使用租用戶允許/封鎖清單來允許或封鎖電子郵件
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在Microsoft 365 個 Exchange Online 或獨立 Exchange Online Protection (EOP) 組織中沒有 Exchange Online 信箱的組織中,系統管理員可以建立和管理網域和電子郵件地址的專案, (包括租用戶允許/封鎖清單中的詐騙發件者) 。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊。
本文說明系統管理員如何在 Microsoft Defender 入口網站和 Exchange Online PowerShell 中管理電子郵件寄件人的專案。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [租使用者允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell。
網域和電子郵件地址的輸入限制:
- Exchange Online Protection:允許專案的最大數目為 500,而封鎖專案的最大數目為 500 (1000 個網域和電子郵件地址專案,總計) 。
- 適用於 Office 365 的 Defender 方案 1:允許專案的最大數目為 1000,而封鎖專案的最大數目為 1000 (2000 個網域和電子郵件地址專案,總計) 。
- 適用於 Office 365 的 Defender 方案 2:允許專案的最大數目為 5000,而封鎖專案的最大數目為 10000 (15000 個網域和電子郵件地址專案,總計) 。
針對詐騙寄件者,允許專案和封鎖專案的最大數目為1024 (1024個允許專案和無區塊專案、512個允許專案和512個區塊專案等 ) 。
詐騙寄件者的項目永遠不會過期。
若要封鎖來自網域的輸入和輸出電子郵件、該網域中的任何子域,以及該網域中的任何電子郵件位址,請使用下列語法建立封鎖專案:
*.TLD
,其中TLD
可以是任何最上層網域、內部網域或電子郵件位址網域。若要封鎖網域中 sudomain 的輸入和輸出電子郵件,以及該子域中的任何電子郵件位址,請使用內部網域和電子郵件位址網域的語法來建立封鎖專案:
*.SD1.TLD
、*.SD2.SD1.TLD
、*.SD3.SD2.SD1.TLD
等等。如需詐騙寄件者專案的語法詳細資訊,請參閱本文稍後 的詐騙發件者專案的網域配對語法 一節。
項目應該會在 5 分鐘內作用中。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) :授權和設定/安全性設定/偵測調整 (管理) 或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
-
-
從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
- 組織管理 或 安全性系統管理員 (安全性系統管理員角色) 。
- 安全性操作員 (租使用者 AllowBlockList Manager 角色) :只有在直接在 Exchange 系統管理中心的https://admin.exchange.microsoft.com> [角色> 管理員 角色] 中指派此許可權時,此權限才能運作。
-
租使用者允許/封鎖清單的只讀存取權:下列其中一個角色群組中的成員資格:
- 全域讀取者
- 安全性讀取者
- 僅限檢視組態
- View-Only Organization Management
-
從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
Microsoft Entra 權限:全域管理員、安全性系統管理員*、全域讀取者或安全性讀取者角色的成員資格,可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
租用戶允許/封鎖清單中的網域和電子郵件位址
建立網域和電子郵件地址的允許專案
您無法直接在租使用者允許/封鎖清單中建立網域和電子郵件地址的允許專案。 不必要的允許專案會向系統篩選的惡意電子郵件公開您的組織。
相反地,您會在 的 [提交] 頁面上使用 [ 電子郵件 ] 索 引標籤 https://security.microsoft.com/reportsubmission?viewid=email。 當您在確認郵件已清除時提交封鎖的郵件,然後選取 [允許此郵件] 時,會將發件人的允許專案新增至 [租使用者允許/封鎖 清單] 頁面上的 [網域 & 電子郵件位址] 索引卷標。 如需指示, 請參閱提交良好的電子郵件給Microsoft。
提示
在郵件流程期間,會根據判斷郵件為惡意的篩選條件,新增來自提交專案的允許專案。 例如,如果寄件者電子郵件地址和郵件中的URL判斷為惡意,則會針對發件者建立允許專案, (電子郵件位址或網域) 和URL。
在郵件流程或點選期間,如果包含允許專案中實體的訊息在篩選堆疊中通過其他檢查,則會傳遞訊息 (略過與允許實體相關聯的所有篩選) 。 例如,如果郵件通過 電子郵件驗證檢查、URL 篩選和檔案篩選,則如果郵件也是來自允許的寄件者,則會傳遞來自允許寄件者電子郵件地址的郵件。
根據預設,在篩選系統判斷實體是乾淨的,然後移除允許項目之後,網 域和電子郵件地址、 檔案和 URL 的允許專案會保留45天。 或者,您可以將允許項目設定為在建立專案后最多 30 天到期。 允許 詐騙寄件人的 專案永不過期。
建立網域和電子郵件地址的封鎖專案
若要建立 網域和電子郵件地址的封鎖專案,請使用下列其中一種方法:
從[提交] 頁面上的 [ 電子郵件 ] 索 引 標籤, 位於 https://security.microsoft.com/reportsubmission?viewid=email。 當您在確認這是威脅時提交郵件時,您可以選取 [封鎖來自此發件者或網域的所有電子郵件],將封鎖專案新增至 [租使用者允許/封鎖 清單] 頁面上的 [網域 & 電子郵件位址] 索引卷標。 如需指示,請 參閱向Microsoft回報可疑的電子郵件。
從 [租使用者允許/封鎖 清單] 頁面或 PowerShell 中的 [網域 & 位址] 索引卷標,如本節所述。
若要建立 詐騙發件人的封鎖專案,請參閱本文稍後的 本節 。
來自這些封鎖發件人的 Email 會標示為高信賴度網路釣魚並隔離。
注意事項
目前不會封鎖指定網域的子域。 例如,如果您為來自 contoso.com 的電子郵件建立封鎖專案,則不會封鎖來自 marketing.contoso.com 的郵件。 您必須為 marketing.contoso.com 建立個別的區塊專案。
組織中的使用者也無法 傳送 電子郵件給這些封鎖的網域和位址。 此郵件會在下列非傳遞報表中傳回, (也稱為 NDR 或退回的郵件) : 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
即使封鎖專案中只定義了一個收件者電子郵件地址或網域,郵件的所有內部和外部收件者仍會封鎖整個郵件。
使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立網域和電子郵件地址的封鎖專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
在 [租使用者允許/封鎖 清單] 頁面上,確認已選取 [網域 & 位址] 索引標籤。
在 [ 網域 & 位址] 索引標籤 上,選取 [ 封鎖]。
在開啟 的 [封鎖網域 & 位址 ] 飛出視窗中,設定下列設定:
網域 & 位址:每行輸入一個電子郵件位址或網域,最多 20 個。
拿掉區塊項目之後:從下列值中選取:
- 1 天
- 7 天
- 默認) (30 天
- 永不過期
- 特定日期:最大值為從今天起的90天。
選擇性注意事項:輸入您封鎖電子郵件地址或網域原因的描述性文字。
當您在 [ 封鎖網域] & 位址 飛出視窗中完成時,請選取 [ 新增]。
回到 [ 網域 & 電子郵件位址 ] 索引標籤上,會列出該專案。
使用 PowerShell 在租使用者允許/封鎖清單中建立網域和電子郵件地址的封鎖專案
在 Exchange Online PowerShell 中,使用下列語法:
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
本範例會為特定日期到期的指定電子郵件位址新增封鎖專案。
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站,在租用戶允許/封鎖清單中檢視網域和電子郵件地址的專案
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [規則] 區段中的 [原則 & 規則>][威脅>原則租用戶允許/封鎖 清單]。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
確認已選取 [ 網域 & 位址] 索引 標籤。
在 [ 網域 & 位址] 索 引標籤上,您可以按下可用的數據行標頭來排序專案。 下列資料列可供使用:
- 值:網域或電子郵件位址。
- 動作: [允許] 或 [ 封鎖] 值。
- 修改者
- 上次更新
- 上次使用日期:上次在篩選系統中使用專案來覆寫決策的日期。
- 拿掉日期:到期日。
- 附註
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 動作:這些值為 Allow 和 Block。
- 永不過期: 或
- 上次更新時間:選取 [從] 和 [到日期]。
- 上次使用的日期:選取 [從] 和 [到日期]。
- 拿掉於:選取 [從] 和 [到日期]。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選取 [清除篩選]。
使用 [ 搜尋] 方塊和對應的值來尋找特定專案。
若要將專案分組,請選取 [ 群組 ],然後選取 [ 動作]。 若要取消專案群組,請選取 [ 無]。
使用 PowerShell 檢視租使用者允許/封鎖清單中網域和電子郵件地址的專案
在 Exchange Online PowerShell 中,使用下列語法:
Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]
此範例會傳回網域和電子郵件位址的所有允許和封鎖專案。
Get-TenantAllowBlockListItems -ListType Sender
本範例會篩選網域和電子郵件位址區塊項目的結果。
Get-TenantAllowBlockListItems -ListType Sender -Block
如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站來修改租使用者允許/封鎖清單中網域和電子郵件地址的專案
在現有的網域和電子郵件地址專案中,您可以變更到期日和附註。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
確認已選取 [ 網域 & 位址] 索引 標籤。
在 [ 網域 & 位址] 索引 標籤上,選取第一個數據行旁邊的複選框,從清單中選取專案,然後選取出現的 [編輯 ] 動作。
在開啟 的 [編輯網域 & 位址 ] 飛出視窗中,可以使用下列設定:
-
封鎖專案:
-
拿掉區塊項目之後:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 永不過期
- 特定日期:最大值為從今天起的90天。
- 選擇性附注
-
拿掉區塊項目之後:從下列值中選取:
-
允許專案:
-
移除[允許輸入]:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 上次使用日期后的 45 天
- 特定日期:最大值為從今天起的 30 天。
- 選擇性附注
-
移除[允許輸入]:從下列值中選取:
當您在 [ 編輯網域 & 位址 ] 飛出視窗中完成時,請選取 [ 儲存]。
-
封鎖專案:
提示
在 [網域 & 位址] 索引標籤上專案的詳細數據飛出視窗中,使用飛出視窗頂端的 [檢視提交],移至 [提交] 頁面上對應專案的詳細數據。 如果提交負責在租使用者允許/封鎖清單中建立專案,則可使用此動作。
使用 PowerShell 修改租使用者允許/封鎖清單中網域和電子郵件地址的專案
在 Exchange Online PowerShell 中,使用下列語法:
Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
本範例會變更發件者電子郵件位址之指定封鎖專案的到期日。
Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"
如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站,從租用戶允許/封鎖清單中移除網域和電子郵件地址的專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
確認已選取 [ 網域 & 位址] 索引 標籤。
在 [網域 & 位址] 索引標籤 上,執行下列其中一個步驟:
選取第一個數據行旁邊的複選框,然後選取出現的 [刪除 ] 動作,以從清單中選取專案。
按兩下複選框以外的數據列中的任何位置,從清單中選取專案。 在開啟的詳細數據飛出視窗中,選取飛出視窗頂端的 [刪除]。
提示
- 若要查看其他項目的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
- 您可以選取每個複選框來選取多個專案,或選取 [值 ] 資料行標頭旁邊的複選框來選取所有專案。
在開啟的警告對話框中,選取 [ 刪除]。
回到 [ 網域 & 位址] 索引 標籤上,不再列出該專案。
使用 PowerShell 從租使用者允許/封鎖清單中移除網域和電子郵件地址的專案
在 Exchange Online PowerShell 中,使用下列語法:
Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>
此範例會從租使用者允許/封鎖清單中移除網域和電子郵件位址的指定專案。
Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"
如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListItems。
租使用者允許/封鎖清單中的詐騙寄件者
當您覆寫詐騙情報深入解析中的決策時,詐騙的發件者會變成手動允許或封鎖專案,只出現在 [租使用者允許/封鎖] 清單 頁面上的 [詐騙發件者] 索引卷標上。
建立詐騙寄件人的允許專案
若要建立詐騙 寄件人的允許專案,請使用下列任何方法:
- 從[提交] 頁面上的 [ 電子郵件 ] 索 引 標籤, 位於 https://security.microsoft.com/reportsubmission?viewid=email。 如需指示, 請參閱提交良好的電子郵件給Microsoft。
- 當您提交偵測到並遭到 詐騙情報封鎖的訊息時,會將詐騙發件人的允許專案新增至租用戶允許/封鎖清單中的 [詐騙 發件者 ] 索引卷標。
- 如果偵測不到寄件者並遭到詐騙情報封鎖,則將訊息提交至Microsoft並不會在租用戶允許/封鎖清單中為發件者建立允許專案。
- 如果偵測到寄件者並遭到詐騙情報封鎖,請從的詐騙情報深入解析頁面https://security.microsoft.com/spoofintelligence。 如需指示,請 參閱覆寫詐騙情報決策。
- 當您覆寫詐騙情報深入解析中的決策時,詐騙發件者會變成手動輸入,只出現在 [租使用者允許/封鎖] 清單 頁面上的 [詐騙發件者] 索引卷標上。
- 從租用戶允許/封鎖 清單 頁面或 PowerShell 中的 [詐騙發件者] 索引標籤,如本節所述。
使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立詐騙寄件人的允許專案
在 [租使用者允許/封鎖清單] 中,您可以為詐騙寄件者建立允許專案,然後再透過 詐騙情報來偵測和封鎖這些傳送者。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
在 [租使用者允許/封鎖 清單] 頁面上,選取 [詐騙發件者] 索引卷標。
在 [ 詐騙發件者] 索引卷標上 ,選取 [ 新增]。
在開啟的 [ 新增網域配對 ] 飛出視窗中,設定下列設定:
新增具有通配符的網域配對:每行輸入網域配對,最多 20 個。 如需詐騙寄件者專案的語法詳細資訊,請參閱本文稍後 的詐騙發件者專案的網域配對語法 一節。
詐騙類型:選取下列其中一個值:
- 內部:詐騙寄件者位於屬於貴組織的網域中, (接受的網域) 。
- 外部:詐騙寄件者位於外部網域中。
動作:選 取 [允許] 或 [封鎖]。
當您在 [ 新增網域配對 ] 飛出視窗中完成時,請選取 [ 新增]。
回到 [ 詐騙發件者] 索引 標籤上,會列出該專案。
使用 PowerShell 在租使用者允許/封鎖清單中建立詐騙寄件者的允許專案
在 Exchange Online PowerShell 中,使用下列語法:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
此範例會從來源 contoso.com 建立寄件者 bob@contoso.com 允許專案。
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListSpoofItems。
建立詐騙寄件人的封鎖專案
若要建立 詐騙發件人的封鎖專案,請使用下列任何方法:
- 從[提交] 頁面上的 [ 電子郵件 ] 索 引 標籤, 位於 https://security.microsoft.com/reportsubmission?viewid=email。 如需指示,請 參閱向Microsoft回報可疑的電子郵件。
- 如果偵測到寄件者並允許詐騙情報,請從的詐騙情報深入解析頁面https://security.microsoft.com/spoofintelligence。 如需指示,請 參閱覆寫詐騙情報決策。
- 當您覆寫詐騙情報深入解析中的決策時,詐騙的發件者會變成手動輸入,只出現在 [租用戶允許/封鎖] 清單 頁面上的 [詐騙發件者] 索引卷標上。
- 從 [租使用者允許/封鎖 清單] 頁面或 PowerShell 中的 [詐騙發件者] 索引標籤,如本節所述。
注意事項
只有詐騙使用者 和 定義於 網域配對 中的傳送基礎結構的組合會遭到封鎖而無法詐騙。
來自這些寄件人的 Email標示為網路釣魚。 訊息會發生什麼情況,取決於偵測到收件者郵件 的反垃圾郵件原則 。 如需詳細資訊, 請參閱EOP 反垃圾郵件原則設定中的網路釣魚偵測動作。
當您設定網域配對的封鎖專案時,詐騙的發件者會變成手動封鎖專案,只出現在租用戶允許/封鎖清單中的 [ 詐騙發件者 ] 索引卷標上。
封鎖詐騙寄件人的項目永遠不會過期。
使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立詐騙寄件者的封鎖專案
這些步驟與 為詐騙寄件者建立允許項目 幾乎完全相同,如本文先前所述。
唯一的差異是:針對步驟 4 中的 [動作 ] 值,選取 [封鎖 ] 而不是 [ 允許]。
使用 PowerShell 在租使用者允許/封鎖清單中建立詐騙寄件者的封鎖專案
在 Exchange Online PowerShell 中,使用下列語法:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
此範例會從來源 172.17.17.17/24 建立寄件者 laura@adatum.com 封鎖專案。
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListSpoofItems。
使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中檢視詐騙發件人的專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [規則] 區段中的 [原則 & 規則>][威脅>原則租用戶允許/封鎖 清單]。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
確認已選取 [ 詐騙發件者] 索引 標籤。
在 [ 詐騙發件者 ] 索引標籤上,您可以按下可用的數據行標頭來排序專案。 下列資料列可供使用:
- 詐騙使用者
- 傳送基礎結構
- 詐騙類型:可用的值為 [內部 ] 或 [ 外部]。
- 動作:可用的值為 [封鎖 ] 或 [ 允許]。
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 動作:可用的值為 Allow 和 Block。
- 詐騙類型:可用的值為 Internal 和 External。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選取 [清除篩選]。
使用 [ 搜尋] 方塊和對應的值來尋找特定專案。
若要將專案分組,請選取 [ 群組 ],然後選取下列其中一個值:
- 動作
- 詐騙類型
若要取消專案群組,請選取 [ 無]。
使用 PowerShell 在租使用者允許/封鎖清單中檢視詐騙發件者的專案
在 Exchange Online PowerShell 中,使用下列語法:
Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>
此範例會傳回租用戶允許/封鎖清單中的所有詐騙寄件者專案。
Get-TenantAllowBlockListSpoofItems
此範例會傳回內部所有允許詐騙寄件者專案。
Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal
此範例會傳回外部所有封鎖的詐騙寄件者專案。
Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External
如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListSpoofItems。
使用 Microsoft Defender 入口網站修改租用戶允許/封鎖清單中詐騙寄件人的專案
當您在 [租使用者允許/封鎖] 清單中修改詐騙寄件人的允許或封鎖專案時,只能將專案從 [ 允許 ] 變更為 [封鎖],反之亦然。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [ 詐騙發件者] 索引標籤 。
選取第一個數據行旁邊的複選框,然後選取出現的 [編輯 ] 動作,以從清單中選取專案。
在開啟 的 [編輯詐騙發件者 ] 飛出視窗中,選取 [ 允許 ] 或 [ 封鎖],然後選取 [ 儲存]。
使用 PowerShell 修改租使用者允許/封鎖清單中詐騙寄件人的專案
在 Exchange Online PowerShell 中,使用下列語法:
Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>
此範例會將指定的詐騙寄件者專案從允許專案變更為封鎖專案。
Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block
如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListSpoofItems。
使用 Microsoft Defender 入口網站從租使用者允許/封鎖清單中移除詐騙寄件人的專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [ 詐騙發件者] 索引標籤 。
在 [ 詐騙發件者 ] 索引卷標上,選取第一個數據行旁邊的複選框,從清單中選取專案,然後選取出現的 [刪除 ] 動作。
提示
您可以選取每個複選框來選取多個專案,或選取 [ 詐騙使用者 ] 資料行標頭旁的複選框來選取所有專案。
在開啟的警告對話框中,選取 [ 刪除]。
使用 PowerShell 從租使用者允許/封鎖清單中移除詐騙寄件者的專案
在 Exchange Online PowerShell 中,使用下列語法:
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c
此範例會移除指定的詐騙寄件者。 您可以從 Get-TenantAllowBlockListSpoofItems 命令輸出中的 Identity 屬性取得 Ids 參數值。
如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListSpoofItems。
詐騙寄件者專案的網域配對語法
租使用者允許/封鎖清單中詐騙發件人的網域配對會使用下列語法: <Spoofed user>, <Sending infrastructure>
。
詐騙使用者:此值牽涉到電子郵件用戶端中 [ 寄 件者] 方塊中顯示之詐騙使用者的電子郵件位址。 此位址也稱為
5322.From
或 P2 發件者位址。 有效值包括:- 個別的電子郵件地址 (例如, chris@contoso.com) 。
- 電子郵件網域 (例如,contoso.com) 。
- 通配符 (*) 。
傳送基礎結構:此值表示來自詐騙使用者的訊息來源。 有效值包括:
- 在反向 DNS 查閱 (PTR 記錄中找到的網域,) 來源電子郵件伺服器的 IP 位址 (例如,fabrikam.com) 。
- 如果來源 IP 位址沒有 PTR 記錄,則傳送基礎結構被識別為<來源 IP>/24 (例如,192.168.100.100/24)。
- 已驗證的 DKIM 網域。
- 通配符 (*) 。
以下是用來識別詐騙發件人的有效網域配對範例:
contoso.com, 192.168.100.100/24
chris@contoso.com, fabrikam.com
*, contoso.net
注意事項
您可以在傳送基礎結構或詐騙使用者中指定通配符,但不能同時在兩者中指定通配符。 例如, *, *
不允許。
如果您使用網域,而不是傳送基礎結構中的IP位址或IP位址範圍,網域必須符合 Authentication-Results 標頭中連線IP的 PTR 記錄。 您可以執行下列命令來判斷 PTR: ping -a <IP address>
。 我們也建議使用 PTR 組織網域作為網域值。 例如,如果 PTR 解析為 「smtp.inbound.contoso.com」,您應該使用 「contoso.com」 作為傳送基礎結構。
新增網域配對僅允許或封鎖詐騙用戶和傳送基礎結構的組合。 例如,您新增下列網域配對的允許專案:
- 網域:gmail.com
- 傳送基礎結構:tms.mx.com
只允許來自該網域 和 傳送基礎結構配對的訊息進行詐騙。 不允許其他寄件者嘗試詐騙 gmail.com。 來自來自 tms.mx.com 之其他網域中發件者的訊息會透過詐騙情報進行檢查。
關於模擬網域或發件者
您無法在租使用者允許/封鎖清單中,針對在 適用於 Office 365 的 Defender 中反網路釣魚原則偵測到為模擬使用者或模擬網域的訊息建立允許專案。
在 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=email的 [電子郵件] 索引標籤上,提交錯誤封鎖為仿真的郵件,並不會將寄件者或網域新增為租使用者允許/封鎖清單中的允許專案。
相反地,網域或發件者會新增至偵測到郵件之反網路釣魚原則中的 [信任的發件人和網域] 區段。
如需模擬誤判的提交指示,請參閱 向Microsoft回報良好的電子郵件。
注意事項
目前,不會從這裡處理模擬) 使用者 (或圖形。