使用租户允许/阻止列表允许或阻止电子邮件
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在 Microsoft 365 个组织中邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP) 组织中没有Exchange Online邮箱的组织中,管理员可以创建和管理域和电子邮件地址的条目, (包括租户允许/阻止列表中的欺骗发件人) 。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
本文介绍管理员如何在Microsoft Defender门户和 PowerShell Exchange Online 管理电子邮件发件人的条目。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到“租户允许/阻止Lists”页,请使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。 若要连接到独立 EOP PowerShell,请参阅连接到 Exchange Online Protection PowerShell。
域和电子邮件地址的入口限制:
- Exchange Online Protection:允许条目的最大数目为 500,块条目的最大数目为 500 (总共) 1000 个域和电子邮件地址条目。
- Defender for Office 365计划 1:允许条目的最大数目为 1000,块条目的最大数目为 1000 (2000 个域和电子邮件地址条目,总共) 。
- Defender for Office 365计划 2:允许条目的最大数目为 5000,块条目的最大数目为 10000 (总共) 15000 个域和电子邮件地址条目。
对于欺骗发送方,允许条目和块条目的最大数目为 1024 (1024 个允许条目和无块条目、512 个允许条目和 512 个块条目等 ) 。
欺骗的发件人的条目永不过期。
若要阻止来自某个域、该域中的任何子域以及该域中的任何电子邮件地址的入站和出站电子邮件,请使用语法创建阻止条目,
*.TLD
其中TLD
可以是任何顶级域、内部域或电子邮件地址域。若要阻止来自域和该子域中的任何电子邮件地址的入站和出站电子邮件,请使用语法为内部域和电子邮件地址域创建阻止条目:
*.SD1.TLD
、*.SD2.SD1.TLD
*.SD3.SD2.SD1.TLD
、等。有关欺骗发件人条目的语法的详细信息,请参阅本文后面的欺骗 发件人条目的域对语法 部分。
条目应在 5 分钟内处于活动状态。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/检测优化 (管理) 或授权和设置/安全设置/核心安全设置 (读取) 。
-
-
在租户允许/阻止列表中添加和删除条目:以下角色组中的成员身份:
- 组织管理 或 安全管理员 (安全管理员角色) 。
- 安全操作员 (租户 AllowBlockList 管理员角色) :此权限仅在 Exchange 管理中心https://admin.exchange.microsoft.com>>角色管理员角色中直接分配时有效。
- 对租户允许/阻止列表的只读访问权限:以下角色组中的成员身份:
- 全局读取器
- 安全信息读取者
- 仅查看配置
- View-Only Organization Management
-
在租户允许/阻止列表中添加和删除条目:以下角色组中的成员身份:
Microsoft Entra权限:全局管理员*、安全管理员、全局读取者或安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
租户允许/阻止列表中的域和电子邮件地址
为域和电子邮件地址创建允许条目
不能直接在租户允许/阻止列表中为域和电子邮件地址创建允许条目。 不必要的允许条目向系统筛选的恶意电子邮件公开你的组织。
请改用 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=email的 “电子邮件” 选项卡。 在确认邮件干净后提交阻止的邮件,然后选择“允许此邮件”时,会将发件人的允许条目添加到“租户允许/阻止Lists”页上的“域 & 电子邮件地址”选项卡上。 有关说明,请参阅 将良好的电子邮件提交到Microsoft。
提示
根据确定邮件是恶意邮件的筛选器,在邮件流期间添加来自提交的允许条目。 例如,如果邮件中的发件人电子邮件地址和 URL 被确定为恶意,则会为发件人创建允许条目, (电子邮件地址或域) 和 URL。
在邮件流或单击期间,如果包含允许条目中的实体的邮件通过筛选堆栈中的其他检查,则会传递邮件 () 跳过与允许实体关联的所有筛选器。 例如,如果邮件通过 电子邮件身份验证检查、URL 筛选和文件筛选,则如果邮件也来自允许的发件人,则会传递来自允许发件人电子邮件地址的邮件。
默认情况下, 域和电子邮件地址、 文件和URL 的允许条目在筛选系统确定实体干净后保留 45 天,然后删除允许条目。 或者,可以将允许条目在创建后最多 30 天过期。 允许 欺骗发件人的 条目永不过期。
为域和电子邮件地址创建阻止条目
若要为 域和电子邮件地址创建阻止条目,请使用以下方法之一:
从 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=email的 “电子邮件” 选项卡。 在确认邮件威胁后提交邮件时,可以选择“阻止来自此发件人或域的所有电子邮件”,将阻止条目添加到“租户允许/阻止Lists”页上的“域 & 电子邮件地址”选项卡。 有关说明,请参阅 向Microsoft报告可疑电子邮件。
从“租户允许/阻止Lists”页上的“域 & 地址”选项卡或在 PowerShell 中,如本部分所述。
若要为 欺骗发件人创建阻止条目,请参阅本文后面的 此部分 。
来自这些被阻止发件人的Email被标记为高置信度钓鱼并被隔离。
注意
目前,不会阻止指定域的子域。 例如,如果为来自 contoso.com 的电子邮件创建阻止条目,则不会阻止来自 marketing.contoso.com 的邮件。 需要为 marketing.contoso.com 创建单独的块条目。
组织中的用户也无法将电子邮件 发送到 这些被阻止的域和地址。 邮件在以下未送达报告中返回 (也称为 NDR 或退回邮件) : 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
即使阻止条目中只定义了一个收件人电子邮件地址或域,也会阻止邮件的所有内部和外部收件人的整个邮件。
使用Microsoft Defender门户为租户允许/阻止列表中的域和电子邮件地址创建阻止条目
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者,若要直接转到租户允许/阻止Lists页,请使用 https://security.microsoft.com/tenantAllowBlockList。
在“租户允许/阻止Lists”页上,验证“域 & 地址”选项卡是否已选中。
在 “域 & 地址 ”选项卡上,选择“ 阻止”。
在打开 的“阻止域 & 地址 ”浮出控件中,配置以下设置:
域 & 地址:每行输入一个电子邮件地址或域,最多 20 个。
删除后块条目:从以下值中进行选择:
- 1 天
- 7 天
- 默认) (30 天
- 永不过期
- 特定日期:最大值为从今天起的 90 天。
可选注意:输入描述性文本,了解阻止电子邮件地址或域的原因。
完成 “阻止域 & 地址 ”浮出控件后,选择“ 添加”。
返回“ 域 & 电子邮件地址 ”选项卡,将列出条目。
使用 PowerShell 为租户允许/阻止列表中的域和电子邮件地址创建阻止条目
在 Exchange Online PowerShell 中,使用以下语法:
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
本示例为特定日期到期的指定电子邮件地址添加阻止条目。
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022
有关详细语法和参数信息,请参阅 New-TenantAllowBlockListItems。
使用Microsoft Defender门户在租户允许/阻止列表中查看域和电子邮件地址的条目
在 Microsoft Defender 门户中https://security.microsoft.com,转到“规则”部分中的策略 & 规则>威胁策略>租户允许/阻止Lists。 或者,若要直接转到租户允许/阻止Lists页,请使用 https://security.microsoft.com/tenantAllowBlockList。
验证是否已选中 “域 & 地址 ”选项卡。
在“ 域 & 地址 ”选项卡上,可以通过单击可用的列标题对条目进行排序。 以下列可用:
- 值:域或电子邮件地址。
- 操作:值 Allow 或 Block。
- 修改者
- 上次更新
- 上次使用日期:上次在筛选系统中使用该条目以替代判决的日期。
- 删除日期:到期日期。
- 注意
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 操作:值为 Allow 和 Block。
- 永不过期: 或
- 上次更新时间:选择 “从 ”和“ 到 ”日期。
- 上次使用日期:选择 “从 ”和“ 到 ”日期。
- 删除日期:选择 “从 ”和“ 到 ”日期。
完成 筛选器 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用“ 搜索 ”框和相应的值查找特定条目。
若要对条目进行分组,请选择“组”,然后选择“操作”。 若要取消组合条目,请选择“ 无”。
使用 PowerShell 查看租户允许/阻止列表中的域和电子邮件地址的条目
在 Exchange Online PowerShell 中,使用以下语法:
Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]
此示例返回域和电子邮件地址的所有允许和阻止条目。
Get-TenantAllowBlockListItems -ListType Sender
此示例筛选域和电子邮件地址的块条目的结果。
Get-TenantAllowBlockListItems -ListType Sender -Block
有关详细语法和参数信息,请参阅 Get-TenantAllowBlockListItems。
使用Microsoft Defender门户修改租户允许/阻止列表中的域和电子邮件地址的条目
在现有域和电子邮件地址条目中,可以更改到期日期和备注。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者,若要直接转到租户允许/阻止Lists页,请使用 https://security.microsoft.com/tenantAllowBlockList。
验证是否已选中 “域 & 地址 ”选项卡。
在“域 & 地址”选项卡上,选择列表中的条目,方法是选择第一列旁边的检查框,然后选择出现的“编辑”操作。
在打开 的“编辑域 & 地址 ”浮出控件中,以下设置可用:
-
阻止条目:
-
删除后块条目:从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 永不过期
- 特定日期:最大值为从今天起的 90 天。
- 可选备注
-
删除后块条目:从以下值中进行选择:
-
允许条目:
-
删除允许项后:从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 上次使用日期后 45 天
- 特定日期:最大值为从今天开始的 30 天。
- 可选备注
-
删除允许项后:从以下值中进行选择:
完成 “编辑域 & 地址 ”浮出控件后,选择“ 保存”。
-
阻止条目:
提示
在“域 & 地址”选项卡上条目的详细信息浮出控件中,使用浮出控件顶部的“查看提交”转到“提交”页上相应条目的详细信息。 如果提交负责在租户允许/阻止列表中创建条目,则此操作可用。
使用 PowerShell 修改租户允许/阻止列表中的域和电子邮件地址的条目
在 Exchange Online PowerShell 中,使用以下语法:
Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
此示例更改发件人电子邮件地址的指定阻止条目的到期日期。
Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"
有关详细语法和参数信息,请参阅 Set-TenantAllowBlockListItems。
使用Microsoft Defender门户从租户允许/阻止列表中删除域和电子邮件地址的条目
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者,若要直接转到租户允许/阻止Lists页,请使用 https://security.microsoft.com/tenantAllowBlockList。
验证是否已选中 “域 & 地址 ”选项卡。
在 “域 & 地址 ”选项卡上,执行以下步骤之一:
选择列表中的条目,方法是选择第一列旁边的检查框,然后选择显示的“删除”操作。
单击行中除“检查”框以外的任意位置,从列表中选择条目。 在打开的详细信息浮出控件中,选择浮出控件顶部的“ 删除 ”。
提示
- 若要查看有关其他条目的详细信息而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。
- 可以通过选择每个检查框来选择多个条目,或者通过选择值列标题旁边的检查框来选择所有条目。
在打开的警告对话框中,选择“ 删除”。
返回“ 域 & 地址 ”选项卡,不再列出该条目。
使用 PowerShell 从租户允许/阻止列表中删除域和电子邮件地址的条目
在 Exchange Online PowerShell 中,使用以下语法:
Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>
此示例从租户允许/阻止列表中删除域和电子邮件地址的指定条目。
Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"
有关详细语法和参数信息,请参阅 Remove-TenantAllowBlockListItems。
租户允许/阻止列表中的欺骗发件人
覆盖欺骗智能见解中的判断时,欺骗发件人将成为手动允许或阻止条目,仅显示在“租户允许/阻止Lists”页上的“欺骗发件人”选项卡上。
为欺骗发件人创建允许条目
若要为 欺骗发件人创建允许条目,请使用以下任一方法:
- 从 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=email的 “电子邮件” 选项卡。 有关说明,请参阅 将良好的电子邮件提交到Microsoft。
- 提交被 欺骗智能检测到并阻止的邮件时,欺骗发件人的允许条目将添加到租户允许/阻止列表中的“ 欺骗发件人 ”选项卡。
- 如果发件人未被欺骗智能检测和阻止,则向Microsoft提交消息不会在租户允许/阻止列表中为发件人创建允许条目。
- 在“欺骗智能见解”页https://security.microsoft.com/spoofintelligence中,如果发送方被欺骗智能检测到并阻止,则为 。 有关说明,请参阅 重写欺骗情报判决。
- 当覆盖欺骗智能见解中的判决时,欺骗发件人将成为一个手动条目,仅出现在“租户允许/阻止Lists”页上的“欺骗发件人”选项卡上。
- 从“租户允许/阻止Lists”页上的“欺骗发件人”选项卡或在 PowerShell 中,如本部分所述。
使用Microsoft Defender门户为租户允许/阻止列表中的欺骗发件人创建允许条目
在租户允许/阻止列表中,可以先为欺骗发件人创建允许条目,然后再被 欺骗智能检测和阻止。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者,若要直接转到租户允许/阻止Lists页,请使用 https://security.microsoft.com/tenantAllowBlockList。
在“租户允许/阻止Lists”页上,选择“欺骗发件人”选项卡。
在“ 欺骗发件人 ”选项卡上,选择“ 添加”。
在打开的 “添加新域对 ”浮出控件中,配置以下设置:
使用通配符添加域对:每行输入域对,最多 20 个。 有关欺骗发件人条目的语法的详细信息,请参阅本文后面的欺骗 发件人条目的域对语法 部分。
欺骗类型:选择以下值之一:
- 内部:欺骗发件人位于属于你的组织的域中, (接受的域) 。
- 外部:欺骗发件人位于外部域中。
操作:选择 “允许 ”或“ 阻止”。
完成“ 添加新域对 ”浮出控件后,选择“ 添加”。
返回“ 欺骗发件人 ”选项卡,将列出条目。
使用 PowerShell 为租户允许/阻止列表中的欺骗发件人创建允许条目
在 Exchange Online PowerShell 中,使用以下语法:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
本示例从源 contoso.com 为发件人 bob@contoso.com 创建允许条目。
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External
有关详细语法和参数信息,请参阅 New-TenantAllowBlockListSpoofItems。
为欺骗发件人创建块条目
若要为 欺骗发件人创建阻止条目,请使用以下任一方法:
- 从 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=email的 “电子邮件” 选项卡。 有关说明,请参阅 向Microsoft报告可疑电子邮件。
- 如果欺骗智能检测到发件人并允许发送方,则从欺骗智能见解页https://security.microsoft.com/spoofintelligence。 有关说明,请参阅 重写欺骗情报判决。
- 当覆盖欺骗智能见解中的判决时,欺骗发件人将成为一个手动条目,仅出现在“租户允许/阻止Lists”页上的“欺骗发件人”选项卡上。
- 从“租户允许/阻止Lists”页上的“欺骗发件人”选项卡或在 PowerShell 中,如本部分所述。
注意
仅阻止欺骗用户和域对中定义的发送基础结构的组合进行欺骗。
来自这些发件人的Email被标记为钓鱼。 邮件发生的情况由检测到收件人邮件的 反垃圾邮件策略 决定。 有关详细信息,请参阅 EOP 反垃圾邮件策略设置中的钓鱼检测操作。
为域对配置阻止项时,欺骗发件人将成为手动阻止条目,仅显示在租户允许/阻止列表中的“ 欺骗发件人 ”选项卡上。
欺骗发件人的阻止条目永不过期。
使用Microsoft Defender门户为租户允许/阻止列表中的欺骗发件人创建阻止条目
这些步骤与为 欺骗发件人创建允许条目 几乎相同,如本文前面所述。
唯一的区别是:对于步骤 4 中的 “操作” 值,请选择“ 阻止 ”而不是 “允许”。
使用 PowerShell 为租户允许/阻止列表中的欺骗发件人创建阻止条目
在 Exchange Online PowerShell 中,使用以下语法:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
本示例从源 172.17.17.17/24 为发送方 laura@adatum.com 创建阻止条目。
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External
有关详细语法和参数信息,请参阅 New-TenantAllowBlockListSpoofItems。
使用Microsoft Defender门户查看租户允许/阻止列表中的欺骗发件人的条目
在 Microsoft Defender 门户中https://security.microsoft.com,转到“规则”部分中的策略 & 规则>威胁策略>租户允许/阻止Lists。 或者,若要直接转到租户允许/阻止Lists页,请使用 https://security.microsoft.com/tenantAllowBlockList。
验证是否已选中 “欺骗发件人 ”选项卡。
在“ 欺骗发件人 ”选项卡上,可以通过单击可用的列标题对条目进行排序。 以下列可用:
- 欺骗用户
- 发送基础结构
- 欺骗类型:可用值为 “内部 ”或“ 外部”。
- 操作:可用值为 “阻止” 或 “允许”。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 操作:可用值为 Allow 和 Block。
- 欺骗类型:可用值为 “内部 ”和“ 外部”。
完成 筛选器 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用“ 搜索 ”框和相应的值查找特定条目。
若要对条目进行分组,请选择“分组”,然后选择以下值之一:
- 操作
- 欺骗类型
若要取消组合条目,请选择“ 无”。
使用 PowerShell 查看租户允许/阻止列表中的欺骗发件人的条目
在 Exchange Online PowerShell 中,使用以下语法:
Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>
此示例返回租户允许/阻止列表中所有欺骗的发件人条目。
Get-TenantAllowBlockListSpoofItems
此示例返回内部的所有允许欺骗发件人条目。
Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal
此示例返回所有被阻止的欺骗发件人条目,这些条目是外部的。
Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External
有关详细语法和参数信息,请参阅 Get-TenantAllowBlockListSpoofItems。
使用Microsoft Defender门户修改租户允许/阻止列表中的欺骗发件人的条目
在“租户允许/阻止”列表中修改欺骗发件人的允许或阻止项时,只能将条目从 “允许” 更改为 “阻止”,反之亦然。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者,若要直接转到租户允许/阻止Lists页,请使用 https://security.microsoft.com/tenantAllowBlockList。
选择“ 欺骗发件人 ”选项卡。
选择列表中的条目,方法是选择第一列旁边的检查框,然后选择出现的“编辑”操作。
在打开 的“编辑欺骗发件人 ”浮出控件中,选择“ 允许 ”或“ 阻止”,然后选择“ 保存”。
使用 PowerShell 修改租户允许/阻止列表中的欺骗发件人的条目
在 Exchange Online PowerShell 中,使用以下语法:
Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>
本示例将指定的欺骗发件人条目从允许项更改为阻止项。
Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block
有关详细语法和参数信息,请参阅 Set-TenantAllowBlockListSpoofItems。
使用Microsoft Defender门户从租户允许/阻止列表中删除欺骗发件人的条目
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者,若要直接转到租户允许/阻止Lists页,请使用 https://security.microsoft.com/tenantAllowBlockList。
选择“ 欺骗发件人 ”选项卡。
在“欺骗发件人”选项卡上,通过选择第一列旁边的“检查”框,从列表中选择条目,然后选择出现的“删除”操作。
提示
可以通过选择每个检查框来选择多个条目,或者通过选择欺骗用户列标题旁边的检查框来选择所有条目。
在打开的警告对话框中,选择“ 删除”。
使用 PowerShell 从租户允许/阻止列表中删除欺骗发件人的条目
在 Exchange Online PowerShell 中,使用以下语法:
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c
此示例删除指定的欺骗发件人。 可以从 Get-TenantAllowBlockListSpoofItems 命令输出中的 Identity 属性获取 Ids 参数值。
有关详细语法和参数信息,请参阅 Remove-TenantAllowBlockListSpoofItems。
欺骗发件人条目的域对语法
租户允许/阻止列表中的欺骗发件人的域对使用以下语法: <Spoofed user>, <Sending infrastructure>
。
欺骗用户:此值涉及电子邮件客户端的“ 发件人 ”框中显示的欺骗用户的电子邮件地址。 此地址也称为
5322.From
或 P2 发件人地址。 有效值包括:- 单个电子邮件地址 (例如 chris@contoso.com) 。
- 电子邮件域 (例如 contoso.com) 。
- 通配符 (*) 。
发送基础结构:此值指示来自欺骗用户的消息源。 有效值包括:
- 在反向 DNS 查找中找到的域 (PTR 记录源电子邮件服务器的 IP 地址) (例如,fabrikam.com) 。
- 如果源 IP 地址没有 PTR 记录,则发送基础结构标识为 <source IP>/24(例如 192.168.100.100/24)。
- 已验证的 DKIM 域。
- 通配符 (*) 。
下面是用于标识欺骗发件人的有效域对的一些示例:
contoso.com, 192.168.100.100/24
chris@contoso.com, fabrikam.com
*, contoso.net
注意
可以在发送基础结构或欺骗用户中指定通配符,但不能同时在两者中指定通配符。 例如, *, *
不允许。
如果使用域而不是发送基础结构中的 IP 地址或 IP 地址范围,则域需要匹配 Authentication-Results 标头中连接 IP 的 PTR 记录。 可以通过运行命令来确定 PTR: ping -a <IP address>
。 我们还建议使用 PTR 组织域作为域值。 例如,如果 PTR 解析为“smtp.inbound.contoso.com”,则应使用“contoso.com”作为发送基础结构。
添加域对仅允许或阻止欺骗用户和发送基础结构的组合。 例如,为以下域对添加允许条目:
- 域:gmail.com
- 发送基础结构:tms.mx.com
仅允许来自该域 和 发送基础结构对的消息进行欺骗。 不允许其他发件人尝试欺骗 gmail.com。 来自其他域中源自 tms.mx.com 的发件人的消息通过欺骗智能进行检查。
关于模拟域或发件人
无法为Defender for Office 365中的反钓鱼策略检测到为模拟用户或模拟域的邮件在租户允许/阻止列表中创建允许条目。
提交在“提交”页https://security.microsoft.com/reportsubmission?viewid=email的“电子邮件”选项卡上错误地阻止为模拟的邮件不会在“租户允许/阻止列表”中将发件人或域添加为允许条目。
相反,域或发件人会添加到检测到邮件的反钓鱼策略中的“受信任的发件人和域”部分。
有关模拟误报的提交说明,请参阅 向Microsoft报告良好电子邮件。
注意
目前,此处不处理用户 (或图形) 模拟。