Tillåt eller blockera e-post med hjälp av listan Tillåt/blockera klientorganisation

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor kan administratörer skapa och hantera poster för domäner och e-postadresser (inklusive falska avsändare) i listan Tillåt/blockera för klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

Den här artikeln beskriver hur administratörer kan hantera poster för e-postavsändare i Microsoft Defender-portalen och i Exchange Online PowerShell.

Vad behöver jag veta innan jag börjar?

  • Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

  • Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell. Information om hur du ansluter till fristående EOP PowerShell finns i Anslut till Exchange Online Protection PowerShell.

  • Inmatningsgränser för domäner och e-postadresser:

    • Exchange Online Protection: Det maximala antalet tillåtna poster är 500 och det maximala antalet blockposter är 500 (totalt 1 000 domän- och e-postadressposter).
    • Defender för Office 365 plan 1: Det maximala antalet tillåtna poster är 1 000 och det maximala antalet blockposter är 1 000 (totalt 2 000 domän- och e-postadressposter).
    • Defender för Office 365 plan 2: Det maximala antalet tillåtna poster är 5 000 och det maximala antalet blockposter är 1 0000 (totalt 1 5 000 domän- och e-postadressposter).

  • För falska avsändare är det maximala antalet tillåtna poster och blockposter 1 024 (1 024 tillåt poster och inga blockposter, 512 tillåt poster och 512 blockposter osv.).

  • Poster för falska avsändare upphör aldrig att gälla.

  • Mer information om syntaxen för falska avsändarposter finns i avsnittet Domänparsyntax för falska avsändarposter senare i den här artikeln.

  • En post ska vara aktiv inom 5 minuter.

  • Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har följande alternativ:

    • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Påverkar endast Defender-portalen, inte PowerShell): Auktorisering och inställningar/Säkerhetsinställningar/Identifieringsjustering (hantera) eller auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (läs).
    • Exchange Online behörigheter:
      • Lägg till och ta bort poster från listan Tillåt/blockera klientorganisation: Medlemskap i någon av följande rollgrupper:
        • Organisationshantering eller säkerhetsadministratör (rollen Säkerhetsadministratör).
        • Säkerhetsoperatör (Tenant AllowBlockList Manager).
      • Skrivskyddad åtkomst till listan Tillåt/blockera klientorganisation: Medlemskap i någon av följande rollgrupper:
        • Global läsare
        • Säkerhetsläsare
        • Konfiguration med endast visning
        • Visa endast organisationshantering
    • Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör, Säkerhetsadministratör, Global läsare eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

Domäner och e-postadresser i listan Tillåt/blockera klientorganisation

Skapa tillåta poster för domäner och e-postadresser

Du kan inte skapa tillåtna poster för domäner och e-postadresser direkt i listan Tillåt/blockera klientorganisation. Onödiga tillåt-poster exponerar din organisation för skadlig e-post som skulle ha filtrerats av systemet.

I stället använder du fliken E-postmeddelanden på sidan Inlämningarhttps://security.microsoft.com/reportsubmission?viewid=email. När du skickar ett blockerat meddelande som Borde inte ha blockerats (Falskt positivt) läggs en tillåten post för avsändaren till på fliken Domäner & e-postadresser på sidan Tillåt/blockera klientorganisation/blockera Listor. Anvisningar finns i Skicka bra e-post till Microsoft.

Obs!

Tillåt poster läggs till baserat på de filter som fastställde att meddelandet var skadligt under e-postflödet. Om till exempel avsändarens e-postadress och en URL i meddelandet har bedömts vara felaktiga skapas en tillåten post för avsändaren (e-postadress eller domän) och URL:en.

När entiteten i tillåt-posten påträffas igen (under e-postflödet eller vid tidpunkten för klickningen) åsidosätts alla filter som är associerade med den entiteten.

Tillåt som standard poster för domäner och e-postadresser i 30 dagar. Under dessa 30 dagar lär sig Microsoft från tillåtna poster och tar bort dem eller utökar dem automatiskt. När Microsoft har lärt sig från de borttagna tillåtna posterna levereras meddelanden som innehåller dessa entiteter, såvida inte något annat i meddelandet identifieras som skadligt.

Om meddelanden som innehåller den tillåtna entiteten skickar andra kontroller i filtreringsstacken under e-postflödet levereras meddelandena. Om ett meddelande till exempel skickar e-postautentiseringskontroller, URL-filtrering och filfiltrering levereras meddelandet om det också kommer från en tillåten avsändare.

Skapa blockera poster för domäner och e-postadresser

Om du vill skapa blockposter för domäner och e-postadresser använder du någon av följande metoder:

  • Från fliken E-postmeddelanden på sidan Inskickade filerhttps://security.microsoft.com/reportsubmission?viewid=email. När du skickar ett meddelande som Borde ha blockerats (falskt negativt) kan du välja Blockera alla e-postmeddelanden från den här avsändaren eller domänen för att lägga till en blockpost på fliken Domäner & e-postadresser på sidan Tillåt/blockera klientorganisation Listor. Anvisningar finns i Rapportera tvivelaktig e-post till Microsoft.

  • På fliken Domäner & adresser på sidan Tillåt/blockera klientorganisation/blockera Listor eller i PowerShell enligt beskrivningen i det här avsnittet.

Information om hur du skapar blockposter för falska avsändare finns i det här avsnittet senare i den här artikeln.

Email från dessa blockerade avsändare markeras som nätfiske med hög konfidens och sätts i karantän.

Obs!

För närvarande blockeras inte underdomäner för den angivna domänen. Om du till exempel skapar en blockpost för e-post från contoso.com blockeras inte heller e-post från marketing.contoso.com. Du måste skapa en separat blockpost för marketing.contoso.com.

Användare i organisationen kan inte heller skicka e-post till dessa blockerade domäner och adresser. Meddelandet returneras i följande rapport om utebliven leverans (kallas även NDR eller studsmeddelande): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hela meddelandet blockeras för alla interna och externa mottagare av meddelandet, även om endast en mottagares e-postadress eller domän har definierats i en blockpost.

Använd Microsoft Defender-portalen för att skapa blockposter för domäner och e-postadresser i listan Tillåt/blockera klientorganisation

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

  2. På sidan Tillåt/blockera klientorganisation Listor kontrollerar du att fliken Domäner & adresser är markerad.

  3. På fliken Domäner & adresser väljer du Blockera.

  4. I den utfällbara menyn Blockera domäner & adresser som öppnas konfigurerar du följande inställningar:

    • Domäner & adresser: Ange en e-postadress eller domän per rad, upp till högst 20.

    • Ta bort blockpost efter: Välj från följande värden:

      • 1 dag
      • 7 dagar
      • 30 dagar (standard)
      • Upphör aldrig att gälla
      • Specifikt datum: Det maximala värdet är 90 dagar från idag.

    • Valfri anteckning: Ange beskrivande text för varför du blockerar e-postadresser eller domäner.

  5. När du är klar i den utfällbara menyn Blockera domäner & adresser väljer du Lägg till.

På fliken Domäner & e-postadresser visas posten.

Använd PowerShell för att skapa blockposter för domäner och e-postadresser i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Det här exemplet lägger till en blockpost för den angivna e-postadressen som upphör att gälla vid ett visst datum.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Detaljerad information om syntax och parametrar finns i New-TenantAllowBlockListItems.

Använd Microsoft Defender-portalen för att visa poster för domäner och e-postadresser i listan Tillåt/blockera klientorganisation

I Microsoft Defender-portalen på https://security.microsoft.comgår du till Principer & regler>Hotprinciper>Tillåt/blockera Listor i avsnittet Regler. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

Kontrollera att fliken Domäner & adresser är markerad.

På fliken Domäner & adresser kan du sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Följande kolumner är tillgängliga:

  • Värde: Domänen eller e-postadressen.
  • Åtgärd: Värdet Tillåt eller Blockera.
  • Ändrad av
  • Senast uppdaterad
  • Ta bort den: Förfallodatumet.
  • Kommentarer

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

  • Åtgärd: Värdena är Tillåt och Blockera.
  • Upphör aldrig att gälla: eller
  • Uppdaterades senast: Välj Från - och Till-datum .
  • Ta bort på: Välj Från - och Till-datum .

När du är klar i den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd rutan Search och ett motsvarande värde för att hitta specifika poster.

Om du vill gruppera posterna väljer du Grupp och sedan Åtgärd. Om du vill dela upp posterna väljer du Ingen.

Använd PowerShell för att visa poster för domäner och e-postadresser i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

Det här exemplet returnerar alla tillåtna och blockeringsposter för domäner och e-postadresser.

Get-TenantAllowBlockListItems -ListType Sender

Det här exemplet filtrerar resultatet för blockposter för domäner och e-postadresser.

Get-TenantAllowBlockListItems -ListType Sender -Block

Detaljerad information om syntax och parametrar finns i Get-TenantAllowBlockListItems.

Använd Microsoft Defender-portalen för att ändra poster för domäner och e-postadresser i listan Tillåt/blockera klientorganisation

I befintliga domän- och e-postadressposter kan du ändra förfallodatum och anteckning.

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

  2. Kontrollera att fliken Domäner & adresser är markerad.

  3. På fliken Domäner & adresser markerar du posten i listan genom att markera kryssrutan bredvid den första kolumnen och sedan välja åtgärden Redigera som visas.

  4. I den utfällbara menyn Redigera domäner & adresser som öppnas är följande inställningar tillgängliga:

    • Blockera poster:
      • Ta bort blockpost efter: Välj från följande värden:
        • 1 dag
        • 7 dagar
        • 30 dagar
        • Upphör aldrig att gälla
        • Specifikt datum: Det maximala värdet är 90 dagar från idag.
      • Valfri anteckning
    • Tillåt poster:
      • Ta bort tillåt post efter: Välj från följande värden:
        • 1 dag
        • 7 dagar
        • 30 dagar
        • Specifikt datum: Det maximala värdet är 30 dagar från idag.
      • Valfri anteckning

    När du är klar i den utfällbara menyn Redigera domäner & adresser väljer du Spara.

Tips

I den utfällbara menyn med information om en post på fliken Domäner & adresser använder du Visa sändning överst i den utfällbara menyn för att gå till informationen om motsvarande post på sidan Inskickade. Den här åtgärden är tillgänglig om en överföring var ansvarig för att skapa posten i listan Tillåt/blockera klientorganisation.

Använda PowerShell för att ändra poster för domäner och e-postadresser i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

I det här exemplet ändras förfallodatumet för den angivna blockposten för avsändarens e-postadress.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Detaljerad information om syntax och parametrar finns i Set-TenantAllowBlockListItems.

Använd Microsoft Defender-portalen för att ta bort poster för domäner och e-postadresser från listan Tillåt/blockera klientorganisation

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

  2. Kontrollera att fliken Domäner & adresser är markerad.

  3. Gör något av följande på fliken Domäner & adresser :

    • Markera posten i listan genom att markera kryssrutan bredvid den första kolumnen och välj sedan åtgärden Ta bort som visas.

    • Markera posten i listan genom att klicka någon annanstans på raden än kryssrutan. I den utfällbara menyn information som öppnas väljer du Ta bort överst i den utfällbara menyn.

      Tips

      • Om du vill se information om andra poster utan att lämna informationen utfälld använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.
      • Du kan markera flera poster genom att markera varje kryssruta eller markera alla poster genom att markera kryssrutan bredvid kolumnrubriken Värde .

  4. I varningsdialogrutan som öppnas väljer du Ta bort.

På fliken Domäner & adresser visas inte längre posten.

Använd PowerShell för att ta bort poster för domäner och e-postadresser från listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

Det här exemplet tar bort den angivna posten för domäner och e-postadresser från listan Tillåt/blockera klientorganisation.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Detaljerad information om syntax och parametrar finns i Remove-TenantAllowBlockListItems.

Falska avsändare i listan Tillåt/blockera klientorganisation

När du åsidosätter domen i insikten om förfalskningsinformation blir den falska avsändaren en manuell tillåten eller blockerad post som bara visas på fliken Falska avsändare på sidan Tillåt/blockera Listor klientorganisation/blockera.

Skapa tillåta poster för falska avsändare

Om du vill skapa tillåtna poster för falska avsändare använder du någon av följande metoder:

Obs!

Tillåt poster för kontot för falska avsändare för intra-org, cross-org och DMARC spoofing.

Endast kombinationen av den falska användaren och den sändande infrastrukturen enligt definitionen i domänparet får förfalskas.

Tillåt poster för falska avsändare upphör aldrig att gälla.

Använd Microsoft Defender-portalen för att skapa tillåtna poster för falska avsändare i listan Tillåt/blockera klientorganisation

I listan Tillåt/blockera klientorganisation kan du skapa tillåtna poster för falska avsändare innan de identifieras och blockeras av förfalskningsinformation.

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

  2. På sidan Tillåt/blockera klientorganisation Listor väljer du fliken Falska avsändare.

  3. På fliken Falska avsändare väljer du Lägg till.

  4. I den utfällbara menyn Lägg till nya domänpar som öppnas konfigurerar du följande inställningar:

    • Lägg till domänpar med jokertecken: Ange domänpar per rad, upp till högst 20. Mer information om syntaxen för falska avsändarposter finns i avsnittet Domänparsyntax för falska avsändarposter senare i den här artikeln.

    • Förfalskningstyp: Välj något av följande värden:

      • Internt: Den falska avsändaren finns i en domän som tillhör din organisation (en godkänd domän).
      • Extern: Den falska avsändaren finns i en extern domän.

    • Åtgärd: Välj Tillåt eller Blockera.

    När du är klar med den utfällbara menyn Lägg till nya domänpar väljer du Lägg till.

På fliken Falska avsändare visas posten.

Använd PowerShell för att skapa tillåtna poster för falska avsändare i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

I det här exemplet skapas en tillåten post för avsändaren bob@contoso.com från källan contoso.com.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Detaljerad information om syntax och parametrar finns i New-TenantAllowBlockListSpoofItems.

Skapa blockera poster för falska avsändare

Om du vill skapa blockposter för falska avsändare använder du någon av följande metoder:

Obs!

Endast kombinationen av den falska användaren och den sändande infrastruktur som definierats i domänparet blockeras från förfalskning.

Email från dessa avsändare markeras som nätfiske. Vad som händer med meddelandena bestäms av principen för skräppostskydd som identifierade meddelandet för mottagaren. Mer information finns i åtgärden Nätfiskeidentifiering i principinställningarna för EOP-skydd mot skräppost.

När du konfigurerar en blockpost för ett domänpar blir den falska avsändaren en manuell blockpost som endast visas på fliken Falska avsändare i listan Tillåt/blockera klientorganisation.

Blockposter för falska avsändare upphör aldrig att gälla.

Använd Microsoft Defender-portalen för att skapa blockposter för falska avsändare i listan Tillåt/blockera klientorganisation

Stegen är nästan identiska med att skapa tillåtna poster för falska avsändare som tidigare beskrivits i den här artikeln.

Den enda skillnaden är: för värdet Åtgärd i steg 4 väljer du Blockera i stället för Tillåt.

Använd PowerShell för att skapa blockposter för falska avsändare i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

I det här exemplet skapas en blockpost för avsändaren laura@adatum.com från källan 172.17.17.17/24.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Detaljerad information om syntax och parametrar finns i New-TenantAllowBlockListSpoofItems.

Använd Microsoft Defender-portalen för att visa poster för falska avsändare i listan Tillåt/blockera klientorganisation

I Microsoft Defender-portalen på https://security.microsoft.comgår du till Principer & regler>Hotprinciper>Tillåt/blockera Listor i avsnittet Regler. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

Kontrollera att fliken Falska avsändare är markerad.

På fliken Falska avsändare kan du sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Följande kolumner är tillgängliga:

  • Förfalskad användare
  • Skicka infrastruktur
  • Förfalskningstyp: Tillgängliga värden är Interna eller Externa.
  • Åtgärd: De tillgängliga värdena är Blockera eller Tillåt.

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

  • Åtgärd: De tillgängliga värdena är Tillåt och Blockera.
  • Förfalskningstyp: De tillgängliga värdena är Interna och Externa.

När du är klar i den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd rutan Search och ett motsvarande värde för att hitta specifika poster.

Gruppera posterna genom att välja Gruppera och sedan välja något av följande värden:

  • Åtgärd
  • Förfalskningstyp

Om du vill dela upp posterna väljer du Ingen.

Använd PowerShell för att visa poster för falska avsändare i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

Det här exemplet returnerar alla falska avsändarposter i listan Tillåt/blockera klientorganisation.

Get-TenantAllowBlockListSpoofItems

Det här exemplet returnerar alla tillåtna falska avsändarposter som är interna.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

Det här exemplet returnerar alla blockerade falska avsändarposter som är externa.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Detaljerad information om syntax och parametrar finns i Get-TenantAllowBlockListSpoofItems.

Använd Microsoft Defender-portalen för att ändra poster för falska avsändare i listan Tillåt/blockera klientorganisation

När du ändrar en tillåten eller blockerad post för falska avsändare i listan Tillåt/blockera för klientorganisation kan du bara ändra posten från Tillåt till Blockera eller vice versa.

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

  2. Välj fliken Falska avsändare .

  3. Markera posten i listan genom att markera kryssrutan bredvid den första kolumnen och välj sedan åtgärden Redigera som visas.

  4. I den utfällbara menyn Redigera falsk avsändare som öppnas väljer du Tillåt eller Blockera och väljer sedan Spara.

Använda PowerShell för att ändra poster för falska avsändare i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

I det här exemplet ändras den angivna falska avsändarposten från en tillåten post till en blockpost.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Detaljerad information om syntax och parametrar finns i Set-TenantAllowBlockListSpoofItems.

Använd Microsoft Defender-portalen för att ta bort poster för falska avsändare från listan Tillåt/blockera klientorganisation

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

  2. Välj fliken Falska avsändare .

  3. På fliken Falska avsändare markerar du posten i listan genom att markera kryssrutan bredvid den första kolumnen och sedan välja åtgärden Ta bort som visas.

    Tips

    Du kan markera flera poster genom att markera varje kryssruta eller markera alla poster genom att markera kryssrutan bredvid kolumnrubriken Förfalskad användare .

  4. I varningsdialogrutan som öppnas väljer du Ta bort.

Använd PowerShell för att ta bort poster för falska avsändare från listan över tillåtna/blockerade klientorganisationer

Använd följande syntax i Exchange Online PowerShell:

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

Det här exemplet tar bort den angivna falska avsändaren. Du får parametervärdet Ids från identitetsegenskapen i utdata från Get-TenantAllowBlockListSpoofItems kommando.

Detaljerad information om syntax och parametrar finns i Remove-TenantAllowBlockListSpoofItems.

Domänparsyntax för falska avsändarposter

Ett domänpar för en falsk avsändare i listan Tillåt/blockera klient använder följande syntax: <Spoofed user>, <Sending infrastructure>.

  • Förfalskad användare: Det här värdet omfattar e-postadressen för den falska användare som visas i rutan Från i e-postklienter. Den här adressen kallas även för avsändaradressen 5322.From eller P2. Giltiga värden är:

    • En enskild e-postadress (till exempel chris@contoso.com).
    • En e-postdomän (till exempel contoso.com).
    • Jokertecknet (*).

  • Skickar infrastruktur: Det här värdet anger källan för meddelanden från den falska användaren. Giltiga värden är:

    • Domänen som finns i en omvänd DNS-sökning (PTR-post) för käll-e-postserverns IP-adress (till exempel fabrikam.com).
    • Om källans IP-adress inte har någon PTR-post identifieras den sändande infrastrukturen som <käll-IP>/24 (till exempel 192.168.100.100/24).
    • En verifierad DKIM-domän.
    • Jokertecknet (*).

Här följer några exempel på giltiga domänpar för att identifiera falska avsändare:

  • contoso.com, 192.168.100.100/24
  • chris@contoso.com, fabrikam.com
  • *, contoso.net

Obs!

Du kan ange jokertecken i den sändande infrastrukturen eller i den falska användaren, men inte i båda samtidigt. Det är till exempel *, * inte tillåtet.

Om du använder en domän i stället för IP-adressen eller IP-adressintervallet i den sändande infrastrukturen måste domänen matcha PTR-posten för den anslutande IP-adressen i huvudet Authentication-Results . Du kan fastställa PTR genom att köra kommandot: ping -a <IP address>. Vi rekommenderar också att du använder PTR-organisationsdomänen som domänvärde. Om PTR till exempel matchar "smtp.inbound.contoso.com" bör du använda "contoso.com" som den sändande infrastrukturen.

Om du lägger till ett domänpar tillåts eller blockeras kombinationen av den falska användaren ochendast den sändande infrastrukturen. Du kan till exempel lägga till en tillåt-post för följande domänpar:

  • Domän: gmail.com
  • Skickar infrastruktur: tms.mx.com

Endast meddelanden från den domänen och det sändande infrastrukturparet får förfalskas. Andra avsändare som försöker förfalska gmail.com tillåts inte. Meddelanden från avsändare i andra domäner som kommer från tms.mx.com kontrolleras av förfalskningsinformation.

Om personifierade domäner eller avsändare

Du kan inte skapa tillåtna poster i listan Tillåt/blockera klientorganisation för meddelanden som har identifierats som personifierade användare eller personifierade domäner av principer för skydd mot nätfiske i Defender för Office 365.

Om du skickar ett meddelande som felaktigt har blockerats som personifiering på fliken E-postmeddelandenhttps://security.microsoft.com/reportsubmission?viewid=email sidan Inskickade lägger du inte till avsändaren eller domänen som en tillåten post i listan Tillåt/blockera klientorganisation.

I stället läggs domänen eller avsändaren till i avsnittet Betrodda avsändare och domäner i principen för skydd mot nätfiske som identifierade meddelandet.

Instruktioner för att skicka in falska positiva identifieringar för personifiering finns i Rapportera bra e-post till Microsoft.

Obs!

För närvarande tas inte användare (eller graf) personifiering hand om härifrån.