管理租户允许/阻止列表中的允许和块
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。
重要
若要允许属于第三方攻击模拟训练的钓鱼 URL,请使用 高级传递配置 来指定 URL。 不要使用租户允许/阻止列表。
在邮箱位于 Exchange Online 或独立 Exchange Online Protection (EOP 的 Microsoft 365 组织中,) 组织中没有Exchange Online邮箱,你可能不同意 EOP 或Microsoft Defender for Office 365筛选判决。 例如, (误报) 可能将一条好消息标记为坏消息,或者通过 (误报) 允许坏消息。
Microsoft Defender门户中的租户允许/阻止列表提供了一种手动替代Defender for Office 365或 EOP 筛选判决的方法。 列表在邮件流期间用于来自外部发件人的传入邮件。
租户允许/阻止列表不适用于组织内的内部消息。 但是, 阻止域和电子邮件地址 的条目会阻止组织中的用户向这些被阻止的域和地址发送电子邮件。
租户允许/阻止列表位于Microsoft Defender门户中https://security.microsoft.com>的策略 & 规则>威胁策略>租户允许/阻止Lists部分。 若要直接转到“租户允许/阻止Lists”页,请使用 https://security.microsoft.com/tenantAllowBlockList。
有关用法和配置说明,请参阅以下文章:
- 域和电子邮件地址 以及 欺骗发件人: 使用租户允许/阻止列表允许或阻止电子邮件
- 文件: 使用租户允许/阻止列表允许或阻止文件
- URL: 使用租户允许/阻止列表允许或阻止 URL。
这些文章包含 Microsoft Defender 门户和 PowerShell 中的过程。
阻止租户允许/阻止列表中的条目
注意
在租户允许/阻止列表中,块条目优先于允许条目。
使用“ 提交” 页面 (也称为 管理员提交) https://security.microsoft.com/reportsubmission ,在向 Microsoft 报告为假负时,为以下类型的项目创建块条目:
域和电子邮件地址:
- Email来自这些发件人的邮件被标记为高置信度钓鱼,然后移动到隔离区。
- 组织中的用户无法向这些被阻止的域和地址发送电子邮件。 他们会收到以下未送达报告 (也称为 NDR 或退回邮件) :
550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
即使阻止条目中只定义了一个收件人电子邮件地址或域,也会阻止邮件的所有内部和外部收件人的整个邮件。
提示
若要仅阻止来自特定发件人的垃圾邮件,请将电子邮件地址或域添加到 反垃圾邮件策略中的阻止列表。 若要阻止来自发件人的所有电子邮件,请使用租户允许/阻止列表中的 域和电子邮件地址 。
文件:Email包含这些被阻止文件的邮件被阻止为恶意软件。 包含被阻止文件的邮件将被隔离。
URL:包含这些阻止 URL 的Email邮件被阻止为高置信度钓鱼。 包含阻止 URL 的邮件将被隔离。
在租户允许/阻止列表中,还可以直接为以下类型的项创建块条目:
域和电子邮件地址、 文件和URL。
欺骗发件人:如果手动替代来自 欺骗智能的现有允许判决,则阻止的欺骗发件人将成为仅出现在租户允许/阻止列表中的“ 欺骗发件人 ”选项卡上的手动阻止条目。
默认情况下, 域和电子邮件地址、 文件和URL 的阻止条目在 30 天后过期,但你可以将其设置为最长 90 天或永不过期。 欺骗发件人的阻止条目永不过期。
允许租户允许/阻止列表中的条目
在大多数情况下,不能直接在租户允许/阻止列表中创建允许条目:
域和电子邮件地址、文件和URL:不能直接在租户允许/阻止列表中创建允许条目。 而是使用 的https://security.microsoft.com/reportsubmission“提交”页面向 Microsoft 报告电子邮件、电子邮件附件或 URL,因为不应 (误报) 。
欺骗发件人:
- 如果欺骗智能已将邮件阻止为欺骗,请使用 的 “提交 ”页 https://security.microsoft.com/reportsubmission 向 Microsoft 报告 电子邮件 ,因为 不应 (误报) 。
- 在欺骗智能识别并阻止邮件为欺骗之前,可以在租户允许/阻止列表中的“欺骗发件人”选项卡上主动为欺骗发件人创建允许条目。
以下列表描述了在 “提交 ”页面上向 Microsoft 报告为误报的内容时,租户允许/阻止列表中会发生什么情况:
Email附件和 URL:将创建允许条目,该条目分别显示在租户允许/阻止列表中的“文件”或“URL”选项卡上。
对于报告为误报的 URL,我们将允许包含原始 URL 变体的后续消息。 例如,使用 “提交” 页报告错误阻止的 URL
www.contoso.com/abc
。 如果组织以后收到包含 URL 的消息 (但不限于:www.contoso.com/abc
、www.contoso.com/abc?id=1
、www.contoso.com/abc/def/gty/uyt?id=5
或www.contoso.com/abc/whatever
) ,则不会基于 URL 阻止该消息。 换句话说,无需向 Microsoft 报告相同 URL 的多个变体。Email:如果消息被 EOP 或Defender for Office 365筛选堆栈阻止,则可以在租户允许/阻止列表中创建允许条目:
- 如果邮件被 欺骗智能阻止,则会为发件人创建允许条目,并且该条目将显示在租户允许/阻止列表中的“ 欺骗发件人 ”选项卡上。
- 如果消息被Defender for Office 365中的用户 (或图形) 模拟保护阻止,则不会在租户允许/阻止列表中创建允许条目。 相反,域或发件人会添加到检测到邮件的反钓鱼策略中的“受信任的发件人和域”部分。
- 如果邮件因基于文件的筛选器而被阻止,则会为该文件创建允许条目,并且该条目将显示在租户允许/阻止列表中的“ 文件 ”选项卡上。
- 如果邮件由于基于 URL 的筛选器而被阻止,则会创建 URL 的允许条目,并且该条目将显示在“租户允许/阻止列表”中的“ URL ”选项卡上。
- 如果邮件因任何其他原因被阻止,则会为发件人电子邮件地址或域创建允许条目,并且该条目将显示在租户允许/阻止列表中的“ 域 & 地址 ”选项卡上。
- 如果消息未因筛选而被阻止,则不会在任意位置创建允许条目。
默认情况下,允许域和电子邮件地址、文件和 URL 的条目存在 30 天。 在这 30 天内,Microsoft 会从允许条目中学习并 删除它们或自动扩展它们。 Microsoft 从已删除的允许条目中得知后,将传递包含这些实体的消息,除非消息中的其他内容被检测为恶意。 默认情况下,允许欺骗发件人的条目永不过期。
重要
Microsoft 不允许直接创建允许条目。 不必要的允许条目将你的组织暴露给恶意电子邮件,这些电子邮件可能已被系统筛选。
Microsoft 从 的 “提交 ”页 https://security.microsoft.com/reportsubmission管理允许条目的创建。 允许条目在邮件流期间根据确定邮件是恶意邮件的筛选器添加的。 例如,如果确定发件人电子邮件地址和邮件中的 URL 是错误的,则会为发件人创建允许条目, (电子邮件地址或域) 和 URL。
当在邮件流或单击) 期间再次 (遇到实体时,将跳过与该实体关联的所有筛选器。
在邮件流期间,如果包含允许实体的邮件通过筛选堆栈中的其他检查,则会传递邮件。 例如,如果邮件通过了 电子邮件身份验证检查、URL 筛选和文件筛选,则会传递来自允许发件人电子邮件地址的邮件。
添加允许项或阻止项后的预期内容
在 “提交 ”页或“租户允许/阻止列表”中添加允许条目后,该条目应在) 5 分钟内立即开始 (工作。
如果 Microsoft 已从允许条目中学习,则会删除该条目。 你将收到一条警报,说明从名为“删除租户允许/阻止列表中的条目”的内置警报策略中删除了现在不必要的允许条目。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈