positiva identifieringar tillåter vi efterföljande meddelanden som innehåller varianter av den ursprungliga URL:en. Du kan till exempel använda sidan Inskickade filer för att rapportera den felaktigt blockerade URL:en www.contoso.com/abc. Om din organisation senare får ett meddelande som innehåller URL:en (till exempel men inte begränsat till: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5eller www.contoso.com/abc/whatever), blockeras inte meddelandet baserat på URL:en. Med andra ord behöver du inte rapportera flera varianter av samma URL som är bra för Microsoft.

• E-post: Om ett meddelande har blockerats av EOP- eller Defender för Office 365-filtreringsstacken kan en tillåten post skapas i listan Tillåt/blockera för klientorganisation:

  • Om meddelandet blockerades av förfalskningsinformation skapas en tillåten post för avsändaren och posten visas på fliken Falska avsändare i listan Tillåt/blockera klientorganisation.
  • Om meddelandet har blockerats av användar- (eller graf) personifieringsskydd i Defender för Office 365 skapas inte en tillåten post i listan Tillåt/blockera klientorganisation. I stället läggs domänen eller avsändaren till i avsnittet Betrodda avsändare och domäner i principen för skydd mot nätfiske som identifierade meddelandet.
  • Om meddelandet blockerades på grund av filbaserade filter skapas en tillåten post för filen och posten visas på fliken Filer i listan Tillåt/blockera klientorganisation.
  • Om meddelandet blockerades på grund av URL-baserade filter skapas en tillåten post för URL:en och posten visas på url-fliken i listan Tillåt/blockera klientorganisation.
  • Om meddelandet har blockerats av någon annan anledning skapas en tillåten post för avsändarens e-postadress eller domän, och posten visas på fliken Domäner & adresser i listan Tillåt/blockera klientorganisation.
  • Om meddelandet inte blockerades på grund av filtrering skapas inga tillåtna poster någonstans.

Tillåt som standard poster för domäner och e-postadresser, filer och URL:er i 30 dagar. Under dessa 30 dagar lär sig Microsoft från tillåtna poster och tar bort dem eller utökar dem automatiskt. När Microsoft har lärt sig från de borttagna tillåtna posterna levereras meddelanden som innehåller dessa entiteter, såvida inte något annat i meddelandet identifieras som skadligt. Tillåt som standard poster för falska avsändare upphör aldrig att gälla.

Viktigt

Microsoft tillåter inte att du skapar tillåtna poster direkt. Onödiga tillåt-poster exponerar din organisation för skadlig e-post som kunde ha filtrerats av systemet.

Microsoft hanterar skapandet av tillåtna poster från sidan Inlämningar på https://security.microsoft.com/reportsubmission. Tillåt poster läggs till under e-postflödet baserat på de filter som fastställde att meddelandet var skadligt. Om till exempel avsändarens e-postadress och en URL i meddelandet har bedömts vara felaktiga skapas en tillåten post för avsändaren (e-postadress eller domän) och URL:en.

När entiteten påträffas igen (under e-postflöde eller klicktid) hoppas alla filter som är associerade med den entiteten över.

Om meddelanden som innehåller den tillåtna entiteten skickar andra kontroller i filtreringsstacken under e-postflödet levereras meddelandena. Om ett meddelande till exempel skickar e-postautentiseringskontroller, URL-filtrering och filfiltrering levereras ett meddelande från en tillåten e-postadress för avsändaren.

Vad du kan förvänta dig när du har lagt till en tillåten eller blockerad post

När du har lagt till en tillåten post på sidan Inlämningar eller en blockpost i listan Tillåt/blockera klientorganisation bör posten börja fungera omedelbart (inom 5 minuter).

Om Microsoft har lärt sig från tillåt-posten genererar den inbyggda aviseringsprincipen med namnet Borttagen en post i Tillåt/blockera för klientorganisation en avisering när (nu onödig) tillåt-posten tas bort.