使用租使用者允許/封鎖清單來允許或封鎖電子郵件
提示
您知道您可以免費試用Office 365方案 2 的Microsoft 365 Defender功能嗎? 使用 Microsoft 365 Defender 入口網站試用中樞的90 天適用於 Office 365 的 Defender試用版。 在這裡瞭解誰可以註冊和 試用條款。
在Exchange Online或獨立Exchange Online Protection (EOP 中具有信箱的 Microsoft 365 組織) 沒有Exchange Online信箱的組織中,系統管理員可以建立和管理網域和電子郵件地址的專案, (包括租使用者允許/封鎖清單中的詐騙寄件者) 。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊。
本文說明系統管理員如何在 Microsoft 365 Defender 入口網站和 Exchange Online PowerShell 中管理電子郵件寄件者的專案。
開始之前有哪些須知?
您於 https://security.microsoft.com 開啟 Microsoft 365 Defender 入口網站。 若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList 。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission 。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell。
針對網域和電子郵件地址,允許專案的最大數目為 500,而封鎖專案的最大數目為 500 (1000 個網域和電子郵件地址專案,總計) 。
針對詐騙寄件者,允許專案和封鎖專案的最大數目為 1024 (1024 個允許專案和無區塊專案、512 個允許專案和 512 個區塊專案等 ) 。
詐騙寄件者的項目永遠不會過期。
如需詐騙寄件者專案的語法詳細資訊,請參閱本文稍後 的詐騙寄件者專案的網域配對語法 一節。
專案應該會在 5 分鐘內作用中。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
- Exchange Online RBAC:
- 從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
- 組織管理 或 安全性系統管理員 (安全性系統管理員角色) 。
- 安全性操作員 (租使用者 AllowBlockList Manager) 。
- 租使用者允許/封鎖清單的唯讀存取權:下列其中一個角色群組中的成員資格:
- 全域讀取者
- 安全性讀取者
- 僅限檢視組態
- View-Only Organization Management
- 從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
- Azure AD RBAC:全域管理員、安全性系統管理員、全域讀取者或安全性讀取者角色的成員資格,可為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。
- Exchange Online RBAC:
租使用者允許/封鎖清單中的網域和電子郵件地址
建立網域和電子郵件地址的允許專案
您無法直接在租使用者允許/封鎖清單中建立網域和電子郵件地址的允許專案。 不必要的允許專案會向系統篩選的惡意電子郵件公開您的組織。
相反地,您會在 的 [提交] 頁面上使用 [ 電子郵件 ] 索 引卷 https://security.microsoft.com/reportsubmission?viewid=email 標。 當您將封鎖的郵件提交為[不應該被封鎖 (誤判) 時,寄件者允許專案會新增至 [租使用者允許/封鎖清單] 頁面上的 [網域 & 電子郵件地址] 索引標籤。 如需指示, 請參閱提交良好的電子郵件給 Microsoft。
注意事項
根據在郵件流程期間判斷郵件為惡意的篩選準則,新增允許專案。 例如,如果寄件者電子郵件地址和郵件中的 URL 判斷為不正確,則會為寄件者建立允許專案, (電子郵件地址或網域) 和 URL。
當允許專案中的實體在郵件流程期間或按一下) 時再次遇到 (時,會覆寫與該實體相關聯的所有篩選。
根據預設,允許網域和電子郵件地址的專案存在 30 天。 在這 30 天內,Microsoft 會從允許專案中學習並 移除這些專案,或自動加以擴充。 在 Microsoft 從移除的允許專案學習之後,除非在郵件中偵測到其他專案為惡意,否則會傳遞包含這些實體的訊息。
在郵件流程期間,如果包含允許實體的訊息在篩選堆疊中通過其他檢查,則會傳遞訊息。 例如,如果訊息通過 電子郵件驗證檢查、URL 篩選和檔案篩選,則如果郵件也是來自允許的寄件者,就會傳遞訊息。
建立網域和電子郵件地址的封鎖專案
若要建立 網域和電子郵件地址的封鎖專案,請使用下列其中一種方法:
從 [提交] 頁面上的 [ 電子郵件 ] 索 引 標籤,位於 https://security.microsoft.com/reportsubmission?viewid=email 。 當您將郵件提交為[應該已被封鎖 (False 負) 時,您可以選取 [封鎖來自此寄件者或網域的所有電子郵件] ,將封鎖專案新增至[租使用者允許/封鎖清單] 頁面上的 [網域 & 電子郵件地址] 索引標籤。 如需指示,請 參閱向 Microsoft 回報可疑的電子郵件。
從 [租使用者允許/封鎖清單] 頁面或 PowerShell 中的 [網域 & 位址] 索引標籤,如本節所述。
若要建立 詐騙寄件者的封鎖專案,請參閱本文稍後的 本節 。
根據預設,允許網域和電子郵件地址的專案存在 30 天。 在這 30 天內,Microsoft 會從允許專案中學習並 移除這些專案,或自動加以擴充。 在 Microsoft 從移除的允許專案學習之後,除非在郵件中偵測到其他專案為惡意,否則會傳遞包含這些實體的訊息。 根據預設,允許詐騙寄件者的專案永不過期。
來自這些封鎖寄件者的Email會標示為網路釣魚並隔離。
注意事項
組織中的使用者也無法 傳送 電子郵件給這些封鎖的網域和位址。 此郵件會在下列非傳遞報表中傳回, (也稱為 NDR 或退回的郵件) : 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 即使封鎖專案中只定義了一個收件者電子郵件地址或網域,郵件的所有內部和外部收件者仍會封鎖整個郵件。
使用 Microsoft 365 Defender 入口網站在租使用者允許/封鎖清單中建立網域和電子郵件地址的封鎖專案
在 Microsoft 365 Defender 入口網站中 https://security.microsoft.com ,移至 [原則 & 規則][威脅原則>規則> ] 區段 >[租使用者允許/封鎖清單]。 或者,若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList 。
在 [ 租使用者允許/封鎖清單 ] 頁面上,確認已選取 [ 網域 & 位址] 索引 標籤。
在 [網域位址] 索引標籤上 &,選取 [
封鎖]。在開啟 的 & [封鎖網域位址 ] 飛出視窗中,設定下列設定:
& 網域位址:每行輸入一個電子郵件地址或網域,最多 20 個。
移除區塊專案之後:從下列值中選取:
- 1 天
- 7 天
- 預設) (30 天
- 永不過期
- 特定日期:最大值為從今天起的 90 天。
選擇性注意事項:輸入您封鎖電子郵件地址或網域原因的描述性文字。
當您在 [ 封鎖網域 & 位址 ] 飛出視窗中完成時,請選取 [ 新增]。
回到 [ 網域 & 電子郵件地址] 索引卷 標上,會列出該專案。
使用 PowerShell 在租使用者允許/封鎖清單中建立網域和電子郵件地址的封鎖專案
在Exchange Online PowerShell中,使用下列語法:
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
本範例會為特定日期到期的指定電子郵件地址新增封鎖專案。
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems。
使用 Microsoft 365 Defender 入口網站來檢視租使用者允許/封鎖清單中網域和電子郵件地址的專案
在 Microsoft 365 Defender 入口網站 https://security.microsoft.com 中,移至& [規則]區段中的 [原則規則 >][威脅> 原則租使用者允許/封鎖清單]。 或者,若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList 。
確認已選取 [ 網域 & 位址] 索引 標籤。
在 [ 網域 & 位址 ] 索引標籤上,您可以按一下可用的資料行標頭來排序專案。 下列資料行可供使用:
- 值:網域或電子郵件地址。
- 動作: [允許] 或 [ 封鎖] 值。
- 修改者
- 上次更新
- 移除日期:到期日。
- 附註
若要篩選項目,請選取 [ 
篩選]。 下列篩選準則可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 動作:這些值為 Allow 和 Block。
- 永不過期:
或 
- 上次更新時間:選取[從] 和 [到日期]。
- 移除于:選取 [從] 和 [到日期]。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選 
取[清除篩選]。
使用 [ 
搜尋]方塊和對應的值來尋找特定專案。
若要將專案分組,請選取 [ 
群組],然後選取 [動作]。 若要取消專案群組,請選取 [ 無]。
使用 PowerShell 檢視租使用者允許/封鎖清單中網域和電子郵件地址的專案
在Exchange Online PowerShell中,使用下列語法:
Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]
此範例會傳回網域和電子郵件地址的所有允許和封鎖專案。
Get-TenantAllowBlockListItems -ListType Sender
本範例會篩選網域和電子郵件地址區塊專案的結果。
Get-TenantAllowBlockListItems -ListType Sender -Block
如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListItems。
使用 Microsoft 365 Defender 入口網站來修改租使用者允許/封鎖清單中網域和電子郵件地址的專案
在現有的網域和電子郵件地址專案中,您可以變更到期日和附注。
在 Microsoft 365 Defender 入口網站中 https://security.microsoft.com ,移至 [原則 & 規則][威脅原則>規則> ] 區段 >[租使用者允許/封鎖清單]。 或者,若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList 。
確認已選取 [ 網域 & 位址] 索引 標籤。
在 [網域 & 位址] 索引標籤上,選取第一個資料行旁邊的核取方塊,從清單中選取專案,然後選取出現的
[編輯] 動作。在開啟 的 & [編輯網域位址 ] 飛出視窗中,可以使用下列設定:
- 封鎖專案:
- 移除區塊專案之後:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 永不過期
- 特定日期:最大值為從今天起的 90 天。
- 選擇性附注
- 移除區塊專案之後:從下列值中選取:
- 允許專案:
- 移除 [允許輸入]:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值為從今天起的 30 天。
- 選擇性附注
- 移除 [允許輸入]:從下列值中選取:
當您在 [ 編輯網域 & 位址 ] 飛出視窗中完成時,請選取 [ 儲存]。
- 封鎖專案:
提示
在 [網域 & 位址] 索引標籤上專案的詳細資料飛出視窗中,使用 
飛出視窗頂端的 [檢視提交],移至 [提交] 頁面上對應專案的詳細資料。 如果提交負責在租使用者允許/封鎖清單中建立專案,則可使用此動作。
使用 PowerShell 修改租使用者允許/封鎖清單中網域和電子郵件地址的專案
在Exchange Online PowerShell中,使用下列語法:
Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
本範例會變更寄件者電子郵件地址之指定封鎖專案的到期日。
Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"
如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListItems。
使用 Microsoft 365 Defender 入口網站,從租使用者允許/封鎖清單中移除網域和電子郵件地址的專案
在 Microsoft 365 Defender 入口網站中 https://security.microsoft.com ,移至 [原則 & 規則][威脅原則>規則> ] 區段 >[租使用者允許/封鎖清單]。 或者,若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList 。
確認已選取 [ 網域 & 位址] 索引 標籤。
在 [網域位址] & 索引卷 標上,執行下列其中一個步驟:
選取第一個資料行旁邊的核取方塊,然後選取出現的
[刪除] 動作,以從清單中選取專案。按一下核取方塊以外的資料列中的任何位置,從清單中選取專案。 在開啟的詳細資料飛出視窗中,選
取飛出視窗頂端的 [刪除]。提示
若要查看其他專案的詳細資料而不離開詳細資料飛出視窗,請使用
飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
在開啟的警告對話方塊中,選取 [ 刪除]。
回到 [ 網域 & 位址] 索引 標籤,專案已不再列出。
提示
您可以選取每個核取方塊來選取多個專案,或選取 [值 ] 資料行標頭旁邊的核取方塊來選取所有專案。
使用 PowerShell 從租使用者允許/封鎖清單中移除網域和電子郵件地址的專案
在Exchange Online PowerShell中,使用下列語法:
Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>
此範例會從租使用者允許/封鎖清單中移除網域和電子郵件地址的指定專案。
Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"
如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListItems。
租使用者允許/封鎖清單中的詐騙寄件者
當您覆寫詐騙情報深入解析中的決策時,詐騙的寄件者會變成手動允許或封鎖專案,只出現在 [租使用者允許/封鎖清單] 頁面上的 [詐騙寄件者] 索引標籤上。
建立詐騙寄件者的允許專案
若要建立詐騙 寄件者的允許專案,請使用下列任何方法:
- 從 [提交] 頁面上的 [ 電子郵件 ] 索 引 標籤,位於 https://security.microsoft.com/reportsubmission?viewid=email 。 如需指示, 請參閱提交良好的電子郵件給 Microsoft。
- 當您提交偵測到並遭到 詐騙情報封鎖的訊息時,會將詐騙寄件者的允許專案新增至租使用者允許/封鎖清單中的 [詐騙 寄件者 ] 索引標籤。
- 如果偵測不到寄件者並遭到詐騙情報封鎖,將訊息提交給 Microsoft 並不會在租使用者允許/封鎖清單中為寄件者建立允許專案。
- 如果偵測到寄件者並遭到詐騙情報封鎖,請從 的詐騙情報深入解析頁面 https://security.microsoft.com/spoofintelligence 。 如需指示,請 參閱覆寫詐騙情報決策。
- 當您覆寫詐騙情報深入解析中的決策時,詐騙寄件者會變成手動輸入,只出現在 [租使用者允許/封鎖清單] 頁面上的 [詐騙寄件者] 索引標籤上。
- 從 [租使用者允許/封鎖清單] 頁面上的 [詐騙寄件者] 索引標籤,或在 PowerShell 中,如本節所述。
使用 Microsoft 365 Defender 入口網站,在租使用者允許/封鎖清單中建立詐騙寄件者的允許專案
在 [租使用者允許/封鎖清單] 中,您可以為詐騙寄件者建立允許專案,然後再透過 詐騙情報來偵測和封鎖這些傳送者。
在 Microsoft 365 Defender 入口網站中 https://security.microsoft.com ,移至 [原則 & 規則][威脅原則>規則> ] 區段 >[租使用者允許/封鎖清單]。 或者,若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList 。
在 [ 租使用者允許/封鎖清單 ] 頁面上,選取 [ 詐騙寄件者] 索引 標籤。
在 [詐騙寄件者] 索引標籤上,選取 [
新增]。在開啟的 [ 新增網域配對 ] 飛出視窗中,設定下列設定:
新增具有萬用字元的網域配對:每行輸入網域配對,最多 20 個。 如需詐騙寄件者專案的語法詳細資訊,請參閱本文稍後 的詐騙寄件者專案的網域配對語法 一節。
詐騙類型:選取下列其中一個值:
- 內部:詐騙寄件者位於屬於貴組織的網域中, (接受的網域) 。
- 外部:詐騙寄件者位於外部網域中。
動作:選 取 [允許] 或 [封鎖]。
當您在 [ 新增網域配對 ] 飛出視窗中完成時,請選取 [ 新增]。
回到 [ 詐騙寄件者] 索引 標籤上,會列出該專案。
使用 PowerShell 在租使用者允許/封鎖清單中建立詐騙寄件者的允許專案
在Exchange Online PowerShell中,使用下列語法:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
此範例會從來源 contoso.com 建立寄件者 bob@contoso.com 允許專案。
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListSpoofItems。
建立詐騙寄件者的封鎖專案
若要建立 詐騙寄件者的封鎖專案,請使用下列任何方法:
- 從 [提交] 頁面上的 [ 電子郵件 ] 索 引 標籤,位於 https://security.microsoft.com/reportsubmission?viewid=email 。 如需指示,請 參閱向 Microsoft 回報可疑的電子郵件。
- 如果偵測到寄件者並允許詐騙情報,請從 的詐騙情報深入解析頁面 https://security.microsoft.com/spoofintelligence 。 如需指示,請 參閱覆寫詐騙情報決策。
- 當您覆寫詐騙情報深入解析中的決策時,詐騙寄件者會變成手動輸入,只出現在 [租使用者允許/封鎖清單] 頁面上的 [詐騙寄件者] 索引標籤上。
- 從 [租使用者允許/封鎖清單] 頁面上的 [詐騙寄件者] 索引標籤,或在 PowerShell 中,如本節所述。
注意事項
只有詐騙使用者 和 定義于 網域配對 中的傳送基礎結構的組合會遭到封鎖而無法詐騙。
來自這些寄件者的Email標示為網路釣魚。 訊息會發生什麼情況,取決於偵測到收件者郵件 的反垃圾郵件原則 。 如需詳細資訊, 請參閱EOP 反垃圾郵件原則設定中的網路釣魚偵測動作。
當您設定網域配對的封鎖專案時,詐騙寄件者會變成手動允許專案,只出現在租使用者允許/封鎖清單中的 [ 詐騙寄件者 ] 索引標籤上。
封鎖詐騙寄件者的專案永遠不會過期。
使用 Microsoft 365 Defender 入口網站在租使用者允許/封鎖清單中建立詐騙寄件者的封鎖專案
這些步驟與 為詐騙寄件者建立允許專案 幾乎完全相同,如本文先前所述。
唯一的差異是:針對步驟 4 中的 [動作 ] 值,選取 [封鎖 ] 而不是 [ 允許]。
使用 PowerShell 在租使用者允許/封鎖清單中建立詐騙寄件者的封鎖專案
在Exchange Online PowerShell中,使用下列語法:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
此範例會從來源 172.17.17.17/24 建立寄件者 laura@adatum.com 封鎖專案。
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListSpoofItems。
使用 Microsoft 365 Defender 入口網站在租使用者允許/封鎖清單中檢視詐騙寄件者的專案
在 Microsoft 365 Defender 入口網站 https://security.microsoft.com 中,移至& [規則]區段中的 [原則規則 >][威脅> 原則租使用者允許/封鎖清單]。 或者,若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList 。
確認已選取 [ 詐騙寄件者] 索引 標籤。
在 [ 詐騙寄件者 ] 索引標籤上,您可以按一下可用的資料行標頭來排序專案。 下列資料行可供使用:
- 詐騙使用者
- 傳送基礎結構
- 詐騙類型:可用的值為 [內部 ] 或 [ 外部]。
- 動作:可用的值為 [封鎖 ] 或 [ 允許]。
若要篩選項目,請選取 [ 篩選]。 下列篩選準則可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 動作:可用的值為 Allow 和 Block。
- 詐騙類型:可用的值為 Internal 和 External。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選 取[清除篩選]。
使用 [ 搜尋]方塊和對應的值來尋找特定專案。
若要將專案分組,請選取 [ 群組],然後選取下列其中一個值:
- 動作
- 詐騙類型
若要取消專案群組,請選取 [ 無]。
使用 PowerShell 在租使用者允許/封鎖清單中檢視詐騙寄件者的專案
在Exchange Online PowerShell中,使用下列語法:
Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>
此範例會傳回租使用者允許/封鎖清單中的所有詐騙寄件者專案。
Get-TenantAllowBlockListSpoofItems
此範例會傳回內部所有允許詐騙寄件者專案。
Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal
此範例會傳回外部所有封鎖的詐騙寄件者專案。
Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External
如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListSpoofItems。
使用 Microsoft 365 Defender 入口網站修改租使用者允許/封鎖清單中詐騙寄件者的專案
當您在 [租使用者允許/封鎖] 清單中修改詐騙寄件者的允許或封鎖專案時,只能將專案從 [ 允許 ] 變更為 [封鎖],反之亦然。
在 Microsoft 365 Defender 入口網站中 https://security.microsoft.com ,移至 [原則 & 規則][威脅原則>規則> ] 區段 >[租使用者允許/封鎖清單]。 或者,若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList 。
選取 [ 詐騙寄件者] 索引卷 標。
選取第一個資料行旁邊的核取方塊,然後選取出現的
[編輯] 動作,以從清單中選取專案。在開啟 的 [編輯詐騙寄件者 ] 飛出視窗中,選取 [ 允許 ] 或 [ 封鎖],然後選取 [ 儲存]。
使用 PowerShell 修改租使用者允許/封鎖清單中詐騙寄件者的專案
在Exchange Online PowerShell中,使用下列語法:
Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>
此範例會將指定的詐騙寄件者專案從允許專案變更為封鎖專案。
Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block
如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListSpoofItems。
使用 Microsoft 365 Defender 入口網站從租使用者允許/封鎖清單中移除詐騙寄件者的專案
在 Microsoft 365 Defender 入口網站中 https://security.microsoft.com ,移至 [原則 & 規則][威脅原則>規則> ] 區段 >[租使用者允許/封鎖清單]。 或者,若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList 。
選取 [ 詐騙寄件者] 索引卷 標。
在 [詐騙寄件者] 索引標籤上,選取第一個資料行旁邊的核取方塊,從清單中選取專案,然後選取出現的
[刪除] 動作。在開啟的警告對話方塊中,選取 [ 刪除]。
注意事項
您可以選取每個核取方塊來選取多個專案,或選取 [ 詐騙使用者 ] 資料行標頭旁的核取方塊來選取所有專案。
使用 PowerShell 從租使用者允許/封鎖清單中移除詐騙寄件者的專案
在Exchange Online PowerShell中,使用下列語法:
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c
此範例會移除指定的詐騙寄件者。 您可以從 Get-TenantAllowBlockListSpoofItems 命令輸出中的 Identity 屬性取得 Ids 參數值。
如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListSpoofItems。
詐騙寄件者專案的網域配對語法
租使用者允許/封鎖清單中詐騙寄件者的網域配對會使用下列語法: <Spoofed user>, <Sending infrastructure> 。
詐騙使用者:此值牽涉到電子郵件用戶端中 [ 發 件人] 方塊中顯示之詐騙使用者的電子郵件地址。 此位址也稱為
5322.From或 P2 寄件者位址。 有效值包括:- 個別的電子郵件地址 (例如, chris@contoso.com) 。
- 電子郵件網域 (例如,contoso.com) 。
- 萬用字元 (*) 。
傳送基礎結構:此值表示來自詐騙使用者的訊息來源。 有效值包括:
- 在反向 DNS 查閱 (PTR 記錄中找到的網域,) 來源電子郵件伺服器的 IP 位址 (例如,fabrikam.com) 。
- 如果來源 IP 位址沒有 PTR 記錄,則傳送基礎結構被識別為<來源 IP>/24 (例如,192.168.100.100/24)。
- 已驗證的 DKIM 網域。
- 萬用字元 (*) 。
以下是用來識別詐騙寄件者的有效網域配對範例:
contoso.com, 192.168.100.100/24chris@contoso.com, fabrikam.com*, contoso.net
注意事項
您可以在傳送基礎結構或詐騙使用者中指定萬用字元,但不能同時在兩者中指定萬用字元。 例如, *, * 不允許。
新增網域配對僅允許或封鎖詐騙使用者和傳送基礎結構的組合。 例如,您新增下列網域配對的允許專案:
- 網域:gmail.com
- 傳送基礎結構:tms.mx.com
只允許來自該網域 和 傳送基礎結構配對的訊息進行詐騙。 不允許其他寄件者嘗試詐騙 gmail.com。 來自來自 tms.mx.com 之其他網域中寄件者的訊息會透過詐騙情報進行檢查。
關於模擬網域或寄件者
您無法在租使用者允許/封鎖清單中,針對在 適用於 Office 365 的 Defender 中反網路釣魚原則偵測到為仿真使用者或模擬網域的訊息建立允許專案。
在 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=email 的 [電子郵件] 索引標籤上,提交錯誤封鎖為模擬的郵件,並不會將寄件者或網域新增為租使用者允許/封鎖清單中的允許專案。
相反地,網域或寄件者會新增至偵測到郵件之反網路釣魚原則中的 [信任的寄件者和網域] 區段。
如需模擬誤判的提交指示,請參閱 向 Microsoft 回報良好的電子郵件。
注意事項
目前,此處不會處理圖形模擬。