管理租户允许/阻止列表中的允许和块

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

重要

若要允许属于第三方攻击模拟训练的钓鱼 URL,请使用 高级传递配置 来指定 URL。 不要使用租户允许/阻止列表。

在邮箱位于 Exchange Online 或独立 Exchange Online Protection (EOP 的 Microsoft 365 组织中,) 组织中没有Exchange Online邮箱,你可能不同意 EOP 或Microsoft Defender for Office 365筛选判决。 例如, (误报) 可能将一条好消息标记为坏消息,或者通过 (误报) 允许坏消息。

Microsoft Defender门户中的租户允许/阻止列表提供了一种手动替代Defender for Office 365或 EOP 筛选判决的方法。 列表在邮件流期间用于来自外部发件人的传入邮件。

租户允许/阻止列表不适用于组织内的内部消息。 但是, 阻止域和电子邮件地址 的条目会阻止组织中的用户向这些被阻止的域和地址发送电子邮件。

租户允许/阻止列表位于Microsoft Defender门户中https://security.microsoft.com>的策略 & 规则>威胁策略>租户允许/阻止Lists部分。 若要直接转到“租户允许/阻止Lists”页,请使用 https://security.microsoft.com/tenantAllowBlockList

有关用法和配置说明,请参阅以下文章:

这些文章包含 Microsoft Defender 门户和 PowerShell 中的过程。

阻止租户允许/阻止列表中的条目

注意

在租户允许/阻止列表中,块条目优先于允许条目。

使用“ 提交” 页面 (也称为 管理员提交) https://security.microsoft.com/reportsubmission ,在向 Microsoft 报告为假负时,为以下类型的项目创建块条目:

  • 域和电子邮件地址

    • Email来自这些发件人的邮件被标记为高置信度钓鱼,然后移动到隔离区。
    • 组织中的用户无法向这些被阻止的域和地址发送电子邮件。 他们会收到以下未送达报告 (也称为 NDR 或退回邮件) : 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 即使阻止条目中只定义了一个收件人电子邮件地址或域,也会阻止邮件的所有内部和外部收件人的整个邮件。

    提示

    若要仅阻止来自特定发件人的垃圾邮件,请将电子邮件地址或域添加到 反垃圾邮件策略中的阻止列表。 若要阻止来自发件人的所有电子邮件,请使用租户允许/阻止列表中的 域和电子邮件地址

  • 文件:Email包含这些被阻止文件的邮件被阻止为恶意软件。 包含被阻止文件的邮件将被隔离。

  • URL:包含这些阻止 URL 的Email邮件被阻止为高置信度钓鱼。 包含阻止 URL 的邮件将被隔离。

在租户允许/阻止列表中,还可以直接为以下类型的项创建块条目:

  • 域和电子邮件地址文件和URL

  • 欺骗发件人:如果手动替代来自 欺骗智能的现有允许判决,则阻止的欺骗发件人将成为仅出现在租户允许/阻止列表中的“ 欺骗发件人 ”选项卡上的手动阻止条目。

默认情况下, 域和电子邮件地址文件和URL 的阻止条目在 30 天后过期,但你可以将其设置为最长 90 天或永不过期。 欺骗发件人的阻止条目永不过期。

允许租户允许/阻止列表中的条目

在大多数情况下,不能直接在租户允许/阻止列表中创建允许条目:

  • 域和电子邮件地址、文件和URL:不能直接在租户允许/阻止列表中创建允许条目。 而是使用 的https://security.microsoft.com/reportsubmission“提交”页面向 Microsoft 报告电子邮件电子邮件附件URL,因为不应 (误报)

  • 欺骗发件人

    • 如果欺骗智能已将邮件阻止为欺骗,请使用 的 “提交 ”页 https://security.microsoft.com/reportsubmission 向 Microsoft 报告 电子邮件 ,因为 不应 (误报)
    • 在欺骗智能识别并阻止邮件为欺骗之前,可以在租户允许/阻止列表中的“欺骗发件人”选项卡上主动为欺骗发件人创建允许条目。

以下列表描述了在 “提交 ”页面上向 Microsoft 报告为误报的内容时,租户允许/阻止列表中会发生什么情况:

  • Email附件URL:将创建允许条目,该条目分别显示在租户允许/阻止列表中的“文件”或“URL”选项卡上。

    对于报告为误报的 URL,我们将允许包含原始 URL 变体的后续消息。 例如,使用 “提交” 页报告错误阻止的 URL www.contoso.com/abc。 如果组织以后收到包含 URL 的消息 (但不限于: www.contoso.com/abcwww.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5www.contoso.com/abc/whatever) ,则不会基于 URL 阻止该消息。 换句话说,无需向 Microsoft 报告相同 URL 的多个变体。

  • Email:如果消息被 EOP 或Defender for Office 365筛选堆栈阻止,则可以在租户允许/阻止列表中创建允许条目:

    • 如果邮件被 欺骗智能阻止,则会为发件人创建允许条目,并且该条目将显示在租户允许/阻止列表中的“ 欺骗发件人 ”选项卡上。
    • 如果消息被Defender for Office 365中的用户 (或图形) 模拟保护阻止,则不会在租户允许/阻止列表中创建允许条目。 相反,域或发件人会添加到检测到邮件的反钓鱼策略中的“受信任的发件人和域”部分
    • 如果邮件因基于文件的筛选器而被阻止,则会为该文件创建允许条目,并且该条目将显示在租户允许/阻止列表中的“ 文件 ”选项卡上。
    • 如果邮件由于基于 URL 的筛选器而被阻止,则会创建 URL 的允许条目,并且该条目将显示在“租户允许/阻止列表”中的“ URL ”选项卡上。
    • 如果邮件因任何其他原因被阻止,则会为发件人电子邮件地址或域创建允许条目,并且该条目将显示在租户允许/阻止列表中的“ 域 & 地址 ”选项卡上。
    • 如果消息未因筛选而被阻止,则不会在任意位置创建允许条目。

默认情况下,允许域和电子邮件地址、文件和 URL 的条目存在 30 天。 在这 30 天内,Microsoft 会从允许条目中学习并 删除它们或自动扩展它们。 Microsoft 从已删除的允许条目中得知后,将传递包含这些实体的消息,除非消息中的其他内容被检测为恶意。 默认情况下,允许欺骗发件人的条目永不过期。

重要

Microsoft 不允许直接创建允许条目。 不必要的允许条目将你的组织暴露给恶意电子邮件,这些电子邮件可能已被系统筛选。

Microsoft 从 的 “提交 ”页 https://security.microsoft.com/reportsubmission管理允许条目的创建。 允许条目在邮件流期间根据确定邮件是恶意邮件的筛选器添加的。 例如,如果确定发件人电子邮件地址和邮件中的 URL 是错误的,则会为发件人创建允许条目, (电子邮件地址或域) 和 URL。

当在邮件流或单击) 期间再次 (遇到实体时,将跳过与该实体关联的所有筛选器。

在邮件流期间,如果包含允许实体的邮件通过筛选堆栈中的其他检查,则会传递邮件。 例如,如果邮件通过了 电子邮件身份验证检查、URL 筛选和文件筛选,则会传递来自允许发件人电子邮件地址的邮件。

添加允许项或阻止项后的预期内容

“提交 ”页或“租户允许/阻止列表”中添加允许条目后,该条目应在) 5 分钟内立即开始 (工作。

如果 Microsoft 已从允许条目中学习,则会删除该条目。 你将收到一条警报,说明从名为“删除租户允许/阻止列表中的条目”的内置警报策略中删除了现在不必要的允许条目。