管理租户允许/阻止列表中的允许和块
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
重要
若要允许属于第三方攻击模拟训练的钓鱼 URL,请使用 高级传递配置 来指定 URL。 不要使用租户允许/阻止列表。
在Microsoft 365 个组织中邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP) 没有Exchange Online邮箱的组织中,你可能不同意 EOP 或Microsoft Defender for Office 365筛选判决。 例如, (误报) 可能将一条好消息标记为坏消息,或者通过 (误报) 允许坏消息。
Microsoft Defender门户中的租户允许/阻止列表提供了一种手动替代Defender for Office 365或 EOP 筛选判决的方法。 列表在邮件流或单击时间期间用于来自外部发件人的传入邮件。
域和电子邮件地址以及欺骗发件人的条目适用于组织内发送的内部邮件。 阻止 域和电子邮件地址的 条目还会阻止组织中的用户向这些被阻止的域和地址 发送电子邮件 。
租户允许/阻止列表位于Microsoft Defender门户中https://security.microsoft.com,Email &协作>策略 & 规则>威胁策略>规则部分>租户允许/阻止Lists。 或者,若要直接转到租户允许/阻止Lists页,请使用 https://security.microsoft.com/tenantAllowBlockList。
有关用法和配置说明,请参阅以下文章:
- 域和电子邮件地址 以及 欺骗发件人: 使用租户允许/阻止列表允许或阻止电子邮件
- 文件: 使用租户允许/阻止列表允许或阻止文件
- URL: 使用租户允许/阻止列表允许或阻止 URL。
- IP 地址: 使用租户允许/阻止列表允许或阻止 IPv6 地址。
这些文章包含 Microsoft Defender 门户和 PowerShell 中的过程。
阻止租户允许/阻止列表中的条目
提示
在租户允许/阻止列表中,块条目优先于允许条目。
使用“ 提交” 页 (也称为 管理员提交) https://security.microsoft.com/reportsubmission ,在将以下类型的项目作为假负数提交到Microsoft时创建阻止条目:
-
- Email来自这些发件人的邮件被标记为高置信度钓鱼,然后移动到隔离区。
- 组织中的用户无法向这些被阻止的域和地址发送电子邮件。 他们会收到以下未送达报告 (也称为 NDR 或退回邮件) :
550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
即使阻止条目中只定义了一个收件人电子邮件地址或域,也会阻止邮件的所有内部和外部收件人的整个邮件。
提示
若要仅阻止来自特定发件人的垃圾邮件,请将电子邮件地址或域添加到 反垃圾邮件策略中的阻止列表。 若要阻止来自发件人的所有电子邮件,请使用租户允许/阻止列表中的 域和电子邮件地址 。
文件:Email包含这些被阻止文件的邮件被阻止为恶意软件。 包含被阻止文件的邮件将被隔离。
URL:Email包含这些阻止 URL 的邮件被阻止为高置信度钓鱼。 包含阻止 URL 的邮件将被隔离。
在租户允许/阻止列表中,还可以直接为以下类型的项创建块条目:
欺骗发件人:如果手动替代来自 欺骗智能的现有允许判决,则阻止的欺骗发件人将成为仅出现在租户允许/阻止列表中的“ 欺骗发件人 ”选项卡上的手动阻止条目。
IP 地址:如果手动创建阻止条目,则来自该 IP 地址的所有传入电子邮件都会在服务边缘删除。
默认情况下, 域和电子邮件地址、 文件和URL 的阻止条目在 30 天后过期,但你可以将其设置为最长 90 天或永不过期。
允许租户允许/阻止列表中的条目
在大多数情况下,不能直接在租户允许/阻止列表中创建允许条目。 不必要的允许条目向可能已被系统筛选的恶意电子邮件公开你的组织。
域和电子邮件地址、文件和URL:不能直接在租户允许/阻止列表中创建允许条目。 相反,请使用 的 “提交 ”页面 https://security.microsoft.com/reportsubmission 将 电子邮件、 电子邮件附件或 URL 提交到Microsoft。 选择“ 我确认其干净”后,可以选择“ 允许此邮件”、“ 允许此文件”或 “允许此 URL 为域和电子邮件地址、文件或 URL 创建允许条目”。
欺骗发件人:
- 如果欺骗智能已将邮件阻止为欺骗,请使用 处的 “提交 ”页 https://security.microsoft.com/reportsubmission 将 电子邮件报告为Microsoft ,因为我 已确认邮件是干净的,然后选择“ 允许此邮件”。
- 在欺骗智能识别并阻止邮件为欺骗之前,可以在租户允许/阻止列表中的“欺骗发件人”选项卡上主动为欺骗发件人创建允许条目。
IP 地址:可以在租户允许/阻止列表中的 “IP 地址 ”选项卡上主动为 IP 地址 创建允许条目,以覆盖传入消息的 IP 筛选器。
以下列表描述了在“ 提交 ”页上以误报的形式向Microsoft提交内容时,租户允许/阻止列表中发生的情况:
Email附件和 URL:将创建允许条目,该条目分别显示在租户允许/阻止列表中的“文件”或“URL”选项卡上。
对于报告为误报的 URL,我们允许包含原始 URL 变体的后续消息。 例如,使用 “提交” 页报告错误阻止的 URL
www.contoso.com/abc
。 如果组织稍后收到包含 URL 的消息 (例如但不限于:www.contoso.com/abc
、www.contoso.com/abc?id=1
、www.contoso.com/abc/def/gty/uyt?id=5
或www.contoso.com/abc/whatever
) ,则不会基于 URL 阻止该消息。 换句话说,不需要报告同一 URL 的多个变体,因为Microsoft。Email:如果消息被 EOP 或Defender for Office 365筛选堆栈阻止,则可以在租户允许/阻止列表中创建允许条目:
- 如果邮件被 欺骗智能阻止,则会为发件人创建允许条目,并且该条目将显示在租户允许/阻止列表中的“ 欺骗发件人 ”选项卡上。
- 如果消息被Defender for Office 365中的用户 (或图形) 模拟保护阻止,则不会在租户允许/阻止列表中创建允许条目。 相反,域或发件人会添加到检测到邮件的反钓鱼策略中的“受信任的发件人和域”部分。
- 如果邮件因基于文件的筛选器而被阻止,则会为该文件创建允许条目,并且该条目将显示在租户允许/阻止列表中的“ 文件 ”选项卡上。
- 如果邮件由于基于 URL 的筛选器而被阻止,则会创建 URL 的允许条目,并且该条目将显示在“租户允许/阻止列表”中的“ URL ”选项卡上。
- 如果邮件因任何其他原因被阻止,则会为发件人电子邮件地址或域创建允许条目,并且该条目将显示在租户允许/阻止列表中的“ 域 & 地址 ”选项卡上。
- 如果消息未因筛选而被阻止,则不会在任意位置创建允许条目。
提示
根据确定邮件是恶意邮件的筛选器,在邮件流期间添加来自提交的允许条目。 例如,如果邮件中的发件人电子邮件地址和 URL 被确定为恶意,则会为发件人创建允许条目, (电子邮件地址或域) 和 URL。
在邮件流或单击期间,如果包含允许条目中的实体的邮件通过筛选堆栈中的其他检查,则会传递邮件 () 跳过与允许实体关联的所有筛选器。 例如,如果邮件通过 电子邮件身份验证检查、URL 筛选和文件筛选,则如果邮件也来自允许的发件人,则会传递来自允许发件人电子邮件地址的邮件。
默认情况下, 域和电子邮件地址、 文件和URL 的允许条目在筛选系统确定实体干净后保留 45 天,然后删除允许条目。 或者,可以将允许条目在创建后最多 30 天过期。 允许 欺骗发件人的 条目永不过期。
添加允许项或阻止项后的预期内容
在 “提交 ”页或“租户允许/阻止列表”中添加允许条目后,该条目应在) 5 分钟内立即开始 (工作。
如果Microsoft从允许条目中得知,则名为“在租户允许/阻止列表中删除条目”的内置警报策略会在删除 (不必要的) 允许条目时生成警报。